計(jì)算機(jī)病毒知識(shí)與防治學(xué)習(xí)資料大全(3-2)

甘苦人生2010 2013-05-24

展開全文

開機(jī)型病毒是藏匿在磁盤片或硬盤的第一個(gè)扇區(qū)。因?yàn)镈OS的架構(gòu)設(shè)計(jì), 使得病毒可以在每次開機(jī)時(shí), 在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中, 這個(gè)特性使得病毒可以針對(duì)DOS的各類中斷 (Interrupt) 得到完全的控制, 并且擁有更大的能力進(jìn)行傳染與破壞。
2.2文件型病毒 (File Infector Virus):
文件型病毒通常寄生在可執(zhí)行文件(如 *.COM, *.EXE等)中。當(dāng)這些文件被執(zhí)行時(shí), 病毒的程序就跟著被執(zhí)行。文件型的病毒依傳染方式的不同, 又分成非常駐型以及常駐型兩種 :
(1) 非常駐型病毒(Non-memory Resident Virus) :
非常駐型病毒將自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。當(dāng)這些中毒的程序被執(zhí)行時(shí)，就會(huì)嘗試去傳染給另一個(gè)或多個(gè)文件。
(2) 常駐型病毒(Memory Resident Virus) :
常駐型病毒躲在內(nèi)存中，其行為就好象是寄生在各類的低階功能一般(如 Interrupts)，由于這個(gè)原因, 常駐型病毒往往對(duì)磁盤造成更大的傷害。一旦常駐型病毒進(jìn)入了內(nèi)存中, 只要執(zhí)行文件被執(zhí)行, 它就對(duì)其進(jìn)行感染的動(dòng)作, 其效果非常顯著。將它趕出內(nèi)存的唯一方式就是冷開機(jī)(完全關(guān)掉電源之后再開機(jī))。
2.3復(fù)合型病毒 (Multi-Partite Virus):
復(fù)合型病毒兼具開機(jī)型病毒以及文件型病毒的特性。它們可以傳染 *.COM, *.EXE 文件，也可以傳染磁盤的開機(jī)系統(tǒng)區(qū)(Boot Sector)。由于這個(gè)特性, 使得這種病毒具有相當(dāng)程度的傳染力。一旦發(fā)病，其破壞的程度將會(huì)非?？捎^！
2.4隱型飛機(jī)式病毒 (Stealth Virus):
隱型飛機(jī)式病毒又稱作中斷截取者(Interrupt Interceptors)。顧名思義, 它通過控制DOS的中斷向量，把所有受其感染的文件"假還原"，再把"看似跟原來一模一樣"的文件丟回給 DOS。
2.5千面人病毒 (Polymorphic/Mutation Virus):
千面人病毒可怕的地方, 在于每當(dāng)它們繁殖一次, 就會(huì)以不同的病毒碼傳染到別的地方去。每一個(gè)中毒的文件中, 所含的病毒碼都不一樣, 對(duì)于掃描固定病毒碼的防毒軟件來說，無疑是一個(gè)嚴(yán)重的考驗(yàn)！有些高竿的千面人病毒，幾乎無法找到相同的病毒碼。感染 PE_ Marburg 病毒后的 3 個(gè)月，即會(huì)在桌面上出現(xiàn)一堆任意排序的 "X" 符號(hào)
2.6宏病毒 (Macro Virus):
宏病毒主要是利用軟件本身所提供的宏能力來設(shè)計(jì)病毒, 所以凡是具有寫宏能力的軟件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。
2.7特洛伊木馬病毒 VS.計(jì)算機(jī)蠕蟲
特洛依木馬（ Trojan ）和計(jì)算機(jī)蠕蟲（ Worm ）之間，有某種程度上的依附關(guān)系，有愈來愈多的病毒同時(shí)結(jié)合這兩種病毒型態(tài)的破壞力，達(dá)到雙倍的破壞能力。
計(jì)算機(jī)蠕蟲在網(wǎng)絡(luò)中匍匐前進(jìn)。計(jì)算機(jī)蠕蟲大家過去可能比較陌生，不過近年來應(yīng)該常常聽到，顧名思義計(jì)算機(jī)蠕蟲指的是某些惡性程序代碼會(huì)像蠕蟲般在計(jì)算機(jī)網(wǎng)絡(luò)中爬行，從一臺(tái)計(jì)算機(jī)爬到另外一臺(tái)計(jì)算機(jī)，方法有很多種例如透過局域網(wǎng)絡(luò)或是 E-mail.最著名的計(jì)算機(jī)蠕蟲案例就是" ILOVEYOU-愛情蟲 "。例如：" MELISSA-梅莉莎" 便是結(jié)合"計(jì)算機(jī)病毒"及"計(jì)算機(jī)蠕蟲"的兩項(xiàng)特性。該惡性程序不但會(huì)感染 Word 的 Normal.dot（此為計(jì)算機(jī)病毒特性），而且會(huì)通過 Outlook E-mail 大量散播（此為計(jì)算機(jī)蠕蟲特性）。
　　事實(shí)上，在真實(shí)世界中單一型態(tài)的惡性程序其實(shí)愈來愈少了，許多惡性程序不但具有傳統(tǒng)病毒的特性，更結(jié)合了"特洛伊木馬程序"、"計(jì)算機(jī)蠕蟲"型態(tài)來造成更大的影響力。一個(gè)耳熟能詳?shù)陌咐?探險(xiǎn)蟲"（ExploreZip）。探險(xiǎn)蟲會(huì)覆蓋掉在局域網(wǎng)絡(luò)上遠(yuǎn)程計(jì)算機(jī)中的重要文件（此為特洛伊木馬程序特性），并且會(huì)透過局域網(wǎng)絡(luò)將自己安裝到遠(yuǎn)程計(jì)算機(jī)上（此為計(jì)算機(jī)蠕蟲特性）。
2.8 黑客型病毒
-走后門、發(fā)黑色信件、癱瘓網(wǎng)絡(luò)
　　自從 2001七月 CodeRed紅色警戒利用 IIS 漏洞，揭開黑客與病毒并肩作戰(zhàn)的攻擊模式以來，CodeRed 在病毒史上的地位，就如同第一只病毒 Brain 一樣，具有難以抹滅的歷史意義。
　　如同網(wǎng)絡(luò)安全專家預(yù)料的，CodeRed 將會(huì)成為計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲和黑客"三管齊下"的開山鼻祖，日后的病毒將以其為樣本，變本加厲地在網(wǎng)絡(luò)上展開新型態(tài)的攻擊行為。果不其然，在造成全球 26.2 億美金的損失后，不到 2 個(gè)月同樣攻擊 IIS 漏洞的Nimda 病毒，其破壞指數(shù)卻遠(yuǎn)高于 CodeRed。 Nimda 反傳統(tǒng)的攻擊模式，不僅考驗(yàn)著 MIS 人員的應(yīng)變能力，更使得傳統(tǒng)的防毒軟件面臨更高的挑戰(zhàn)。
　　繼紅色代碼之后，出現(xiàn)一只全新攻擊模式的新病毒，透過相當(dāng)罕見的多重感染管道在網(wǎng)絡(luò)上大量散播，包含：電子郵件、網(wǎng)絡(luò)資源共享、微軟IIS服務(wù)器的安全漏洞等等。由于 Nimda 的感染管道相當(dāng)多，病毒入口多，相對(duì)的清除工作也相當(dāng)費(fèi)事。尤其是下載微軟的 Patch，無法自動(dòng)執(zhí)行，必須每一臺(tái)計(jì)算機(jī)逐一執(zhí)行，容易失去搶救的時(shí)效。
　　每一臺(tái)中了Nimda 的計(jì)算機(jī)，都會(huì)自動(dòng)掃描網(wǎng)絡(luò)上符合身份的受害目標(biāo)，因此常造成網(wǎng)絡(luò)帶寬被占據(jù)，形成無限循環(huán)的 DoS阻斷式攻擊。另外，若該臺(tái)計(jì)算機(jī)先前曾遭受 CodeRed 植入后門程序，那么兩相掛勾的結(jié)果，將導(dǎo)致黑客為所欲為地進(jìn)入受害者計(jì)算機(jī)，進(jìn)而以此為中繼站對(duì)其它計(jì)算機(jī)發(fā)動(dòng)攻勢。
類似Nimda威脅網(wǎng)絡(luò)安全的新型態(tài)病毒，將會(huì)是 MIS 人員最大的挑戰(zhàn)。"
認(rèn)識(shí)計(jì)算機(jī)病毒與黑客
　　防止計(jì)算機(jī)黑客的入侵方式，最熟悉的就是裝置「防火墻」(Firewall)，這是一套專門放在 Internet 大門口 (Gateway) 的身份認(rèn)證系統(tǒng)，其目的是用來隔離 Internet 外面的計(jì)算機(jī)與企業(yè)內(nèi)部的局域網(wǎng)絡(luò)，任何不受歡迎的使用者都無法通過防火墻而進(jìn)入內(nèi)部網(wǎng)絡(luò)。有如機(jī)場入境關(guān)口的海關(guān)人員，必須核對(duì)身份一樣，身份不合者，則謝絕進(jìn)入。否則，一旦讓恐怖份子進(jìn)入國境破壞治安，要再發(fā)布通緝令逮捕，可就大費(fèi)周章了。
　　一般而言，計(jì)算機(jī)黑客想要輕易的破解防火墻并入侵企業(yè)內(nèi)部主機(jī)并不是件容易的事，所以黑客們通常就會(huì)用采用另一種迂回戰(zhàn)術(shù)，直接竊取使用者的賬號(hào)及密碼，如此一來便可以名正言順的進(jìn)入企業(yè)內(nèi)部。而 CodeRed、Nimda即是利用微軟公司的 IIS網(wǎng)頁服務(wù)器操作系統(tǒng)漏洞，大肆為所欲為。
--寬帶大開方便之門
　　CodeRed 能在短時(shí)間內(nèi)造成亞洲、美國等地 36 萬計(jì)算機(jī)主機(jī)受害的事件，其中之一的關(guān)鍵因素是寬帶網(wǎng)絡(luò)（Broadband）的"always-on" (固接，即二十四小時(shí)聯(lián)機(jī))特性特性所打開的方便之門。
　　寬帶上網(wǎng)，主要是指 Cable modem 與 xDSL這兩種技術(shù)，它們的共同特性，不單在于所提供的帶寬遠(yuǎn)較傳統(tǒng)的電話撥接為大，同時(shí)也讓二十四小時(shí)固接上網(wǎng)變得更加便宜。事實(shí)上，這兩種技術(shù)的在本質(zhì)上就是持續(xù)聯(lián)機(jī)的，在線路兩端的計(jì)算機(jī)隨時(shí)可以互相溝通。
　　當(dāng) CodeRed 在 Internet 尋找下一部服務(wù)器作為攻擊發(fā)起中心時(shí)，前提必須在該計(jì)算機(jī)聯(lián)機(jī)狀態(tài)方可產(chǎn)生作用，而無任何保護(hù)措施的寬還用戶，"雀屏中選"的機(jī)率便大幅提升了。
　　當(dāng)我們期望Broadband（寬帶網(wǎng)絡(luò)）能讓我們外出時(shí)仍可隨時(shí)連上家用計(jì)算機(jī)，甚至利用一根小手指頭遙控家中的電飯鍋煮飯、咖啡爐煮咖啡時(shí)，同樣的，黑客和計(jì)算機(jī)病毒也有可能隨時(shí)入侵到我們家中。計(jì)算機(jī)病毒可能讓我們的馬桶不停地沖水，黑客可能下達(dá)指令炸掉家里的微波爐、讓冰箱變成烤箱、甚至可能利用家用監(jiān)視攝影機(jī)來監(jiān)視我們的一舉一動(dòng)。唯有以安全為后盾，有效地阻止黑客與病毒的覬覦，才能開啟寬帶網(wǎng)絡(luò)的美麗新世界。
　　計(jì)算機(jī)及網(wǎng)絡(luò)家電鎮(zhèn)日處于always-on的狀態(tài)，也使得計(jì)算機(jī)黑客有更多入侵的機(jī)會(huì)。在以往撥接上網(wǎng)的時(shí)代，家庭用戶對(duì)黑客而言就像是一個(gè)移動(dòng)的目標(biāo)，非常難以鎖定，如果黑客想攻擊的目標(biāo)沒有撥接上網(wǎng)絡(luò)，那幺再厲害的黑客也是一籌莫展，只能苦苦等候。相對(duì)的，寬帶上網(wǎng)所提供的二十四小時(shí)固接服務(wù)卻讓黑客有隨時(shí)上下其手的機(jī)會(huì)，而較大的帶寬不但提供家庭用戶更寬廣的進(jìn)出渠道，也同時(shí)讓黑客進(jìn)出更加的快速便捷。過去我們認(rèn)為計(jì)算機(jī)防毒與防止黑客是兩回事（見表一），然而 CodeRed卻改寫了這個(gè)的定律，過去黑客植入后門程序必須一臺(tái)計(jì)算機(jī)、一臺(tái)計(jì)算機(jī)地大費(fèi)周章的慢慢入侵，但CodeRed卻以病毒大規(guī)模感染的手法，瞬間即可植入后門程序，更加暴露了網(wǎng)絡(luò)安全的嚴(yán)重問題。
表一：黑客與計(jì)算機(jī)病毒比較

黑客（Hacker）
計(jì)算機(jī)病毒( Virus )

入侵對(duì)象
鎖定特定目標(biāo)
沒有特定目標(biāo)

隱喻
被限制出入境者（非企業(yè)網(wǎng)管相關(guān)人員），以幾可亂真的 Passport欺蒙海關(guān)守門員（如同企業(yè)網(wǎng)絡(luò)的Gateway），進(jìn)入國境（企業(yè)網(wǎng)絡(luò)）后，鎖定迫害對(duì)象（計(jì)算機(jī)主機(jī)），進(jìn)行各種破壞動(dòng)作。
某人持有合法護(hù)照，但在出入境時(shí)，攜帶的行李被放置槍炮彈藥等違禁品（病毒程序），海關(guān)（如同企業(yè)網(wǎng)絡(luò)的Gateway）并沒有察覺，于是在突破第一道關(guān)卡后，這些違禁品進(jìn)入國境（個(gè)人計(jì)算機(jī)或企業(yè)網(wǎng)絡(luò)），隨時(shí)產(chǎn)生破壞動(dòng)作。

舉例說明
沒有合法身份認(rèn)證的計(jì)算機(jī)黑客通常都會(huì)先想辦法取得一個(gè)合法的通行密碼，或者利用系統(tǒng)安全疏失，在網(wǎng)絡(luò)上通行無阻。
一個(gè)合法的使用者在有意無意間所「引進(jìn)」病毒，其管道可能是直接從網(wǎng)際網(wǎng)絡(luò)下載文件、或是開啟 e-mail 中含有病毒的附加文件 (Attachment)所感染。

七．病毒的命名
對(duì)病毒命名，各個(gè)反毒軟件亦不盡相同，有時(shí)對(duì)一種病毒不同的軟件會(huì)報(bào)出不同的名稱。如“SPY”病毒，KILL起名為SPY，KV300則叫“TPVO-3783”。給病毒起名的方法不外乎以下幾種：
按病毒出現(xiàn)的地點(diǎn)，如“ZHENJIANG_JES”其樣本最先來自鎮(zhèn)江某用戶。按病毒中出現(xiàn)的人名或特征字符，如“ZHANGFANG—1535”，“DISK KILLER”，“上海一號(hào)”。按病毒發(fā)作時(shí)的癥狀命名，如“火炬”，“蠕蟲”。按病毒發(fā)作的時(shí)間，如“NOVEMBER 9TH”在11月9日發(fā)作。有些名稱包含病毒代碼的長度，如“PIXEL.xxx”系列,“KO.xxx”等體。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：甘苦人生2010 > 《電腦技巧》

舉報(bào)/認(rèn)領(lǐng)