電腦病毒知識新手如何對付病毒
新上網的朋友最為困惑的,莫過於對病毒和各種惡意攻擊的恐懼和迷惑了——“我什麼都沒有做,為什麼就中毒了?”是因為我們對電腦病毒一竅不通嗎?還是什麼原因,真是搞不明白。接下來,就跟隨我一起,進入入門級的電腦安全之旅,解讀電腦病毒的基礎知識,即便是中毒我們也要整個明白。希望通過這篇文章,能讓您對一些電腦病毒的基本概念,機制有所把握,從而在今後的中作中做到心中有數。
第一篇——病毒防禦入門之旅
潘多拉的魔盒被打開,從此世間便多了疾病、瘟疫、災難——自從1962年,貝爾實驗室三位傑出程式員——羅泊.莫裏斯、維克多.維索茨基、道格.邁克勞埃以“編制一些程式,讓這些程式根據某種規則自己在內存中生存、搏鬥”而理念而造就的“磁芯大戰”程式開始,電腦世界的潘多拉魔盒就此打開。當時三位積極探索電腦技術的優秀程式員大概不會想到,病毒之門被打開,直至今日陰影仍揮之不去。可悲的是,以技術之鑰打開的病毒之門,在半個世紀裏越來越墮落,淪為一些人實施經濟犯罪或標榜自我的工具,在電腦世界四處遊蕩著病毒幽靈。
病毒——這個源自醫學界的名詞,被用在電腦中,是指編制或者在電腦程式中插入的破壞電腦功能或者毀壞數據,影響電腦使用,並能自我複製的一組電腦指令或者程式代碼,就像生物病毒一樣,電腦病毒有獨特的複製能力。電腦病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的檔上。當檔被複製或從一個用戶傳送到另一個用戶時,它們就隨同檔一起蔓延開來。
木馬——來自“特伊諾木馬”,指深入到內部進行攻擊與破壞的行為。現在的木馬程式一般是指,利用系統漏洞或用戶操作不當進入用戶的電腦系統,通過修改啟動專案或捆綁進程方式自動運行,運行時有意不讓用戶察覺,將用戶電腦中的敏感資訊都暴露在網路中或接受遠程控制的惡意程式。
蠕蟲——蠕蟲病毒是指利用網路缺陷進行繁殖的病毒程式,其原始特徵之一是通過網路協議漏洞進行網路傳播。
腳本病毒——利用腳本來進行破壞的病毒,其特徵為本身是一個ascii碼或加密的ascii碼文本檔,由特定的腳本解釋器執行。主要利用腳本解釋器的疏忽和用戶登陸身份的不當對系統設置進行惡意配置或惡意調用系統特點命令造成危害。
但目前,由於病毒,木馬,蠕蟲,腳本病毒這四類程式在不斷雜交中衍生,已經形成了“你中有我,我中有你”的多態特性。為了行文方便,以下統稱為“病毒”,但其實四類程式的感染機制和編寫方式是完全不同的,請讀者們在閱讀的時候詳加辨析。
現階段的病毒,主要分為以下幾種:
1.感染可執行檔的病毒
病毒描述:這類病毒就是上面所介紹的4種破壞性程式中的傳統病毒。這類病毒的編寫者的技術水準可說相當高超,此類病毒大多用彙編/c編寫,利用被感染程式中的空隙,將自身拆分為數段藏身其中,在可執行檔運行的同時進駐到記憶體中並進行感染工作,dos下大多為此類病毒居多,在windows下由於win95時期病毒編寫者對pe32的格式沒吃透,那段時間比較少,之後在win98階段這類病毒才擴散開來,其中大家廣為熟悉的CIH病毒就是一例;在windows發展的中後期,互聯網路開始興盛,此類病毒開始結合網路漏洞進行傳播,其中的傑出代表為funlove傳播——由於windows操作系統的局網共用協議存在默認共用漏洞,以及大部分用戶在設置共用的時候貪圖方便不設置複雜密碼甚至根本就沒有密碼,共用許可權也開啟的是“完全訪問”。導致funlove病毒通過簡單嘗試密碼利用網路瘋狂傳播。
病毒淺析:由於此類病毒的編寫對作者要求很高,對運行環境的要求也相當嚴格,在編寫不完善的時候,會導致系統異常(例如CIH的早期版本會導致winzip出錯和無法關閉電腦等問題;funlove在nt4上會導致mssqlserver的前臺工具無法調出介面等問題)。這類病毒賴以生存的制約是系統的運行時間和隱蔽性。運行時間——系統運行的時間越長,對其感染其他檔越有利,因此此類病毒中一般不含有惡意關機等代碼,染毒後短期內(一般24小時內)也不會導致系統崩潰(如果你是25日感染cih除外),和其他病毒相比用戶有足夠的處理時間。破壞引導區的大腦病毒、擇日發作的星期五病毒、直接讀寫主板晶片,採用驅動技術的CIH病毒都是其中的代表。
感染途徑:此類病毒本身依靠用戶執行而進行被動運行,常見感染途徑為:盜板光碟、軟碟、安全性不佳的共用網路;
病毒自查:此類病毒大多通過的是進駐記憶體後篇曆目錄樹的方式,搜索每個目錄下的可執行檔進行感染,因此對內存佔用得比較厲害——如果突然在某個時間後發現自己的機器記憶體佔用很高,可能就是感染了此類病毒。
病毒查殺:這類病毒由於編寫難度較大,因此升級(病毒也玩升級?對,例如CIH是在1.4版本後才完善的)速度相對較慢,但由於開機後進駐的程式可能已經被病毒感染,因此殺毒條件是各種病毒中最為嚴格的,且這2種方式比較乾淨徹底的方法也適用用後面介紹的各種病毒:
1.軟碟(光碟)啟機使用殺毒軟(光)盤進行殺毒;在進行這一步的時候,必須要保證軟碟或光碟的病毒庫內已經有殺除該病毒的特徵碼。
2.將硬碟拆下,作為其他機器的從盤;從其他機器的主盤啟動進行殺毒(該機需打開病毒即時監控,以防止來自從盤的可執行檔中的病毒進駐到記憶體中); 以常見的國產幾種殺毒軟體為例,在購買的正式版本中,除了供安裝使用的光碟外,一般還包含幾張軟碟(一張引導盤,一張殺毒程式盤,一張病毒庫盤)。在對待上面提到的這類病毒時,最好的做法就是用引導盤啟動電腦,然後根據提示將殺毒程式盤和病毒盤依次插入,進行病毒查殺。注意2點:1.目前比較新版本的殺毒程式盤都能完善地支持ntfs分區的讀寫,如果您是在幾年以前購買的殺毒盤,可以根據廠家的服務方式進行升級;2.由於採用軟碟殺毒的時候,使用的是軟碟上的病毒庫,為了能正確地查殺病毒,請定期升級軟碟的病毒庫,否則真到用的時候就哭也哭不出來了。
殺毒遺留:由於這類病毒是寄生到其他程式內部,即使非常優秀的殺毒軟體,能做到的也只是把該染毒程式內的病毒某關鍵執行部分刪除,使得染毒程式在運行時病毒無法運行。因此並不是嚴格意義上的完全清除——病毒程式的某部分依然殘留在程式內部,俗稱“病毒僵屍”。
在殺除這類病毒的時候,最主要的是分析捕捉特徵代碼,因為抓特徵碼的過程中不僅要準確地破壞病毒的執行部分,而且不可以觸動正常的程式代碼。否則會常常出現殺毒之後該程式無法使用的情形——那還叫什麼殺毒?還不如直接刪除檔比較好嘛!在查殺這類病毒上,根據天緣的使用經驗,norton和國內的金山毒霸做的比較好一些。(此評價只根據我個人使用經驗如實說出,不帶任何廣告性質,請各位選擇殺毒產品的時候不要以我的介紹為依據,本人不承擔任何責任,下同。)
病毒防範:安裝包含即時監控的殺毒軟體並啟機執行,每天升級病毒庫獲取最新病毒特徵代碼;儘量不使用來源不可靠的軟碟和光碟,使用前先掃描;關於網路防毒部分後面一併介紹。 |
