电脑病毒最基础知识
新上网的朋友最为困惑的,莫过于对病毒和各种恶意攻击的恐惧和迷惑了——“我什么都没有做,为什么就中毒了?是因为我们对电脑病毒一窍不通吗?还是什么原因,真是搞不明白。接下来,就跟随我一起,进入入门级的电脑安全之旅,解读电脑病毒的基础知识,即便是中毒我们也要整个明白。希望通过这篇文章,能让您对一些电脑病毒的基本概念,机制有所把握,从而在今后的中作中做到心中有数。
第一篇——病毒防御入门之旅
潘多拉的魔盒被打开,从此世间便多了疾病、瘟疫、灾难——自从1962年,贝尔实验室三位杰出程序员——罗泊.莫里斯、维克多.维索茨基、道格.迈克劳埃以“编制一些程序,让这些程序根据某种规则自己在内存中生存、搏斗而理念而造就的“磁芯大战程序开始,计算机世界的潘多拉魔盒就此打开。当时三位积极探索计算机技术的优秀程序员大概不会想到,病毒之门被打开,直至今日阴影仍挥之不去。可悲的是,以技术之钥打开的病毒之门,在半个世纪里越来越堕落,沦为一些人实施经济犯罪或标榜自我的工具,在计算机世界四处游荡着病毒幽灵。
病毒——这个源自医学界的名词,被用在计算机中,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
木马——来自“特伊诺木马,指深入到内部进行攻击与破坏的行为。现在的木马程序一般是指,利用系统漏洞或用户操作不当进入用户的计算机系统,通过修改启动项目或捆绑进程方式自动运行,运行时有意不让用户察觉,将用户计算机中的敏感信息都暴露在网络中或接受远程控制的恶意程序。
蠕虫——蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序,其原始特征之一是通过网络协议漏洞进行网络传播。
脚本病毒——利用脚本来进行破坏的病毒,其特征为本身是一个ascii码或加密的ascii码文本文件,由特定的脚本解释器执行。主要利用脚本解释器的疏忽和用户登陆身份的不当对系统设置进行恶意配置或恶意调用系统特点命令造成危害。
但目前,由于病毒,木马,蠕虫,脚本病毒这四类程序在不断杂交中衍生,已经形成了“你中有我,我中有你的多态特性。为了行文方便,以下统称为“病毒,但其实四类程序的感染机制和编写方式是完全不同的,请读者们在阅读的时候详加辨析。
现阶段的病毒,主要分为以下几种:
1.感染可执行文件的病毒
病毒描述:这类病毒就是上面所介绍的4种破坏性程序中的传统病毒。这类病毒的编写者的技术水平可说相当高超,此类病毒大多用汇编/c编写,利用被感染程序中的空隙,将自身拆分为数段藏身其中,在可执行文件运行的同时进驻到内存中并进行感染工作,dos下大多为此类病毒居多,在windows下由于win95时期病毒编写者对pe32的格式没吃透,那段时间比较少,之后在win98阶段这类病毒才扩散开来,其中大家广为熟悉的CIH病毒就是一例;在windows发展的中后期,互联网络开始兴盛,此类病毒开始结合网络漏洞进行传播,其中的杰出代表为funlove传播——由于windows操作系统的局网共享协议存在默认共享漏洞,以及大部分用户在设置共享的时候贪图方便不设置复杂密码甚至根本就没有密码,共享权限也开启的是“完全访问。导致funlove病毒通过简单尝试密码利用网络疯狂传播。
病毒浅析:由于此类病毒的编写对作者要求很高,对运行环境的要求也相当严格,在编写不完善的时候,会导致系统异常(例如CIH的早期版本会导致winzip出错和无法关闭计算机等问题;funlove在nt4上会导致mssqlserver的前台工具无法调出界面等问题)。这类病毒赖以生存的制约是系统的运行时间和隐蔽性。运行时间——系统运行的时间越长,对其感染其他文件越有利,因此此类病毒中一般不含有恶意关机等代码,染毒后短期内(一般24小时内)也不会导致系统崩溃(如果你是25日感染cih除外),和其他病毒相比用户有足够的处理时间。破坏引导区的大脑病毒、择日发作的星期五病毒、直接读写主板芯片,采用驱动技术的CIH病毒都是其中的代表。
感染途径:此类病毒本身依靠用户执行而进行被动运行,常见感染途径为:盗板光盘、软盘、安全性不佳的共享网络;
病毒自查:此类病毒大多通过的是进驻内存后篇历目录树的方式,搜索每个目录下的可执行文件进行感染,因此对内存占用得比较厉害——如果突然在某个时间后发现自己的机器内存占用很高,可能就是感染了此类病毒。
病毒查杀:这类病毒由于编写难度较大,因此升级(病毒也玩升级?对,例如CIH是在1.4版本后才完善的)速度相对较慢,但由于开机后进驻的程序可能已经被病毒感染,因此杀毒条件是各种病毒中最为严格的,且这2种方式比较干净彻底的方法也适用用后面介绍的各种病毒:
1.软盘(光盘)启机使用杀毒软(光)盘进行杀毒;在进行这一步的时候,必须要保证软盘或光盘的病毒库内已经有杀除该病毒的特征码。
2.将硬盘拆下,作为其他机器的从盘;从其他机器的主盘启动进行杀毒(该机需打开病毒即时监控,以防止来自从盘的可执行文件中的病毒进驻到内存中); 以常见的国产几种杀毒软件为例,在购买的正式版本中,除了供安装使用的光盘外,一般还包含几张软盘(一张引导盘,一张杀毒程序盘,一张病毒库盘)。在对待上面提到的这类病毒时,最好的做法就是用引导盘启动计算机,然后根据提示将杀毒程序盘和病毒盘依次插入,进行病毒查杀。注意2点:1.目前比较新版本的杀毒程序盘都能完善地支持ntfs分区的读写,如果您是在几年以前购买的杀毒盘,可以根据厂家的服务方式进行升级;2.由于采用软盘杀毒的时候,使用的是软盘上的病毒库,为了能正确地查杀病毒,请定期升级软盘的病毒库,否则真到用的时候就哭也哭不出来了。
杀毒遗留:由于这类病毒是寄生到其他程序内部,即使非常优秀的杀毒软件,能做到的也只是把该染毒程序内的病毒某关键执行部分删除,使得染毒程序在运行时病毒无法运行。因此并不是严格意义上的完全清除——病毒程序的某部分依然残留在程序内部,俗称“病毒僵尸。
在杀除这类病毒的时候,最主要的是分析捕捉特征代码,因为抓特征码的过程中不仅要准确地破坏病毒的执行部分,而且不可以触动正常的程序代码。否则会常常出现杀毒之后该程序无法使用的情形——那还叫什么杀毒?还不如直接删除文件比较好嘛!在查杀这类病毒上,根据天缘的使用经验,norton和国内的金山毒霸做的比较好一些。(此评价只根据我个人使用经验如实说出,不带任何广告性质,请各位选择杀毒产品的时候不要以我的介绍为依据,本人不承担任何责任,下同。)
病毒防范:安装包含即时监控的杀毒软件并启机执行,每天升级病毒库获取最新病毒特征代码;尽量不使用来源不可靠的软盘和光盘,使用前先扫描;关于网络防毒部分后面一并介绍。
2.后台运行进行恶意控制和破坏的病毒
病毒描述:帐号被偷,密码被盗,机器被人远程控制着放歌/开关机/屏幕倒转过来,硬盘不住地转动将关键资料向外发出,就是这类病毒的杰作了。这类病毒和上一类病毒最本质的区别是——这类病毒本身是独立的程序,而不是寄生于另一个程序中。这类病毒的编写主要在于对操作系统本身接口的熟悉,网络传输的熟悉,以及对隐蔽性的要求,此类病毒的编写可使用多种语言,对病毒写作者本身的实力也是一种考验。这个病毒中,最出名的莫过于BO了,可以说,它指引了这种病毒在windows平台的发展理念。这类病毒就是统称的“木马病毒,通过系统漏洞/用户操作疏忽进入系统并驻留,通过改写启动设置来达到每次启机运行或关联到某程序的目的。在windows系统中,表现为修改注册表启动项、关联Explorer、关联notepad等方式。