電腦病毒最基礎(chǔ)知識(shí)

電腦病毒最基礎(chǔ)知識(shí)
　　
　　新上網(wǎng)的朋友最為困惑的，莫過(guò)于對(duì)病毒和各種惡意攻擊的恐懼和迷惑了——“我什么都沒(méi)有做，為什么就中毒了？”是因?yàn)槲覀儗?duì)電腦病毒一竅不通嗎？還是什么原因，真是搞不明白。接下來(lái)，就跟隨我一起，進(jìn)入入門(mén)級(jí)的電腦安全之旅，解讀電腦病毒的基礎(chǔ)知識(shí)，即便是中毒我們也要整個(gè)明白。希望通過(guò)這篇文章，能讓您對(duì)一些電腦病毒的基本概念，機(jī)制有所把握，從而在今后的中作中做到心中有數(shù)。

　　第一篇——病毒防御入門(mén)之旅

　　潘多拉的魔盒被打開(kāi)，從此世間便多了疾病、瘟疫、災(zāi)難——自從1962年，貝爾實(shí)驗(yàn)室三位杰出程序員——羅泊.莫里斯、維克多.維索茨基、道格.邁克勞埃以“編制一些程序，讓這些程序根據(jù)某種規(guī)則自己在內(nèi)存中生存、搏斗”而理念而造就的“磁芯大戰(zhàn)”程序開(kāi)始，計(jì)算機(jī)世界的潘多拉魔盒就此打開(kāi)。當(dāng)時(shí)三位積極探索計(jì)算機(jī)技術(shù)的優(yōu)秀程序員大概不會(huì)想到，病毒之門(mén)被打開(kāi)，直至今日陰影仍揮之不去�？杀�的是，以技術(shù)之鑰打開(kāi)的病毒之門(mén)，在半個(gè)世紀(jì)里越來(lái)越墮落，淪為一些人實(shí)施經(jīng)濟(jì)犯罪或標(biāo)榜自我的工具，在計(jì)算機(jī)世界四處游蕩著病毒幽靈。

　　病毒——這個(gè)源自醫(yī)學(xué)界的名詞，被用在計(jì)算機(jī)中，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開(kāi)來(lái)。

　　木馬——來(lái)自“特伊諾木馬”，指深入到內(nèi)部進(jìn)行攻擊與破壞的行為。現(xiàn)在的木馬程序一般是指，利用系統(tǒng)漏洞或用戶操作不當(dāng)進(jìn)入用戶的計(jì)算機(jī)系統(tǒng)，通過(guò)修改啟動(dòng)項(xiàng)目或捆綁進(jìn)程方式自動(dòng)運(yùn)行，運(yùn)行時(shí)有意不讓用戶察覺(jué)，將用戶計(jì)算機(jī)中的敏感信息都暴露在網(wǎng)絡(luò)中或接受遠(yuǎn)程控制的惡意程序。

　　蠕蟲(chóng)——蠕蟲(chóng)病毒是指利用網(wǎng)絡(luò)缺陷進(jìn)行繁殖的病毒程序，其原始特征之一是通過(guò)網(wǎng)絡(luò)協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)傳播。

　　腳本病毒——利用腳本來(lái)進(jìn)行破壞的病毒，其特征為本身是一個(gè)ascii碼或加密的ascii碼文本文件，由特定的腳本解釋器執(zhí)行。主要利用腳本解釋器的疏忽和用戶登陸身份的不當(dāng)對(duì)系統(tǒng)設(shè)置進(jìn)行惡意配置或惡意調(diào)用系統(tǒng)特點(diǎn)命令造成危害。

　　但目前，由于病毒，木馬，蠕蟲(chóng)，腳本病毒這四類程序在不斷雜交中衍生，已經(jīng)形成了“你中有我，我中有你”的多態(tài)特性。為了行文方便，以下統(tǒng)稱為“病毒”，但其實(shí)四類程序的感染機(jī)制和編寫(xiě)方式是完全不同的，請(qǐng)讀者們?cè)陂喿x的時(shí)候詳加辨析。

　現(xiàn)階段的病毒，主要分為以下幾種：

　　1．感染可執(zhí)行文件的病毒

　　病毒描述：這類病毒就是上面所介紹的4種破壞性程序中的傳統(tǒng)病毒。這類病毒的編寫(xiě)者的技術(shù)水平可說(shuō)相當(dāng)高超，此類病毒大多用匯編/c編寫(xiě)，利用被感染程序中的空隙，將自身拆分為數(shù)段藏身其中，在可執(zhí)行文件運(yùn)行的同時(shí)進(jìn)駐到內(nèi)存中并進(jìn)行感染工作，dos下大多為此類病毒居多，在windows下由于win95時(shí)期病毒編寫(xiě)者對(duì)pe32的格式?jīng)]吃透，那段時(shí)間比較少，之后在win98階段這類病毒才擴(kuò)散開(kāi)來(lái)，其中大家廣為熟悉的CIH病毒就是一例；在windows發(fā)展的中后期，互聯(lián)網(wǎng)絡(luò)開(kāi)始興盛，此類病毒開(kāi)始結(jié)合網(wǎng)絡(luò)漏洞進(jìn)行傳播，其中的杰出代表為funlove傳播——由于windows操作系統(tǒng)的局網(wǎng)共享協(xié)議存在默認(rèn)共享漏洞，以及大部分用戶在設(shè)置共享的時(shí)候貪圖方便不設(shè)置復(fù)雜密碼甚至根本就沒(méi)有密碼，共享權(quán)限也開(kāi)啟的是“完全訪問(wèn)”。導(dǎo)致funlove病毒通過(guò)簡(jiǎn)單嘗試密碼利用網(wǎng)絡(luò)瘋狂傳播。

　　病毒淺析：由于此類病毒的編寫(xiě)對(duì)作者要求很高，對(duì)運(yùn)行環(huán)境的要求也相當(dāng)嚴(yán)格，在編寫(xiě)不完善的時(shí)候，會(huì)導(dǎo)致系統(tǒng)異常（例如CIH的早期版本會(huì)導(dǎo)致winzip出錯(cuò)和無(wú)法關(guān)閉計(jì)算機(jī)等問(wèn)題；funlove在nt4上會(huì)導(dǎo)致mssqlserver的前臺(tái)工具無(wú)法調(diào)出界面等問(wèn)題）。這類病毒賴以生存的制約是系統(tǒng)的運(yùn)行時(shí)間和隱蔽性。運(yùn)行時(shí)間——系統(tǒng)運(yùn)行的時(shí)間越長(zhǎng)，對(duì)其感染其他文件越有利，因此此類病毒中一般不含有惡意關(guān)機(jī)等代碼，染毒后短期內(nèi)（一般24小時(shí)內(nèi)）也不會(huì)導(dǎo)致系統(tǒng)崩潰（如果你是25日感染cih除外），和其他病毒相比用戶有足夠的處理時(shí)間。破壞引導(dǎo)區(qū)的大腦病毒、擇日發(fā)作的星期五病毒、直接讀寫(xiě)主板芯片，采用驅(qū)動(dòng)技術(shù)的CIH病毒都是其中的代表。

　　感染途徑：此類病毒本身依靠用戶執(zhí)行而進(jìn)行被動(dòng)運(yùn)行，常見(jiàn)感染途徑為：盜板光盤(pán)、軟盤(pán)、安全性不佳的共享網(wǎng)絡(luò)；

　　病毒自查：此類病毒大多通過(guò)的是進(jìn)駐內(nèi)存后篇?dú)v目錄樹(shù)的方式，搜索每個(gè)目錄下的可執(zhí)行文件進(jìn)行感染，因此對(duì)內(nèi)存占用得比較厲害——如果突然在某個(gè)時(shí)間后發(fā)現(xiàn)自己的機(jī)器內(nèi)存占用很高，可能就是感染了此類病毒。

　　病毒查殺：這類病毒由于編寫(xiě)難度較大，因此升級(jí)（病毒也玩升級(jí)？對(duì)，例如CIH是在1.4版本后才完善的）速度相對(duì)較慢，但由于開(kāi)機(jī)后進(jìn)駐的程序可能已經(jīng)被病毒感染，因此殺毒條件是各種病毒中最為嚴(yán)格的，且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒：

　　1.軟盤(pán)（光盤(pán)）啟機(jī)使用殺毒軟（光）盤(pán)進(jìn)行殺毒；在進(jìn)行這一步的時(shí)候，必須要保證軟盤(pán)或光盤(pán)的病毒庫(kù)內(nèi)已經(jīng)有殺除該病毒的特征碼。

　　2.將硬盤(pán)拆下，作為其他機(jī)器的從盤(pán)；從其他機(jī)器的主盤(pán)啟動(dòng)進(jìn)行殺毒（該機(jī)需打開(kāi)病毒即時(shí)監(jiān)控，以防止來(lái)自從盤(pán)的可執(zhí)行文件中的病毒進(jìn)駐到內(nèi)存中）； 以常見(jiàn)的國(guó)產(chǎn)幾種殺毒軟件為例，在購(gòu)買(mǎi)的正式版本中，除了供安裝使用的光盤(pán)外，一般還包含幾張軟盤(pán)（一張引導(dǎo)盤(pán)，一張殺毒程序盤(pán)，一張病毒庫(kù)盤(pán)）。在對(duì)待上面提到的這類病毒時(shí)，最好的做法就是用引導(dǎo)盤(pán)啟動(dòng)計(jì)算機(jī)，然后根據(jù)提示將殺毒程序盤(pán)和病毒盤(pán)依次插入，進(jìn)行病毒查殺。注意2點(diǎn)：1.目前比較新版本的殺毒程序盤(pán)都能完善地支持ntfs分區(qū)的讀寫(xiě)，如果您是在幾年以前購(gòu)買(mǎi)的殺毒盤(pán)，可以根據(jù)廠家的服務(wù)方式進(jìn)行升級(jí)；2.由于采用軟盤(pán)殺毒的時(shí)候，使用的是軟盤(pán)上的病毒庫(kù)，為了能正確地查殺病毒，請(qǐng)定期升級(jí)軟盤(pán)的病毒庫(kù)，否則真到用的時(shí)候就哭也哭不出來(lái)了。

　　殺毒遺留：由于這類病毒是寄生到其他程序內(nèi)部，即使非常優(yōu)秀的殺毒軟件，能做到的也只是把該染毒程序內(nèi)的病毒某關(guān)鍵執(zhí)行部分刪除，使得染毒程序在運(yùn)行時(shí)病毒無(wú)法運(yùn)行。因此并不是嚴(yán)格意義上的完全清除——病毒程序的某部分依然殘留在程序內(nèi)部，俗稱“病毒僵尸”。

　　在殺除這類病毒的時(shí)候，最主要的是分析捕捉特征代碼，因?yàn)樽ヌ卣鞔a的過(guò)程中不僅要準(zhǔn)確地破壞病毒的執(zhí)行部分，而且不可以觸動(dòng)正常的程序代碼。否則會(huì)常常出現(xiàn)殺毒之后該程序無(wú)法使用的情形——那還叫什么殺毒？還不如直接刪除文件比較好嘛！在查殺這類病毒上，根據(jù)天緣的使用經(jīng)驗(yàn)，norton和國(guó)內(nèi)的金山毒霸做的比較好一些。(此評(píng)價(jià)只根據(jù)我個(gè)人使用經(jīng)驗(yàn)如實(shí)說(shuō)出，不帶任何廣告性質(zhì)，請(qǐng)各位選擇殺毒產(chǎn)品的時(shí)候不要以我的介紹為依據(jù)，本人不承擔(dān)任何責(zé)任，下同。)

　　病毒防范：安裝包含即時(shí)監(jiān)控的殺毒軟件并啟機(jī)執(zhí)行，每天升級(jí)病毒庫(kù)獲取最新病毒特征代碼；盡量不使用來(lái)源不可靠的軟盤(pán)和光盤(pán)，使用前先掃描；關(guān)于網(wǎng)絡(luò)防毒部分后面一并介紹。

　　2．后臺(tái)運(yùn)行進(jìn)行惡意控制和破壞的病毒

　　病毒描述：帳號(hào)被偷，密碼被盜，機(jī)器被人遠(yuǎn)程控制著放歌/開(kāi)關(guān)機(jī)/屏幕倒轉(zhuǎn)過(guò)來(lái)，硬盤(pán)不住地轉(zhuǎn)動(dòng)將關(guān)鍵資料向外發(fā)出，就是這類病毒的杰作了。這類病毒和上一類病毒最本質(zhì)的區(qū)別是——這類病毒本身是獨(dú)立的程序，而不是寄生于另一個(gè)程序中。這類病毒的編寫(xiě)主要在于對(duì)操作系統(tǒng)本身接口的熟悉，網(wǎng)絡(luò)傳輸?shù)氖煜�，以及�?duì)隱蔽性的要求，此類病毒的編寫(xiě)可使用多種語(yǔ)言，對(duì)病毒寫(xiě)作者本身的實(shí)力也是一種考驗(yàn)。這個(gè)病毒中，最出名的莫過(guò)于BO了，可以說(shuō)，它指引了這種病毒在windows平臺(tái)的發(fā)展理念。這類病毒就是統(tǒng)稱的“木馬”病毒，通過(guò)系統(tǒng)漏洞/用戶操作疏忽進(jìn)入系統(tǒng)并駐留，通過(guò)改寫(xiě)啟動(dòng)設(shè)置來(lái)達(dá)到每次啟機(jī)運(yùn)行或關(guān)聯(lián)到某程序的目的。在windows系統(tǒng)中，表現(xiàn)為修改注冊(cè)表啟動(dòng)項(xiàng)、關(guān)聯(lián)Explorer、關(guān)聯(lián)notepad等方式。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]