文章内容

病毒及攻击防御手册之三

发布时间: 2012/9/15 22:22:16

现阶段的病毒，主要分为以下几种：

1．感染可执行文件的病毒

　　病毒描述：这类病毒就是上面所介绍的4种破坏性程序中的传统病毒。这类病毒的编写者的技术水平可说相当高超，此类病毒大多用汇编/c编写，利用被感染程序中的空隙，将自身拆分为数段藏身其中，在可执行文件运行的同时进驻到内存中并进行感染工作，dos下大多为此类病毒居多，在windows下由于win95时期病毒编写者对pe32的格式没吃透，那段时间比较少，之后在win98阶段这类病毒才扩散开来，其中大家广为熟悉的CIH病毒就是一例；在windows发展的中后期，互联网络开始兴盛，此类病毒开始结合网络漏洞进行传播，其中的杰出代表为 funlove传播——由于windows操作系统的局网共享协议存在默认共享漏洞，以及大部分用户在设置共享的时候贪图方便不设置复杂密码甚至根本就没有密码，共享权限也开启的是“完全访问”。导致funlove病毒通过简单尝试密码利用网络疯狂传播。

　　病毒浅析：由于此类病毒的编写对作者要求很高，对运行环境的要求也相当严格，在编写不完善的时候，会导致系统异常（例如CIH的早期版本会导致winzip出错和无法关闭计算机等问题；funlove在nt4上会导致mssqlserver的前台工具无法调出界面等问题）。这类病毒赖以生存的制约是系统的运行时间和隐蔽性。运行时间——系统运行的时间越长，对其感染其他文件越有利，因此此类病毒中一般不含有恶意关机等代码，染毒后短期内（一般24小时内）也不会导致系统崩溃（如果你是25日感染cih除外），和其他病毒相比用户有足够的处理时间。破坏引导区的大脑病毒、择日发作的星期五病毒、直接读写主板芯片，采用驱动技术的CIH病毒都是其中的代表。

　　感染途径：此类病毒本身依靠用户执行而进行被动运行，常见感染途径为：盗板光盘、软盘、安全性不佳的共享网络；

　　病毒自查：此类病毒大多通过的是进驻内存后篇历目录树的方式，搜索每个目录下的可执行文件进行感染，因此对内存占用得比较厉害——如果突然在某个时间后发现自己的机器内存占用很高，可能就是感染了此类病毒。

　　病毒查杀：这类病毒由于编写难度较大，因此升级（病毒也玩升级？对，例如CIH是在1.4版本后才完善的）速度相对较慢，但由于开机后进驻的程序可能已经被病毒感染，因此杀毒条件是各种病毒中最为严格的，且这2种方式比较干净彻底的方法也适用用后面介绍的各种病毒：

　　1.软盘（光盘）启机使用杀毒软（光）盘进行杀毒；在进行这一步的时候，必须要保证软盘或光盘的病毒库内已经有杀除该病毒的特征码。

　　2.将硬盘拆下，作为其他机器的从盘；从其他机器的主盘启动进行杀毒（该机需打开病毒即时监控，以防止来自从盘的可执行文件中的病毒进驻到内存中）；以常见的国产几种杀毒软件为例，在购买的正式版本中，除了供安装使用的光盘外，一般还包含几张软盘（一张引导盘，一张杀毒程序盘，一张病毒库盘）。在对待上面提到的这类病毒时，最好的做法就是用引导盘启动计算机，然后根据提示将杀毒程序盘和病毒盘依次插入，进行病毒查杀。注意2点：1.目前比较新版本的杀毒程序盘都能完善地支持ntfs分区的读写，如果您是在几年以前购买的杀毒盘，可以根据厂家的服务方式进行升级；2.由于采用软盘杀毒的时候，使用的是软盘上的病毒库，为了能正确地查杀病毒，请定期升级软盘的病毒库，否则真到用的时候就哭也哭不出来了。

　　杀毒遗留：由于这类病毒是寄生到其他程序内部，即使非常优秀的杀毒软件，能做到的也只是把该染毒程序内的病毒某关键执行部分删除，使得染毒程序在运行时病毒无法运行。因此并不是严格意义上的完全清除——病毒程序的某部分依然残留在程序内部，俗称“病毒僵尸”。

　　在杀除这类病毒的时候，最主要的是分析捕捉特征代码，因为抓特征码的过程中不仅要准确地破坏病毒的执行部分，而且不可以触动正常的程序代码。否则会常常出现杀毒之后该程序无法使用的情形——那还叫什么杀毒？还不如直接删除文件比较好嘛！在查杀这类病毒上，根据天缘的使用经验，norton和国内的金山毒霸做的比较好一些。(此评价只根据我个人使用经验如实说出，不带任何广告性质，请各位选择杀毒产品的时候不要以我的介绍为依据，本人不承担任何责任，下同。)

　　病毒防范：安装包含即时监控的杀毒软件并启机执行，每天升级病毒库获取最新病毒特征代码；尽量不使用来源不可靠的软盘和光盘，使用前先扫描；关于网络防毒部分后面一并介绍。

亿恩-天使(QQ:530997) 电话 037160135991 服务器租用，托管欢迎咨询。

本文出自：亿恩科技【www.enkj.com】

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]