檢測(cè)磁盤中的計(jì)算機(jī)病毒可分成檢測(cè)引導(dǎo)型計(jì)算機(jī)病毒和檢測(cè)文件型計(jì)算機(jī)病毒。
這兩種檢測(cè)從原理上講是一樣的,但由于各自的存儲(chǔ)方式不同,檢測(cè)方法是有差別的。 2.4.1 比較法 比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。
比較時(shí)可以靠打印的代碼清單(比如DEBUG的D命令輸出格式)進(jìn)行比較,或用程序來進(jìn)行比較(如DOS的DISKCOMP、FC或PCTOOLS等其它軟件)。這種比較法不需要專用的查計(jì)算機(jī)病毒程序,只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。
而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計(jì)算機(jī)病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)橛?jì)算機(jī)病毒傳播得很快,新的計(jì)算機(jī)病毒層出不窮,由于目前還沒有做出通用的能查出一切計(jì)算機(jī)病毒,或通過代碼分析,可以判定某個(gè)程序中是否含有計(jì)算機(jī)病毒的查毒程序,發(fā)現(xiàn)新計(jì)算機(jī)病毒就只有靠比較法和分析法,有時(shí)必須結(jié)合這兩者來一同工作。
使用比較法能發(fā)現(xiàn)異常,如文件的長(zhǎng)度有變化,或雖然文件長(zhǎng)度未發(fā)生變化,但文件內(nèi)的程序代碼發(fā)生了變化。對(duì)硬盤主引導(dǎo)扇區(qū)或?qū)OS的引導(dǎo)扇區(qū)做檢查,比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。
由于要進(jìn)行比較,保留好原始備份是非常重要的,制作備份時(shí)必須在無計(jì)算機(jī)病毒的環(huán)境里進(jìn)行,制作好的備份必須妥善保管,寫好標(biāo)簽,并加上寫保護(hù)。 比較法的好處是簡(jiǎn)單、方便,不需專用軟件。
缺點(diǎn)是無法確認(rèn)計(jì)算機(jī)病毒的種類名稱。另外,造成被檢測(cè)程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證,以查明是由于計(jì)算機(jī)病毒造成的,或是由于DOS數(shù)據(jù)被偶然原因,如突然停電、程序失控、惡意程序等破壞的。
這些要用到以后講的分析法,查看變化部分代碼的性質(zhì),以此來確證是否存在計(jì)算機(jī)病毒。另外,當(dāng)找不到原始備份時(shí),用比較法就不能馬上得到結(jié)論。
從這里可以看到制作和保留原始主引導(dǎo)扇區(qū)和其它數(shù)據(jù)備份的重要性。 2.4.2 加總比對(duì)法 根據(jù)每個(gè)程序的檔案名稱、大小、時(shí)間、日期及內(nèi)容,加總為一個(gè)檢查碼,再將檢查碼附于程序的后面,或是將所有檢查碼放在同一個(gè)數(shù)據(jù)庫中,再利用此加總對(duì)比系統(tǒng),追蹤并記錄每個(gè)程序的檢查碼是否遭更改,以判斷是否感染了計(jì)算機(jī)病毒。
一個(gè)很簡(jiǎn)單的例子就是當(dāng)您把車停下來之后,將里程表的數(shù)字記下來。那么下次您再開車時(shí),只要比對(duì)一下里程表的數(shù)字,那么您就可以斷定是否有人偷開了您的車子。
這種技術(shù)可偵測(cè)到各式的計(jì)算機(jī)病毒,但最大的缺點(diǎn)就是誤判斷高,且無法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對(duì)于隱形計(jì)算機(jī)病毒也無法偵測(cè)到。
2.4.3 搜索法. 搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串,就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。
國(guó)外對(duì)這種按搜索法工作的計(jì)算機(jī)病毒掃描軟件叫Virus Scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成:一部分是計(jì)算機(jī)病毒代碼庫,含有經(jīng)過特別選定的各種計(jì)算機(jī)病毒的代碼串;另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。
目前常見的防殺計(jì)算機(jī)病毒軟件對(duì)已知計(jì)算機(jī)病毒的檢測(cè)大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識(shí)別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫內(nèi)所含計(jì)算機(jī)病毒的種類多少。
顯而易見,庫中計(jì)算機(jī)病毒代碼種類越多,掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。
短小的計(jì)算機(jī)病毒只有一百多個(gè)字節(jié),長(zhǎng)的有上萬字節(jié)的。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串,可能在不同的環(huán)境中,該特征串并不真正具有代表性,不能用于將該串所對(duì)應(yīng)的計(jì)算機(jī)病毒檢查出來。
選這種串做為計(jì)算機(jī)病毒代碼庫的特征串就是不合適的。 另一種情況是代碼串不應(yīng)含有計(jì)算機(jī)病毒的數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)是會(huì)經(jīng)常變化的。
代碼串一定要在仔細(xì)分析了程序之后才選出最具代表特性的,足以將該計(jì)算機(jī)病毒區(qū)別于其它計(jì)算機(jī)病毒的字節(jié)串。選定好的特征代碼串是很不容易的,是計(jì)算機(jī)病毒掃描程序的精華所在。
一般情況下,代碼串是連續(xù)的若干個(gè)字節(jié)組成的串,但是有些掃描軟件采用的是可變長(zhǎng)串,即在串中包含有一個(gè)到幾個(gè)“模糊”字節(jié)。掃描軟件遇到這種串時(shí),只要除“模糊”字節(jié)之外的字串都能完好匹配,則也能判別出計(jì)算機(jī)病毒。
除了前面說的選特征串的規(guī)則外,最重要的是一條是特征串必須能將計(jì)算機(jī)病毒與正常的非計(jì)算機(jī)病毒程序區(qū)分開。不然將非計(jì)算機(jī)病毒程序當(dāng)成計(jì)算機(jī)病毒報(bào)告給用戶,是假警報(bào),這種“狼來了”的假警報(bào)太多了,就會(huì)使用戶放松警惕,等真的計(jì)算機(jī)病毒一來,破壞就嚴(yán)重了;再就是若將這假警報(bào)送給殺計(jì)算機(jī)病毒程序,會(huì)將好程序給“殺死”了。
使用特征串的掃描法被查計(jì)算機(jī)病毒軟件廣泛應(yīng)用。當(dāng)特征串選擇得很好時(shí),計(jì)算機(jī)病毒檢測(cè)軟件讓計(jì)算機(jī)用戶使用起來很方便,對(duì)計(jì)算機(jī)病毒了解不多的人也能用它來發(fā)現(xiàn)計(jì)算機(jī)病毒。
另外,不用專門軟件,用PCTOOLS等軟件也能用特征串掃描法去檢測(cè)特定的計(jì)算機(jī)病毒。 這種掃描法的缺點(diǎn)也是明顯的。
第一是當(dāng)被掃描的文件很長(zhǎng)時(shí),掃描所花時(shí)間也越多;第二是不容易選出合適。
如何根據(jù)名稱識(shí)別計(jì)算機(jī)病毒 發(fā)布時(shí)間:2004年11月15日 13:23 很多時(shí)候大家已經(jīng)用殺毒軟件查出了自己的機(jī)子中了例如Backdoor。
RmtBomb。12 、Trojan。
Win32。SendIP。
15 等等這些一串英文還帶數(shù)字的病毒名,這時(shí)有些人就懵了,那么長(zhǎng)一串的名字,我怎么知道是什么病毒??? 其實(shí)只要我們掌握一些病毒的命名規(guī)則,我們就能通過殺毒軟件的報(bào)告中出現(xiàn)的病毒名來判斷該病毒的一些公有的特性了。 世界上那么多的病毒,反病毒公司為了方便管理,他們會(huì)按照病毒的特性,將病毒進(jìn)行分類命名。
雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣,但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。一般格式為:。
病毒前綴是指一個(gè)病毒的種類,他是用來區(qū)別病毒的種族分類的。 不同的種類的病毒,其前綴也是不同的。
比如我們常見的木馬病毒的前綴 Trojan ,蠕蟲病毒的前綴是 Worm 等等還有其他的。 病毒名是指一個(gè)病毒的家族特征,是用來區(qū)別和標(biāo)識(shí)病毒家族的,如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”,還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“ Sasser ”。
病毒后綴是指一個(gè)病毒的變種特征,是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示,如 Worm。
Sasser。b 就是指 振蕩波蠕蟲病毒的變種B,因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。
如果該病毒變種非常多(也表明該病毒生命力頑強(qiáng) ^_^),可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。 綜上所述,一個(gè)病毒的前綴對(duì)我們快速的判斷該病毒屬于哪種類型的病毒是有非常大的幫助的。
通過判斷病毒的類型,就可以對(duì)這個(gè)病毒有個(gè)大概的評(píng)估(當(dāng)然這需要積累一些常見病毒類型的相關(guān)知識(shí),這不在本文討論范圍)。而通過病毒名我們可以利用查找資料等方式進(jìn)一步了解該病毒的詳細(xì)特征。
病毒后綴能讓我們知道現(xiàn)在在你機(jī)子里呆著的病毒是哪個(gè)變種。 下面附帶一些常見的病毒前綴的解釋(針對(duì)我們用得最多的Windows操作系統(tǒng)): 1、系統(tǒng)病毒 系統(tǒng)病毒的前綴為:Win32、PE、Win95、W32、W95等。
這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的 *。 exe 和 *。
dll 文件,并通過這些文件進(jìn)行傳播。如CIH病毒。
2、蠕蟲病毒 蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播,很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件,阻塞網(wǎng)絡(luò)的特性。
比如沖擊波(阻塞網(wǎng)絡(luò)),小郵差(發(fā)帶毒郵件) 等。 3、木馬病毒、黑客病毒 木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。
木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏,然后向外界泄露用戶的信息,而黑客病毒則有一個(gè)可視的界面,能對(duì)用戶的電腦進(jìn)行遠(yuǎn)程控制。 木馬、黑客病毒往往是成對(duì)出現(xiàn)的,即木馬病毒負(fù)責(zé)侵入用戶的電腦,而黑客病毒則會(huì)通過該木馬病毒來進(jìn)行控制。
現(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬 Trojan。
QQ3344 ,還有大家可能遇見比較多的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒如 Trojan。 LMir。
PSW。60 。
這里補(bǔ)充一點(diǎn),病毒名中有PSW或者什么PWD之類的一般都表示這個(gè)病毒有盜取密碼的功能(這些字母一般都為“密碼”的英文“password”的縮寫)一些黑客程序如:網(wǎng)絡(luò)梟雄(Hack。Nether。
Client)等。 4、腳本病毒 腳本病毒的前綴是: Script。
腳本病毒的公有特性是使用腳本語言編寫,通過網(wǎng)頁進(jìn)行的傳播的病毒,如紅色代碼(Script。Redlof)——可不是我們的老大代碼兄哦 ^_^。
腳本病毒還會(huì)有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時(shí)光(VBS。Happytime)、十四日 (Js。
Fortnight。c。
s)等。 5、宏病毒 其實(shí)宏病毒是也是腳本病毒的一種,由于它的特殊性,因此在這里單獨(dú)算成一類。
宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。 凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴,格式是:Macro。
Word97;凡是只感染W(wǎng)ORD97以后版本 WORD文檔的病毒采用Word做為第二前綴,格式是:Macro。Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用 Excel97做為第二前綴,格式是:Macro。
Excel97;凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴,格式是:Macro。Excel,依此類推。
該類病毒的公有特性是能感染OFFICE系列文檔,然后通過OFFICE通用模板進(jìn)行傳播,如:著名的美麗莎 (Macro。 Melissa)。
6、后門病毒 后門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播,給系統(tǒng)開后門,給用戶電腦帶來安全隱患。
如54很多朋友遇到過的IRC后門Backdoor。IRCBot 。
7、病毒種植程序病毒 這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下,由釋放出來的新病毒產(chǎn)生破壞。 如:冰河播種者(Dropper。
BingHe2。2C)、MSN射手(Dropper。
Worm。Smibag)等。
8。破壞性程序病毒 破壞性程序病毒的前綴是:Harm。
這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶。
一、特點(diǎn) 寄生性、隱蔽性、非法性、傳染性、破壞性二、分類: 1、引導(dǎo)型病毒:寄生在系統(tǒng)引導(dǎo)區(qū),比較容易被清除,現(xiàn)在已經(jīng)很少見。
2、文件型病毒:寄生在可執(zhí)行文件中,感染速度快,較易清除。 3、目錄型病毒:寄生在系統(tǒng)目錄結(jié)構(gòu)中 4、混合型病毒:多種類型的混合 5、宏病毒:專門感染Microsoft Office 系列文件的病毒 6、蠕蟲病毒:感染網(wǎng)絡(luò),使網(wǎng)速大大降低。
目前流行的病毒大多集成了黑客技術(shù)、木馬技術(shù)和病毒技術(shù)三種,非常難以清除而且很容易中。三、一些常見危害較大的病毒 1、CIH病毒:文件型病毒,4月26日發(fā)作時(shí)破壞性最大,首個(gè)能破壞硬件系統(tǒng)的病毒。
2、Melissa病毒:宏病毒,郵件傳播 3、沖擊波、震蕩波病毒:利用WINDOWS的漏洞,使計(jì)算機(jī)自動(dòng)重啟并堵塞網(wǎng)絡(luò)。一般來說,計(jì)算機(jī)病毒可分為二大類,“良性”病毒和惡性病毒。
所謂“良性”病毒,是指病毒不對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,但會(huì)造成計(jì)算機(jī)程序工作異常。有時(shí)病毒還會(huì)出來表現(xiàn)一番,例如:“小球(pingpang)”病毒、“臺(tái)灣一號(hào)”和“維也納”等。
惡性病毒往往沒有直觀的表現(xiàn),但會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,有的甚至?xí)茐挠?jì)算機(jī)硬件,造成整個(gè)計(jì)算機(jī)癱瘓。例如:前幾年流行的“米開朗基羅”、“黑色星期五”和今天的“cih系統(tǒng)毀滅者”病毒等均屬此類。
“良性”病毒一般比較容易判斷,病毒發(fā)作時(shí)會(huì)盡可能地表現(xiàn)自己,雖然影響程序的正常運(yùn)行,但重新啟動(dòng)后可繼續(xù)工作。惡性病毒感染后一般沒有異常表現(xiàn),病毒會(huì)想方設(shè)法將自己隱藏得更深。
一旦惡性病毒發(fā)作,等人們察覺時(shí),已經(jīng)對(duì)計(jì)算機(jī)數(shù)據(jù)或硬件造成了破壞,損失將很難挽回。? 純數(shù)據(jù)文件不會(huì)被病毒感染,如:聲音、圖像、動(dòng)畫、文本等文件。
病毒一般感染主引導(dǎo)區(qū),硬盤分區(qū)表,批處理文件,可執(zhí)行程序,以及word、excel文檔這類非純粹的數(shù)據(jù)文件等。? 如何來判斷計(jì)算機(jī)是否被病毒感染呢?最簡(jiǎn)便且行之有效的方法當(dāng)然是利用各種殺毒軟件或防病毒卡來檢驗(yàn)計(jì)算機(jī)是否染毒。
應(yīng)該做到定時(shí)查殺,常備不懈。如果沒有配備相應(yīng)的反病毒產(chǎn)品,則可通過如下途徑初步判斷計(jì)算機(jī)是否感染了病毒。
? 1.程序突然工作異常。如文件打不開,word97、excel97出現(xiàn)“宏”警示框(用戶無自編“宏”的情況下),死機(jī)等。
? 2.文件大小自動(dòng)發(fā)生改變。? 3.更換軟盤后,列表時(shí)內(nèi)容不變。
? 4.檢查內(nèi)存,基本內(nèi)存小于640k(某些機(jī)型小于639k)。? 5.windows出現(xiàn)異常出錯(cuò)信息。
? 6.用與硬盤相同版本的系統(tǒng)盤從a驅(qū)引導(dǎo)后找不到硬盤。? 7.運(yùn)行速度變慢。
? 8.以前運(yùn)行正常的程序運(yùn)行時(shí)出現(xiàn)內(nèi)存不足。? 9.系統(tǒng)無法啟動(dòng)。
? 出現(xiàn)以上情況之一可懷疑是病毒所為,但最終確認(rèn)最好是請(qǐng)專業(yè)反病毒公司協(xié)助。? 病毒發(fā)作的后果? 根據(jù)病毒的不同類型和病毒編寫者的不同意圖,計(jì)算機(jī)病毒發(fā)作后會(huì)有不同的表現(xiàn),當(dāng)然其結(jié)果也大不一樣。
“良性”病毒發(fā)作時(shí)一般會(huì)暫時(shí)影響計(jì)算機(jī)的正常運(yùn)行,搞一些惡作劇或開一個(gè)玩笑,病毒編寫者為了表現(xiàn)自己,會(huì)讓病毒顯現(xiàn)出來。重新啟動(dòng)后一般即可重新工作。
? 惡性病毒發(fā)作的后果與“良性”病毒有本質(zhì)的區(qū)別,它會(huì)對(duì)計(jì)算機(jī)的軟硬件實(shí)施破壞。與“良性”病毒不同,通常破壞時(shí)無任何跡象,在瞬間就造成毀滅性的破壞。
具體的破壞方式主要有:? 1.修改數(shù)據(jù)文件,導(dǎo)致數(shù)據(jù)紊亂。? 2.刪除可執(zhí)行文件,導(dǎo)致系統(tǒng)無法正常運(yùn)行。
? 3.破壞cmos,導(dǎo)致系統(tǒng)無法正常啟動(dòng)。? 4.攻擊bios,破壞bios芯片,導(dǎo)致硬件系統(tǒng)完全癱瘓。
? 5.對(duì)硬盤進(jìn)行破壞,表現(xiàn)為:? ●格式化硬盤,致使硬盤數(shù)據(jù)完全丟失。? ●寫入垃圾瑪,破壞部分或全部數(shù)據(jù)。
●修改硬盤分區(qū)表或引導(dǎo)區(qū)信息,使系統(tǒng)無法正常從硬盤引導(dǎo)。若以a盤引導(dǎo),則c盤仍無法找到。
? ●破壞文件分配表,造成文件數(shù)據(jù)丟失或紊亂。? 病毒發(fā)作后的急救措施? 根據(jù)病毒發(fā)作后不同的破壞程度,可采用一些相應(yīng)的急救措施來進(jìn)行挽救,以使損失減到最校下面就不同的病毒破壞介紹一些較為常用的補(bǔ)救措施。
? 1.flashbios被破壞?重寫bios程序(一般需專業(yè)技術(shù)人員進(jìn)行)或者更換主版。? 2.cmos被破壞 將cmos放電,然后用計(jì)算機(jī)的設(shè)置程序進(jìn)行重新設(shè)置。
? 3.引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)被破壞?某些殺毒軟件提供備份和恢復(fù)系統(tǒng)主引導(dǎo)區(qū)和引導(dǎo)區(qū)信息內(nèi)容,用此功能進(jìn)行恢復(fù)。若能找到具有相同類型硬盤、同樣的分區(qū)和安裝有同樣的操作系統(tǒng)的其他計(jì)算機(jī),可利用它進(jìn)行備份,然后恢復(fù)被病毒破壞的引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)。
? 4.文件丟失? 若是在純dos系統(tǒng)中,可利用ndd等磁盤工具進(jìn)行恢復(fù)。注意,若有其他操作系統(tǒng),則不能用ndd磁盤工具,否則會(huì)帶來更大的破壞。
? 若有備份文件,病毒對(duì)磁盤的破壞均可通過備份文件進(jìn)行恢復(fù)。如果沒有備份文件,有些較為復(fù)雜的操作,例如:部分文件分配表被破壞等,需專業(yè)技術(shù)人員來進(jìn)行,碰到這種較為復(fù)雜的情況,請(qǐng)向?qū)I(yè)反病毒公司救助。
計(jì)算機(jī)病毒就是一種附加到計(jì)算機(jī)內(nèi)部重要區(qū)域(例如可執(zhí)行文件以及硬盤和軟盤的引導(dǎo)區(qū))的惡意代碼。
病毒通過將其自身復(fù)制到其他宿主文件或磁盤上,可以達(dá)到破壞數(shù)據(jù)的目的。當(dāng)宿主文件運(yùn)行并釋放惡意代碼時(shí),就傳播了病毒。
當(dāng)計(jì)算機(jī)從受感染磁盤中引導(dǎo)時(shí),病毒可以迅速地傳播到內(nèi)存中。 一旦病毒駐留在內(nèi)存中,它就可能感染其他可執(zhí)行文件或磁盤引導(dǎo)扇區(qū)。
一般情況下,病毒保持一種靜止?fàn)顟B(tài),直到出現(xiàn)某個(gè)觸發(fā)事件,例如,某個(gè)系統(tǒng)日期。除復(fù)制之外,計(jì)算機(jī)病毒經(jīng)常還會(huì)執(zhí)行某些其他活動(dòng),通常是一些破壞活動(dòng)或顯示一條消息。
病毒是由了解如何使用和處理代碼的人員編寫的。 現(xiàn)在,已知的病毒已超過了 20,000 種。
其中許多病毒都是由像 Symantec 這樣的防病毒供應(yīng)商發(fā)現(xiàn)的,供應(yīng)商們已經(jīng)分析過它們,但這些病毒并沒有在工作或家庭環(huán)境中遇到。 盡管人們聽說的有關(guān)病毒的情況很多都是夸大其辭,但實(shí)際上病毒也是非常普遍和易于傳播的。
如果不對(duì)病毒設(shè)置防護(hù)措施,您的網(wǎng)絡(luò)就很可能丟失數(shù)據(jù),甚至可能造成崩潰。 程序型病毒可以通過任何網(wǎng)絡(luò)、調(diào)制解調(diào)器或磁性媒質(zhì)傳播。
大多數(shù)引導(dǎo)型病毒只能通過軟盤傳播。復(fù)合型病毒尤其復(fù)雜,因?yàn)檫@種病毒按照程序型病毒傳播,但感染引導(dǎo)扇區(qū)并可以通過軟盤傳播。
隨著局域網(wǎng)、Internet 和全球性的電子郵件的大量使用,病毒傳播的速度也在迅速地增加。當(dāng)受感染文件通過電子郵件發(fā)送出去時(shí),本地的病毒可能會(huì)迅速地傳播到公司的其他部門甚至是世界各地。
病毒感染的主要威脅來自于那些打開并使用的共享文件。 病毒是按照它們感染的內(nèi)容和逃避檢測(cè)的方式進(jìn)行分類的。
基本的病毒類型是按照它們感染計(jì)算機(jī)的區(qū)域定義的: 引導(dǎo)型病毒:將指令插入到軟盤的引導(dǎo)扇區(qū),或者硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)記錄(分區(qū)表扇區(qū))。 程序型病毒:感染可執(zhí)行文件,例如,。
COM、。EXE 和 。
DLL 文件。 宏病毒:通過修改宏的行為方式感染文檔文件,例如,Microsoft Word 。
DOC 文件。 其他具有破壞性的代碼類型,包括蠕蟲、特洛伊木馬和邏輯炸彈病毒。
這些具有破壞性代碼的病毒類型不同于其他病毒,因?yàn)樗鼈儾⒉贿M(jìn)行復(fù)制。
1.計(jì)算機(jī)病毒的傳染方式 所謂傳染是指計(jì)算機(jī)病毒由一個(gè)載體傳播到另一個(gè)載體,由一個(gè)系統(tǒng)進(jìn)入另一個(gè)系統(tǒng)的過程。
這種載體一般為磁 盤或磁帶,它是計(jì)算機(jī)病毒賴以生存和進(jìn)行傳染的媒介。但是,只有載體還不足以使病毒得到傳播。
促成病毒的傳染 還有一個(gè)先決條件,可分為兩種情況,或者叫做兩種方式。 其中一種情況是,用戶在進(jìn)行拷貝磁盤或文件時(shí),把一個(gè)病毒由一個(gè)載體復(fù)制到另一個(gè)載體上。
或者是通過網(wǎng)絡(luò) 上的信息傳遞,把一個(gè)病毒程序從一方傳遞到另一方。這種傳染方式叫做計(jì)算機(jī)病毒的被動(dòng)傳染。
另外一種情況是,計(jì)算機(jī)病毒是以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。 在病毒處于激活的 狀態(tài)下,只要傳染條件滿足,病毒程序能主動(dòng)地把病毒自身傳染給另一個(gè)載體或另一個(gè)系統(tǒng)。
這種傳染方式叫做計(jì)算 機(jī)病毒的主動(dòng)傳染。 2.計(jì)算機(jī)病毒的傳染過程 對(duì)于病毒的被動(dòng)傳染而言,其傳染過程是隨著拷貝磁盤或文件工作的進(jìn)行而進(jìn)行的,而對(duì)于計(jì)算機(jī)病毒的主動(dòng)傳 染而言,其傳染過程是這樣的:在系統(tǒng)運(yùn)行時(shí),病毒通過病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器,常駐內(nèi)存, 并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。
在病毒引導(dǎo)模塊將病毒傳染模塊駐留內(nèi)存的過程中,通常還要修改系統(tǒng)中斷向量入 口地址(例如INT 13H或INT 21H),使該中斷向量指向病毒程序傳染模塊。這樣,一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng) 功能調(diào)用,病毒傳染模塊就被激活,傳染模塊在判斷傳染條件滿足的條件下, 利用系統(tǒng)INT 13H讀寫磁盤中斷把病毒 自身傳染給被讀寫的磁盤或被加載的程序,也就是實(shí)施病毒的傳染,然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。
計(jì)算機(jī)病毒的傳染方式基本可分為兩大類,一是立即傳染,即病毒在被執(zhí)行到的瞬間,搶在宿主程序開始執(zhí)行前, 立即感染磁盤上的其他程序,然后再執(zhí)行宿主程序;二是駐留內(nèi)存并伺機(jī)傳染,內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境,在 執(zhí)行一個(gè)程序或D1R等操作時(shí)傳染磁盤上的程序,駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后, 仍可活動(dòng), 直至關(guān)閉計(jì)算機(jī)。 3.系統(tǒng)型病毒傳染機(jī)理 計(jì)算機(jī)軟硬盤的配置和使用情況是不同的。
軟盤容量小,可以方便地移動(dòng)交換使用,在計(jì)算機(jī)運(yùn)行過程中可能多 次更換軟盤;硬盤作為固定設(shè)備安裝在計(jì)算機(jī)內(nèi)部使用,大多數(shù)計(jì)算機(jī)配備一只硬盤。系統(tǒng)型病毒針對(duì)軟硬盤的不同 特點(diǎn)采用了不同的傳染方式。
系統(tǒng)型病毒利用在開機(jī)引導(dǎo)時(shí)竊獲的INT 13控制權(quán),在整個(gè)計(jì)算機(jī)運(yùn)行過程中隨時(shí)監(jiān)視軟盤操作情況, 趁讀寫 軟盤的時(shí)機(jī)讀出軟盤引導(dǎo)區(qū),判斷軟盤是否染毒,如未感染就按病毒的寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置,把病 毒寫入軟盤第一個(gè)扇區(qū),從而完成對(duì)軟盤的傳染。 染毒的軟盤在軟件交流中又會(huì)傳染其他計(jì)算機(jī)。
由于在每個(gè)讀寫階 段病毒都要讀引導(dǎo)區(qū),既影響微機(jī)工作效率,又容易因驅(qū)動(dòng)器頻繁尋道而造成物理損傷。 系統(tǒng)型病毒對(duì)硬盤的傳染往往是在計(jì)算機(jī)上第一次使用帶毒軟盤進(jìn)行的,具體步驟與軟盤傳染相似,也是讀出引 導(dǎo)區(qū)判斷后寫入病毒。
4.文件型病毒傳染機(jī)理 當(dāng)執(zhí)行被傳染的。COM或。
EXE可執(zhí)行文件時(shí),病毒駐人內(nèi)存。一旦病毒駐人內(nèi)存,便開始監(jiān)視系統(tǒng)的運(yùn)行。
當(dāng)它發(fā) 現(xiàn)被傳染的目標(biāo)時(shí),進(jìn)行如下操作: (1)首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了病毒; (2)當(dāng)條件滿足,利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間,并存入磁盤中; (3)完成傳染后,繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行,試圖尋找新的攻擊目標(biāo)。 文件型病毒通過與磁盤文件有關(guān)的操作進(jìn)行傳染,主要傳染途徑有: (1)加載執(zhí)行文件 文件型病毒駐內(nèi)存后,通過其所截獲的INT 21中斷檢查每一個(gè)加載運(yùn)行可執(zhí)行文件進(jìn)行傳染。
加載傳染方式每次傳染一個(gè)文件,即用戶準(zhǔn)備運(yùn)行的那個(gè)文件,傳染不到那些用戶沒有使用的文件。 (2)列目錄過程 一些病毒編制者可能感到加載傳染方式每次傳染一個(gè)文件速度較慢,不夠過癮,于是后來造出通過列目錄傳染的 病毒。
在用戶列硬盤目錄的時(shí)候,病毒檢查每一個(gè)文件的擴(kuò)展名,如果是可執(zhí)行文件就調(diào)用病毒的傳染模塊進(jìn)行傳染。 這樣病毒可以一次傳染硬盤一個(gè)于目錄下的全部可執(zhí)行文件。
DIR是最常用的DOS命令,每次傳染的文件又多,所以病 毒的擴(kuò)散速度很快,往往在短時(shí)間內(nèi)傳遍整個(gè)硬盤。 對(duì)于軟盤而言,由于讀寫速度比硬盤慢得多,如果一次傳染多個(gè)文件所費(fèi)時(shí)間較長(zhǎng),容易被用戶發(fā)現(xiàn),所以病毒 “忍痛”放棄了一些傳染機(jī)會(huì),采用列一次目錄只傳染一個(gè)文件的方式。
(3)創(chuàng)建文件過程 創(chuàng)建文件是DOS內(nèi)部的一項(xiàng)操作,功能是在磁盤上建立一個(gè)新文件。 已經(jīng)發(fā)現(xiàn)利用創(chuàng)建文件過程把病毒附加到新 文件上去的病毒,這種傳染方式更為隱蔽狡猾。
因?yàn)榧虞d傳染和列目錄傳染都是病毒感染磁盤上原有的文件,細(xì)心的 用戶往往會(huì)發(fā)現(xiàn)文件染毒前后長(zhǎng)度的變化,從而暴露病毒的蹤跡。 而創(chuàng)建文件的傳染手段卻造成了新文件生來帶毒的 奇觀。
好在一般用戶很少去創(chuàng)建一個(gè)可執(zhí)行文件,但經(jīng)常使用各種編譯、連接工具的計(jì)算機(jī)專業(yè)工作者應(yīng)該注意文件 型病毒發(fā)展的這一動(dòng)向,特別在商品軟件最。
說起計(jì)算機(jī)病毒,不少人都吃過它的苦頭,有的人對(duì)它真的是深惡痛絕。
自從一個(gè)美國(guó)學(xué)生因?yàn)檎{(diào)皮或好奇使它偶然問世后,它的家族就開始以幾何級(jí)數(shù)瘋狂繁衍?,F(xiàn)在它的子孫已經(jīng)不下幾萬種。
因?yàn)橛?jì)算機(jī)病毒能夠破壞計(jì)算機(jī)系統(tǒng)或毀壞計(jì)算機(jī)中的數(shù)據(jù),造成巨大的經(jīng)濟(jì)損失,所以被認(rèn)為是二十世紀(jì)信息時(shí)代到來后的一大公害。正因?yàn)槿绱?,研究?jì)算機(jī)病毒已經(jīng)成為一門專門的學(xué)問。
國(guó)內(nèi)也已經(jīng)有了幾家專門開發(fā)防殺計(jì)算機(jī)病毒軟件的著名計(jì)算機(jī)公司。在一*般人看來,計(jì)算機(jī)病毒真是“有百害而無一利”了。
然而事情總有它的另一方面。據(jù)說,在九十年代初的海灣戰(zhàn)爭(zhēng)中,計(jì)算機(jī)病毒竟成了一種克敵制勝的武器。
聲明:本網(wǎng)站尊重并保護(hù)知識(shí)產(chǎn)權(quán),根據(jù)《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》,如果我們轉(zhuǎn)載的作品侵犯了您的權(quán)利,請(qǐng)?jiān)谝粋€(gè)月內(nèi)通知我們,我們會(huì)及時(shí)刪除。
蜀ICP備2020033479號(hào)-4 Copyright ? 2016 學(xué)習(xí)鳥. 頁面生成時(shí)間:3.106秒