電腦病毒最基礎知識

電腦病毒最基礎知識
　　
　　新上網的朋友最為困惑的，莫過于對病毒和各種惡意攻擊的恐懼和迷惑了——“我什么都沒有做，為什么就中毒了？”是因為我們對電腦病毒一竅不通嗎？還是什么原因，真是搞不明白。接下來，就跟隨我一起，進入入門級的電腦安全之旅，解讀電腦病毒的基礎知識，即便是中毒我們也要整個明白。希望通過這篇文章，能讓您對一些電腦病毒的基本概念，機制有所把握，從而在今后的中作中做到心中有數。

　　第一篇——病毒防御入門之旅

　　潘多拉的魔盒被打開，從此世間便多了疾病、瘟疫、災難——自從1962年，貝爾實驗室三位杰出程序員——羅泊.莫里斯、維克多.維索茨基、道格.邁克勞埃以“編制一些程序，讓這些程序根據某種規則自己在內存中生存、搏斗”而理念而造就的“磁芯大戰”程序開始，計算機世界的潘多拉魔盒就此打開。當時三位積極探索計算機技術的優秀程序員大概不會想到，病毒之門被打開，直至今日陰影仍揮之不去。可悲的是，以技術之鑰打開的病毒之門，在半個世紀里越來越墮落，淪為一些人實施經濟犯罪或標榜自我的工具，在計算機世界四處游蕩著病毒幽靈。

　　病毒——這個源自醫學界的名詞，被用在計算機中，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用，并能自我復制的一組計算機指令或者程序代碼，就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。

　　木馬——來自“特伊諾木馬”，指深入到內部進行攻擊與破壞的行為。現在的木馬程序一般是指，利用系統漏洞或用戶操作不當進入用戶的計算機系統，通過修改啟動項目或捆綁進程方式自動運行，運行時有意不讓用戶察覺，將用戶計算機中的敏感信息都暴露在網絡中或接受遠程控制的惡意程序。

　　蠕蟲——蠕蟲病毒是指利用網絡缺陷進行繁殖的病毒程序，其原始特征之一是通過網絡協議漏洞進行網絡傳播。

　　腳本病毒——利用腳本來進行破壞的病毒，其特征為本身是一個ascii碼或加密的ascii碼文本文件，由特定的腳本解釋器執行。主要利用腳本解釋器的疏忽和用戶登陸身份的不當對系統設置進行惡意配置或惡意調用系統特點命令造成危害。

　　但目前，由于病毒，木馬，蠕蟲，腳本病毒這四類程序在不斷雜交中衍生，已經形成了“你中有我，我中有你”的多態特性。為了行文方便，以下統稱為“病毒”，但其實四類程序的感染機制和編寫方式是完全不同的，請讀者們在閱讀的時候詳加辨析。

　現階段的病毒，主要分為以下幾種：

　　1．感染可執行文件的病毒

　　病毒描述：這類病毒就是上面所介紹的4種破壞性程序中的傳統病毒。這類病毒的編寫者的技術水平可說相當高超，此類病毒大多用匯編/c編寫，利用被感染程序中的空隙，將自身拆分為數段藏身其中，在可執行文件運行的同時進駐到內存中并進行感染工作，dos下大多為此類病毒居多，在windows下由于win95時期病毒編寫者對pe32的格式沒吃透，那段時間比較少，之后在win98階段這類病毒才擴散開來，其中大家廣為熟悉的CIH病毒就是一例；在windows發展的中后期，互聯網絡開始興盛，此類病毒開始結合網絡漏洞進行傳播，其中的杰出代表為funlove傳播——由于windows操作系統的局網共享協議存在默認共享漏洞，以及大部分用戶在設置共享的時候貪圖方便不設置復雜密碼甚至根本就沒有密碼，共享權限也開啟的是“完全訪問”。導致funlove病毒通過簡單嘗試密碼利用網絡瘋狂傳播。

　　病毒淺析：由于此類病毒的編寫對作者要求很高，對運行環境的要求也相當嚴格，在編寫不完善的時候，會導致系統異常（例如CIH的早期版本會導致winzip出錯和無法關閉計算機等問題；funlove在nt4上會導致mssqlserver的前臺工具無法調出界面等問題）。這類病毒賴以生存的制約是系統的運行時間和隱蔽性。運行時間——系統運行的時間越長，對其感染其他文件越有利，因此此類病毒中一般不含有惡意關機等代碼，染毒后短期內（一般24小時內）也不會導致系統崩潰（如果你是25日感染cih除外），和其他病毒相比用戶有足夠的處理時間。破壞引導區的大腦病毒、擇日發作的星期五病毒、直接讀寫主板芯片，采用驅動技術的CIH病毒都是其中的代表。

　　感染途徑：此類病毒本身依靠用戶執行而進行被動運行，常見感染途徑為：盜板光盤、軟盤、安全性不佳的共享網絡；

　　病毒自查：此類病毒大多通過的是進駐內存后篇歷目錄樹的方式，搜索每個目錄下的可執行文件進行感染，因此對內存占用得比較厲害——如果突然在某個時間后發現自己的機器內存占用很高，可能就是感染了此類病毒。

　　病毒查殺：這類病毒由于編寫難度較大，因此升級（病毒也玩升級？對，例如CIH是在1.4版本后才完善的）速度相對較慢，但由于開機后進駐的程序可能已經被病毒感染，因此殺毒條件是各種病毒中最為嚴格的，且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒：

　　1.軟盤（光盤）啟機使用殺毒軟（光）盤進行殺毒；在進行這一步的時候，必須要保證軟盤或光盤的病毒庫內已經有殺除該病毒的特征碼。

　　2.將硬盤拆下，作為其他機器的從盤；從其他機器的主盤啟動進行殺毒（該機需打開病毒即時監控，以防止來自從盤的可執行文件中的病毒進駐到內存中）； 以常見的國產幾種殺毒軟件為例，在購買的正式版本中，除了供安裝使用的光盤外，一般還包含幾張軟盤（一張引導盤，一張殺毒程序盤，一張病毒庫盤）。在對待上面提到的這類病毒時，最好的做法就是用引導盤啟動計算機，然后根據提示將殺毒程序盤和病毒盤依次插入，進行病毒查殺。注意2點：1.目前比較新版本的殺毒程序盤都能完善地支持ntfs分區的讀寫，如果您是在幾年以前購買的殺毒盤，可以根據廠家的服務方式進行升級；2.由于采用軟盤殺毒的時候，使用的是軟盤上的病毒庫，為了能正確地查殺病毒，請定期升級軟盤的病毒庫，否則真到用的時候就哭也哭不出來了。

　　殺毒遺留：由于這類病毒是寄生到其他程序內部，即使非常優秀的殺毒軟件，能做到的也只是把該染毒程序內的病毒某關鍵執行部分刪除，使得染毒程序在運行時病毒無法運行。因此并不是嚴格意義上的完全清除——病毒程序的某部分依然殘留在程序內部，俗稱“病毒僵尸”。

　　在殺除這類病毒的時候，最主要的是分析捕捉特征代碼，因為抓特征碼的過程中不僅要準確地破壞病毒的執行部分，而且不可以觸動正常的程序代碼。否則會常常出現殺毒之后該程序無法使用的情形——那還叫什么殺毒？還不如直接刪除文件比較好嘛！在查殺這類病毒上，根據天緣的使用經驗，norton和國內的金山毒霸做的比較好一些。(此評價只根據我個人使用經驗如實說出，不帶任何廣告性質，請各位選擇殺毒產品的時候不要以我的介紹為依據，本人不承擔任何責任，下同。)

　　病毒防范：安裝包含即時監控的殺毒軟件并啟機執行，每天升級病毒庫獲取最新病毒特征代碼；盡量不使用來源不可靠的軟盤和光盤，使用前先掃描；關于網絡防毒部分后面一并介紹。

　　2．后臺運行進行惡意控制和破壞的病毒

　　病毒描述：帳號被偷，密碼被盜，機器被人遠程控制著放歌/開關機/屏幕倒轉過來，硬盤不住地轉動將關鍵資料向外發出，就是這類病毒的杰作了。這類病毒和上一類病毒最本質的區別是——這類病毒本身是獨立的程序，而不是寄生于另一個程序中。這類病毒的編寫主要在于對操作系統本身接口的熟悉，網絡傳輸的熟悉，以及對隱蔽性的要求，此類病毒的編寫可使用多種語言，對病毒寫作者本身的實力也是一種考驗。這個病毒中，最出名的莫過于BO了，可以說，它指引了這種病毒在windows平臺的發展理念。這類病毒就是統稱的“木馬”病毒，通過系統漏洞/用戶操作疏忽進入系統并駐留，通過改寫啟動設置來達到每次啟機運行或關聯到某程序的目的。在windows系統中，表現為修改注冊表啟動項、關聯Explorer、關聯notepad等方式。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]