|
電腦病毒最基礎(chǔ)知識
新上網(wǎng)的朋友最為困惑的�����,莫過于對病毒和各種惡意攻擊的恐懼和迷惑了——“我什么都沒有做�,為什么就中毒了����?”是因為我們對電腦病毒一竅不通嗎��?還是什么原因�����,真是搞不明白��。接下來�,就跟隨我一起,進入入門級的電腦安全之旅��,解讀電腦病毒的基礎(chǔ)知識��,即便是中毒我們也要整個明白���。希望通過這篇文章,能讓您對一些電腦病毒的基本概念���,機制有所把握����,從而在今后的中作中做到心中有數(shù)。
第一篇——病毒防御入門之旅
潘多拉的魔盒被打開��,從此世間便多了疾病��、瘟疫����、災(zāi)難——自從1962年,貝爾實驗室三位杰出程序員——羅泊.莫里斯���、維克多.維索茨基����、道格.邁克勞埃以“編制一些程序��,讓這些程序根據(jù)某種規(guī)則自己在內(nèi)存中生存����、搏斗”而理念而造就的“磁芯大戰(zhàn)”程序開始,計算機世界的潘多拉魔盒就此打開�����。當時三位積極探索計算機技術(shù)的優(yōu)秀程序員大概不會想到���,病毒之門被打開��,直至今日陰影仍揮之不去����。可悲的是��,以技術(shù)之鑰打開的病毒之門���,在半個世紀里越來越墮落�,淪為一些人實施經(jīng)濟犯罪或標榜自我的工具����,在計算機世界四處游蕩著病毒幽靈。
病毒——這個源自醫(yī)學(xué)界的名詞�����,被用在計算機中�����,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用���,并能自我復(fù)制的一組計算機指令或者程序代碼�,就像生物病毒一樣����,計算機病毒有獨特的復(fù)制能力。計算機病毒可以很快地蔓延���,又常常難以根除��。它們能把自身附著在各種類型的文件上���。當文件被復(fù)制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來�����。
木馬——來自“特伊諾木馬”��,指深入到內(nèi)部進行攻擊與破壞的行為�,F(xiàn)在的木馬程序一般是指,利用系統(tǒng)漏洞或用戶操作不當進入用戶的計算機系統(tǒng)��,通過修改啟動項目或捆綁進程方式自動運行,運行時有意不讓用戶察覺���,將用戶計算機中的敏感信息都暴露在網(wǎng)絡(luò)中或接受遠程控制的惡意程序�。
蠕蟲——蠕蟲病毒是指利用網(wǎng)絡(luò)缺陷進行繁殖的病毒程序����,其原始特征之一是通過網(wǎng)絡(luò)協(xié)議漏洞進行網(wǎng)絡(luò)傳播。
腳本病毒——利用腳本來進行破壞的病毒���,其特征為本身是一個ascii碼或加密的ascii碼文本文件�����,由特定的腳本解釋器執(zhí)行���。主要利用腳本解釋器的疏忽和用戶登陸身份的不當對系統(tǒng)設(shè)置進行惡意配置或惡意調(diào)用系統(tǒng)特點命令造成危害。
但目前�,由于病毒,木馬����,蠕蟲,腳本病毒這四類程序在不斷雜交中衍生�����,已經(jīng)形成了“你中有我����,我中有你”的多態(tài)特性。為了行文方便����,以下統(tǒng)稱為“病毒”,但其實四類程序的感染機制和編寫方式是完全不同的�,請讀者們在閱讀的時候詳加辨析。
現(xiàn)階段的病毒�����,主要分為以下幾種:
1.感染可執(zhí)行文件的病毒
病毒描述:這類病毒就是上面所介紹的4種破壞性程序中的傳統(tǒng)病毒�。這類病毒的編寫者的技術(shù)水平可說相當高超,此類病毒大多用匯編/c編寫���,利用被感染程序中的空隙����,將自身拆分為數(shù)段藏身其中���,在可執(zhí)行文件運行的同時進駐到內(nèi)存中并進行感染工作�����,dos下大多為此類病毒居多�����,在windows下由于win95時期病毒編寫者對pe32的格式?jīng)]吃透���,那段時間比較少���,之后在win98階段這類病毒才擴散開來,其中大家廣為熟悉的CIH病毒就是一例����;在windows發(fā)展的中后期,互聯(lián)網(wǎng)絡(luò)開始興盛�����,此類病毒開始結(jié)合網(wǎng)絡(luò)漏洞進行傳播�,其中的杰出代表為funlove傳播——由于windows操作系統(tǒng)的局網(wǎng)共享協(xié)議存在默認共享漏洞,以及大部分用戶在設(shè)置共享的時候貪圖方便不設(shè)置復(fù)雜密碼甚至根本就沒有密碼���,共享權(quán)限也開啟的是“完全訪問”���。導(dǎo)致funlove病毒通過簡單嘗試密碼利用網(wǎng)絡(luò)瘋狂傳播�。
病毒淺析:由于此類病毒的編寫對作者要求很高�����,對運行環(huán)境的要求也相當嚴格�,在編寫不完善的時候�,會導(dǎo)致系統(tǒng)異常(例如CIH的早期版本會導(dǎo)致winzip出錯和無法關(guān)閉計算機等問題;funlove在nt4上會導(dǎo)致mssqlserver的前臺工具無法調(diào)出界面等問題)�����。這類病毒賴以生存的制約是系統(tǒng)的運行時間和隱蔽性���。運行時間——系統(tǒng)運行的時間越長�,對其感染其他文件越有利����,因此此類病毒中一般不含有惡意關(guān)機等代碼,染毒后短期內(nèi)(一般24小時內(nèi))也不會導(dǎo)致系統(tǒng)崩潰(如果你是25日感染cih除外)�,和其他病毒相比用戶有足夠的處理時間����。破壞引導(dǎo)區(qū)的大腦病毒�����、擇日發(fā)作的星期五病毒��、直接讀寫主板芯片��,采用驅(qū)動技術(shù)的CIH病毒都是其中的代表���。
感染途徑:此類病毒本身依靠用戶執(zhí)行而進行被動運行�����,常見感染途徑為:盜板光盤�、軟盤�、安全性不佳的共享網(wǎng)絡(luò);
病毒自查:此類病毒大多通過的是進駐內(nèi)存后篇歷目錄樹的方式�����,搜索每個目錄下的可執(zhí)行文件進行感染�����,因此對內(nèi)存占用得比較厲害——如果突然在某個時間后發(fā)現(xiàn)自己的機器內(nèi)存占用很高,可能就是感染了此類病毒�。
病毒查殺:這類病毒由于編寫難度較大,因此升級(病毒也玩升級�����?對�����,例如CIH是在1.4版本后才完善的)速度相對較慢���,但由于開機后進駐的程序可能已經(jīng)被病毒感染,因此殺毒條件是各種病毒中最為嚴格的�����,且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒:
1.軟盤(光盤)啟機使用殺毒軟(光)盤進行殺毒���;在進行這一步的時候�,必須要保證軟盤或光盤的病毒庫內(nèi)已經(jīng)有殺除該病毒的特征碼�。
2.將硬盤拆下��,作為其他機器的從盤�;從其他機器的主盤啟動進行殺毒(該機需打開病毒即時監(jiān)控�����,以防止來自從盤的可執(zhí)行文件中的病毒進駐到內(nèi)存中)����; 以常見的國產(chǎn)幾種殺毒軟件為例,在購買的正式版本中����,除了供安裝使用的光盤外,一般還包含幾張軟盤(一張引導(dǎo)盤���,一張殺毒程序盤��,一張病毒庫盤)���。在對待上面提到的這類病毒時,最好的做法就是用引導(dǎo)盤啟動計算機����,然后根據(jù)提示將殺毒程序盤和病毒盤依次插入�,進行病毒查殺���。注意2點:1.目前比較新版本的殺毒程序盤都能完善地支持ntfs分區(qū)的讀寫��,如果您是在幾年以前購買的殺毒盤����,可以根據(jù)廠家的服務(wù)方式進行升級��;2.由于采用軟盤殺毒的時候���,使用的是軟盤上的病毒庫,為了能正確地查殺病毒�����,請定期升級軟盤的病毒庫�����,否則真到用的時候就哭也哭不出來了�。
殺毒遺留:由于這類病毒是寄生到其他程序內(nèi)部,即使非常優(yōu)秀的殺毒軟件���,能做到的也只是把該染毒程序內(nèi)的病毒某關(guān)鍵執(zhí)行部分刪除����,使得染毒程序在運行時病毒無法運行。因此并不是嚴格意義上的完全清除——病毒程序的某部分依然殘留在程序內(nèi)部�,俗稱“病毒僵尸”。
在殺除這類病毒的時候�,最主要的是分析捕捉特征代碼,因為抓特征碼的過程中不僅要準確地破壞病毒的執(zhí)行部分�,而且不可以觸動正常的程序代碼。否則會常常出現(xiàn)殺毒之后該程序無法使用的情形——那還叫什么殺毒�?還不如直接刪除文件比較好嘛!在查殺這類病毒上����,根據(jù)天緣的使用經(jīng)驗,norton和國內(nèi)的金山毒霸做的比較好一些�����。(此評價只根據(jù)我個人使用經(jīng)驗如實說出����,不帶任何廣告性質(zhì),請各位選擇殺毒產(chǎn)品的時候不要以我的介紹為依據(jù),本人不承擔任何責任�����,下同���。)
病毒防范:安裝包含即時監(jiān)控的殺毒軟件并啟機執(zhí)行�,每天升級病毒庫獲取最新病毒特征代碼�����;盡量不使用來源不可靠的軟盤和光盤����,使用前先掃描;關(guān)于網(wǎng)絡(luò)防毒部分后面一并介紹����。
2.后臺運行進行惡意控制和破壞的病毒
病毒描述:帳號被偷��,密碼被盜���,機器被人遠程控制著放歌/開關(guān)機/屏幕倒轉(zhuǎn)過來�,硬盤不住地轉(zhuǎn)動將關(guān)鍵資料向外發(fā)出,就是這類病毒的杰作了�。這類病毒和上一類病毒最本質(zhì)的區(qū)別是——這類病毒本身是獨立的程序,而不是寄生于另一個程序中��。這類病毒的編寫主要在于對操作系統(tǒng)本身接口的熟悉�,網(wǎng)絡(luò)傳輸?shù)氖煜ぃ约皩﹄[蔽性的要求�,此類病毒的編寫可使用多種語言,對病毒寫作者本身的實力也是一種考驗�。這個病毒中,最出名的莫過于BO了��,可以說���,它指引了這種病毒在windows平臺的發(fā)展理念�。這類病毒就是統(tǒng)稱的“木馬”病毒��,通過系統(tǒng)漏洞/用戶操作疏忽進入系統(tǒng)并駐留���,通過改寫啟動設(shè)置來達到每次啟機運行或關(guān)聯(lián)到某程序的目的��。在windows系統(tǒng)中����,表現(xiàn)為修改注冊表啟動項、關(guān)聯(lián)Explorer����、關(guān)聯(lián)notepad等方式。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
