- 主题
- 0
- 积分
- 0
- 贝壳
- 0 个
- 注册时间
- 2007-1-8
- 最后登录
- 2007-1-8
|
计算机防病毒技术
| 计算机防病毒技术
第一章 计算机病毒基本知识 2
1.1什么是计算机病毒 2
1.2电脑病毒的历史 4
1.3计算机病毒的生命周期 8
1.4计算机病毒的特征 8
1.5 计算机病毒的传播途径 13
1.6计算机病毒的主要危害 16
1.7计算机病毒的分类 17
第二章 计算机病毒的发展趋势 20
2.1 计算机病毒的新特点 20
2.2 新型计算机病毒的技术特征 22
2.3 1999年主要计算机病毒回顾 33
2.4 2000年最新计算机病毒介绍 46
第三章 计算机病毒的防范 54
3.1 计算机病毒防范的概念 54
3.2计算机病毒的表现现象 56
3.3 计算机病毒的技术防范 63
3.4 计算机病毒检测方法 72
3.5 计算机系统的修复 77
第一章 计算机病毒基本知识 返回
计算机已经越来越成为人们工作和生活中不可缺少的重要部分,毫无疑问它为人类的发展作出了重要的贡献,但同时也给我们带来了很多烦恼,"计算机病毒"问题就是其中之一。大多数计算机用户对于"计算机病毒"都只有初步的了解,下面我们就系统地向您介绍计算机病毒的有关知识。
1.1什么是计算机病毒
"计算机病毒"是什么东西呢?是否会象其他生物病毒,如"感冒病毒"一样对人体造成伤害呢?
"计算机病毒"是会造成伤害,但不是对你造成伤害,而是对你的计算机系统造成一定的伤害。其实,"计算机病毒"是一段非常短的,通常只有几千个字节,会不断自我复制、隐藏和感染其他程序或计算机的程序代码。
"计算机病毒"的"程序代码"包含一套特殊的指令,与其他的威胁不同,它可以不需要人们的介入就能由程序或系统传播出去。
当执行时,它把自己传播到其它的计算机系统、程序里。首先它把自己复制在一个沒有被感染的程序或文档里,当这个程序或文档执行任何指令时,计算机病毒就会包括在指令里。根据计算机病毒编制者的动机,这些指令可以做任何事,并且导致不同的影响。其中包括显示一段信息、刪除文档或有目的地改变数据。有些情況下,计算机病毒并沒有破坏指令的企图,但取而代之就是占据磁盘空间、中央处理器时间或网络的连接。
最初对计算机病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制,利用通信进行传播的计算机程序,借用生物学中的"病毒"一词,称之为"计算机病毒"。"计算机病毒"与医学上的"病毒"不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。由于它与生物医学上的"病毒"同样有传染和破坏的特性,因此这一名词是由生物医学上的"病毒"概念引申而来。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,其中第二十八条中明确指出:"计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码"。此定义具有法律性、权威性。
携带有计算机病毒的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。而计算机病毒的再生机制, 即它的传染机制却是使计算机病毒代码强行传染到一切可传染的程序之上,迅速地在一台计算机内,甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机,本身既是一个受害者,又是一个新的计算机病毒传染源。
感染计算机病毒的计算机往往在一定程度上丧失或部分丧失了正常工作的能力,如运行速度降低,功能失常,文件和数据丢失,同时计算机病毒通过各种可能的渠道,如软盘、光盘、计算机网络去传染其它的计算机。通过数据共享的途径,计算机病毒会非常迅速地蔓延开,若不加以控制,就会在短时间内传遍世界各个角落。可见计算机病毒防范的问题是一个全球性的问题。
随着Internet技术的发展,计算机病毒的定义正在逐步发生着变化,与计算机病毒的特征和危害有类似之处的"特洛依木马"和"蠕虫"从广义的角度而言也可归为计算机病毒。下面是这二者的特点:
所谓特洛伊木马(Trojan horse),就是一种潜伏执行非授权功能的技术,它在正常程序中存放秘密指令,使计算机在仍能完成原先指定任务的情况下,执行非授权功能。特洛伊木马的关键是采用潜伏机制来执行非授权的功能。特洛伊木马通常又称为黑客程序。
"蠕虫"(Worm)是一个程序或程序序列,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁或系统崩溃。蠕虫病毒的危害日益显著,"爱虫"(ILOVEYOU,又称情书计算机病毒)就是最近发生的影响极大的一例。
1.2电脑病毒的历史
计算机病毒的形成有着悠久的历史,并还在不断地发展。下面我们来回顾计算机病毒的产生和发展的历史。
计算机刚刚诞生,就有了计算机病毒的概念。1949年,计算机之父冯·诺依曼在《复杂自动机组织论》中便定义了计算机病毒的概念--即一种"能够实际复制自身的自动机"。 1960年,美国的约翰·康维在编写"生命游戏"程序时,首先实现了程序自我复制技术。他的游戏程序运行时,在屏幕上有许多"生命元素"图案在运动变化。这些元素过于拥挤时,会因缺少生存空间而死亡。如果元素过于稀疏会由于相互隔绝失去生命支持系统,也会死亡。只有处于合适环境的元素才非常活跃,它们能够自我复制并进行传播。
贝尔实验室的三位年轻程序员也受到冯·诺依曼理论的启发,发明了"磁心大战"游戏。玩这个游戏的两个人编制许多能自身复制、并可保存在磁心存储器中的程序,然后发出信号。双方的程序在指令控制下就会竭力去消灭对方的程序。在预定的时间内,谁的程序繁殖得多,谁就得胜。这种有趣的游戏很快就传播到其他计算机中心。
由于这种程序与生物医学上的"计算机病毒"同样具有传染和破坏的特性,所以后来就把这种具有自我复制和破坏机理的程序称为计算机病毒。
1、国外情况概述
80年代起,IBM公司的PC系列微机因为性能优良,价格便宜逐渐成为世界微型计算机市场上的主要机型。但是由于IBM PC系列微型计算机自身的弱点,尤其是DOS操作系统的开放性,给计算机病毒的制造者提供了可乘之机。因此,装有DOS操作系统的微型计算机成为病毒攻击的主要对象。
1983年出现了研究性计算机病毒报告。
1987年,世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。面对计算机病毒的突然袭击,众多计算机用户甚至专业人员都惊慌失措。
1988年3月2日,一种苹果机的计算机病毒发作,这天受感染的苹果机停止工作,只显示"向所有苹果计算机的使用者宣布和平的信息",以庆祝苹果机生日。
但计算机病毒开始大肆流行是在1988年11月2月。美国康乃尔大学23岁的研究生罗特·莫里斯制作了一个蠕虫病毒,并将其投放到美国Internet网络上,致使计算机网络中的6000多台计算机受到感染,许多联网计算机被迫停机,直接经济损失达9600万美元。
1990年1月发现首例隐藏型计算机病毒"4096",它不仅攻击程序还破坏数据文件。
1991年发现首例网络计算机病毒"GPI",它突破了NOVELL公司的Netware网络安全机制。同年,在"海湾战争"中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗的顺利进行,直至最后胜利。
1992年,多态性计算机病毒蜂拥而起,最早最著名的是"黑夜复仇者-Dark Avenger";也出现了针对杀毒软件的"幽灵"计算机病毒,如One-Half。还有一种实现机理与以往的文件型计算机病毒有明显区别的DIR2计算机病毒,该计算机病毒的传染速度、传播范围及其隐蔽性堪称所有计算机病毒之首。
1995年以后,欧美连续发现多种更高级的能变换自身代码的变形计算机病毒,如Stealth(诡秘)计算机病毒、Mutation Engine(变形金刚)、Fear(恐怖)、Satan(恶魔)、Tremor(地震)、Ghost/One-Half/3544(幽灵)计算机病毒等。特别是Mutation Engine,它遇到普通计算机病毒后能将其改造成为变形计算机病毒。这些变形计算机病毒具有多态性,多变性。
之后,计算机病毒防范专家在对众多的计算机病毒进行剖析,发现一些计算机病毒竟出于同一个家族,证实了专家们对于"计算机病毒生产机"的怀疑。1996年下半年在国内终于发现了G2、IVP、VCL三种计算机病毒生产机软件。据港报载,香港已有模仿欧美的Mutation Engine(变形金刚生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Engine)的计算机病毒生产软件,即"疯狂贵族变形金刚计算机病毒生产机",已放出了几种变形计算机病毒,其中一种名为CLME.1528。
自1996年以来,出现针对微软公司Office的Word宏(Macro)计算机病毒技术诞生并迅速发展。"宏病毒"主要感染WORD、EXCEL等文件,是自1996年9月开始在国内出现并逐渐流行的计算机病毒。如Word宏病毒,早期是用一种专门的Basic语言即Word Basic所编写的程序,后来使用Visual Basic。与其他计算机病毒一样,它能对用户系统中的可执行文件和数据文本类文件造成破坏。常见的如:Taiwan No.1(台湾一号)、Consept、Mdma等。根据1996年NCSA(National Computer Security Association:美国国家电脑安全协会)的计算机病毒感染状况调查指出,Word宏(Macro)病毒已成为北美最流行的计算机病毒。宏病毒不但可经由软盘感染,更可由电子邮件的附加档案或下载文件等网络方式来感染经常使用的文件档案。
1998年,出现针对Windows95/98系统的计算机病毒,如CIH,1998年被计算机病毒防范界公认为"CIH计算机病毒年"。CIH计算机病毒是继DOS计算机病毒、Windows计算机病毒、宏病毒后的第四类新型计算机病毒。它与DOS下的传统计算机病毒有很大不同,它使用面向 Windows 的 VXD 技术编制。1998年8月份从台湾传入国内,共有三个版本:1.2版/1.3版/1.4版,发作时间分别是4月26日/6月26日/每月26日。这是第一个直接攻击、破坏硬件的计算机病毒,破坏程度是迄今为止最严重的。它主要感染Windows 95/98的可执行程序,发作时破坏计算机Flash BIOS芯片中的系统程序,导致主板损坏,同时破坏硬盘中的数据。计算机病毒发作时,硬盘驱动器不停旋转,硬盘上所有数据(包括分区表)被破坏,必须重新 FDISK 方才有可能挽救硬盘;同时,对于部分厂牌的主板,如技嘉和微星等,会将Flash BIOS 中的系统程序破坏,造成开机后系统无反应。
1999年3月美国发生了历史上第2次重大的计算机病毒灾难。一种叫美丽杀手的邮件计算机病毒借助因特网进行了一次爆炸性传播,一天即传遍美国。大批网络由于计算机病毒的疯狂入侵,不堪重负而瘫痪。政府机关、企业、公共信息系统等损失惨重。
据国际权威机构--国际计算机安全协会的统计分析表明,世界上每天产生十多种新计算机病毒,目前的计算机病毒总数已超过二万种(此处变形计算机病毒只记一次)。计算机病毒以每年超过50%的速度增长。而在中国国内,随着对外开放的进一步深入,各种正常进口和非法拷贝的计算机软件数量迅速增加,国际上各种计算机病毒大量涌入我国。而通过互联网传播的计算机病毒真正使计算机病毒没有了国界。我国约有90%的计算机遭受过计算机病毒的攻击。
计算机病毒的发展史几乎就是计算机技术的发展史。只要计算机技术有新的发展,计算机病毒技术就立刻有新的突破。DOS操作系统上出现不久,就有了针对它的计算机病毒。随着WINDOWS的出现,很快就又出现了专门攻击WINDOWS格式文件的计算机病毒;由于微软提供了宏指令,立即有人制造了完全利用宏指令编写的计算机病毒;NT网的商业化普及,又使得专门攻击NT网络服务器的网络计算机病毒开始流行;主板厂家为方便用户,开发了无跳线、可用软件修改系统参数的计算机主板,反应敏捷的计算机病毒设计者马上使用这些刚出现的新技术编制了有名的可以毁坏计算机硬件的CIH计算机病毒。目前最令人头痛的是伴随因特网出现的邮件计算机病毒,其爆炸性的传播能力可以使其在24小时内传遍全球。因此说,只要出现了一项新的计算机技术,利用这项新技术编制的新计算机病毒就一定会随着产生。
2、国内情况概述
1989年初,大连市统计局的计算机上发现有小球计算机病毒。当年3、4月间,重庆西南铝加工厂也有了关于计算机病毒的报道。从此以后计算机病毒以极其迅猛之势在中国大陆蔓延。
据1989年11月《中国日报》报道,我国40多万台计算机系统中,约有1/10以上染有计算机病毒,而且在沿海各省市传播的范围远比内地要广泛得多。
与此同时,许多高等院校、科研机构纷纷组织技术人员研究计算机病毒防范软件。其中最具权威者当属中华人民共和国公安部的SCAN系列扫描计算机病毒软件和KILL系列的清除计算机病毒软件。
然而,计算机病毒的发展并未受到明显的抑制。1992年初,黑色星期五计算机病毒、米氏计算机病毒袭击了国内众多单位的计算机,损失较大的应属某民航飞机订票处的计算机网络,其航班资料受到严重损害,造成一片混乱。
1992年7、8月间,从国外传入的"FLIP"计算机病毒又开始在兰州一些单位的计算机中传播,这是一种危害性很大、传播相当迅速的恶性计算机病毒。当时国内尚无相应的杀毒软件可将其有效地清除。不久,"FLIP"计算机病毒蔓延至其它地区。
随后,DIR2、DIR2-3、DIR2-6、NEW DIR2计算机病毒以一种全新的面貌出现,具有感染力极强,无任何表现,不修改中断向量表的特点。它们直接修改DOS关键中断的内核,修改可执行文件的首簇数,将文件名字与文件代码主体分离,从而感染可执行文件。
计算机病毒CIH于1999年4月26日大爆发,CIH是一种主要传染Win95/98系统的恶性计算机病毒,破坏力量极为严重,不仅删除硬盘中的格式化文件,同时还将删除BIOS芯片中的系统程序。
2000年的5月4日,一种通过国际INTERNET互连网络的电子邮件功能传播的"爱虫"计算机病毒迅速在世界各地蔓延,更大规模的发作,造成全世界(包括我国在内)空前的计算机系统破坏。
1.3计算机病毒的生命周期
"计算机病毒"和生物世界的病毒一样,都是有其独特的生命周期。而"计算机病毒"的生命周期就是由以下几个步骤组成的一个循环:
创造期:当计算机病毒编制者花了数天或数周的努力研究出一些可以广为散布的程序,计算机病毒就这样诞生了。
孕育期:这些计算机病毒编制者会将这些含有计算机病毒的程序放在一些容易散播的地方。如一些计算机游戏盘片、BBS站点、Internet的FTP站点,甚至是公司或是学校的网络中等等。
潜伏感染期:在潜伏期中,计算机病毒会不断地繁殖与传染。一个完美的计算机病毒拥有很长的潜伏期,如此一来计算机病毒就有更多的时间去传播到更多的地方,一旦发作將会造成更大的危害。例如世界著名的米开朗基罗病毒,在每年三月六日发作前,有整整一年的潜伏期。
发作期:当一切条件形成之后,计算机病毒于是就开始破坏的行动。有些计算机病毒会在某些特定的日期发作,有些则自己有个倒数计时装置来决定发病的时间。虽然有些计算机病毒发作时并沒有破坏动作,但是它们仍然会占据一些系统资源,从而降低系统运作的效率。
发现期:一旦计算机病毒发作,也就是它被发现的时期。
同化期:在这一阶段,杀毒软件开发人员修改他们的软件,使之能够检测到这种新计算机病毒。时间的长短依赖于开发者的情况和计算机病毒类型。
根除期:如果有相应防范功能的软件能够检测及控制这些计算机病毒,并且使用了这些软件,那么这些计算机病毒就有可能被根除。虽然到目前为止,并没有人敢宣称某一计算机病毒已经完全绝迹,但是有些计算机病毒已经很明显地的被完全制止了--如早期的Disk Killer等。
1.4计算机病毒的特征
计算机病毒与生物病毒有许多相似之处,同样有以下一些特性:
1.4.1传染性
1.4.2隐蔽性
1.4.3潜伏性
1.4.4破坏性
1.4.5针对性
1.4.6衍生性
1.4.7寄生性
1.4.8不可预见性
1.4.1传染性
我们在前面介绍计算机病毒定义时就已提到,传染性是计算机病毒最重要的特性;这一点与生物病毒的一致的。
传染性是生物病毒的一个重要特征。通过传染,计算机病毒从一个生物体扩散到另一个生物体。在适宜的条件下,它得到大量繁殖,并进而使被感染的生物体表现出病症甚至死亡。同样地,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征--传染和破坏。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,就与系统中的程序连接在一起,并不断地去传染(或连接、或覆盖)其它未被感染的程序。
正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而计算机病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了计算机病毒时,往往曾在这台计算机上用过的软盘已感染上了计算机病毒,而与这台机器相联网的其他计算机也许也被该计算机病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而计算机病毒具有正常程序的一切特性,但它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,计算机病毒的动作、目的对用户时未知的,是未经用户允许的。
1.4.2隐蔽性
计算机病毒通常附在正常程序中或磁盘较隐蔽的地方,目的是不让用户发现它的存在。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序是不容易区别开来的。在没有防护措施的情况下,计算机病毒程序经运行取得系统控制权后,可以在不到1秒钟的时间里传染几百个程序,而且在屏幕上没有任何异常显示。这种现象就是计算机病毒传染的隐蔽性。正是由于这隐蔽性, 计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。
计算机病毒的隐蔽性表现在两个方面:
一是传染的隐蔽性,大多数计算机病毒在进行传染时速度是极快的,一般不具有外部表现,不易被人发现。许多计算机用户对计算机病毒没有任何概念,更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果,还以为是来自计算机系统,事实上,很可能这是计算机病毒正在损害他们的系统、制造灾难。
如磁盘杀手(Disk Killer)计算机病毒,当它破坏磁盘数据时,屏幕上显示如下信息:"Disk Killer Version 1.00 by Ogre Software, April 1,1989。 Don't turn off the power or remove the diskette while processing。"其中第一句的含义是:"磁盘杀手1.00版 OgreSoftware公司1989年4月1日出版。"第二句的含义是:"在处理过程中不要关机或取出磁盘。"接着屏幕上显示出"PROCESSING"意思是"正在处理"这时DiskKiller计算机病毒锁定键盘,对磁盘上的数据做加密变换处理。计算机的处理速度是很快的,当你在屏幕上见到上述显示信息时,已经有很多数据被计算机病毒破坏掉了。
二是计算机病毒程序存在的隐蔽性,被计算机病毒感染的计算机在多数情况下仍能维持其部分功能,不会由于一感染上计算机病毒,整台计算机就不能启动了,或者某个程序一旦被计算机病毒所感染,就被损坏得不能运行了。如果出现这种情况,计算机病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后,其原有功能基本上不受影响,计算机病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地破坏系统,导致整个系统的瘫痪。计算机病毒的代码设计得非常精巧而又短小。典型的是Tiny家族。这个家族的计算机病毒都很短小,最小的计算机病毒代码长度只有133字节。一般PC机对DOS文件的存取速度可达每秒100KB以上,所以计算机病毒将这短短的几百字节感染到正常程序之中所花的时间只是转瞬之间,非常不易被察觉。
1.4.3潜伏性
大部分的计算机病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块,在此期间,它就可以对系统和文件进行大肆传染。潜伏性愈好,其在系统中的存在时间就会愈久,计算机病毒的传染范围就会愈大。
在潜伏期间计算机病毒程序不用专用检测程序是一般检查不出来的,因此计算机病毒可以静静地躲在磁盘或磁带里,一旦条件满足就会发作。计算机病毒是靠一定的触发条件进行发作的,不满足触发条件时,计算机病毒除了传染外不做什么破坏。一旦触发条件得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统崩溃等。
计算机病毒使用的触发条件主要有以下三种。
1、利用计算机内的时钟提供的时间作为触发器,这种触发条件被许多计算机病毒所采用,触发的时间有的精确到百分之几秒,有的则只区分年份。
2、利用计算机病毒体内自带的计数器作为触发器计算机病毒利用计数器记录某种事件发生的次数,一旦计数器达到某一设定的值,就执行破坏操作。这些事件可以是计算机开机的次数,可以是计算机病毒程序被运行的次数,还可以是从开机起被运行过的总的程序个数等。
3、利用计算机内执行的某些特定操作作为触发器特定操作可以是用户按下某种特定的键组合,可以是执行格式化命令,也可以是读写磁盘的某些扇区等。
计算机病毒所使用的触发条件是多种多样的, 而且往往不只是使用上面所述的某一条件,而是使用由多个条件组合起来的触发条件。大多数计算机病毒的组合触发条件是基于时间的,再辅以读、写盘操作、按键操作以及其它条件。
1.4.4破坏性
任何计算机病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。这些都取决于计算机病毒编制者的意愿。
几乎由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。共有如下几个方面:
攻击系统数据区,攻击部位包括:引导扇区、FAT表、文件目录;攻击文件;攻击内存;干扰系统运行,如:无法操作文件、重启动、死机等;导致系统性能下降;攻击磁盘,造成不能访问磁盘、无法写入等;扰乱屏幕显示;干扰键盘操作;喇叭发声;攻击CMOS;干扰外设,如无法访问打印机等。
1.4.5针对性
计算机病毒都是针对某一种或几种计算机和特定的操作系统。例如,有针对PC及其兼容机的,有针对Macintosh的,还有针对UNIX和Linux操作系统的。
只有一种计算机病毒几乎是与操作系统无关的,那就是宏病毒,所有能够运行Office文档的地方都有宏病毒的存在。
1.4.6衍生性
计算机病毒的衍生性是指计算机病毒编制者或者其他人将某个计算机病毒进行一定的修改后,使其衍生为一种与原先版本不同的计算机病毒,后者可能与原先的计算机病毒有很相似的特征,这时我们称其为原先计算机病毒的一个变种,如果衍生的计算机病毒已经与以前的计算机病毒有了很大甚至根本性的差别,此时我们就会将其认为是一种新的计算机病毒。新的计算机病毒可能比以前的计算机病毒有更大的危害性。
由于宏病毒的编写和修改比其它计算机病毒更容易,而且大部分计算机病毒宏处于可打开阅读修改状态。用户可以看到并更改计算机病毒激活条件和破坏条件,就生产出了一种新的宏病毒,甚至比原计算机病毒的危害更加严重。这也是近年来宏病毒的发作频率占所有计算机病毒的60%以上的主要原因之一。
1.4.7寄生性
计算机病毒的寄生性是指,一般的计算机病毒程序都是依附于某个宿主程序中,依赖于宿主程序而生存,并且通过宿主程序的执行而传播。
蠕虫和特洛依木马程序则是例外,它们并不是依附于某个程序或文件中,其本身就是完全包含有恶意的计算机代码,这也是二者与一般计算机病毒的区别。所以,所有的计算机病毒防范软件发现此类程序后的唯一解决方法是将其删除并修改相应的系统注册表。
1.4.8不可预见性
计算机病毒的不可预见性体现在两个方面:
首先是计算机病毒的侵入、传播和发作是不可预见的,有时即使安装了实时计算机病毒防火墙,也会由于各种原因造成不能完全阻隔某些计算机病毒的侵入,事实上,任何软件都不能完全确保整个系统在任何时候没有任何计算机病毒,所以对于计算机病毒防护人员而言永远没有高枕无忧的时候。
其次,计算机病毒的发展速度远远超出了我们的想象,根据国际权威机构ICSA(国际计算机安全协会)的统计报告显示,1999年第一季度的计算机病毒数量是1998年同期的两倍,更是1997年的三倍。而且,计算机病毒的编制技术也是日新月异,各种新计算机病毒的出现不断给计算机病毒防范软件提出了新的挑战,从这一点上看,计算机病毒防范软件似乎永远滞后于计算机病毒的发展,因此,新计算机病毒也许会永远不断地涌现,这一点在我们的预料之中,但是如何出现以及如何防范却是永远不可预料。
1.5 计算机病毒的传播途径
计算机病毒具有自我复制和传播的特点,因此,研究计算机病毒的传播途径是极为重要的。从计算机病毒的传播机理分析可知,只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。传统的手工传播计算机病毒的方式与现在通过Internet传播相比速度要慢得多。
根据ICSA对于1999年计算机病毒传播媒介的统计报告显示,电子邮件已经成为最重要的计算机病毒传播途径,此外,传统的软盘、光盘等传播方式也占据了相当的比例,而其他通过互联网的计算机病毒传播途径近年来也呈快速上升趋势。传播途径的比例大致如下表:
下面我们就来分析这些传播途径:
1、不可移动的计算机硬件设备
即利用专用集成电路芯片(ASIC)进行传播。这种计算机病毒虽然极少,但破坏力却极强,目前尚没有较好的检测手段对付。
2、移动存储设备(包括软盘、磁带等)
可移动式磁盘包括软盘、CD-ROMs、ZIP和JAZ磁盘,后两者仅仅是存储容量比较大的特殊磁盘。其中软盘是使用广泛、移动频繁的存储介质,因此也成了计算机病毒寄生的"温床"。盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径。随着大容量可移动存储设备如Zip盘、可擦写光盘、磁光盘(MO)等的普遍使用,这些存储介质也将成为计算机病毒寄生的场所。
硬盘是现在数据的主要存储介质,因此也是计算机病毒感染的重灾区。硬盘传播计算机病毒的途径体现在:硬盘向软盘上复制带毒文件,带毒情况下格式化软盘,向光盘上刻录带毒文件,硬盘之间的数据复制,以及将带毒文件发送至其他地方等。
3、网络
网络是由相互连接的一组计算机组成的,这是数据共享和相互协作的需要。组成网络的每一台计算机都能连接到其他计算机,数据也能从一台计算机发送到其他计算机上。如果发送的数据感染了计算机病毒,接收方的计算机将自动被感染,因此,有可能在很短的时间内感染整个网络中的计算机。
局域网络技术的应用为企业的发展作出巨大贡献,同时也为计算机病毒的迅速传播铺平了道路。
特别是国际互联网,已经越来越多地被用于获取信息、发送和接收文件、接收和发布新的消息以及下载文件和程序。随着因特网的高速发展,计算机病毒也走上了高速传播之路,已经成为计算机病毒的第一传播途径。除了传统的文件型计算机病毒以文件下载、电子邮件的附件等形式传播外,新兴的电子邮件计算机病毒,如"美丽莎"计算机病毒,"我爱你"计算机病毒等则是完全依靠网络来传播的。甚至还有利用网络分布计算技术将自身分成若干部分,隐藏在不同的主机上进行传播的计算机病毒。
以上的所有操作是基于遍布全球的数百万台计算机互联进行数据的传输。这意味着您在接收数据的同时,也有可能接收一个隐藏于其中的计算机病毒。其感染计算机病毒的途径有以下几种:
电子邮件:计算机病毒主要是以附件的形式进行传播,由于人们可以将任何类型的文件做为附件发送,而大部分计算机病毒防护软件在这方面的功能也不是十分完善,使得电子邮件成为当今世界上传播计算机病毒最主要的媒介。
BBS:BBS作为深受大众欢迎的栏目存在于网络中已经有相当长的时间,在BBS上用户除了可以讨论问题外,还能够进行各种文件的交换,加之BBS一般没有严格的安全管理,甚至有专门讨论和传播计算机病毒技术的BBS站点,使之成为计算机病毒传播的场所。
WWW浏览:您可能已经发现,现在的网页比起以往来要漂亮的多,这全要拜Java Applets和ActiveX Control所赐,但是,只要是任何可执行的程序都可能被计算机病毒编制者利用,上述二者也没有能逃脱,目前互联网上已经有一些利用Java Applets和ActiveX Control编写的计算机病毒,因此,WWW浏览感染计算机病毒的可能性也在不断地增加。
FTP文件下载:FTP的含义是文件传输协议。通过这一协议,您可以将文件放置到世界上的任何一台计算机上,或者从这些计算机中将文件复制到您本地的计算机中,这一过程就称为下载。当然,这些下载文件可能被恶意的计算机病毒代码感染。
新闻组:通过这一服务,您可以与世界上的任何人讨论某个话题,或选择接收您感兴趣的有关的新闻的邮件。这些信息当中包含的附件有可能使您的计算机感染计算机病毒。
4、通过点对点通信系统和无线通信系统传播
可以预见随着WAP等技术的发展和无线上网的普及,通过这种途径传播的计算机病毒也将占有一定的比例。
1.6计算机病毒的主要危害
计算机病毒也是软件程序,对于计算机的危害取决于计算机病毒编制者的意图,它们能够做任何其他程序可以作用于计算机的操作。下面让我们分析一下计算机病毒的危害和由此产生的症状。
(1) 攻击系统数据区
硬盘主引寻扇区(MBR)、引导扇区、文件分配表(FAT)、文件目录。一般来说,攻击系统数据区的计算机病毒是恶性计算机病毒,受损的数据不易恢复。
(2) 对于文件的攻击
计算机病毒可以对文件进行删除、重命名、更换内容、修改部分代码等操作,受到攻击的文件一般是无法修复的。
(3) 影响系统运行速度, 使系统的运行明显变慢。
计算机病毒可以占用各种系统资源,如CPU、硬盘资源、内存等,因此造成系统运行速度下降、反应变慢。
(4) 破坏磁盘
计算机病毒可以控制系统对于磁盘的操作,造成的影响包括格式化磁盘、无法写入、写入时数据丢失等。
(5) 扰乱屏幕显示
计算机病毒扰乱屏幕显示的方式很多,比如:字符倒置、屏幕抖动、图形翻转显示等。
(6) 键盘和鼠标工作不正常
(7) 包括键盘和鼠标封锁、键盘字符混乱、抹掉缓冲区字符等。
(8) 攻击CMOS
计算机的CMOS区域中保存着系统时钟、磁盘类型等重要数据,某些恶性计算机病毒会破坏系统CMOS中的数据,使系统工作不正常。但是有一个认识的误区需要纠正,那就是CMOS中是不可能存在计算机病毒的。
(9) 干扰外设的工作,尤其是打印机
计算机病毒可以封锁打印机,造成无法打印。也可能造成打印时出现乱码的现象。
此外,特洛依木马和蠕虫的危害与一般计算机病毒还是有所不同的,特洛依木马潜伏于被害者的计算机中,可以窃取文件和其他重要信息。而蠕虫则通过邮件系统传播,它将会对邮件服务器造成一种DoS(拒绝服务)的攻击。
随着计算机病毒的发展,可能还会有更多的危害出现,
1.7计算机病毒的分类
1.7.1 文件型计算机病毒
1.7.2 引导型计算机病毒
1.7.3 宏病毒
1.7.4 目录(链接)计算机病毒
目前,由于计算机网络及其现代通信技术的发展,从而,使病毒的含义有所扩展,一般将病毒、网络蠕虫、黑客有害程序"Trojan Horse(特洛衣木马)"等都称为"病毒"。
根据哦染色国际计算机安全协会的统计结果,截至1999年底,全世界的计算机病毒总数超过了两万种,其中多态计算机病毒只统计了一次。随着新计算机病毒的不断涌现,计算机病毒的分类可能也会不断增加。
计算机病毒的分类方法有许多种,比如可按照计算机病毒的破坏性质划分、根据计算机病毒所攻击的操作系统划分、根据计算机病毒的传播方式划分等,但是按照最通用的区分方式,即根据其感染的途径以及采用的技术区分,计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录(链接)型计算机病毒。下面我们分别看一下这些计算机病毒的特点:
1.7.1文件型计算机病毒
这类计算机病毒感染可执行文件(包括EXE和COM文件)。一旦直接或间接地执行了这些受计算机病毒感染的程序,计算机病毒就会按照编制者的意图对系统进行破坏,这些计算机病毒还可细分为以下类别,而且,可能随着它们的发展分类也会增加:
驻留型计算机病毒:一旦此类计算机病毒被执行,它们会先检查当前系统是否满足事先设定好的一系列条件(包括日期、时间等)。如果没有满足,它们就会在内存中"等候"其他程序的执行。此间,如果操作系统执行了某个操作,某个未感染计算机病毒的文件(或程序)被调用,计算机病毒就会将其感染,这一步骤是通过将其本身的恶意代码添加到源文件中实现的。
主动型计算机病毒:此类型计算机病毒被执行时,它们会主动地试图复制自己(即拷贝自身的代码)。一旦某种条件满足后,它们就会主动地去感染当前目录下以及在autoexec.bat文件(该文件总是位于根目录下,它负责在计算机引导时执行某些特定的动作)中指定的路径下的文件。 对于这类计算机病毒,比较容易清除带毒文件中的恶意代码并将其还原到初始的正常状态。
覆盖型计算机病毒:顾名思义,此类计算机病毒的特征是计算机病毒将会覆盖其所感染文件中的数据,也就是说,一旦某个文件感染了此类计算机病毒,即使将带毒文件中的恶意代码清除掉,至少文件中被其覆盖的那部分内容永远不能恢复。某些覆盖型计算机病毒是常驻内存的。对于这类计算机病毒而言,尽管文件不能恢复,但还是可以清除其中的计算机病毒代码,这样做有可能恢复一部分数据。
伴随型计算机病毒:为了达到感染的目的,伴随型计算机病毒可以驻留在内存中等候某个程序执行(此时表现为驻留型计算机病毒)或者直接复制自己(此时表现为主动型计算机病毒)。与覆盖型计算机病毒和驻留型计算机病毒不同,伴随型计算机病毒不会修改其所感染的文件。当操作系统工作时,它将会调用某些程序,如果有两个同名但扩展名不同的文件(一个是exe文件,另一个为com文件),操作系统总是会先调用com文件。
伴随型计算机病毒利用了操作系统的这一特性,如果有一个可执行的exe文件,计算机病毒将会创建另外一个文件名相同,但扩展名为com的文件,这样做可以迷惑用户。新的文件其实就是计算机病毒本身的代码。如果操作系统发现系统中有两个同名文件,将会先执行com文件,因此就会执行计算机病毒代码。一旦计算机病毒被执行,它将会将控制权交还给操作系统以便执行原先的exe文件。通过这种方式,用户永远也不会知道计算机病毒已经被激活。
1.7.2引导型计算机病毒
引导型计算机病毒影响软盘或硬盘的引导扇区。引导扇区是磁盘中至关重要的部分,其中包含了磁盘本身的信息以及用以引导计算机的一个程序。
引导型计算机病毒不会感染文件,也就是说如果某个软盘感染了引导型计算机病毒,但是只要不用它去引导计算机,其中的数据文件将不会受影响。
如果用带有引导型计算机病毒的软盘引导计算机,它们就是通过以下步骤感染系统:
1. 它会首先在内存中保留一个位置以便其他程序不能占用该部分内存。
2. 然后计算机病毒将自己复制到该保留区域。
3. 此后,计算机病毒就会不断截取操作系统服务。每次当操作系统调用文件存取功能时,计算机病毒就会夺取系统控制权。它首先将检查被存取得文件是否已经被感染了计算机病毒,如果没有感染,计算机病毒就会执行复制恶意代码的操作。
4. 最后,计算机病毒会将干净的引导扇区内容写回到其原先的位置,并将控制权交换给操作系统。通过这种方式,用户将觉察不到有任何异样发生,尽管计算机病毒还会继续发作。
引导型计算机病毒通常通过受计算机病毒感染的软盘进行感染,因此,避免感染的最好办法是将您的写保护您的软盘。
1.7.3宏病毒
前面我们提到的计算机病毒都是感染可执行文件(exe或com文件),而宏病毒与之不同,宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件,这些类型的文件都能够在文件内部嵌入宏(macro)。它们不依赖于操作系统,但是可以使用户在文档中执行特定的操作。这些小程序的功能有点类似于批命令,能够执行一系列的操作,而看上去就象是只执行了一个命令一样,因此可以节省用户的时间。
宏作为一种程序,同样可以被感染,因此也成为计算机病毒的目标。当某个文档中的宏被打开后,它们会被自动加载并立即执行(或根据用户的需要以后执行),计算机病毒就可以按照程序所设计的意图执行相应的动作。需要十分注意的是,宏病毒的传播速度极为迅速并能带来极大的危害。
1.7.4目录(链接)计算机病毒
文件是指各种文档(文本、数据库、电子表格、图像、声音等)、程序以及运行程序所需的其他元素。在计算机中需要目录(或称文件夹)将这些信息组织在一起,目录(或称文件夹)中又包含子目录(或子文件夹)。通过这种结构,磁盘就象一个大的档案柜,文件则存贮在不同的抽屉之中。
操作系统总是会不断读取计算机中的这些文件信息,包括文件名及其存储位置信息。操作系统会赋予每个文件一个文件名和它的存储位置,然后,当用户每次使用该文件时就会调用这些信息。
目录(链接)计算机病毒会修改文件存储位置信息以达到传染的目的。操作系统运行程序时会立即寻找此程序的地址,然而,这类计算机病毒在操作寻找地址前获得地址信息,然后它会修改地址并指向计算机病毒的地址,并将正确的地址保存在其他地方。因此,当用户运行目标程序时,事实上是执行了计算机病毒程序。
此类计算机病毒能够修改硬盘上存储的所有文件的地址,因此能够感染所有这些文件。尽管目录(链接)计算机病毒不能感染网络驱动器或将其代码附加在受感染的文件中,但是它确实能够感染所有的硬盘驱动器。如果用户使用某些工具(如SCANDISK或CHKDSK)检测受感染的磁盘,会发现大量的文件链接地址的错误,这些错误都是由此类计算机病毒造成的。但是,发现这种情况后不要试图用上述软件去修复,否则情况会更糟,因为这样做只会造成整个系统真正的混乱,其后果比计算机病毒本身产生的结果更坏!
第二章 计算机病毒的发展趋势 返回
2.1 计算机病毒的新特点
2.1.1 基于"视窗"的计算机病毒越来越多
2.1.2 新计算机病毒种类不断涌现,数量急剧增加
2.1.3 计算机病毒传播途径更多,传播速度更快
2.1.4 计算机病毒造成的破坏日益严重
2.1.5 电子邮件成为计算机病毒传播的主要媒介
随着计算机软硬件水平的不断发展,近年来,计算机病毒技术也是突飞猛进。计算机病毒对于人类造成的影响已经越来越大。据来自"Security Portal"的报告,排在1999年计算机安全问题第一位的就是计算机病毒事件,而与计算机病毒相关的黑客问题也在其中占有相当大的比例。
下面从计算机病毒的表现术角度分析计算机病毒的新特点:
2.1.1 基于"视窗"的计算机病毒越来越多
随着微软视窗--Windows操作系统的市场占有率居高不下,使得针对这些系统的计算机病毒数越来越多,近年来,攻击计算机的计算机病毒绝大多数都是针对Windows操作系统。另外一个很重要的原因是Windows操作系统本身也存在比较多的安全漏洞,微软1999年发布的Windows补丁程序是1998年的两倍;其Internet Explorer浏览器、Web 服务器、Windows NT以及邮件系统都存在许多漏洞,而且随着新版本的不断发布,勿庸置疑的是补丁数还会不断增加。
2.1.2 新计算机病毒种类不断涌现,数量急剧增加
这两年来,基于互联网进行传播的计算机病毒出现了许多新的种类,比如包含恶意ActiveX Control和Java Applets的网页、电子邮件计算机病毒、蠕虫、黑客程序。而且,最近甚至出现了专门针对手机和掌上电脑的计算机病毒。
同时,计算机病毒的数量急剧增加,据ICSA的统计,现在每天有超过20种新计算机病毒出现,因此每年就有8000种左右的新计算机病毒出现,这个数目几乎与截至1997年为止世界上计算机病毒的总数相同。因此,计算机病毒对于计算机的威胁越来越大。
2.1.3 计算机病毒传播途径更多,传播速度更快
最初,计算机病毒主要通过软盘、硬盘等可移动磁盘传播,但随着新技术的发展,现在计算机病毒已经可以通过包括大容量移动磁盘(ZIP、JAZ)、光盘、网络、Interet、电子邮件等多种方式传播,而且仅Internet的传播方式又包括WWW浏览、IRC聊天、FTP下载、BBS论坛等。
由于互联网的触角已经遍及世界每一个角落,接入互联网的任何两台计算机都可以进行通讯,因此,也为计算机病毒的传播打开了方面之门。依赖于互联网的便利,现在的计算机病毒传播速度已远非原先可比,尤其是一些蠕虫病毒,它们借助于电子邮件系统,几乎以不可思议的速度传播,以I Love You(情书病毒)为例,2000年5月4日凌晨在菲律宾计算机病毒开始发作,到傍晚已经感染了地球另一端美国的数十万台计算机,这一点也许连计算机病毒编制者都想不到。
2.1.4 计算机病毒造成的破坏日益严重
CIH计算机病毒在全球造成的损失估计是10亿美元,而受2000年5月I Love You情书计算机病毒的影响,全球的损失预计高达100亿。
对于某个行业的用户,计算机病毒造成的损失又如何呢?据来自Compuware/ABC的报告,系统每当机一小时,包括证券公司、信用卡公司、电视机构、国际航运公司、邮购公司在内,其损失都在650万美元以上,而对于Internet公司,尚无人能统计其损失。
2.1.5 电子邮件成为计算机病毒传播的主要媒介
1999年ICSA的统计报告显示,电子邮件已经成为计算机病毒传播的主要媒介,其比例占所有计算机病毒传播媒介的56%。由于电子邮件可附带任何类型的文件,因此,几乎所有类型的计算机病毒都可通过它来进行快速传播。而且,随着计算机病毒编制技术的不断发展,通过此种方式传播计算机病毒变得更加容易;不久前出现的名为BubbleBoy的计算机病毒无需用户打开附件就能够感染用户的计算机系统,事实上,该计算机病毒根本就没有附件,它是一个HTML格式的文件,如果用户的邮件可自动打开HTML格式的邮件,则该计算机病毒就会立刻感染用户的系统。
2.2 新型计算机病毒的技术特征
2.2.1 Java & ActiveX
2.2.2 计算机病毒的技术特征
2.2.1 Java & ActiveX
传统型计算机病毒的共同特色,就是一定有一个「宿主」程序,所谓宿主程序就是指那些让计算机病毒藏身的地方。最常見的就是一些可执行文件,如后缀名为.EXE及.COM的文件。但是由于微软的WORD愈来愈流行,且WORD所提供的宏功能又很強,使用WORD宏写出来的计算机病毒也愈來愈多,也因此后缀名为.DOC的也会成为宿主程序。尤其是这些年来,宏病毒可真的算是红透半边天了,只要提到Taiwan NO.1,那可说是无人不知,无人不晓。相对于传统计算机病毒,新型计算机病毒完全不需要宿主程序,如果硬要说它寄生在哪里,或许只能说它是寄生在「Internet」上吧。
事实上,如果Internet上的网页只是单纯用HTML写成的话,那么要传播计算机病毒的机会可说是非常小了。但是,为了让网页看起来更生动,更漂亮,许多語言也纷纷出笼,其中最有名的就属JAVA和ActiveX了,不幸的是,这两种语言都相继地被"有心人士"利用,成为新型计算机病毒的温床。JAVA和ActiveX的执行方式是把程序代码写在网页上,当你连上这个网站时,浏览器就把这些程序代码抓下来,然后用使用者自己系统资源去执行它。可是如此一来,使用者就会在神不知鬼不觉的情况下,执行了一些来路不明的程序。
回头看传统型计算机病毒,计算机病毒是寄生在可执行的程序代码中,伺机对系统进行破坏,因为计算机病毒本身也就是一段可执行的程序代码。也因此,在以往计算机病毒都是存在于可执行文件中。但是,宏病毒的流行,让人对这个定义有了疑问,而其实并不相干,因为所谓的宏病毒,也只是利用文件中的宏写成的,而宏本身也是可执行的程序,当然也能成为计算机病毒的温床!現在再来看看新型计算机病毒,它就是利用网页编写所用的JAVA或ActiveX语言。由这些语言可以写出一些可执行的程序,而当使用者浏览网页时,就会下载它们并在系统里执行。
现在,ActiveX 和JAVA可以让我们欣赏动感十足的网页,可是新的危机却悄然而至,Internet 居然成为新型计算机病毒的最佳传媒。它们不需要像传统计算机病毒需要找个宿主程序感染,等待特定条件成熟后才开始破坏工作,而会在你防不甚防时侵入你的硬盘,刪除或破坏你的文件,更有甚者会让你的计算机完全瘫痪。
有一个ActiveX 控件计算机病毒被称之为"Exploder" ,它会关闭微软的Windows 95,且如果你的电脑有省电保护的BIOS时,它还会自动关掉电脑。尽管这个感染后果并不及严重,但这个控制功能却说明了这些新计算机病毒的控制能力有多强。任何工作站,不管是Mac、PC、Unix,或是VAX,甚至即使在工作站及Internet之间有防火墙在,仍然有被感染的危险。
更严重的是,像这样具有安全破坏性的,不只是Active X 而已,Java语言也被认为有类似的情形出現。由Java所撰写的Application macros、Navigator plug-ins及Macintosh应用程式等都可能包含恶意程序代码。
诸如此类的计算机病毒感染过程,比传统的计算机病毒感染的层面大得多。电脑计算机病毒过去被认定为是一段恶意代码,而它的扩散是通过自我复制并经由可执行文件所感染的,而現在有些计算机病毒却是在未知情况下所做的一些动作而感染传播的,例如从FTP下载文件或是读取e-mail的附件等。 隐藏在ActiveX控件及 Java applets下的计算机病毒,它的传播方式并不需要使用者做些特別的动作,所以現在,即使随意在网站间遨游也很危险。
2.2.2 计算机病毒的技术特征
一个程序要得到运行,首先要由操作系统把它从存储介质调入到内存中,然后才能运行它,完成计算或处理任务。在PC机环境中,被运行的程序通常是从软盘或硬盘中调入到内存中的。除了特别设计的内存驻留型程序外,一般的程序在运行结束之后,就将其在运行期间占用的内存全部返回给系统,让下一个运行的程序用。
计算机病毒是一种特别设计的程序,因此它使用内存的方式与常规程序使用内存的方式很有共同之处,但也有其特点,这要按计算机病毒的类型来讨论。研究这个问题有利于计算机病毒的诊治。
引导型计算机病毒是在PC机启动时从磁盘的引导扇区被ROM BIOS中的引导程序读入内存的。正常的引导扇区被ROM BIOS读入内存后,该扇区中的引导程序在完成对DOS系统的加载之后,自动被覆盖掉了,在内存中是不留下任何踪迹的。而引导型计算机病毒则不能像正常引导程序那样被覆盖掉,否则DOS系统刚刚加载成功,计算机病毒体已被覆盖,就无法继续去传染了。因此,各种引导型计算机病毒全都是驻留内存型的,检测程序可以通过各种方法发现引导型计算机病毒在内存中的栖身之处。小球、大麻、米开朗琪罗计算机病毒等各种引导型计算机病毒的共同特性,就是在把控制权转交到正常引导程序去做进一步的系统启动工作之前,首先把自身搬移到内存的高端,即RAM区的最高端,为以后进一步去做传染工作找到一块栖身之地。常见的程序有如下的形式:
PUSH CS
POP DS
XOR SI, SI
XOR DI,DI
MOV CX,0200
CLD
REPZ
MOVSB
这几句汇编语句用于完成计算机病毒代码的搬移,其它的方法还可以用MOV语句或STOSB语句。认识了这种代码,对于识别计算机病毒,特别是未知的新计算机病毒是会有帮助的。要注意,这里没有列出给附加段ES段寄存器赋初值的汇编语句。段寄存器ES指向内存高端地址,而具体的地址是随PC机及计算机病毒型号的不同而不同。
引导型计算机病毒被加载到内存,自动搬移到内存高端时,DOS系统还没有被加载,内存的管理是靠ROM BIOS进行的。ROM BIOS的数据区中有一个单元记录着PC中的全部可用RAM容量,以KB为单位。作为PC机兼容性指标,内存地址0∶413(或写成40∶13,均以十六进制表示) 的2个字节组成字就是内存容量记录单元。DOS也是根据这个字来计算可用内存容量的。在640KB基本内存的PC机上,这个字应为280H,在基本内存为512KB的PC机上,这个字应为200 H。
引导型计算机病毒利用修改这个单元来减小DOS可用内存空间,自身隐藏在被裁减下来的高端内存中。计算机病毒程序修改ROM BIOS数据单元40∶13的方法有好几种,这里不再一一列出了。
引导型计算机病毒占据高端内存的大小各有不同,例如:
小球计算机病毒 2KB
大麻计算机病毒 2KB
6.4计算机病毒 2KB
香港计算机病毒 1KB
SSI 2631KB GenP 2KB
巴基斯坦智囊计算机病毒 7KB
由于40∶13单元是以KB为单位的可用RAM总数,故40∶13单元的值减1,计算机病毒就能占用1KB内存,40∶13单元的值减2,计算机病毒就能占用2KB内存。
引导型计算机病毒总是以驻留内存的形式进行感染的。 利用DOS的CHKDSK程序可以发现PC机可用内存总数减少,用PCTOOLS程序也可以发现。用DEBUG程序则不仅可以发现内存被减少了,还能发现计算机病毒在内存的具体位置,还能确诊是何种计算机病毒隐藏在那里,当然这要求具备有关计算机病毒的更多知识以及DOS系统的更多知识。
当发现PC机可用的RAM不足640KB时,就像PC机工作不正常不一定是由计算机病毒造成的一样,并不能断定减少了的内存一定被计算机病毒占用了。某些型号的PC机,如某些Compaq机,某些长城0520机,640KB被ROM BIOS占用了1KB,使可用RAM只剩639KB。因此,当发现内存减少时,应仔细查证原因,不必立刻下结论。
与引导型计算机病毒不同,当文件型计算机病毒能被加载到内存时,内存已在DOS的管理之下了。文件型计算机病毒按使用内存的方式也可以划分成二类: 一类是驻留内存的,另一类是不驻留内存的计算机病毒。其中驻留内存的计算机病毒占已知计算机病毒总数的一大半。
不驻留内存的计算机病毒有维也纳DOS648,Taiwan,Syslock,W 13等,这些不驻留内存的计算机病毒既可以只感染COM型文件也可只感染EXE型文件。它们采用的感染方法是被运行一次,就在磁盘里寻找一个未被该计算机病毒感染过的文件进行感染。当程序运行完后,计算机病毒代码连同载体程序一起离开内存,不在内存中留下任何痕迹。这一类计算机病毒是比较隐蔽的,但其传染和扩散的速度相对于内存驻留型是稍差一些的。检测这类计算机病毒要到磁盘文件中去查找而不必在内存中查找。
驻留内存的文件型计算机病毒就太多了,比如1575、DIR 2、4096、新世纪、中国炸弹和旅行者1202等。这类计算机病毒中有只感染COM型文件的,有只传染EXE型的;还有COM、EXE两种文件都传染的,还有除文件外还感染主引导扇区的。这些文件型计算机病毒与引导型计算机病毒有很大差别,不仅驻留内存的地址有高端RAM区的,有低端RAM区的,而且驻留内存的方式和与DOS的连接方式也是多种多样的。
采用DOS的中断调用27H和系统功能调用31H,文件型计算机病毒可以驻留在内存中。这种情况下,计算机病毒就驻留在它被系统调入内存时所在的位置,往往是在内存的低端,像其它TSR内存驻留程序一样。用DOS的MEM程序和PCTOOLS中的MI内存信息显示程序或其它内存信息显示程序不仅可以看到这类程序驻留在内存中,而且还可以检查出这类程序接管了哪些系统中断向量。要注意的是,某些采用STEALTH隐形技术的计算机病毒并不修改DOS中断也能进行传染工作。
与1808这种利用DOS中断驻留内存的计算机病毒不一样,很多新出现的计算机病毒采用了直接修改MCB的方法,以不易被MEM、MI和计算机病毒防范软件察觉的方式驻留内存。因为计算机病毒防范软件可以通过接管DOS中断21H的方法来过滤所有驻留内存的申请,为躲避监视,计算机病毒采用了更隐蔽的技术。修改MCB的操作仅用30条汇编语句就可以完成,而且这是在计算机病毒体内完成的,系统无法感知到计算机病毒的这一系列转瞬间完成的操作,故往往可以躲开计算机病毒防范软件的监视。利用直接修改MCB的技术,计算机病毒可以驻留在内存的低端,像常规TSR程序一样,也可以将自身搬到高端RAM去,这样既不易被内存信息显示程序查到,又使DOS察觉不到可用总内存减少。1575、4096等计算机病毒都是这样处理驻留内存问题的。
知道了驻留型计算机病毒的手段,计算机病毒防范软件就能找到更好的对付它们的方法。常规的程序需要内存空间时,都是名正言顺地通过DOS中断申请内存,而不必采用这种得不到系统支持的、不安全的和偷偷摸摸的手段来自行管理内存。检测到这种行为,应考虑是否有计算机病毒使用STEALTH技术的可能,辅以ACTIVITY TRAP行为跟踪等计算机病毒防范技术,往往能准确地判定内存中的计算机病毒。
随着PC机硬件技术的发展,286、386等AT级PC机都配置了1MB以上的内存,虽然在DOS直接管理之下仍然只有640KB的可用RAM空间,但越来越多的程序注意到1MB以上高位RAM区的丰富资源,并利用EMS和XMS等扩展内存管理规范或自行管理的方法去使用扩展内存。某些新计算机病毒也向这方面发展,把自身装到更隐蔽的地方进行感染和破坏活动。计算机病毒防范软件在内存中扫描计算机病毒踪迹时不应忘掉可能躲藏于扩展内存中的计算机病毒。
不驻留内存的计算机病毒不修改中断向量表,也不必修改。完成了感染任务,这种计算机病毒就离开内存了。
引导型计算机病毒和驻留内存的文件型计算机病毒除少数外,大都要修改中断向量表,以达到把计算机病毒代码挂接入系统的目的。计算机病毒进行传染的前提条件是要能够被激活,整个PC机系统必须处于运行状态,计算机病毒在计算机基本保持能工作的状态情况下以用户不易察觉的方式进行传染。计算机病毒挂接在系统中,用户进行正常的操作,如用DIR命令列磁盘文件目录、用COPY命令拷贝磁盘文件或执行程序时,隐藏在内存中的计算机病毒在系统完成操作之前就先进行传染操作。
对引导型计算机病毒来讲,磁盘输入输出中断13H是其传染磁盘的唯一通道。引导型计算机病毒往往很简短、精练,能藏身于一个扇区内,即长度小于512字节,像SSI计算机病毒只有263字节。在这样短小的程序里显然不会有复杂的处理能力,通过把计算机病毒体内的传染模块链入13H磁盘读写中断服务程序中,就可以在用户利用正常系统服务时感染软盘和硬盘。引导型计算机病毒被装入内存时是在引导阶段,所有的中断向量均指向位于ROMBIOS中的中断服务程序。因此,计算机病毒在此时不可能利用某种嵌入技术来达到既能链入到系统中又不修改中断向量的目的。
既然中断向量被计算机病毒程序所代换了,在中断向量表中就应该能找到计算机病毒修改的痕迹。中断13H是引导型计算机病毒必须用到的入口,在得到控制之后,计算机病毒先驻留到内存高端,接着修改13H中断向量,使之指向计算机病毒体。在这时,用户应能看到被计算机病毒改动过的中断向量。在DOS版本1.0~2.X的环境下,用户可以清楚地看到计算机病毒的磁盘感染代码是由13H中断向量所指向的。而在DOS版本3.X以后的环境中,DOS的IBMBIO.COM扩展了13H中断,并修改了该中断向量,使用户只能看到指向DOS的中断向量而看不到原来的中断向量。
修改中断向量可以有多种方法,DOS提倡使用可靠的系统调用的方法。很多种文件型计算机病毒也都是用这种方法进行中断向量的获取和设置,以将计算机病毒的传染模块和表现模块连入系统。但在引导型计算机病毒进行其初始化时,DOS尚未加载,因此引导型计算机病毒只能用直接存取的方法修改中断向量表。一些采用了STEALTH技术的计算机病毒为躲避计算机病毒防范系统的跟踪,也不采用利用DOS系统调用的方法修改中断向量。为对付这些绕开DOS的计算机病毒,计算机病毒防范系统必须开发出更有效的方法,以抵御各种计算机病毒的攻击。
某些采用先进的STEALTH技术的计算机病毒,如DIR 2计算机病毒,根本不去修改中断向量也能将自身链接到系统中,并能在一次感染过程中将一个目录中的所有能被传染的文件都传染上。因此,计算机病毒防范系统不能再只把注意力集中在中断向量表的跟踪上,而应提供更全面的防护。
从另一个角度讲,计算机病毒能找出这么多的技术去钻DOS的漏洞,令人有防不胜防的感觉,说明DOS系统的安全防护功能是多么简陋和脆弱,真该好好予以改进了。很多行之有效的计算机病毒防范技术应该集成到DOS中去,使之在增强其它功能的同时也增强抗计算机病毒等安全功能。
自加密是自我保护的一种手段。
计算机病毒采用自加密技术就是为了防止被计算机病毒检测程序扫描出来,为了防止被轻易地反汇编出来。据资料统计,在已发现的各种PC机计算机病毒中,近十分之一的计算机病毒使用了自加密技术。
从被加密的内容上划分,自加密分成信息加密、数据加密和程序代码加密三种。某一种特定的计算机病毒并不一定具备有该模型的每一个部分,但都有传染模块,所以才被称为计算机病毒。其它部分在计算机病毒体内可能是很完整的,也可能是根本不存在的,还有可能几种功能全集中在一起,既是传染模块又是破坏模块。有的计算机病毒具有严格的时间条件判断,有的则根本不对任何条件作判断。
按照这种分类,对内部信息加密和对自身数据加密都可归属到数据加密。这种计算机病毒大多是将信息和数据加密后传染到磁盘的引导扇区上和磁盘文件中,当计算机病毒检测程序或其它工具程序检查到它们时,不容易发现计算机病毒的存在。举例来说,大麻计算机病毒是不加密的,当检查到引导扇区时,若发现有下列字符串,则很容易使人们联想到可能有计算机病毒存在:
Your PC is now Stoned! LEGALISE MARIJUANA!
若大麻计算机病毒将这条信息加密后存放起来,就不大容易被直接观察到。引导型的6.4计算机病毒就是这样处理的,计算机病毒发作时将在屏幕上显示的字符串被用异或操作的方式加密存储。该加密方法很简单,在该计算机病毒体内能看到几个连续的数字7,这会使一般用户察觉到引导扇区与以前不一样,但不易断定其是否为计算机病毒。这种显示信息加密的方法只能在一定程度上保护计算机病毒,因为性能良好的计算机病毒防范软件在扫描计算机病毒时是不把显示信息作为判断计算机病毒条件的,而是依赖于计算机病毒的代码、计算机病毒的行为的,只有这样才能不发生漏检、错判的情况。
作为数据加密的另一个例子,文件型计算机病毒1575是另一个典型。1575不对显示信息加密,而对其内部的文件名加密。在直接判读1575代码时,看不到任何ASCII字符串,当深入分析时,发现1575把下列字符串进行了加密:
C∶COMMAND.COM
1575在得到运行权力后,首先对该字符串解密并感染硬盘上的COMMAND.COM程序,这样只要启动,1575自然随系统文件COMMAND.COM进入内存,大大提高了它的传染能力。
作为自我保护和防止被分析的手段,程序加密是被广泛使用的技术。计算机病毒使用了加密技术后,对计算机病毒防范人员来讲,分析和破译计算机病毒的代码及清除计算机病毒等工作都增加了很多困难。但计算机病毒要运行和传染时,计算机病毒体还是以明文方式即以不加密形式存在于内存中的,这就是计算机病毒的薄弱之处,这也是我们分析和理解其工作原理的时机。对于作代码加密的自加密计算机病毒,大多数是对计算机病毒体自身加密,另有少数还对被感染的文件加密,更为清除计算机病毒工作增添了麻烦。
中国炸弹计算机病毒Chinese Bomb就是这样一种计算机病毒。该计算机病毒对原文件中的前6个字节进行了修改,并将其以加密形式存放在计算机病毒体内。要恢复被感染的文件,必须经解密才能获得原文件头的那6个字节。
常见的程序自加密的计算机病毒如1701/1704则对计算机病毒体进行了加密,作为加密密钥的一部分使用了被感染的原文件长度,这使每个被感染的程序几乎不使用相同的密钥。进行清除计算机病毒工作时要从计算机病毒体内提取有关信息。
作为自加密的高级形式,也是计算机病毒技术的最新进展,是一种称为Mutation Engine的变形机技术。 一般自加密的计算机病毒只是利用一条或几条语句对计算机病毒程序进行了码变换。变换前和变换后的字节有着一一对应的关系。如果把计算机病毒的传染比喻为生物病毒的繁殖过程,可以看到,计算机病毒每传染出新的一代,父代和子代都是用同一种方式工作。不加密的计算机病毒不论传染出多少代,其程序代码全是一样的,对这类不具有自加密本领的计算机病毒,检测和清除都是很容易的,即只要分析一个样本,就可以一劳永逸地检测和清除所有这种被分析过的计算机病毒。对具有自加密本领的计算机病毒,只要分析清加密机制,从计算机病毒体内提取加密和解密密钥,也可以有效地对这类计算机病毒进行检测和清除。即使对于像1701/1704这种使用不同密钥进行自加密的计算机病毒,由于其密钥位于计算机病毒体内的固定区域,计算机病毒程序代码间的相对位置关系并没有因为使用了不同的加密密钥而有所变化,因此检测和清除这类计算机病毒也不是很困难的事。不管这种计算机病毒传染出多少代,仍然是子代按照祖代的方式工作,程序代码并不发生变化。
当某些计算机病毒编制者通过修改某种计算机病毒的代码,使其能够躲过现有计算机病毒检测程序时,可以称这种新出现的计算机病毒是原来被修改计算机病毒的变形。当这种变形了的计算机病毒继承了原父本计算机病毒的主要特征时,就被称为是其父本计算机病毒的一个变种。现在流行着的许多计算机病毒都是以前某种计算机病毒的变种。有些计算机病毒的变种非常多,已经形成了一个计算机病毒家族。
当某种计算机病毒的变形已经具备了新的足以区别于其父本计算机病毒的特征时,这个计算机病毒就变成一种新的计算机病毒,而不再被称为变种了。
在前述计算机病毒变种和新出现的计算机病毒代码之间,存在着一个共同的特点,即计算机病毒代码本身的延续性,子代和父代,子代和祖代的代码是一致的,不会发生变化的。某种计算机病毒和它的变种之间出现的代码变化是人为制造出来的,而不是由代码本身的机制形成的。没有计算机病毒编制者的人为工作,计算机病毒的变种和新种计算机病毒是不会自动产生出来的。
采用Mutation Engine变形技术的计算机病毒则是不同于以往的、具有自加密功能的新一代计算机病毒。 Mutation Engine是一种程序变形器,它可以使程序代码本身发生变化,而保持原有功能。利用计算得到的密钥,变形机产生的程序代码可以有很多种变化。当计算机病毒采用了这种技术时,就像生物病毒会产生自我变异一样,也会变成一种具有自我变异功能的计算机病毒。这种计算机病毒程序可以衍变出各种变种的计算机病毒,且这种变化不是由人工干预生成的,而是由于程序自身的机制。单从程序设计的角度讲,这是一项很有意义的新技术,使计算机软件这一人类思想的凝聚产物变成了一种具有某种"生命"形式的"活"的东西。但从保卫计算机系统安全的计算机病毒防范技术人员角度来看,这种变形计算机病毒是个不容易对付的敌手。
国外报刊曾报道过这类变形计算机病毒。 在已知的三种MutationEngine变形机中,保加利亚的Dark Avenger的变形机是较为著名的。这类变形计算机病毒每感染出下一代计算机病毒,其程序代码全发生了变化,计算机病毒防范软件如果用以往的特征串扫描的办法就已无法适用了。因此,计算机病毒防范技术不能再停留在等待被计算机病毒感染,然后用查计算机病毒软件扫描计算机病毒,最后再杀计算机病毒这样被动的状态。而应该用主动防御的方法,用计算机病毒行为跟踪的方法,在计算机病毒要进行传染,要进行破坏的时候发出警报并及时阻止计算机病毒的任何有害操作。这就是针对计算机病毒行为的预警系统的工作原理,英语上称之为Activity Trap技术。
就像矛与盾的斗争一样,计算机病毒采用了新的技术,计算机病毒防范技术也会得到相应的发展,可以为计算机系统提供更全面和可靠的保护。
计算机病毒采用反跟踪措施的目的,就是要提高计算机病毒程序的防破译能力和伪装能力。
常规程序使用的反跟踪技术在计算机病毒程序中都可以利用,而且计算机病毒的传染模块都是工作在中断情况下,即都是中断服务程序的一部分。因此,当计算机病毒利用了反跟踪措施后,对分析计算机病毒工作机理的计算机病毒防范研究人员来讲确实是增添了困难。
1575计算机病毒就是常见计算机病毒中采用反跟踪措施的一个例子。1575计算机病毒将堆栈指针指向处于中断向量表中的INT 0至INT 3区域,以阻止利用DEBUG等程序调试软件对其代码进行跟踪。 因为在PC机系统中,中断0到中断3是一类特殊的中断。这4个中断的功能是被强制约定的,如果这4个中断向量的内容被破坏,则执行到相应功能时系统就无法正常运行。
中断0是除零中断。
中断1是单步中断,是专用于程序调试而设立的中断。各种程序调试软件都使用这个中断。
中断2是不可屏蔽中断NMI。
中断3是断点中断,也是专为程序调试而设立的中断。单步中断与断点中断相结合,是进行程序调试的有力手段。DEBUG程序的T命令用到单步中断,G命令用到断点中断。
1575计算机病毒破坏了堆栈寄存器的指向,将其引向这几个中断向量处,如果没分析清1575计算机病毒设置的那几条反跟踪措施指令的作用,只用DEBUG去跟踪执行1575计算机病毒的程序代码,肯定是进行不下去的。
由此可见,要对付这类采取反跟踪措施的计算机病毒,不仅要有关于计算机病毒的知识,还要具有关于DOS的知识和关于PC机结构的知识。PC机计算机病毒是工作于PC机环境中的。
计算机病毒除了采用上面几个小节介绍的内存、中断、自加密和反跟踪技术之外,还采用了其它一些技术来对抗计算机病毒防范技术。下面介绍一些这方面情况,可以了解到计算机病毒技术的最新进展,以利于我们采取更加有效的措施去发现、清除和预防各种计算机病毒。
军事上的"隐形"技术是使飞机不在敌方的防御雷达屏幕上显现成形,从而可以隐蔽地深入到敌人内部进行攻击的技术。与此类似,当计算机病毒采用特殊的"隐形"技术后,可以在计算机病毒进入内存后,使计算机的用户几乎感觉不到它的存在。采用这种"隐形"技术的计算机病毒可以有以下几种表现形式。
(1)这种计算机病毒进入内存后,若PC机用户不用专用软件或专门手段去检查,则几乎感觉不到因计算机病毒驻留内存而引起的内存可用容量的减少。
(2)计算机病毒感染了正常文件后,该文件的日期和时间不发生变化。因此用DIR命令查看目录时,看不到某个文件因被计算机病毒改写过造成的日期、时间有变化。
(3) 计算机病毒在内存中时,用DIR命令看不见因计算机病毒的感染而引起的文件长度的增加。
(4) 计算机病毒在内存中时,若查看被该计算机病毒感染的文件,则看不到计算机病毒的程序代码,只看到原正常文件的程序代码。这就给人以错觉,好像该文件并没有发生变化,没有计算机病毒代码附着在上面。
(5) 计算机病毒在内存中时,若查看被计算机病毒感染的引导扇区,则只会看到正常的引导扇区,而看不到实际上处于引导扇区位置的计算机病毒程序。
(6)计算机病毒在内存中时,计算机病毒防范程序和其它工具程序检查不出中断向量被计算机病毒接管,但实际上计算机病毒代码已链接到系统的中断服务程序中。
对付"隐形"计算机病毒最好的办法就是在未受计算机病毒感染的环境下去观察它。
计算机病毒采用的另一项技术是专门对抗计算机病毒防范系统的。当这类计算机病毒在传染的过程中发现磁盘上有某些著名的计算机病毒防范软件或在文件中查找到出版这些软件的公司名时,就删除这些文件或使PC机死锁。
国外还有出售计算机病毒库和计算机病毒开发工具包的,这些工具内含有构成计算机病毒的各种基本模块。利用下拉式菜单和弹出式窗口等方便的人机接口,使用者可以编辑各种想植入计算机病毒体的信息,选择所需的计算机病毒工作方式,设置各种判断发作和破坏的条件以及攻击对象等。使用这种开发工具,可以在数分钟之内创造出各种计算机病毒来。
人类抵抗生物病毒侵袭的最好办法就是增强自身的抵抗力。要使计算机免受计算机病毒的滋扰,最根本的解决办法就是提高计算机自身的安全措施,这样才能让采
2.3 1999年主要计算机病毒回顾
2.3.1 HAPPY99计算机病毒(I-WORM.HAPPY)
2.3.2 Melissa("美丽莎")计算机病毒
2.3.3 CIH(又称W95/CIH)
2.3.4 Trojan.BackOrifice(简称BO)
2.3.5 YAI(You And I)
2.3.6 W97M/Thus
2.3.7 ExploreZip
2.3.8 W32/KRIZ.029
2.3.9 W97M/Class
2.3.10 July.killer
2.3.11 VBS/BUBBLEBOY(气泡男孩)
1999年可以说是计算机病毒泛滥的一年,下面对1999年的主要计算机病毒作一回顾。
2.3.1 HAPPY99计算机病毒(I-WORM.HAPPY)
类型:蠕虫、特洛依木马
特征:
该计算机病毒是Happy家族中的一种,它会感染运行Windows 95/98的计算机。有趣的是,由于设计中的错误使得它不能运行于Windows NT操作系统下。Happy 99通过Internet传播,它能将自己附在电子邮件中并在用户不知情的情况下发送出去。Happy 99是在每年的圣诞节进行传播以便让接收者误认为是新年的祝福。它会显示一个放烟花的窗口,但不会造成任何破坏性影响。这个蠕虫出现于1999年1月,它最先出现于一个新闻组并很快传遍欧洲。
当这一病毒发作时,在windows\system目录中可找到"ska.exe"和"ska.dll"两个新文件,同时还有一个扩展名为ska的文件"wsock32.ska"。这就是被Happy99感染的主要表现。
wsock32.ska是这个计算机病毒修改出来的,原来的文件叫"wsock32.dll",是WINDOWS中与网络连接密切相关的重要文件。
修复方法:删除带"ska"的三个文件,然后从WINDOWS98的安装盘中找到"wsock32.dll",将它恢复到windows\system目录下面。再检查注册表,看是否有happy99和ska的踪迹,再重新启动电脑。
如果您不幸感染Happy99计算机病毒,还有以下方法可以清除该计算机病毒:
1. 删除C:\Windows\System内的ska.exe及ska.dll档案。
2. 删除C:\Windows|System\wsock32.dll档案。
3. 把C:\Windows\System内的wsock32.ska档案改为wsock32.dll档案。
4. 删除wsock32.ska档案。
5. 启动登录编辑器(Registry Editor,在C:\Windows内的regedit.exe 档案),HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion \RunOnce,删除ska.exe的登录资料。
6. 删除Happy99.exe档案。
7. 使用Notepad开启 C:\Windows\System\liste.ska ,通知名单上的人,并把liste.ska档案删除。
2.3.2 Melissa("美丽莎")计算机病毒
类型:宏病毒
"美丽莎"(Melissa)计算机病毒在1999年大肆泛滥,它虽然是一个宏病毒,但同时会通过不断地从受感染的计算机中向外发送电子邮件,因此也会破坏电子邮件系统。美国联邦调查局接获多起商业、政府及军方系统遭到攻击的报告。微软、Intel、摩托罗拉等世界级公司内部均遭该计算机病毒侵扰,不得不暂时关闭电子邮件系统。
特征:
"美丽莎"宏病毒感染Microsoft Word 97/2000文档以及它们的通用文档模板NORMAL.DOT。该计算机病毒的传播速度极为迅速,它会查找用户地址簿中的前50个地址并向它们发送包含计算机病毒的文件。
它首先会扫描系统以便检查是否已经被感染计算机病毒,如果没有,它会对其进行感染并驻留在内存中,同时还会将Word中的宏病毒保护开关关闭,此外,它还会感染系统中使用过的所有Word文档。
症状:
计算机病毒感染计算机后的第一个症状是收到一封标题为"来自XXX的重要消息"的邮件,附件中会包含带毒的文件。这并不表示计算机病毒已经感染了计算机,它只是计算机病毒到达计算机的信号。所以,千万不要直接打开附件,最好将其删除。
如果在计算机病毒发作的条件下打开或关闭受感染的文件,Melissa.A会在受感染的文档中加入如下信息:"Twenty-two points, plus triple-word-score, plus fifty points for using all my letters。 Game is over。 I am outta here"。
感染:
计算机病毒会查看是否系统已经被感染,它主要检查系统注册表中是否有"… by Kwyjibo"的键值,如果有,说明该系统已被感染计算机病毒。
如果计算机病毒没有发现注册表中的信息,它将会做如下步骤::
打开邮件程序
创建一个电子邮件
将受感染的文件附加在电子邮件上
将此已经发送给用户地址簿中的前50个地址。
2.3.3 CIH(又称W95/CIH)
类型:驻留型计算机病毒
特征:
该计算机病毒属于W32家族,感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。
该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。
传播途径:
CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。只有当执行受感染的文件时计算机病毒才会发作,否则计算机病毒将永远处于潜伏状态。
症状:
计算机病毒可能隐藏在任何以EXE为扩展名的可执行文件中,但是,只有执行这些文件,计算机病毒才会发作。一旦计算机病毒被激活(执行了带毒文件),计算机病毒就是进行破坏活动,有些是可见的,而另外一些则可能不被注意。
以下就是计算机病毒可能产生的影响:
它会驻留内存,这意味着Windows 95/98系统调用任何(打开、关闭、重命名、复制或运行)以EXE为扩展名的文件时都会感染计算机病毒。
覆盖和重写BIOS信息使之无法工作。
破坏硬盘中的所有信息(格式化硬盘)
遭到计算机病毒破坏的计算机启动时有如下提示:"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"。而且,如果用户从软盘引导并试图访问硬盘,就会出现如下信息"INVALID DRIVE SPECIFICATION"。 该计算机病毒在其代码中包含以下字符串"CIH v1.2 TT IT"。
该计算机病毒的第一个变种称为CIH v1.3或CIH.1010,这个变种会在6月26日发作,它在其代码中包含以下字符串:"CIH v1.3 TT IT"。
第二个变种称为 CIH v1.4或CIH.1019,它会在每个月的26日发作,具有极大的破坏性。它将删除Flash-BIOS 中的所有信息,因此会使计算机连系统盘都找不到,因为BIOS中已经没有执行该功能的程序。但是,即使启动了计算机,硬盘也找不到,因为硬盘信息也已丢失CHI.1019 破坏硬盘信息的方式是重写其中的内容。这个变种在其代码中包含以下字符串:"CIH v1.4 TATUNG"。
感染方式:
CIH将自己的代码放在硬盘受感染文件的可用扇区内,因此这些文件的长度不会增加,达到了隐藏的目的。事实上,计算机病毒感染以EXE为扩展名的Windows可执行文件的原因是这些文件内有大量的可用扇区来隐藏计算机病毒代码。CIH只影响32位文件,因此只限于Windows 95/98系统。
当CIH计算机病毒进入内存后,它会截取Installable File System (IFS)以便感染所有扩展名为EXE的可执行文件。
备注:
CIH首先在台湾被发现,根据台北官方的报告,计算机病毒是由24岁的陈盈豪(Chen Ing-Halu)编制的,由于其名字第一个字母分别为C、I、H,所以这可能是计算机病毒名称的由来。
2.3.4 Trojan.BackOrifice(简称BO)
类型:特洛依木马
特征:
Trojan.BackOrifice是一个后门(Backdoor)特洛依木马,可使恶意用户从远程系统对计算机进行某些操作。该木马包含三个程序: BOSERVE.EXE,BOCLIENT.EXE和BOCONFIG.EXE。其中第一个程序需安装在受感染的用户计算机中。
该特洛依木马主要运行于Windows 95/98系统,对于Windows NT影响较小。恶意用户可远程控制受感染的计算机系统;事实上,他们可执行命令、传输文件、修改注册表、删除程序、目录等…
BackOrifice可将自己附件在任何Windows程序上而不被发现,而且,Trojan.BackOrifice会修改注册表,在其中添加一个键值并将自己复制到C:WINDOWS\SYSTEM目录中。
传播途径:
Trojan.BackOrifice包含三个客户端和服务器端程序,客户端程序安装在远程计算机上,可由恶意用户控制,服务器端程序需安装在受感染的计算机上,可使远程恶意用户执行各种操作。该木马可通过通常的计算机病毒传播途径传播:软盘、CD-ROM、计算机网络、Internet、附加了计算机病毒文件的电子邮件等。
症状:
一旦特洛依木马开始工作,客户端和服务器端程序会建立一个连接,该连接可使恶意用户从远程获取系统的控制权,并且在受感染的计算机中执行许多操作:传输文件、修改注册表、删除程序和文件夹等。
感染方式:
服务器端程序为BOSERVE.EXE,它会自动安装在受攻击的计算机中, 但是它同时需要;另外一个文件名为BOCONFIG的程序来进行配置,运行命令如下:BOCONFIG BOSERVE.EXE
之后,BOCONFIG会对BOSERVE进行如下配置:
可执行文件名(不一定以.exe结尾),该选项可设置在安装过程中复制到C:\WINDOWS\SYSTEM 目录下文件的名称。
注册表中的Exe描述 ,位于HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Runservices下。服务器端口(Server Port)用来指出安装在服务器上的通讯端口。
加密口令(Encryption password) 该选项可设置与服务器进行通讯时加密的口令。
系统启动时的缺省运行程序 允许用户设置系统启动时缺省运行的程序。
启动运行程序的设置 该选项可设置上面的缺省启动运行程序。
附加的文件(File to attach) 这是最重要的部分,它用来指定BOSERVE程序作为附件加在邮件中,所以在此必须指定可执行文件的名称。
写入文件为(Write file as)该选项用来设置上述文件复制到C:\WINDOWS\SYSTEM 目录中后的重命名名称。
配置完成后,BOSERVE.EXE就会执行感染过程。如果指定了附加在某个文件上,那么BOSERVER.EXE的长度就会增加为所选择的文件长度。
BOSERVE程序会修改Windows注册表以便在系统启动时安装自己。服务器程序将会被复制到C:\WINDOWS\SYSTEM下,并在该目录下生成一个WINDLL.DLL 动态链接库文件。该库包含下面的功能: _ConsoleHookPROC@12 y _KeyHookProc@12
以上步骤完成后,服务器端将会安装在系统中,只要知道端口号和口令,任何客户端程序(无论是图形还是文本界面)都能够访问该计算机。服务器端和客户端程序之间的通讯是基于TCP/IP协议,它们使用User Datagram Protocol (UDP)协议,它们之间的通讯是加密的。
2.3.5 YAI(You And I)
类型:特洛依木马
特征:
YAI是一个国内编写的特洛依木马程序,尽管其作者就YAI是否是计算机病毒做过一定的解释,但是YAI已经具有了许多特洛依的特性这一点是无疑的。该木马能够执行的动作如下(摘自作者的说明文档):
YAI提供了30多种远程监视、管理及控制命令,功能强大。使用者可在本地方便地操作远端目标计算机,包括获取目标计算机屏幕图象、窗口及进程列表,记录并提取远端键盘事件(击键序列),打开、关闭目标计算机任意目录的资源共享,提取拨号网络及普通程序口令、密码,激活、终止远端进程,打开、关闭、移动远端窗口,控制目标计算机鼠标的移动与动作,交换远端鼠标的左右键,在目标计算机模拟键盘输入,浏览目标计算机文件目录,下载、上装文件,远程执行程序,强制关闭WINDOWS、关闭系统(包括电源)、重起系统,提取、创建、修改、删除目标计算机系统注册表关键字,在远端屏幕上显示消息,启动目标计算机外设进行捕获、播放多媒体(视频/音频)文件,控制远端录、放音设备音量,远程版本升级更新,等等……。"
但是YAI与其他特洛依木马不同的是它具有依附特性,即可以依附在其他程序中进行传播,这就使它具有了计算机病毒的最基本特征:传染性。
传播途径:
YAI包含一个名为odbc16m.exe的服务器端程序,客户端程序安装在远程计算机上,可由恶意用户控制,服务器端程序需安装在受感染的计算机上,可使远程恶意用户执行各种操作。该木马可通过通常的计算机病毒传播途径传播:软盘、CD-ROM、计算机网络、Internet、附加了计算机病毒文件的电子邮件等。
症状:
一旦YAI开始工作,客户端和服务器端程序会建立一个连接,该连接可使恶意用户从远程获取系统的控制权,并且在受感染的计算机中执行相当危险的一些操作:获取口令、传输文件、删除文件、修改注册表等。
YAI有很强的潜伏性,不会立即发作,但是被感染文件运行几次后,程序将无法正常工作,系统提示出错信息:"系统执行非法操作,请求关闭'或'您需要更多的内存和系统资源,请关闭一些窗口再重试"。计算机病毒发作时,该程序的图标将无法正常显示,颜色变得模糊不清。文档和图形文件的图标会丢失。
感染方式:
服务器端程序为odbc16m.exe,它会自动安装在计算机的系统目录中(如Windows\system),然后将会修改系统注册表以便在系统启动时加载该程序。
与其他的特洛依木马程序一样,YAI也需要指定通讯端口,缺省为1024,它同样是采用TCP协议连接服务器端和客户端,一旦连接建立,恶意用户就可以使用图形化的用户界面对服务器进行控制,服务器和客户端之间的通讯是加密的。
2.3.6 W97M/Thus
类型:宏病毒
特征:
W97M/Thus是一个属于W97M家族的宏病毒,可感染Microsoft Word 97文档和NORMAL.DOT通用模板。该计算机病毒将会首先感染模板文档,之后所有基于模板的文档都将被感染。
感染的后果与通常的宏病毒类似,W97M/Thus会关闭Word的宏病毒保护功能,这样,当打开一个包含宏的文档时,Word将不会提示用户,同时,它会阻止所有可能修改宏的选项。
该计算机病毒将会在12月13日发作,如果这一天打开了受计算机病毒感染的文件,它将会删除C盘中的所有文件,所以又称C盘杀手;但是,该计算机病毒不会删除包含system (S)、hidden (H)或read-only (R)属性的文件。
传播途径:
该计算机病毒会利用任何常规的计算机病毒传播方式进行传播。需要注意的是,W97M/Thus可通过任何受感染的文件或NORMAL.DOT模板进行传播,通常的传播方式有:软盘、CD-ROM、其他可移动磁盘 (ZIP, JAZ等)、计算机网络、Internet下载、包含计算机病毒附件的电子邮件等。当系统被感染后,所有基于NORMAL.DOT模板的文档进行保存、打开、关闭或创建的动作都会使文档受到感染。
症状:
计算机病毒会关闭所有的宏病毒保护;它将关闭打开一个包含宏文档时系统的提示对话框,这将使系统运行文档内所有的宏,使用户的计算机收到计算机病毒的感染。
感染方式:
W97M/Thus进入系统后会试图感染计算机中使用的所有文档。如果它感染了NORMAL.DOT通用模板文档,它将会对所有基于此模板的文档进行感染。W97M/Thus包含一个名为ThisDocument的模块,该模块有三个功能,可感染系统中使用的所有文档:
Document_Open: 它感染所有在此计算机上打开的Word文档。
Document_Close: 它感染所有在此计算机上关闭的Word文档。
Document_New: 它感染所有在此计算机上新创建的Word文档。
为了检测某个文档是否已经被感染,W97M/Thus计算机病毒会查找以下字符串'Thus_001',如果找到了该字符串,则表示文档已被感染,否则,计算机病毒将会对此文档进行感染。
当此计算机病毒在计算机中被激活后,它将会检测系统的日期是否是12月13日,如果是,它将会进行删除C盘文件的破坏行动。
2.3.7 ExploreZip
类型:蠕虫、特洛依木马
特征:
该计算机病毒通过邮件传播到其它的系统中,它会将一个受计算机病毒感染的文件作为附件加在发送的信息中。该文件会将自己伪装成zip文件,事实上它是一个以exe为扩展名的可执行文件。
当该文件被执行时,计算机病毒会以极快的速度进行传播,它会寻找用户地址列表中的所有地址发送电子邮件。该计算机病毒会自动寻找用户收件箱中表记为未读的邮件,并向所有这些邮件发送回复信息。
该计算机病毒感染"explore.exe"并修改Windows 9x系统的WIN.INI或Winows NT系统的注册信息。
1.计算机病毒在Win.ini文件中添加如下命令行:
在Windows 9x中:
run=C:\WINDOWS\SYSTEM\Explore.exe
2.在Windows NT中,计算机病毒会在注册表的如下位置 HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion
添加"run=C:\WINNT\System32\Explore.exe"
症状:
感染该计算机病毒后的第一个症状是一个包含如下信息的信息框:"Cannot open file: it does not appear to be a valid archive。 If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again。 Please press F1 for help。"(不能打开文件:该文件不是一个有效的文档,如果该文档是ZIP格式压缩备份组的一部分,请插入备份组的最后一张磁盘,然后再试一次。按F1键获得帮助。)
而且,计算机病毒将会删除某些类型文件中的所有内容并将其的大小改为0字节,其所影响的文件类型包括:
Microsoft Word - DOC 扩展名;
Microsoft Excel - XLS 扩展名;
C 和 C++源代码 - C, CPP 和 以 H 为扩展名的文件;
汇编程序源代码 - ASM 扩展名。
另外,该计算机病毒会将自己复制到Windows\system和Windows目录下,名字分别为_setup.exe和explore.exe(注意,不是explorer.exe)。而且,如果系统连接到局域网上,它就会借此进行大肆传播。
传播信息:
该计算机病毒的在附件中的名称为"ZIPPED_FILES.EXE",它自动发给接收者的邮件主题如下:
"I received your email and I shall send you a reply ASAP。 Till then, take a look at the attached zipped docs。 " (我已经收到您的邮件,我会尽快给您回复。请先看一下附件中的压缩文档。)
在Windows 95/98系统中,计算机病毒采用了一些特别的技术使得清除更加困难。每次系统启动时,ExploreZip修改WIN.INI文件。这样,每次Windows启动时EXPLORE.EXE或者_SETUP.EXE就有可能被运行。
2.3.8 W32/KRIZ.029
类型:多态型、驻留型计算机病毒
特征:
W32/Kriz.4029是W32/Kriz.4029计算机病毒系列的一种,可影响32位的Windows 操作系统(Windows 95,98 和NT)。感染系统后,该计算机病毒会驻留在内存中继续截取Windows的所有请求,并等候适当时机进行攻击,另外,该计算机病毒还具有多态的特性。
它影响许多类型的文件:可执行文件(EXE扩展名),KERNER32.DLL动态链接库文件或Windows屏幕保护。
这个计算机病毒的触发条件有两个:每年的12月25日(圣诞节)或在计算机中安装了SoftIce程序,发作时它会试图删除CMOS内的信息,如日期、时间、硬盘类型和参数。此外,它还试图直接删除磁盘扇区、刷写BIOS。一旦破坏成功,计算机将不能启动,甚至软盘也无法启动,这同CIH计算机病毒的破坏类似。在一些情况下,它还破坏感染的文件。
当计算机病毒第一次在一台干净的计算机上运行,将检查KERNEL32.DLL文件是否被感染,如果感染则计算机病毒自动退出。如果未感染,则计算机病毒将 KERNEL32.DLL拷贝成Windows\system\krized.tt6并感染它。之后创建文件:Windows\wininit.ini ,文件包含以下内容,这使得Windows在下次启动时用被感染的文件替换原来的kernel32.dll。
[rename]
C:\WINDOWS\SYSTEM\KERNEL32.DLL=C:\WINDOWS\SYSTEM\KRIZED.TT6
W32/Kriz.4029将会截取KERNEL32.DLL中的16个功能,这些功能负责复制、创建、删除文件和赋予、获得文件的属性。通过这种方式,可以截取对于文件的访问以便对文件进行控制。
2.3.9 W97M/Class
类型:宏病毒
特征:
该计算机病毒属于W97计算机病毒家族,它感染Microsoft Word 97文档和NORMAL.DOT通用模板。作为宏病毒,它将感染所有与之相关的Word文档。
该计算机病毒有一个特别的功能,它是用Visual Basic编写的并采用了一种特别的技术将其代码隐藏了起来,因此,计算机病毒防范软件对其的检测变得很困难。W97M/Class将自己放置在感染文档中的相应模块中,因此打开该文档时,系统对计算机病毒不会报警。
该计算机病毒没有破坏性,它会阻止任何修改宏的设置。但是,当用户打开或关闭一个文档时,它会在屏幕上显示一条信息。
传播途径:
该计算机病毒使用通常的途径进行传播:软盘、CD-ROM、网络、Internet、 FTP、受计算机病毒感染的电子邮件附件等。
症状:
受此计算机病毒感染后,用户在打开和关闭文档时很容易发现。但是用户计算机的系统日期必须是6月到12月内的任何一个14日。此时, W97M/Class将会显示如下信息:
"I Think <> is a big stupid jerk! VicodinES Loves You / ClassPoppy"
感染方式:
计算机病毒首先在硬盘的根目录下创建一个名为Class.sys的文件,然后在该文件内以ASCII格式保存自己。
当打开某个受感染的文件时,计算机病毒会执行AutoOpen宏病感染NORMAL.DOT通用模板,此后,该计算机病毒会感染所有基于此模板的文档。
该计算机病毒采用隐藏(stealth)技术,它会隐藏自己的代码以便感染Microsoft Word 97文档中的所有宏。
2.3.10 July.killer
类型:宏病毒
特征:
该计算机病毒感染Microsoft Word 97文档和NORMAL.DOT通用模板。作为宏病毒,它将感染所有与之相关的Word文档。
July.killer与其他宏病毒不同之处在于:当首次打开带毒的文件,计算机病毒会在C盘根目录下复制一个名为Autoexec.bat的计算机病毒附本,该文件中包含计算机病毒的所有代码。
传播途径:
该计算机病毒使用通常的途径进行传播:软盘、CD-ROM、网络、Internet、 FTP、受计算机病毒感染的电子邮件附件等。
症状:
当计算机感染了该计算机病毒时,一旦系统时间为七月一日到三十一日之间的任何一天,用户在使用WORD打开受计算机病毒感染的文档时,就会弹出一个标题为"醒世恒言"的简体中文对话框,并强迫用户点击"确定"按钮表示同意对话框中的观点,否则,如果点击三次"取消",该计算机病毒会将C盘根目录下的Autoexec.bat的内容替换为"Deltree /Y C:\",当用户再次启动计算机时,C盘下的所有文件都将被删除。
感染方式:
计算机病毒首先在硬盘的根目录下创建一个名为Autoexec.bat的文档,并将计算机病毒代码写入其中。
当打开某个受感染的文件时,计算机病毒会自动感染NORMAL.DOT通用模板,此后,该计算机病毒会感染所有基于此模板的文档。同时,该计算机病毒还会关闭Word中所有宏病毒保护功能。
2.3.11 VBS/BUBBLEBOY(气泡男孩)
类型:蠕虫
特征:
VBS/Bubbleboy 是运行在 Windows 95/98 和 Windows 2000 系统上的蠕虫病毒 (只要安装有Internet Explorer ) 。然而, 它并不作用于Windows NT 系统。此外,这种蠕虫病毒只对以上操作系统的西班牙语和英语版有效。这是因为它并没有调用能使它在各种版本中都可执行的系统变量,它在启动目录里建立了一个名为 UPDATE.HTA 的文件。
传播方式:
这种计算机病毒采用了一种独特技术,所以它的传播速度极其迅速。这种技术依赖于 Internet Explorer 5上发现的一个安全漏洞,这就是为什么它能通过发送email信息将感染代码发送出去而不必使用任何附件的原因,只需通过Outlook 98或Outlook Express 5来浏览蠕虫病毒,就能促使它生成一个名为 UPDATE.HTA 的文件。
这一信息将发送至Microsoft Outlook地址簿中的所有地址,一旦系统被感染,蠕虫将在下一次系统启动的时候将自己发送出去。
这个蠕虫很难被检测到,这是因为信息中没有任何的附加文件,在信息中也看不到 script 代码。
这个蠕虫将自己发送至所有可在 Microsoft Outlook 或 Microsoft Outlook Express 5地址簿中找到的地址,奇怪的是,它没有将自己附加外发信息中,相反地,它只包含了 HTML 蠕虫代码。
一旦受此蠕虫感染的邮件被浏览,它将建立一个名为 UPDATE.HTA 文件。因此,它并不需要运行任何文件来进行感染。
它的email 信息使用以下格式:
标题:BubbleBoy is back!
信息主体:
The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm
信息中有以下图像:
症状:
当它发作时,将显示一个有以下文本的窗口:
Al activarse, muestra una ventana con el siguiente texto: System error, delete "UPDATE.HTA" from the startup folder to solve this problem。
感染:
被感染信息有以下内部 HTML 格式,这使得它们能在信息内容被浏览的时候运行它的代码。此外,屏幕上不显示计算机病毒代码(script code)。这个特性使得它对用户是不可见的,当 script 运行的时候,VBS/Bubbleboy 就生效了。
用各种层出不穷新技术的计算机病毒无"技"可施。
2.4 2000年最新计算机病毒介绍
2.4.1 僵死你 - ZOMBIE
2.4.2 "闹虫"-VBS-TIMOFONICA
2.4.3 "W97M_Resume.A" 计算机病毒介绍
2.4.4 情书(Loveletter-又名I LOVE YOU)计算机病毒介绍
2.4.5 "NEWLOVE"计算机病毒介绍
2.4.6 "美丽公园"计算机病毒 -- W32/PrettyPark
2.4.7 手机病毒EPOC
2.4.1 僵死你 - ZOMBIE
一种称为"僵死你"(zombie)的新黑客程序在美国发现,它可将他人的电脑转变成电子邮件炸弹发送器,造成网路阻塞。目前已感染了两千多台电脑,使它们动弹不得,这引起美国政府和电脑专家的关注。
这个新病毒掩饰成录像或其他可下载的文件,一旦开启后,就会把电脑转换成反应迟钝的电脑,任由黑客控制。
联邦调查局国家基础设施保护中心和华盛顿地区分局已对这种计算机病毒的特征及其存在的危害程度做了初步分析,同时美国联邦调查局和网络安全科技公司的官员,也已经在华盛顿会面,讨论了这个新计算机病毒的威胁程度。网络安全科技公司是在它的其中一个电脑发现计算机病毒并展开追踪,发现黑客可能来自美国缅因州、加拿大或其他区域。这个计算机病毒曾在今年初攻击一些知名网站。虽如此,电脑安全公司还是把这个计算机病毒列为"低风险"计算机病毒,来表明这个计算机病毒的危害程度不是很大。专家指出,这种以活动影像档案的方式传播电脑计算机病毒还是第一次被发现。
2.4.2 "闹虫"-VBS-TIMOFONICA
最近刚刚发现一种可向手机乱发短消息的蠕虫病毒--VBS-TIMOFONICA,计算机病毒是6月6日最早在西班牙发现的,目前已知的信息还不足以表明该计算机病毒会在西班牙以外的地区传播和流行,但是鉴于VBS类计算机病毒可以修改原码,容易出现变种的特点,不排除会出现类似新计算机病毒的可能。严格说来,虽然其影响波及了手机,但并非通过手机传播,还是典型的电脑计算机病毒。其机理与前不久的爱虫极其相似,也是一个VBS蠕虫,作为附件,一旦点击,便通过微软的邮件处理系统Outlook自动向地址本的所有地址发出上述带毒邮件。
该蠕虫被怀疑是具有政治目的的计算机病毒,因为不但其信中的主题意味"戏弄**电信公司",其内容也是针对西班牙某电信公司的垄断而进行的漫骂与不满的批评言辞,更为与一般蠕虫(如爱虫)不同的是,除了可破坏电脑CMOS等计算机外,该计算机病毒还启动了上述电信公司的手机电子邮件到短消息发送功能(E-mail_to-GSM),向这个电信网的手机用户播发垃圾信息,不择手段一番瞎闹胡折腾之后,作为向该公司的报复行为。
数字空间黑客圈子里,针对电信和电话的破坏的企图和努力早已有之,几年前西班牙就曾有过,前不久的911电脑计算机病毒就是因其染毒后企图通过电脑拨打紧急电话911而得名的,甚至就在一个月前出现的爱虫计算机病毒的某几个变种中,也曾有过把声音和其他信息结合的一些尝试,表明随着互联网络应用的不断广泛,各种跨平台应用的出现,也带来跨平台跨系统的安全威胁。此次"闹虫"的出现,为WAP、PDA,为移动电话,个人数字助理,甚至呼机等一切与计算机信息系统网络相关的应用提出新的安全要求,至少,告诉我们,基于WAP网关防毒的产品需求已经产生,有关的手机厂商们,电信公司们该把这个问题提到议程上来了。
2.4.3 "W97M_Resume.A" 计算机病毒介绍
一只名为"W97M_Resume.A" 的新计算机病毒,于5月27日凌晨在美国透过EMAIL扩散,这只新计算机病毒类似梅莉莎计算机病毒的感染方式,其破坏力则较梅莉莎强大,计算机病毒除了企图经由感染者的Microsoft Outlook发出自动信件,还会删除所有磁盘中的全部档案,造成计算机无法正常运作。该计算机病毒所散播的电子邮件,信件标题为 "履历表 - Janet Simons" (Resume- Janet Simons),附加文件名称 "Explorer.doc",计算机使用者一旦执行附加档案,即会遭到计算机病毒感染。
计算机病毒档案:
· 名称:W97M_RESUME.A
·别名:RESUME.A, RESUME, RESUME.WORM, W97M_MELISSA.BG, MELISSA.BG
· 危险等级:高
· 计算机病毒种类:宏
· 如何判断是否为W97M_RESUME.A计算机病毒?
计算机病毒所散播的电子邮件,信件标题为"履历表- Janet Simons" (Resume- Janet Simons),附加文件名称 "Explorer.doc",信件内容为"Attached is my resume with a list of references contained within "。
· 症状描述:
这是一只宏型计算机病毒,会透过Microsoft Outlook传播,计算机病毒邮件的主旨为:"Resume- Janet Simons"并且会有一附件名为:"Explorer.doc"。这只计算机病毒具有"蠕虫"行为但不会感染其它档案,用户开启计算机病毒邮件的附文件时(即计算机病毒本体,Explorer.doc),计算机病毒即会开始透过outlook对外传播,而当使用者觉得这个档案对其没有用处,而关闭档案时,该计算机病毒即开始发作,开始删除使用者硬盘内以下目录的档案。
"C:\*.*" (C硬盘根目录下的所有档案)
"C:\My Documents\*.*" (我的活页夹内的所有档案)
"C:\WINDOWS\*.*" (Windows目录内的所有档案)
"C:\WINDOWS\SYSTEM\*.*" (Windows系统目录内的所有档案)
"C:\WINNT\*.*"
"C:\WINNT\SYSTEM32\*.*"
以及所有在线的网络磁盘驱动器内的文档。
· 解决方案:
用下载了最新病毒库的杀毒软件扫瞄是否有感染W97M_RESUME.A;
不要开启计算机病毒邮件的附文件;
查看是否有c:\DATA\normal.dot存在,请删除该档案;
如果C:\WINDOWS\START MENU\PROGRAMS\STARTUP\目录下有explorer.doc这个文档,请删除。
2.4.4 情书(Loveletter-又名I LOVE YOU)计算机病毒介绍
在2000年5月4日晚,一只名为"VBS_LOVELETTER"(又名为I LOVE YOU)新计算机病毒,透过电子邮件,迅速地在全球各地扩散。这只由VB Script程序语言所撰写的新计算机病毒,传播途径类似去年3月酿成巨灾的梅莉莎计算机病毒,主要透过一封信件标题为 "ILOVEYOU"(我爱你) 的电子邮件散播,附加档案为 "LOVE-LETTER-FOR-YOU.txt.vbs" (献给你的情书)。计算机使用者一旦执行附加档案,计算机病毒会经由被感染者Outlook通讯簿的名单发出自动信件,藉以连锁性的大规模散播,造成企业邮件服务器瘫痪。计算机病毒发作时,会感染并覆写附名为:*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse…等十种档案格式;档案遭到覆盖后,附档名会改为 *.vbs 。
该计算机病毒很快就入侵了不少公司,其中包括了政府机关与工商单位,并有许多大型ISP公司遭受新计算机病毒的感染,业务服务陷入停顿。
"VBS_LOVELETTER"计算机病毒与梅莉莎计算机病毒的最大差异在于,梅莉莎计算机病毒只会对通讯簿的前50个名单发出垃圾邮件,而"VBS_LOVELETTER"计算机病毒是向所有的通讯簿名单发出自动信件,其传播的速度比梅莉莎计算机病毒快上数倍,破坏力更为强大。
判断 "VBS_LOVELETTER" 计算机病毒,信件标题为"ILOVEYOU"(我爱你)的电子邮件,附加档案为 "LOVE-LETTER-FOR-YOU.txt.vbs" (献给你的情书)。信件内容 "kindly check the attached LOVE LETTER coming from me"
计算机病毒传播途径:
透过电子邮件,计算机使用者一旦执行附加档案,计算机病毒会经由被感染者Outlook通讯簿的名单发出自动信件,藉以连锁性的大规模散播,造成企业mail server瘫痪。
解决方案
手动清除计算机病毒步骤
收到信件标题为"I LOVE YOU"的电子邮件,应立即删除,即使寄件者是你所熟悉的人名,也不要开启附加档案以免中毒。
1、点击开始=>运行
2、输入regedit
3、寻找下列路径并删除"HKEY_LOCAL_machine\SOFTWARE\Microsoft \windows \currentVersion \Run\MSKernel32";
"HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion \RunServices \Win32DLL";
"HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows \currentVersion\Run\WIN-BUGSFIX"。
4、删除下列文档:
\windows\Win32DLL.VBS
\system\MSKernel32.VBS
\system\LOVE-LETTER-FOR-YOU.TXT.VBS
\system\LOVE-LETTER-FOR-YOU.TXT.HTML。
计算机病毒感染步骤:
1、第一次打开计算机病毒档案时,计算机病毒会自动产生下列档案于windows目录中
\windows\Win32DLL.vbs
\system\MSKernel32.vbs
\system\LOVE-LETTER-FOR-YOU.TXT.vbs。
\system\LOVE-LETTER-FOR-YOU.TXT.HTML。
2、当重新开机后。计算机病毒并且会修改下列windows 登录值。 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run\MSKernel32", :\windows\system \MSKernel32.vbs
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunServices\Win32DLL", :\windows\\Win32DLL.vbs。
3、在 windows\system 目录中寻找WinFAT32.EXE。 如果档案存在即会修改Internet Explorer并开启特定网站中的 WINN-BUGSFIX.EXE
4、接下来计算机病毒会在 :\windows\system 目录中,寻找 WIN-BUGSFIX.exe
如果档案不存在即会修改Internet Explorer起动画面变为 "about:blank" 并且修改WINDOWS登录值
5、这个计算机病毒会利用 Microsoft Outlook扩散。并将OVE-LETTER-FOR-YOU.TXT.vbs附加于E-MAIL中并传送给个人通讯簿中的帐号 。其信件内容为:
主旨:ILOVEYOU。
内容:KINDLY CHECK THE ATTACHED LOVELETTER COMING FROM ME。
另外,计算机病毒会开始篡改Mirc的 script.ini档案
如此会造成使用者利用mIRC,上网聊天时。计算机病毒会自动呼叫dcc send 指令给同一个聊天室其它使用者并且将病档案传送给这些使用者,"LOVE-LETTER-FOR-YOU.HTM"
6、这个计算机病毒会寻求以下附件文件名的档案:
.vbs 、.vbe 、.js 、.jse 、.css 、.wsh 、.sct 、.hta 、.jpg 、.jpeg 、.mp3 、.mp2
当找到时,会将计算机病毒程序覆盖于档案中。并且将档名修改为 +.vbs。 的格式,导致档案无法正常执行。
2.4.5 "NEWLOVE"计算机病毒介绍
在5/19日出现了一只名为VBS_NEWLOVE.A的新计算机病毒,其传播途径类似日前喧腾一时的"ILOVEYOU"计算机病毒,主要感染Windows 95/98/NT/2000,当使用者一旦执行附加档案,计算机病毒即企图经由被感染者Outlook通讯簿发出自动信件,连锁性的大规模散播将造成企业mail server当机。与 "ILOVEYOU"计算机病毒的最大差异处在于,VBS_NEWLOVE.A属于"多态计算机病毒",每繁殖一次就会以不同的计算机病毒码传染到别的地方去,也就是说每一个中毒的档案中所含的计算机病毒码都不一样。更具威胁性的部份是VBS_NEWLOVE.A计算机病毒不似 "ILOVEYOU" 计算机病毒使用相同的信件标题,VBS_NEWLOVE.A计算机病毒在寄出的e-mail中会随机选用不同的信件标题及附加文件名称,让计算机使用者防不胜防。另外,该计算机病毒会破坏计算机虫目录下使用者硬盘的文档,连网络邻居中共享文件夹的内容亦会被破坏。受感染的文档会被覆盖写为0 bytes,造成Windows无法重新开机,系统需要重建。
计算机病毒档案:
· 名称:VBS_NEWLOVE.A
· 别名:NEWLOVE.A, VBS/Spammer.A, VBS.Loveletter.FW, Spammer, Newlove
· 传播途径:通过电子邮件
· 破坏力:计算机病毒会企图经由被感染者Outlook通讯簿发出自动信件,造成企业邮件服务器的当机。会随机选用不同的信件标题及附加文件名称,让计算机使用者防不胜防。另外,该计算机病毒会破坏计算机虫目录下使用者硬盘的文档,连网络邻居中共享文件夹的内容亦会被破坏。受感染的文档会被覆盖写为0 bytes,造成Windows无法重新开机,系统需要重建。
· 解决方案:
不要开启任何附档名为VBS的文档。由于该计算机病毒会自动更改信件主旨及附件文件名称,所以无法凭目测辨别。如果您无法顺利下载计算机病毒码,请即刻拦截隔离 Email 附件中带有附文件名为 VBS 的附件,让计算机病毒无法顺利进入mail server。
由于计算机病毒会造成Windows无法重新开机,我们建议客户若需重新安装操作系统,应把未遭计算机病毒感染的资料作好备份。
手动清除计算机病毒步骤
A、点击开始 => 运行
B、输入regedit
C、寻找下列路径并删除计算机病毒
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServices\
请注意:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\目录下含有Windows的正常信息文件。此处指得是计算机病毒文件名。所以请留意不要删除到正常的信息文件。
D、重新启动
E、使用防毒软件扫描系统将VBS_NEWLOVE.A计算机病毒及受感染的文件(0 byte)删除。
2.4.6 "美丽公园"计算机病毒 -- W32/PrettyPark
该计算机病毒通常潜伏于邮件的附件当中,它是名为"prettypark.exe"的可执行程序,当用户执行了该文件后,计算机病毒就会将自己安装在系统中,并且向Windows地址簿中的用户发送包含该计算机病毒的电子邮件。它同时会告知用户某些IRC (Internet Relay Chat Protocol)通道的系统设置和口令,因此甚至具有了特洛依木马的特点。
"美丽公园"计算机病毒在系统中安装时,会将自己复制到Windows\system目录下,文件名为Files32.vxd,并在注册表中写入一条记录,使得系统在加载任何程序时都运行该文件,它在注册表中修改如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\EXEFILE\SHELL\OPEN\COMMAND
原先的键值为"%1" %*,计算机病毒会将其改为 FILES32.VXD "%1" %* 。尽管该文件是以VxD后缀,但事实上它不是一个真正的VxD程序,而是一个不折不扣的可执行文件。
该计算机病毒发作时,会向地址簿中的所有地址发送一封包含名为PrettyPark.exe附件的邮件;同时,它会每个30秒试图建立一个IRC连接,计算机病毒内部会包含13个IRC服务器的列表,一旦建立连接,就会将本机的信息发送给一个聊天服务的用户,这样,计算机病毒的编制者就可以获取系统信息并监视受感染的计算机系统。
当计算机病毒的编制者发现的某个受感染的用户后,PrettyPark又可以成为一个特洛依木马,它可泄漏用户的磁盘列表、目录、机密信息、Internet连接的登录名和密码等,它还可使远程用户创建、删除文件和目录以及运行程序等。
通过以下步骤可清除该计算机病毒:
修改注册表,将FILES32.VXD "%1" %*改回"%1" %*。
删除Windows\system目录下的files32.vxd文件。
删除Pretty Park.exe文件。
重新启动计算机。
2.4.7 手机病毒EPOC
最近出现了面向手机等便携式信息设备的"EPOC"上运行的6种病毒。第一种是EPOC-ALARM,它总是持续发出警告声;第二种是EPOC-BANDINFO.A,它有时会将用户信息变更为"Some fool own this"(傻瓜拥有这部手机);第三种是EPOC-FAKE.A,会在手机的屏幕上显示格式化内置硬盘的画面;第四种是EPOC-GHOST.A,它会在画面上显示"Every One Hates you"(每个人都恨你);第五种是EPOC-LIGHTS.A,它会使背景灯(Back Light)持续闪烁;第六种是EPOC-ALONE.A,可以使键盘操作失效。
前五种的危害不是很大,有些恶作剧的味道,但第六种却是一种恶性病毒。当计算机执行有毒程序时,会显示红外线通讯接收文件时所显示的画面,并在此时将病毒悄悄驻留内存。当病毒在内存中安营扎寨后,会在还是画面上显示"Warning-Virus"的信息,此后手机便不接收任何键盘操作,用户可以通过输入"leave me alone"来解除病毒常驻。
第三章 计算机病毒的防范 返回
3.1 计算机病毒防范的概念
随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行,有些计算机病毒借助网络爆发流行,如CIH计算机病毒、"爱虫"病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大的损失。
当计算机系统或文件染有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。
老一代的防杀计算机病毒软件只能对计算机系统提供有限的保护,只能识别出已知的计算机病毒。新一代的防杀计算机病毒软件则不仅能识别出已知的计算机病毒,在计算机病毒运行之前发出警报,还能屏蔽掉计算机病毒程序的传染功能和破坏功能,使受感染的程序可以继续运行(即所谓的带毒运行)。同时还能利用计算机病毒的行为特征,防范未知计算机病毒的侵扰和破坏。另外,新一代的防杀计算机病毒软件还能实现超前防御,将系统中可能被计算机病毒利用的资源都加以保护,不给计算机病毒可乘之机。防御是对付计算机病毒的积极而又有效的措施,比等待计算机病毒出现之后再去扫描和清除更有效地保护计算机系统。
计算机病毒的工作方式是可以分类的,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时,由于其工作方式早已被记录在案,防杀计算机病毒软件能识别出来;当未曾被分析过的计算机病毒出现时,如果其工作方式仍可被归入已知的工作方式,则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。
当然,如果新出现的计算机病毒不按已知的方式工作,这种新的传染方式又不能被反病毒软件所识别,那么反病毒软件也无能为力了。这时只能采取两种措施进行保护:第一是依靠管理上的措施,及早发现疫情,捕捉计算计算机病毒,修复系统。第二是选用功能更加完善的、具有更强超前防御能力的反病毒软件,尽可能多地堵住能被计算机病毒利用的系统漏洞。
计算机病毒防范工作,首先是防范体系的建设和制度的建立。没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。
计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业能够实现的,需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机病毒防范体系网络。
计算机病毒防范制度是防范体系中每个主体都必须的行为规程,没有制度,防范体系就不可能很好地运作,就不可能达到预期的效果。必须依照防范体系对防范制度的要求,结合实际情况,建立符合自身特点防范制度。
如何建立计算机病毒防范体系以及如何制定计算机病毒防范制度将在后面一些章节中详细介绍。本章主要从技术角度出发,讨论如何开展计算机病毒防范工作。
3.2计算机病毒的表现现象
3.2.1 计算机病毒发作前的表现现象
3.2.2 计算机病毒发作时的表现现象
3.2.3 计算机病毒发作后的表现现象
3.2.4 从表现形式和传播途径发现计算机病毒
计算机病毒是客观存在的,客观存在的事物总有它的特性,计算机病毒也不例外。从实质上说,计算机病毒是一段程序代码,虽然它可能隐藏得很好,但也会留下许多痕迹。通过对这些蛛丝马迹的判别,我们就能发现计算机病毒的存在了。
根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:计算机病毒发作前、发作时和发作后的表现现象。
3.2.1 计算机病毒发作前的表现现象
计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己,在不被发现同时,又自我复制,以各种手段进行传播。
以下是一些计算机病毒发作前常见的表现现象:
1、平时运行正常的计算机突然经常性无缘无故地死机。
病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机现象发生。
2、操作系统无法正常启动。
关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导。
3、运行速度明显变慢。
在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢,而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢。
4、 以前能正常运行的软件经常发生内存不足的错误。
某个以前能够正常运行的程序,程序启动的时候报系统内存不足,或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减小。需要注意的是在Windows 95/98下,记事本程序所能够编辑的文本文件不超过64Kb字节,如果用"复制/粘贴"操作粘贴一段很大的文字到记事本程序时,也会报"内存不足,不能完成操作"的错误,但这不是计算机病毒在作怪。
5、 打印和通讯发生异常。
硬件没有更改或损坏的情况下,以前工作正常的打印机,近期发现无法进行打印操作,或打印出来的是乱码。串口设备无法正常工作,比如调制解调器不拨号。这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序,使之不能正常工作。
6、 无意中要求对软盘进行写操作。
没有进行任何读、写软盘的操作,操作系统提示软驱中没有插入软盘,或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临时文件,也有的安装程序(如Office 97)对软盘有写的操作。
7、 以前能正常运行的应用程序经常发生死机或者非法错误。
在硬件和操作系统没有进行改动的情况下,以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。
8、 系统文件的时间、日期、大小发生变化。
这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件,绝大多数情况下是不会修改它们的,除非是进行系统升级或打补丁。对应用程序使用到的数据文件,文件大小和修改日期、时间是可能会改变的,并不一定是计算机病毒在作怪。
9、 运行Word,打开Word文档后,该文件另存时只能以模板方式保存。
无法另存为一个DOC文档,只能保存成模板文档(DOT)。这往往是打开的Word文档中感染了Word宏病毒的缘故。
10、 磁盘空间迅速减少。
没有安装新的应用程序,而系统可用的可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。另一种情况是Windows 95/98下的内存交换文件的增长,在Windows 95/98下内存交换文件会随着应用程序运行的时间和进程的数量增加而增长,一般不会减少,而且同时运行的应用程序数量越多,内存交换文件就越大。
11、 网络驱动器卷或共享目录无法调用。
对于有读权限的网络驱动器卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒,但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。
12、 基本内存发生变化。
在DOS下用mem /c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小,一般少1Kb~2Kb。这通常是计算机系统感染了引导型计算机病毒所造成的。
13、 陌生人发来的电子函件。
收到陌生人发来的电子函件,尤其是那些标题很具诱惑力,比如一则笑话,或者一封情书等,又带有附件的电子函件。当然,这要与广告电子函件、垃圾电子函件和电子函件炸弹区分开。一般来说广告电子函件有很明确的推销目的,会有它推销的产品介绍;垃圾电子函件的内容要么自成章回,要么根本没有价值。这两种电子函件大多是不会携带附件的。电子函件炸弹虽然也带有附件,但附件一般都很大,少则上兆字节,多的有几十兆甚至上百兆字节,而电子函件计算机病毒的附件大多是脚本程序,通常不会超过100Kb字节。当然,电子函件炸弹在一定意义上也可以看成是一种黑客程序,是一种计算机病毒。
14、 自动链接到一些陌生的网站。
没有在上网,计算机会自动拨号并连接到因特网上一个陌生的站点,或者在上网的时候发现网络特别慢,存在陌生的网络链接。这种联接大多是黑客程序将收集到的计算机系统的信息"悄悄地"发回某个特定的网址,可以通过netstat命令查看当前建立的网络链接,再比照访问的网站来发现。需要注意的是有些网页中有一些脚本程序会自动链接到一些网页评比站点,或者是广告站点,这时候也会有陌生的网络链接出现。当然,这种情况也可以认为是非法的。
一般的系统故障是有别与计算机病毒感染的。系统故障大多只符合上面的一点或二点现象,而计算机病毒感染所出现的现象会多的多。根据上述几点,就可以初步判断计算机和网络是否感染上了计算机病毒。
3.2.2 计算机病毒发作时的表现现象
计算机病毒发作时是指满足计算机病毒发作的条件,计算机病毒程序开始破坏行为的阶段。计算机病毒发作时的表现大都各不相同,可以说一百个计算机病毒发作有一百种花样。这与编写计算机病毒者的心态、所采用的技术手段等都有密切的关系。
以下列举了一些计算机病毒发作时常见的表现现象:
1、提示一些不相干的话。
最常见的是提示一些不相干的话,比如打开感染了宏病毒的Word文档,如果满足了发作条件的话,它就会弹出对话框显示"这个世界太黑暗了!",并且要求你输入"太正确了"后按确定按钮。
2、发出一段的音乐。
恶作剧式的计算机病毒,最著名的是外国的"杨基"计算机病毒(Yangkee)和中国的"浏阳河"计算机病毒。"杨基"计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐,而"浏阳河"计算机病毒更绝,当系统时钟为9月9日时演奏歌曲《浏阳河》,而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于"良性"计算机病毒,只是在发作时发出音乐和占用处理器资源。
3、产生特定的图象。
另一类恶作剧式的计算机病毒,比如小球计算机病毒,发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机病毒大多也是"良性"计算机病毒,只是在发作时破坏用户的显示界面,干扰用户的正常工作。
4、 硬盘灯不断闪烁。
硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时,硬盘的灯就会不断闪烁,比如格式化或者写入很大很大的文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化,或者写入许多垃圾文件,或反复读取某个文件,致使硬盘上的数据遭到损失。具有这类发作现象的计算机病毒大多是"恶性"计算机病毒。
5、 进行游戏算法。
有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用户的工作,一定要玩嬴了才让用户继续他的工作。比如曾经流行一时的"台湾一号"宏病毒,在系统日期为13日时发作,弹出对话框,要求用户做算术题。这类计算机病毒一般是属于"良性"计算机病毒,但也有那种用户输了后进行破坏的"恶性"计算机病毒。
6、 Windows桌面图标发生变化。
这一般也是恶作剧式的计算机病毒发作时的表现现象。把Windows缺省的图标改成其他样式的图标,或者将其他应用程序、快捷方式的图标改成Windows缺省图标样式,起到迷惑用户的作用。
7、 计算机突然死机或重启。
有些计算机病毒程序兼容性上存在问题,代码没有严格测试,在发作时会造成意想不到情况;或者是计算机病毒在Autoexec.bat文件中添加了一句:Format c:之类的语句,需要系统重启后才能实施破坏的。
8、自动发送电子函件。
大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段,也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件,以达到阻塞该邮件服务器的正常服务功能。
9、鼠标自己在动。
没有对计算机进行任何操作,也没有运行任何演示程序、屏幕保护程序等,而屏幕上的鼠标自己在动,应用程序自己在运行,有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制,从广义上说这也是计算机病毒发作的一种现象。
需要指出的是,有些是计算机病毒发作的明显现象,比如提示一些不相干的话、播放音乐或者显示特定的图象等。有些现象则很难直接判定是计算机病毒的表现现象,比如硬盘灯不断闪烁,当同时运行多个内存占用大的应用程序,比如3D MAX,Adobe Premiere等,而计算机本身性能又相对较弱的情况下,在启动和切换应用程序的时候也会使硬盘不停地工作,硬盘灯不断闪烁。
3.2.3 计算机病毒发作后的表现现象
通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,那种只是恶作剧式的"良性"计算机病毒只是计算机病毒家族中的很小一部分。大多数计算机病毒都是属于"恶性"计算机病毒。"恶性"计算机病毒发作后往往会带来很大的损失,以下列举了一些恶性计算机病毒发作后所造成的后果:
1、硬盘无法启动,数据丢失
计算机病毒破坏了硬盘的引导扇区后,就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容(如文件分配表,根目录区等),使得原先保存在硬盘上的数据几乎完全丢失。
2、系统文件丢失或被破坏
通常系统文件是不会被删除或修改的,除非对计算机操作系统进行了升级。但是某些计算机病毒发作时删除了系统文件,或者破坏了系统文件,使得以后无法法正常启动计算机系统.通常容易受攻击的系统文件Command.com,Emm386.exe,Win.com,Kernel.exe,User.exe等等。
3、文件目录发生混乱
目录发生混乱有两种情况。一种就是确实将目录结构破坏,将目录扇区作为普通扇区,填写一些无意义的数据,再也无法恢复。另一种情况将真正的目录区转移到硬盘的其他扇区中,只要内存中存在有该计算机病毒,它能够将正确的目录扇区读出,并在应用程序需要访问该目录的时候提供正确的目录项,使得从表面上看来与正常情况没有两样。但是一旦内存中没有该计算机病毒,那么通常的目录访问方式将无法访问到原先的目录扇区。这种破坏还是能够被恢复的。
4、部分文档丢失或被破坏
类似系统文件的丢失或被破坏,有些计算机病毒在发作时会删除或破坏硬盘上的文档,造成数据丢失。
5、部分文档自动加密码
还有些计算机病毒利用加密算法,将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方,而被感染的文件被加密,如果内存中驻留有这种计算机病毒,那么在系统访问被感染的文件时它自动将文档解密,使得用户察觉不到。一旦这种计算机病毒被清除,那么被加密的文档就很难被恢复了。
6、修改Autoexec.bat文件,增加Format C:一项,导致计算机重新启动时格式化硬盘。
在计算机系统稳定工作后,一般很少会有用户去注意Autoexec.bat文件的变化,但是这个文件在每次系统重新启动的时候都会被自动运行,计算机病毒修改这个文件从而达到破坏系统的目的。
7、使部分可软件升级主板的BIOS程序混乱,主板被破坏。
类似CIH计算机病毒发作后的现象,系统主板上的BIOS被计算机病毒改写、破坏,使得系统主板无法正常工作,从而使计算机系统报废。
8、网络瘫痪,无法提供正常的服务。
由上所述,我们可以了解到防杀计算机病毒软件必须要实时化,在计算机病毒进入系统时要立即报警并清除,这样才能确保系统安全,待计算机病毒发作后再去杀毒,实际上已经为时已晚。
3.2.4 从表现形式和传播途径发现计算机病毒
上面介绍了计算机病毒在不同情况下的表现形式。在1.5节也介绍了计算机病毒的传播途径。计算机病毒要进行传染,必然会表现出来,留下痕迹。检测计算机病毒,就是要到计算机病毒寄生场所去检查,验明"正身",确证计算机病毒的存在。计算机病毒存储于磁盘中,激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。一般对磁盘进行计算机病毒检测时,要求内存中不带计算机病毒。这是由于某些计算机病毒会向检测者报告假情况。例如4096计算机病毒,当它在内存中时,查看被感染的文件长度,不会发现该文件的长度已发生变化,而当在内存中没有该计算机病毒时,才会发现文件长度已经增长了4096字节。又如DIR II计算机病毒,在内存中时,用DEBUG程序查看时,根本看不到DIR II计算机病毒的代码,很多检测程序因此而漏过了被其感染的文件。再如引导型的巴基斯坦智囊计算机病毒,当它在内存中时,检查引导区时看不到该计算机病毒程序而只看到正常的引导扇区。因此,只有在要求确认某种计算机病毒的类型和对其进行分析、研究时,才在内存中带毒的情况下做检测工作。
从原始的、未受计算机病毒感染的DOS系统软盘启动,可以保证内存中不带毒。启动必须是上电启动而不能是按键盘上的Alt+Ctrl+Del三个键。因为某些计算机病毒通过截取键盘中断处理程序,仍然会将自己驻留在内存中。可见保留一份未被计算机病毒感染的、写保护的DOS系统软盘是很重要的。
需要注意的是,若要检测硬盘中的计算机病毒,则启动系统的DOS软盘的版本应该等于或高于硬盘内DOS系统的版本号。若硬盘上使用了磁盘管理软件、磁盘压缩存储管理软件等,启动系统的软盘上应该把这些软件的驱动程序包括在内,并把它们添加在CONFIG.SYS文件中。否则用系统软盘引导启动后,将不能访问硬盘上的所有分区,使躲藏在其中的计算机病毒逃过检查。
3.3 计算机病毒的技术防范
3.3.1计算机病毒的技术预防措施
3.3.2 引导型计算机病毒的识别和防范
3.3.3 文件型计算机病毒的识别和防范
3.3.4 宏病毒的识别和防范
3.3.5 电子函件计算机病毒的识别和防范
对于计算机病毒毫无警惕意识的人员,可能当显示屏上出现了计算机病毒信息,也不会去仔细观察一下,麻痹大意,任其在磁盘中进行破坏。其实,只要稍有警惕,根据计算机病毒在传染时和传染后留下的蛛丝马迹,再运用计算机病毒检测软件和DEBUG程序进行人工检测,是完全可以在计算机病毒进行传播的过程中就能发现它。从技术上采取实施,防范计算机病毒,执行起来并不困难,困难的是持之以恒,坚持不懈。
3.3.1计算机病毒的技术预防措施
下面总结出一系列行之有效的措施供参考。
1、新购置的计算机硬软件系统的测试
新购置的计算机是有可能携带计算机病毒的。因此,在条件许可的情况下,要用检测计算机病毒软件检查已知计算机病毒,用人工检测方法检查未知计算机病毒,并经过证实没有计算机病毒感染和破坏迹象后再使用。
新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区(分区表)计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。
新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件,可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性,更不要说盗版软件了。这在国内、外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒,还要用人工检测和实验的方法检测。
2、计算机系统的启动
在保证硬盘无计算机病毒的情况下,尽量使用硬盘引导系统。启动前,一般应将软盘从软盘驱动器中取出。这是因为即使在不通过软盘启动的情况下,只要软盘在启动时被读过,计算机病毒仍然会进入内存进行传染。很多计算机中,可以通过设置CMOS参数,使启动时直接从硬盘引导启动,而根本不去读软盘。这样即使软盘驱动器中插着软盘,启动时也会跳过软驱,尝试由硬盘进行引导。很多人认为,软盘上如果没有COMMAND.COM等系统启动文件,就不会带计算机病毒,其实引导型计算机病毒根本不需要这些系统文件就能进行传染。
3、单台计算机系统的安全使用
在自己的机器上用别人的软盘前应进行检查。在别人的计算机上使用过自己的已打开了写保护的软盘,再在自己的计算机上使用前,也应进行计算机病毒检测。对重点保护的计算机系统应做到专机、专盘、专人、专用,封闭的使用环境中是不会自然产生计算机病毒的。
4、重要数据文件要有备份
硬盘分区表、引导扇区等的关键数据应作备份工作,并妥善保管。在进行系统维护和修复工作时可作为参考。
重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机硬件或软件出现故障,使用户数据受到损伤时再去急救。
对于软盘,要尽可能将数据和应用程序分别保存,装应用程序的软盘要有写保护。
在任何情况下,总应保留一张写保护的、无计算机病毒的、带有常用DOS命令文件的系统启动软盘,用以清除计算机病毒和维护系统。常用的DOS应用程序也有副本,计算机修复工作就比较容易进行了。
5、不要随便直接运行或直接打开电子函件中夹带的附件文件,不要随意下载软件,尤其是一些可执行文件和Office文档。即使下载了,也要先用最新的防杀计算机病毒软件来检查。
6、计算机网络的安全使用
以上这些措施不仅可以应用在单机上,也可以应用在作为网络工作站的计算机上。而对于网络计算机系统,还应采取下列针对网络的防杀计算机病毒措施:
(1)安装网络服务器时应,应保证没有计算机病毒存在,即安装环境和网络操作系统本身没有感染计算机病毒。
(2)在安装网络服务器时,应将文件系统划分成多个文件卷系统,至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。
如果系统卷受到某种损伤,导致服务器瘫痪,那么通过重装系统卷,恢复网络操作系统,就可以使服务器又马上投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时,系统卷是不受影响的,不会导致网络系统运行失常。并且这种划分十分有利于系统管理员设置网络安全存取权限,保证网络系统不受计算机病毒感染和破坏。
(3)一定要用硬盘启动网络服务器,否则在受到引导型计算机病毒感染和破坏后,遭受损失的将不是一个人的机器,而会影响到整个网络的中枢。
(4)为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限,屏蔽其它网络用户对系统卷除读和执行以外的所有其它操作,如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的,不经授权、不经计算机病毒检测,就不允许在共享的应用程序卷中安装程序。保证除系统管理员外,其它网络用户不可能将计算机病毒感染到系统中,使网络用户总有一个安全的联网工作环境。
(5)在网络服务器上必须安装真正有效的防杀计算机病毒软件,并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品,从网络出入口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施,可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。
(6)系统管理员的职责:
1) 系统管理员的口令应严格管理,不使泄漏,不定期地予以更换,保护网络系统不被非法存取,不被感染上计算机病毒或遭受破坏。
2) 在安装应用程序软件时,应由系统管理员进行,或由系统管理员临时授权进行。以保护网络用户使用共享资源时总是安全无毒的。
3)系统管理员对网络内的共享电子函件系统、共享存储区域和用户卷应定期进行计算机病毒扫描,发现异常情况及时处理。如果可能,在应用程序卷中安装最新版本的防杀计算机病毒软件供用户使用。
4)网络系统管理员应做好日常管理事务的同时,还要准备应急措施,及时发现计算机病毒感染迹象。当出现计算机病毒传播迹象时,应立即隔离被感染的计算机系统和网络,并进行处理。不应当带毒继续工作下去,要按照特别情况清查整个网络,切断计算机病毒传播的途径,保障正常工作的进行。必要的时候应立即得到专家的帮助。
由于技术上的计算机病毒防治方法尚无法达到完美的境地,难免会有新的计算机病毒突破防护系统的保护,传染到计算机系统中。因此对可能由计算机病毒引起的现象应予以注意,发现异常情况时,不使计算机病毒传播影响到整个网络。
3.3.2 引导型计算机病毒的识别和防范
引导型计算机病毒主要是感染磁盘的引导扇区,也就是常说的磁盘的BOOT区。我们在使用被感染的磁盘(无论是软盘还是硬盘)启动计算机时它们就会首先取得系统控制权,驻留内存之后再引导系统,并伺机传染其它软盘或硬盘的引导区。纯粹的引导型计算机病毒一般不对磁盘文件进行感染。感染了引导型计算机病毒后,引导记录会发生变化。当然,通过一些防杀计算机病毒软件可以发现引导型计算机病毒,在没有防杀计算机病毒软件的情况下可以通过以下一些方法判断引导扇区是否被计算机病毒感染:
1. 先用可疑磁盘引导计算机,引导过程中,按F5键跳过CONFIG.SYS和AUTOEXEC.BAT中的驱动程序和应用程序的加载,这时用MEM或MI等工具查看计算机的空余内存空间(Free Memory Space)的大小;再用与可疑磁盘上相同版本的、未感染计算机病毒的DOS系统软盘启动计算机,启动过程中,按F5键跳过CONFIG.SYS和AUTOEXEC.BAT中的驱动程序和应用程序的加载,然后用MEM或MI等工具查看并记录下计算机空余内存空间的大小,如果上述两次的空余内存空间大小不一致,则可疑磁盘的引导扇区肯定已被引导型计算机病毒感染。
2. 用硬盘引导计算机,运行DOS中的MEM,可以查看内存分配情况,尤其要注意常规内存(Conventional Memory)的总数,一般为640Kb字节,装有硬件防杀计算机病毒芯片的计算机有的可能为639Kb字节。如果常规内存总数小于639Kb字节,那么引导扇区肯定被感染上引导型计算机病毒。
3. 机器在运行过程中刚设定好的时间、日期,运行一会儿被修改为缺省的时间、日期,这种情况下,系统很可能带有引导型计算机病毒。
4. 在开机过程中,CMOS中刚设定好的软盘配置(即1.44Mb或1.2Mb),用"干净的"软盘启动时一切正常,但用硬盘引导后,再去读软盘则无法读取,此时CMOS中软盘设定情况为None,这种情况肯定带有引导型计算机病毒。
5. 硬盘自引导正常,但用"干净的"DOS系统软盘引导时,无法访问硬盘如C:盘(某些需要特殊的驱动程序的大硬盘和FAT32、NTFS等特殊分区除外),这肯定感染上引导型计算机病毒。
6. 系统文件都正常,但Windows 95/98经常无法启动,这有可能是感染上了引导型计算机病毒。
上述介绍的仅是常见的几种情况。计算机被感染了引导型计算机病毒,最好用防杀计算机病毒软件加以清除,或者在"干净的"系统启动软盘引导下,用备份的引导扇区覆盖。
预防引导型计算机病毒,通常采用以下一些方法:
(1) 坚持从不带计算机病毒的硬盘引导系统。
(2) 安装能够实时监控引导扇区的防杀计算机病毒软件,或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。
(3) 经常备份系统引导扇区。
(4) 某些底板上提供引导扇区计算机病毒保护功能(Virus Protect),启用它对系统引导扇区也有一定的保护作用。不过要注意的是启用这功能可能会造成一些需要改写引导扇区的软件(如Windows 95/98,Windows NT以及多系统启动软件等)安装失败。
3.3.3 文件型计算机病毒的识别和防范
大多数的计算机病毒都属于文件型计算机病毒。文件型计算机病毒一般只传染磁盘上的可执行文件(COM,EXE),在用户调用染毒的可执行文件时,计算机病毒首先被运行,然后计算机病毒驻留内存伺机传染其他文件,其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。文件型计算机病毒通过修改COM、EXE或OVL等文件的结构,将计算机病毒代码插入到宿主程序,文件被感染后,长度、日期和时间等大多发生变化,也有些文件型计算机病毒传染前后文件长度、日期、时间不会发生任何变化,称之为隐型计算机病毒。隐型计算机病毒是在传染后对感染文件进行数据压缩,或利用可执行文件中有一些空的数据区,将自身分解在这些空区中,从而达到不被发现的目的。通过以下方法可以判别文件型计算机病毒:
1. 在用未感染计算机病毒的DOS启动软盘引导后,对同一目录列目录(DIR)后文件的总长度与通过硬盘启动后所列目录内文件总长度不一样,则该目录下的某些文件已被计算机病毒感染,因为在带毒环境下,文件的长度往往是不真实的。
2. 有些文件型计算机病毒(如ONEHALF、NATAS、3783、FLIP等),在感染文件的同时也感染系统的引导扇区,如果磁盘的引导扇区被莫名奇妙地破坏了,则磁盘上也有可能有文件型计算机病毒。
3. 系统文件长度发生变化,则这些系统文件上很有可能含有计算机病毒代码。应记住一些常见的DOS系统的IO.SYS、MSDOS.SYS、COMMAND.COM、KRNL386.EXE等系统文件的长度。
4. 计算机在运行过外来软件后,经常死机,或者Windows 95/98无法正常启动,运行经常出错,等等,都有可能是感染上了文件型计算机病毒。
5. 微机速度明显变慢,曾经正常运行的软件报内存不足,或计算机无法正常打印,这些现象都有可能感染上文件型计算机病毒。
6. 有些带毒环境下,文件的长度和正常的完全一样,但是从带有写保护的软盘拷贝文件时,会提示软盘带有写保护,这肯定是感染了计算机病毒。
对普通的单机和网络用户来说感染文件型计算机病毒后,最好的办法就是用防杀计算机病毒软件清除,或者干脆删除带毒的应用程序,然后重新安装。需要注意的是用防杀计算机病毒软件清除计算机病毒的时候必须保证内存中没有驻留计算机病毒,否则老的计算机病毒是清除了,可又感染上新的了。
对于文件型计算机病毒的防范,一般采用以下一些方法:
(1) 安装最新版本的、有实时监控文件系统功能的防杀计算机病毒软件。
(2) 及时更新查杀计算机病毒引擎,一般要保证每月至少更新一次,有条件的可以每周更新一次,并在有计算机病毒突发事件的时候及时更新。
(3) 经常使用防杀计算机病毒软件对系统进行计算机病毒检查。
(4) 对关键文件,如系统文件、保密的数据等等,在没有计算机病毒的环境下经常备份。
(5) 在不影响系统正常工作的情况下对系统文件设置最低的访问权限,以防止计算机病毒的侵害。
(6) 当使用Windows 95/98/2000/NT操作系统时,修改文件夹窗口中的确省属性。具体操作为:鼠标左键双击打开"我的电脑",选择"查看"菜单中的"选项"命令。然后在"查看"中选择"显示所有文件"以及不选中"隐藏已知文件类型的文件扩展名",按"确定"按钮。注意不同的操作系统平台可能显示的文字有所不同。
3.3.4 宏病毒的识别和防范
宏病毒(Macro Virus)传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件,只要使用这些应用程序的计算机就都有可能传染上宏病毒,并且大多数宏病毒都有发作日期。轻则影响正常工作,重则破坏硬盘信息,甚至格式化硬盘,危害极大。目前宏病毒在国内流行甚广,已成为计算机病毒的主流,因此用户应时刻加以防范。
通过以下方法可以判别宏病毒:
① 在使用的Word中从"工具"栏处打开"宏"菜单,选中Normal.dot模板,若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏,如AAAZAO、PayLoad等,就极可能是感染了宏病毒了,因为Normal模板中是不包含这些宏的。
② 在使用的Word"工具"菜单中看不到"宏"这个字,或看到"宏"但光标移到"宏",鼠标点击无反应,这种情况肯定有宏病毒。
③ 打开一个文档,不进行任何操作,退出Word,如提示存盘,这极可能是Word中的Normal.dot模板中带宏病毒。
④ 打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘,也可能带有Word宏病毒。
⑤ 在运行Word过程中经常出现内存不足,打印不正常,也可能有宏病毒。
⑥ 在运行Word 97时,打开DOC文档出现是否启动"宏"的提示,该文档极可能带有宏病毒。
感染了宏病毒后,也可以采取对付文件型计算机病毒的方法,用防杀计算机病毒软件查杀,如果手头一时没有防杀计算机病毒软件的话,对付某些感染Word文档的宏病毒也是可以通过手工操作的方法来查杀的。下面以Word 97为例简单介绍一下如何进行手工查杀:
首先,必须保证Word 97本身是没有感染宏病毒的,也就是Word 97安装目录下Startup目录下的文件和Normal.dot文件没有被宏病毒感染。
然后只打开Word 97,而不是直接双击文档,选择"工具"菜单中的"选项"命令。再在"常规"中选中"宏病毒防护",在"保存"中不选中"快速保存",按确定按钮。
打开文档,此时系统应该提示是否启用"宏",选"否",不启用宏而直接打开文档。再选择"工具"菜单的"宏"子菜单的"宏"命令,将可疑的宏全部删除。然后将文档保存。宏病毒被清除。
有些宏可能会屏蔽掉"宏"菜单,使得上述方法无法实施,这个时候可以试试下面这种方法:
首先保证Word 97不受宏病毒的感染,只打开Word 97并新建一个空文档,然后在"工具"菜单中选择"选项"命令,在"常规"中选中"宏病毒防护",在"保存"中选择"提示保存Normal模板",按确定按钮。
接着再启动一个Word 97应用程序,然后用新启动的这个Word 97打开感染宏病毒的文档,应当也会出现是否启用宏的提示,选"否";然后选择"编辑"菜单中的"全选"命令;然后再选择"编辑"菜单中的"复制"命令;再切换到先前的Word 97中,选择"编辑"菜单中的"粘贴"命令,可以发现原来的文档被粘贴到先前Word 97新建的文档里。
切换回打开带宏病毒文档的Word 97中,选择"文件"菜单中的"退出"命令,退出Word 97,如果提示说是否保存Normal.dot模板,则选"否"。
再切换回先打开的Word 97中,选择"文件"菜单中的"保存"命令,将文件保存。由于宏病毒不会随剪贴板功能而被复制,所以这种办法也能起到杀灭宏病毒的效果。
对宏病毒的预防是完全可以做到的,只要在使用Office套装软件之前进行一些正确的设置,就基本上能够防止宏病毒的侵害。任何设置都必须在确保软件未被宏病毒感染的情况下进行:
(1) 在Word中打开"选项"中的"宏病毒防护"(Word 97及以上版本才提供此功能)和"提示保存Normal模板";清理"工具"菜单中"模板和加载项"中的"共用模板及加载项"中预先加载的文件,不必要的就不加载,必须加载的则要确保没有宏病毒的存在,并且确认没有选中"自动更新样式"选项;退出Word,此时会提示保存Normal.dot模板,按"是"按钮,保存并退出Word;找到Normal.dot文件,将文件属性改成"只读"。
(2) 在Excel中选择"工具"菜单中的"选项"命令,在"常规"中选中"宏病毒防护功能"。
(3) 在PowerPoint中选择"工具"菜单中的"选项"命令,在"常规"中选中"宏病毒防护"。
(4) 其他防范文件型计算机病毒所做的工作。
做了防护工作后,对打开提示有是否启用宏,除非能够完全确信文档中只包含明确没有破坏意图的宏,否则都不执行宏;而对退出时提示保存除文档以外的文件,如Normal.dot模板等,一律不予保存。
以上这些防范宏病毒的方法可以说是最简单实用的,而且效果最明显。
3.3.5 电子函件计算机病毒的识别和防范
风靡全球的"美丽莎"(Melissa)、Papa和HAPPY99等计算机病毒正是通过电子函件的方式进行传播、扩散,其结果导致邮件服务器瘫痪,用户信息和重要文档泄密,无法收发E-mail,给个人、企业和政府部门造成严重的损失。为此有必要介绍一下电子函件计算机病毒。
电子函件计算机病毒实际上并不是一类单独的计算机病毒,严格来说它应该划入到文件型计算机病毒及宏病毒中去,只不过由于这些计算机病毒采用了独特的电子函件传播方式(其中不少种类还专门针对电子函件的传播方式进行了优化),因此我们习惯于称将它们为电子函件计算机病毒。
所谓电子函件计算机病毒就是以电子函件作为传播途径的计算机病毒,实际上该类计算机病毒和普通的计算机病毒一样,只不过是传播方式改变而已。该类计算机病毒的特点:
1. 电子函件本身是无毒的,但它的内容中可以有Unix下的特殊的换码序列,就是通常所说的ANSI字符,当用Unix智能终端上网查看电子函件时,有被侵入的可能。
2. 电子函件可以夹带任何类型的文件作为附件(Attachment),附件文件可能带有计算机病毒。
3. 利用某些电子函件收发器特有的扩充功能,比如Outlook/Outlook Express能够执行VBA指令编写的宏,等等,在电子函件中夹带有针对性的代码,利用电子函件进行传染、扩散。
4. 利用某些操作系统所特有的功能,比如利用Windows 98下的Windows Scripting Host,利用*.SHS文件来进行破坏。
5. 超大的电子函件、电子函件炸弹也可以认为是一种电子函件计算机病毒,它能够影响邮件服务器的正常服务功能。
通常对付电子函件计算机病毒,只要删除携带电子函件计算机病毒的信件就能够删除它。但是大多数的电子函件计算机病毒在一被接收到客户端时就开始发作了,基本上没有潜伏期。所以预防电子函件计算机病毒是至关重要的。以下是一些常用的预防电子函件计算机病毒的方法:
(1) 不要轻易执行附件中的EXE和COM等可执行程序。这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子函件中的可执行程序附件都必须检查,确定无异后才可使用。
(2) 不要轻易打开附件中的文档文件。对方发送过来的电子函件及相关附件的文档,首先要用"另存为…"命令("Save As…")保存到本地硬盘,待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或Excel,如有附件中有计算机病毒则会立刻传染,如有"是否启用宏"的提示,那绝对不要轻易打开,否则极有可能传染上电子函件计算机病毒。
(3) 对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害。
(4) 如果是使用Outlook作为收发电子函件软件的话,应当进行一些必要的设置。选择"工具"菜单中的"选项"命令,在"安全"中设置"附件的安全性"为"高";在"其他"中按"高级选项"按钮,按"加载项管理器"按钮,不选中"服务器脚本运行"。最后按"确定"按钮保存设置。
(5) 如果是使用Outlook Express作为收发电子函件软件的话,也应当进行一些必要的设置。选择"工具"菜单中的"选项"命令,在"阅读"中不选中"在预览窗格中自动显示新闻邮件"和"自动显示新闻邮件中的图片附件"。这样可以防止有些电子函件计算机病毒利用Outlook Express的缺省设置自动运行,破坏系统。
(6) 对于使用Windows 98操作系统的计算机,在"控制面板"中的"添加/删除程序"中选择检查一下是否安装了Windows Scripting Host。如果已经安装的,请卸载,并且检查Windows的安装目录下是否存在Wscript.exe文件,如果存在的话也要删除。因为有些电子函件计算机病毒就是利用Windows Scripting Host进行破坏的。
(7) 对于自己往外传送的附件,也一定要仔细检查,确定无毒后,才可发送,虽然电子函件计算机病毒相当可怕,只要防护得当,还是完全可以避免传染上计算机病毒的,仍可放心使用。
对付电子函件计算机病毒,还可以在计算机上安装有电子函件实时监控功能的防杀计算机病毒软件。有条件的还可以在电子函件服务器上安装服务器版电子函件计算机病毒防护软件,从外部切断电子函件计算机病毒的入侵途径,确保整个网络的安全。
3.4 计算机病毒检测方法
3.4.1 比较法
3.4.2 加总比对法
3.4.3 搜索法
3.4.4 分析法
3.4.5 人工智能陷阱技术和宏病毒陷阱技术
3.4.6 软件仿真扫描法
3.4.7 先知扫描法
检测磁盘中的计算机病毒可分成检测引导型计算机病毒和检测文件型计算机病毒。这两种检测从原理上讲是一样的,但由于各自的存储方式不同,检测方法是有差别的。
3.4.1 比较法
比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单(比如DEBUG的D命令输出格式)进行比较,或用程序来进行比较(如DOS的DISKCOMP、FC或PCTOOLS等其它软件)。这种比较法不需要专用的查计算机病毒程序,只要用常规DOS软件和PCTOOLS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快,新的计算机病毒层出不穷,由于目前还没有做出通用的能查出一切计算机病毒,或通过代码分析,可以判定某个程序中是否含有计算机病毒的查毒程序,发现新计算机病毒就只有靠比较法和分析法,有时必须结合这两者来一同工作。
使用比较法能发现异常,如文件的长度有变化,或虽然文件长度未发生变化,但文件内的程序代码发生了变化。对硬盘主引导扇区或对DOS的引导扇区做检查,比较法能发现其中的程序代码是否发生了变化。由于要进行比较,保留好原始备份是非常重要的,制作备份时必须在无计算机病毒的环境里进行,制作好的备份必须妥善保管,写好标签,并加上写保护。
比较法的好处是简单、方便,不需专用软件。缺点是无法确认计算机病毒的种类名称。另外,造成被检测程序与原始备份之间差别的原因尚需进一步验证,以查明是由于计算机病毒造成的,或是由于DOS数据被偶然原因,如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法,查看变化部分代码的性质,以此来确证是否存在计算机病毒。另外,当找不到原始备份时,用比较法就不能马上得到结论。从这里可以看到制作和保留原始主引导扇区和其它数据备份的重要性。 3.4.2 加总比对法
根据每个程序的档案名称、大小、时间、日期及内容,加总为一个检查码,再将检查码附于程序的后面,或是将所有检查码放在同一个数据库中,再利用此加总对比系统,追踪并记录每个程序的检查码是否遭更改,以判断是否感染了计算机病毒。一个很简单的例子就是当您把车停下来之后,将里程表的数字记下来。那么下次您再开车时,只要比对一下里程表的数字,那么您就可以断定是否有人偷开了您的车子。这种技术可侦测到各式的计算机病毒,但最大的缺点就是误判断高,且无法确认是哪种计算机病毒感染的。对于隐形计算机病毒也无法侦测到。
3.4.3 搜索法.
搜索法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的计算机病毒。国外对这种按搜索法工作的计算机病毒扫描软件叫Virus Scanner。计算机病毒扫描软件由两部分组成:一部分是计算机病毒代码库,含有经过特别选定的各种计算机病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序。目前常见的防杀计算机病毒软件对已知计算机病毒的检测大多采用这种方法。计算机病毒扫描程序能识别的计算机病毒的数目完全取决于计算机病毒代码库内所含计算机病毒的种类多少。显而易见,库中计算机病毒代码种类越多,扫描程序能认出的计算机病毒就越多。计算机病毒代码串的选择是非常重要的。短小的计算机病毒只有一百多个字节,长的有上万字节的。如果随意从计算机病毒体内选一段作为代表该计算机病毒的特征代码串,可能在不同的环境中,该特征串并不真正具有代表性,不能用于将该串所对应的计算机病毒检查出来。选这种串做为计算机病毒代码库的特征串就是不合适的。
另一种情况是代码串不应含有计算机病毒的数据区,数据区是会经常变化的。代码串一定要在仔细分析了程序之后才选出最具代表特性的,足以将该计算机病毒区别于其它计算机病毒的字节串。选定好的特征代码串是很不容易的,是计算机病毒扫描程序的精华所在。一般情况下,代码串是连续的若干个字节组成的串,但是有些扫描软件采用的是可变长串,即在串中包含有一个到几个"模糊"字节。扫描软件遇到这种串时,只要除"模糊"字节之外的字串都能完好匹配,则也能判别出计算机病毒。
除了前面说的选特征串的规则外,最重要的是一条是特征串必须能将计算机病毒与正常的非计算机病毒程序区分开。不然将非计算机病毒程序当成计算机病毒报告给用户,是假警报,这种"狼来了"的假警报太多了,就会使用户放松警惕,等真的计算机病毒一来,破坏就严重了;再就是若将这假警报送给杀计算机病毒程序,会将好程序给"杀死"了。
使用特征串的扫描法被查计算机病毒软件广泛应用。当特征串选择得很好时,计算机病毒检测软件让计算机用户使用起来很方便,对计算机病毒了解不多的人也能用它来发现计算机病毒。另外,不用专门软件,用PCTOOLS等软件也能用特征串扫描法去检测特定的计算机病毒。
这种扫描法的缺点也是明显的。第一是当被扫描的文件很长时,扫描所花时间也越多;第二是不容易选出合适的特征串;第三是新的计算机病毒的特征串未加入计算机病毒代码库时,老版本的扫毒程序无法识别出新的计算机病毒;第四是怀有恶意的计算机病毒制造者得到代码库后,会很容易地改变计算机病毒体内的代码,生成一个新的变种,使扫描程序失去检测它的能力;第五是容易产生误报,只要在正常程序内带有某种计算机病毒的特征串,即使该代码段已不可能被执行,而只是被杀死的计算机病毒体残余,扫描程序仍会报警;第六是不易识别多维变形计算机病毒。不管怎样,基于特征串的计算机病毒扫描法仍是今天用得最为普遍的查计算机病毒方法。
3.4.4 分析法
一般使用分析法的人不是普通用户,而是防杀计算机病毒技术人员。使用分析法的目的在于:
1. 确认被观察的磁盘引导扇区和程序中是否含有计算机病毒;
2. 确认计算机病毒的类型和种类,判定其是否是一种新的计算机病毒;
3. 搞清楚计算机病毒体的大致结构,提取特征识别用的字节串或特征字,用于增添到计算机病毒代码库供计算机病毒扫描和识别程序用;
4. 详细分析计算机病毒代码,为制定相应的防杀计算机病毒措施制定方案。
上述四个目的按顺序排列起来,正好是使用分析法的工作顺序。使用分析法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用以及关于计算机病毒方面的各种知识,这是与其他检测计算机病毒方法不一样的地方。
要使用分析法检测计算机病毒,其条件除了要具有相关的知识外,还需要反汇编工具、二进制文件编辑器等分析用工具程序和专用的试验计算机。因为即使是很熟练的防杀计算机病毒技术人员,使用性能完善的分析软件,也不能保证在短时间内将计算机病毒代码完全分析清楚。而计算机病毒有可能在被分析阶段继续传染甚至发作,把软盘硬盘内的数据完全毁坏掉,这就要求分析工作必须在专门设立的试验计算机机上进行,不怕其中的数据被破坏。在不具备条件的情况下,不要轻易开始分析工作,很多计算机病毒采用了自加密、反跟踪等技术,使得分析计算机病毒的工作经常是冗长和枯燥的。特别是某些文件型计算机病毒的代码可达10Kb以上,与系统的牵扯层次很深,使详细的剖析工作十分复杂。
计算机病毒检测的分析法是防杀计算机病毒工作中不可缺少的重要技术,任何一个性能优良的防杀计算机病毒系统的研制和开发都离不开专门人员对各种计算机病毒的详尽而认真的分析。
分析的步骤分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令后程序清单后进行分析,看计算机病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,并将计算机病毒感染文件的过程翻转为清除该计算机病毒、修复文件的过程;判断哪些代码可被用做特征码以及如何防御这种计算机病毒。分析人员具有的素质越高,分析过程越快、理解越深。动态分析则是指利用DEBUG等调试工具在内存带毒的情况下,对计算机病毒做动态跟踪,观察计算机病毒的具体工作过程,以进一步在静态分析的基础上理解计算机病毒工作的原理。在计算机病毒编码比较简单的情况下,动态分析不是必须的。但当计算机病毒采用了较多的技术手段时,必须使用动、静相结合的分析方法才能完成整个分析过程。 3.4.5 人工智能陷阱技术和宏病毒陷阱技术
人工智能陷阱是一种监测计算机行为的常驻式扫描技术。它将所有计算机病毒所产生的行为归纳起来,一旦发现内存中的程序有任何不当的行为,系统就会有所警觉,并告知使用者。这种技术的优点是执行速度快、操作简便,且可以侦测到各式计算机病毒;其缺点就是程序设计难,且不容易考虑周全。不过在这千变万化的计算机病毒世界中,人工智能陷阱扫描技术是一个至少具有主动保护功能的新技术。
宏病毒陷阱技术(MacroTrap)是结合了搜索法和人工智能陷阱技术,依行为模式来侦测已知及未知的宏病毒。其中,配合OLE2技术,可将宏与文件分开,使得扫描速度变得飞快,而且更可有效地将宏病毒彻底清除。
3.4.6 软件仿真扫描法
该技术专门用来对付多态变形计算机病毒(Polymorphic/MutationVirus)。多态变形计算机病毒在每次传染时,都将自身以不同的随机数加密于每个感染的文件中,传统搜索法的方式根本就无法找到这种计算机病毒。软件仿真技术则是成功地仿真CPU执行,在DOS虚拟机(Virtual Machine)下伪执行计算机病毒程序,安全并确实地将其解密,使其显露本来的面目,再加以扫描。
3.4.7 先知扫描法
先知扫描技术(VICE,Virus Instruction Code Emulation)是继软件仿真后的一大技术上突破。既然软件仿真可以建立一个保护模式下的DOS虚拟机,仿真CPU动作并伪执行程序以解开多态变形计算机病毒,那么应用类似的技术也可以用来分析一般程序,检查可疑的计算机病毒代码。因此先知扫描技术将专业人员用来判断程序是否存在计算机病毒代码的方法,分析归纳成专家系统和知识库,再利用软件模拟技术(Software Emulation)伪执行新的计算机病毒,超前分析出新计算机病毒代码,对付以后的计算机病毒。
3.5 计算机系统的修复
3.5.1 计算机病毒感染后的一般修复处理方法
3.5.2 实例:手工恢复被CIH计算机病毒破坏的硬盘数据
3.5.3 计算机系统修复应急计划
3.5.1 计算机病毒感染后的一般修复处理方法
一旦遇到计算机病毒破坏了系统也不必惊惶失措,采取一些简单的办法可以杀除大多数的计算机病毒,恢复被计算机病毒破坏的系统。
下面介绍计算机病毒感染后的一般修复处理方法:
1、首先必须对系统破坏程度有一个全面的了解,并根据破坏的程度来决定采用有效的计算机病毒清除方法和对策。
如果受破坏的大多是系统文件和应用程序文件,并且感染程度较深,那么可以采取重装系统的办法来达到清除计算机病毒的目的。而对感染的是关键数据文件,或比较严重的时候,比如硬件被CIH计算机病毒破坏,就可以考虑请防杀计算机病毒专家来进行清除和数据恢复工作。
2、修复前,尽可能再次备份重要的数据文件。
目前防杀计算机病毒软件在杀毒前大多都能够保存重要的数据和感染的文件,以便能够在误杀或造成新的破坏时可以恢复现场。但是对那些重要的用户数据文件等还是应该在杀毒前手工单独进行备份,备份不能做在被感染破坏的系统内,也不应该与平时的常规备份混在一起。
3、启动防杀计算机病毒软件,并对整个硬盘进行扫描。某些计算机病毒在Windows 95/98状态下无法完全清除(如CIH计算机病毒),此时我们应使用事先准备的未感染计算机病毒的DOS系统软盘启动系统,然后在DOS下运行相关杀毒软件进行清除。
4、发现计算机病毒后,我们一般应利用防杀计算机病毒软件清除文件中的计算机病毒,如果可执行文件中的计算机病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。
5、杀毒完成后,重启计算机,再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒,并确定被感染破坏的数据确实被完全恢复。
6、此外,对于杀毒软件无法杀除的计算机病毒,还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心,以供详细分析。 3.5.2 实例:手工恢复被CIH计算机病毒破坏的硬盘数据
1、基础知识
(1)DOS兼容系统硬盘数据的构成 :
主分区和扩展分区结构基本相似,以下以主分区为例。
主引导记录(MBR):MBR占一个扇区,在0柱面0面1扇区,由代码区和分区表构成。其中代码区可以由FDISK /MBR重建。
系统扇区:0柱面0面2扇区到0柱面0面63扇区,共62个扇区。
引导扇区(BOOT):0柱面1面1扇区。这是我们过去称的DOS引导区。也占一个扇区。
隐藏扇区:0柱面1面1扇区开始,如果是FAT16那么占一个扇区,如果是FAT32则由此占32个扇区。
文件分配表(FAT):每个有效的FAT结构区包含两个完全相同的拷贝:FAT1、FAT2, FAT16的第一FAT表一般均在0柱面1面2扇区,FAT32的第一FAT表在0柱面0面33扇区。FAT表是记录文件占用扇区连接的地方,如果两个FAT表都坏了,后果不堪设想。由于FAT表的长度与当前分区的大小有关所以FAT2 的地址是需要计算的。
FAT16的每个表项由2字节(16位)组成,通常每个表项指向的簇包含64个扇区,即32Kb字节。逻辑盘容量最大为2047MB。FAT32的每个表项由4字节(32位)组成,通常每个表项指向的簇包含8个扇区,即4Kb字节。逻辑盘容量最小为2048MB。有关计算公式为:
每个扇区长度=512字节
簇容量=每扇区长度×每簇扇区数
总簇数=逻辑盘容量/簇容量
总簇数=FAT表长度(字节)/每个表项长度(字节)-2
FAT表长度=逻辑盘容量/簇容量×每个表项长度
FAT表的开始由介质描述符加上一串"已占用"标志组成:
FAT16硬盘:F8 FF FF 7F
FAT32硬盘:F8 FF FF 0F FF FF FF 0F
根目录扇区(ROOT):这里记录了根目录里的目录文件项等,ROOT区跟在FAT2后面。
数据区:跟在根目录扇区后面,这才是真正保存文件内容的地方。
(2)主引导记录简单说明:
主引导记录是硬盘引导的起点,其分区表中比较重要的有3个标志,在偏移0x01BE处的字节,0x80 表示系统可引导,且整个分区表只能有一个分区的标志为0x80;对于C分区,在偏移0x01C2处的字节,FAT16为0x06,FAT32为0x0C;结尾的0x55 0xAA标记,用来表示主引导记录是一个有效的记录。
2.一个基本恢复被CIH破坏硬盘数据的例子
其实,无论主引导记录还是隐含扇区还是启动扇区,都不重要,这些扇区的重建都比较容易。对数据恢复来说,能否成功的找回数据文件是重要的。另外,由于FAT表记录了文件在硬盘上占用扇区的链表,如果2个FAT表都完全损坏了。那么恢复文件,特别是占用多个不连续扇区文件就相当困难了。
恢复被CIH破坏的硬盘数据的基本思路是:
(1)FAT2没有损坏的情况,用FAT2覆盖FAT1。
(2)FAT2也已经损坏的情况,一般是只期待找回其中某些关键的文件了。我们最期待的是这些文件是连续的。如果不连续的话,也并非没有可能,但这往往还要知道文件的一些细节,包括对一些文件本身的连接结构有了解。如果FAT2没有完全破坏,还是有一定用处的,另外,一般来说,FAT16的硬盘因为FAT表扇区比较靠前,破坏的比较严重,一般两个FAT表都会被破坏了,恢复起来比较困难。另外小容量的硬盘也是很难恢复。
在进行数据恢复之前准备好软盘3张:
DISK1 :WIN98启动盘(带DEBUG.EXE)
DISK2:NORTON DISKEDIT等工具(此盘不要写保护)
DISK3:DOS下杀CIH的工具
找一台完好无损的计算机,将待恢复的的硬盘接上,开机,进入SETUP,检测硬盘,把参数记下:
CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA
用准备好的软盘启动并输入:
A:\>C:
显示Invalid drive specification(无效的盘标识符)
用FDISK /MBR命令重建主引导记录,并重新用软盘引导。此时已经看的见C:硬盘。运行DISKEDIT,启动过程中显示Invalid media type reading DRIVER C。用DEBUG 清空分区表,并置0x80和0x55 0xAA标志。重新启动,再运行DISKEDIT,显示设定为READ ONLY,没关系,把CONFIGURATION中的只读选项去掉,存盘,好了,可以编辑了。
我们期待FAT2没有损坏,以用FAT2覆盖FAT1,在这个时候DISKEDIT要比DEBUG容易的多,在FIND OBJECT中选择 FAT,查一下起始扇区,在0柱面68面14扇区,偏移0x0000的字节:F8 FF FF 0F (FAT32的)。该项显示表明FAT2没坏。其实如果不用DISKEDIT的可以用DEBUG查,偏移0000的F8 FF FF 0F。记下了该扇区:0柱面68面14扇区备用。FAT1一般前面已经被破坏了,但后面应该还在,这可以作为检查。因为是32位的,FAT1 一般在0柱面1面33扇区。
接下来再在DISKEDIT的FIND中查找IO SYS(IO 和SYS中要有空格)以查找根目录扇区(ROOT)。找到后观察,是否有C:\ 下常见文件,以确定根目录扇区没被破坏。
有了根目录扇区后就该计算FAT表的长度了,因为FAT2是到ROOT前一扇区为止且FAT1和FAT2的长度相同,所以可以非常简单地计算出FAT表的长度。然后可以用FAT2覆盖FAT1,这里用DEBUG还是DISKEDIT都可以,如果用DEBUG一般是用INT 25读绝对扇区,再用INT 26写入,不过可能要分几次。用DISKEDIT可以标记FAT2的内容,然后复制下来,再写到FAT1。
然后可以恢复主引导记录、隐含扇区和启动扇区。可以先用NDD 修复分区表,然后可以考虑用标准覆盖法,如果你希望下一步由NORTON Utilities来接手,这些都可以不做。用软盘启动后用NORTON Utilities扫描C盘,文件基本恢复。对C盘杀毒后,就基本完成对启动盘的修复工作。
然后再修复D盘。再回到DOS,用DEBUG查找结束标志为55AA 的扇区,由结构判定是否为扩展分区。并算出大小来添入分区表。当然,DISKEDIT等工具可以很好的完成这一工作。
3.经验总结
恢复数据要本着几项原则:
(1)先备份;
(2)优先抢救最关键的数据;
(3)在稳妥的情况下先把最稳定的鸡蛋捞出来,理应先修复扩展分区,再修复C,最好修复一部分备份一部分;
(4)要先作好准备,不要忙中出错。
其实看来,如果FAT2没有损坏的情况下,恢复C盘数据是非常容易的,可以编程实现。如果FAT2损坏了,最容易恢复的当然是只占用一个扇区的小文件和连续占用扇区的文件;如果扇区占用不连续的,比较容易恢复的是文本文件。
在此需要提醒读者,如果您没有具备相当的专业知识,千万不要轻易尝试,否则可能会造成数据的彻底无法恢复。大多数情况下应该请计算机病毒防范专家来恢复被计算机病毒破坏的硬盘中的数据。 3.5.3 计算机系统修复应急计划
就象解决计算机2000年问题一样,对计算机病毒实施的技术防范,任何一个小小的隐患,都可能导致巨大的损失。所以,防范计算机病毒工作也需要制定应急计划,一旦发生了计算机病毒发作,按预定的应急计划行事,将可能造成的损失降到最小程度。
一个应急计划必须包括人员、分工以及各项具体实施步骤和物质准备。
1、人员准备:
首先需要指定一个全局的负责人,一般由领导担当,负责各项工作的分和协调。
参加应急工作的人员一般应包括:网络管理员、技术负责人员、设备维护管理人员和使用者(用户)或值班用户。同时,在发现新的计算机病毒疫情后,可以通过防杀计算机病毒厂商及寻求计算机病毒防范专家的支持。
2、应急计划的实施步骤
应急计划中必需包括的主要工作有:
(1)对染毒的计算机和网络进行隔离
由网络管理员完成,网络使用者提供信息,辅助实施。
(2)向主管部门汇报计算机病毒疫情
一般可以由全局负责人向计算机病毒防范主管部门,或者计算机病毒防范体系中心汇报计算机病毒疫情,包括发作的时间、规模、计算机病毒名称、传播速度以及造成的破坏。
(3)确定计算机病毒疫情规模
通常由技术负责人员和网络使用者完成这项工作,可以在不扩大传染范围的情况下与隔离工作同步进行。
(4)破坏情况估计及制定抢救策略
在全局负责人的领导和计算机病毒防范专家的指导下,由全体人员参加,确定破坏的情况以及制定抢救策略,如重装系统、恢复备份等方法。
(5)实施计算机网络系统恢复计划和数据抢救恢复计划
在计算机病毒防范专家的指导下,由系统管理员、设备维护管理人员和使用者共同实施恢复计划和数据抢救计划。
3、善后工作
将网络恢复正常运作,并总结发生计算机病毒疫情后的应急计划实施情况和效果,不断修改应急计划,使得它能够根好地解决问题,降低损失。
4、此外,在应急计划中还必需包括救援物质、计算机软硬件备件的准备,以及参加人员的联络表等,以便使得发生计算机病毒疫情后能够迅速地召集人手,备件到位,快速进入应急状态。
|
|
