1、轻松搞定轻松搞定病毒 第一步 病毒的定义A拿着一张软盘找B拷文件,B首先会问的就是:“有没有毒?”A呢?自是一副理直气壮的样子,“我检查过了,没毒!”此时,B会反问,“你梅毒(没毒)呀!”记得这是我上学时同学之间最常开的玩笑了。 笑归笑,从中还是能体会到大家对计算机病毒的警惕。 啊!我中毒了!听在电脑用户的耳朵里,无疑是很悲痛的。悲痛代表什么?悲痛代表口袋里钞票的流失悲痛代表自己辛苦做出来的东西付之东流水病毒!每个使用电脑的人不可避免的敌人,试问,你从来没有中过毒吗?我只是想把我们的敌人赤裸裸的摆在大家的面前,只有看清楚敌人的真面目,我们才会找到对敌的办法。首先,让我们来看看病毒的定义吧!大家
2、都知道,流行性感冒是一种病毒,可见,病毒的传染性很强。电脑病毒有类似之处,只不过它实际上是一种电脑程序,它呢?专门给人们捣乱和搞破坏的,它寄生在其它文件中,而且会不断地自我复制并传染给别的文件,没有一点好作用。计算机病毒(Computer Virus)在 中华人民共和国计算机信息系统安全保护条例中被明确定义为:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。第二步 病毒从何而来?有果必有因。无端端的,何来病毒?病毒可是大有来头。病毒是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来
3、,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。 原因有几:开个玩笑,一个恶作剧。某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧,凭借对软硬件的深入了解,编制这些特殊的程序。这些程序通过载体传播出去后,在一定条件下被触发。如显示一些动画,播放一段音乐,或提一些智力问答题目等,其目的无非是自我表现一下。这类病毒一般都是良性的,不会有破坏操作。产生于个别人的报复心理。每个人都处于社会环境中,但总有人对社会不满或受到不公证的待遇。如果这种情况发生在一个编程高手身上,那么他有可能会编制一些危险的程序。在国外有这样的事例:某公司职员
4、在职期间编制了一段代码隐藏在其公司的系统中,一旦检测到他的名字在工资报表中删除,该程序立即发作,破坏整个系统。类似案例在国内亦出现过。用于版权保护。计算机发展初期,由于在法律上对于软件版权保护还没有象今天这样完善。很多商业软件被非法复制,有些开发商为了保护自己的利益制作了一些特殊程序,附在产品中。如:巴基斯坦病毒,其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。用于特殊目的。某组织或个人为达到特殊目的,对政府机构、单位的特殊系统进行宣传或破坏。或用于军事目的。 还有出于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱
5、等。看了上面的原因,该明白了吧,计算机病毒老兄可不是吃素的,不是电脑高手,还揽不起这瓷器活呢!第三步 病毒的特征“说来说去,我都没有搞清楚病毒是怎么一回事?”如果你有这种疑虑的话,我就只好充当一回老学究了,唠叨唠叨病毒的特征。 1.传染性病毒的基本特征。在生物界,通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行
6、,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联
7、网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。XX而执行。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。2.隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计
8、算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。3.潜伏性大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条
9、件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如PETER-2在每年2月27日会提三个问题,答错后会将硬盘加密。著名的黑色星期五在逢13号的星期五发作。国内的上海一号会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。4.破坏性任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。这类病毒较多,如:GE
10、NP、小球、W-BOOT等。恶性病毒则有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。5.不可预见性从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。 罗嗦了一通,
11、简言之呢?病毒的特征一句话人为的特制程序,具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性,很大的破坏性。 第四步 病毒的分类充分了解敌人,就要对其进行分析和细化。 对病毒的分类有不同的标准。按破坏性可分为:良性病毒:仅仅显示信息、奏乐、发出声响,自我复制的。除了传染时减少磁盘的可用空间外,对系统没有其它影响。恶性病毒:封锁、干扰、中断输入输出、使用户无法打印等正常工作,甚至电脑中止运行。这类病毒在计算机系统操作中造成严重的错误。 极恶性病毒:死机、系统崩溃、删除普通程序或系统文件,破坏系统配置导致系统死机、崩溃、无法重启。 这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用
12、,而是当它们传染时会引起无法预料的和灾难性的破坏。 灾难性病毒:破坏分区表信息、主引导信息、FAT,删除数据文件,甚至格式化硬盘等。按传染方式分为:文件型病毒:一般只传染磁盘上的可执行文件(COM,EXE)。在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。这是较为常见的传染方式。混合型病毒:兼有以上两种病毒的特点,既染引导区又染文件,因此扩大了这种病毒的传染途径。按连接方式分为:源码型病毒:较为少见,亦难以编写。因为它要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编
13、译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。入侵型病毒:可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。操作系统型病毒:可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。外壳型病毒:将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。根据病毒特有的算法可以划分为: 伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY
14、.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。 蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。 寄生型病毒:除了伴随和蠕虫型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。 诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DO
15、S内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。 变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。 计算机病毒的种类虽多,但对病毒代码进行分析、比较可看出,它们的主要结构是类似的,有其共同特点。整个病毒代码虽短小但也包含三部分:引导部分,传染部分,表现部分。1、引导部分的作用是将病毒主体加载到内存,为传染部分做准备(如驻留内存,修改中断,修改高端内存,保存原中断向量等操作)。2、传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式,传
16、染条件上各有不同。3、表现部分是病毒间差异最大的部分,前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如:以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分,这部分根据编制者的不同目的而千差万别,或者根本没有这部分。第五步 病毒的危害病毒的危害,小到个人,大到全世界,凡是在使用电脑的人无一不在受其困扰。对于那些侥幸未受病毒骚扰的人,我想在这里事先给你敲敲警钟,希望没有吓坏你。劝诫你,对于计算机病毒,最好还是能防患于未然!最初对病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的P1的青春一书中构思了一种能够自我复制,利用通
17、信进行传播的计算机程序,并称之为计算机病毒。 让我们来看看病毒曾经做过的恶事!自从1946年第一台冯-诺依曼型计算机ENIAC出世以来,计算机已被应用到人类社会的各个领域。然而,1988年发生在美国的蠕虫病毒事件,给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意,但在当时,蠕虫在INTERNET上大肆传染,使得数千台连网的计算机停止运行,并造成巨额损失,成为一时的舆论焦点。详情如下:1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。在几小时内导致因特网堵塞
18、。这个网络连接着大学、研究机关的155000台计算机,使网络堵塞,运行迟缓。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了小球病毒,它对统计系统影响极大。最近的CIH病毒,美丽杀病毒等等都在全世界范围内造成了很大的经济和社会损失。在国内,最初引起人们注意的病毒是80年代末出现的黑色星期五,米氏病毒,小球病毒等。因当时软件种类不多,用户之间的软件交流较为频繁且反病毒软件并不普及,造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒,使人们对病
19、毒的认识更加深了一步。 可以看到,随着计算机和因特网的日益普及,计算机病毒和崩溃,重要数据遭到破坏和丢失,会造成社会财富的巨大浪费,甚至会造成全人类的灾难。第六步 病毒的症状电脑病毒发作都会有哪些症状呢?电脑染上病毒后,如果没有发作,是很难觉察到的。但病毒发作时就很容易感觉出来:有时电脑的工作会很不正常;有时会莫名其妙的死机;有时会突然重新启动;有时程序会干脆运行不了;有的病毒发作时满屏幕会下雨,有的屏幕上会出现毛毛虫等,甚至在屏幕上出现对话框,这些病毒发作时通常会破坏文件,是非常危险的,反正只要电脑工作不正常,就有可能是染上了病毒。病毒所带来的危害更是不言而喻了。而且,以前人们一直以为,病毒
20、只能破坏软件,对硬件毫无办法,可是CIH病毒打破了这个神话,因为它竟然在某种情况下可以破坏硬件!电脑病毒和别的程序一样,它也是人编写出来的。既然病毒也是人编的程序,那就会有办法来对付它。最重要的是采取各种安全措施预防病毒,不给病毒以可乘之机。另外,就是使用各种杀毒程序了。它们可以把病毒杀死,从电脑中清除出去。第七步 病毒的防治策略计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。“防毒”是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境,能够准确地报出病毒名称,该环境包括,
21、内存、文件、引导区(含主导区)、网络等。“解毒”是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必
22、要时还要能够注销工作站,隔离病毒源。 查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。第八步 病毒的检测想要知道自己的计算机中是否染有病毒,最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。但防病毒软件对于病毒来讲,总是后发制人。如何能够及早地发现新病毒呢?用户可做以下简单判断:无论如何高明的病毒,在其侵入系统后总会留下一些蛛丝马迹。首先应注意内存情况,绝大部分的病毒是要驻留内
23、存的。对于DOS用户可用C盘启动机器,然后用MEM命令查看全部基本内存是否为640K(因为大多数引导型病毒驻留内存时会更改此数)。如果有病毒可能会被改为638K,637K,有些机器在正常情况下639K亦是正常的(如某些COMPAQ机)。还应注意被占用的内存数是否无故减少。其次应注意常用的可执行文件(如COMMAND.COM)的字节数。绝大多数的病毒在对文件进行传染后会使文件的长度增加。在查看文件字节数时应首先用干净系统盘启动。对于软盘,则应注意是否无故出现坏块(有些病毒会在盘上做坏簇标记,以便将其自身部分隐藏其中)。其他如出现软件运行速度变慢(磁盘读盘速度影响除外),输出端口异常等现象都有可能
24、是病毒造成的。最准确的方法是查看中断向量及引导扇区是否被无故改变,当然这需要对系统及磁盘格式有一定的了解。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法, 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。 特征代码法特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 特征代码法的实现步骤如下: 采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。 在病毒样本中,抽取特征代码。依据如下原则:抽取的代码比较特殊,不大可能与普通
25、正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。 在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则
26、检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。 特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。其特点:A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。B.误报警率低。 C.不能检查多形性病毒。特征代
27、码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的好文件,而不能报警,被隐蔽性病毒所蒙骗。校验和法将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入
28、校验和法,以提高其检测能力。 这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。 校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对
29、一个有毒文件算出正常校验和。运用校验和法查病毒采用三种方式: 在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。 校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。 行为
30、监测法利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。这些做为监测病毒的行为特征如下: A.占有INT 13H 所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。B.改DOS系统为数据区的内存总量 病毒常驻内存后,为了防止DOS
31、系统将其覆盖,必须修改系统内存总量。 C.对COM、EXE文件做写入动作 病毒要感染,必须写COM、EXE文件。D.病毒程序与宿主程序的切换 染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。 行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。软件模拟法 多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。 第九步 常见的病毒几种
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 