[傻瓜教程]一。病毒认知篇
“最初的信任已经消失了,伴随着它们的进驻,这里已经成为了一个沼泽——有你想要的宝藏,也有随时能够吞噬掉你的陷阱。”
新上网的朋友最为困惑的,莫过于对病毒和各种恶意攻击的恐惧和迷惑了——“我什么都没有做,为什么就中毒了?”是最近在叶子常常听到内部网络的疑问。Ok,接下来,就跟随我一起,进入入门级的安全之旅,希望通过此篇文章,能让您对一些概念,机制有所把握。
潘多拉的魔盒被打开,从此世间便多了疾病、瘟疫、灾难。自从1962年,贝尔实验室三位杰出程序员——罗泊.莫里斯、维克多.维索茨基、道格.迈克劳埃以“编制一些程序,让这些程序根据某种规则自己在内存中生存、搏斗”而理念而造就的“磁芯大战”程序开始,计算机世界的潘多拉魔盒就此打开。
------------------------------------------------------------
come on ~
“计算机病毒”从类别上区分可以分为:病毒,木马,脚本病毒,蠕虫四种。目前,由于病毒,木马,蠕虫,脚本病毒这四类程序在不断杂交中衍生,已经形成了“你中有我,我中有你”的多态特性。为了行文方便,以下统称为“病毒”,但其实四类程序的感染机制和编写方式是完全不同的。
1.感染可执行文件的病毒
这类病毒的编写者的技术水平可说相当高超,此类病毒大多用汇编/c编写,利用被感染程序中的空隙,将自身拆分为数段藏身其中,在可执行文件运行的同时进驻到内存中并进行感染工作,dos下大多为此类病毒居多。互联网络开始兴盛的时候,这类病毒开始结合网络漏洞进行传播,其中的杰出代表为funlove传播——由于windows操作系统的局网共享协议存在默认共享漏洞,以及大部分用户在设置共享的时候贪图方便不设置复杂密码甚至根本就没有密码,共享权限也开启的是“完全访问”。导致funlove病毒通过简单尝试密码利用网络疯狂传播。
这类病毒赖以生存的制约是系统的运行时间和隐蔽性。运行时间——系统运行的时间越长,对其感染其他文件越有利,因此此类病毒中一般不含有恶意关机等代码,染毒后短期内(一般24小时内)也不会导致系统崩溃(如果你是25日感染cih除外),和其他病毒相比用户有足够的处理时间。破坏引导区的大脑病毒、择日发作的星期五病毒、直接读写主板芯片,采用驱动技术的CIH病毒都是其中的代表。
感染途径:此类病毒本身依靠用户执行而进行被动运行,常见感染途径为:盗板光盘、软盘、安全性不佳的共享网络。此类病毒大多通过的是进驻内存后篇历目录树的方式,搜索每个目录下的可执行文件进行感染,因此对内存占用得比较厉害——如果突然在某个时间后发现自己的机器内存占用很高,可能就是感染了此类病毒。
查杀:
1.软盘(光盘)启机使用杀毒软(光)盘进行杀毒,在进行这一步的时候,必须要保证软盘或光盘的病毒库内已经有杀除该病毒的特征码。
2.将硬盘拆下,作为其他机器的从盘;从其他机器的主盘启动进行杀毒(杀毒的机器需要打开病毒即时监控,防止来自从盘的可执行文件中的病毒进驻到内存中)以常见的国产几种杀毒软件为例,在购买的正式版本中,除了供安装使用的光盘外,一般还包含几张软盘(一张引导盘,一张杀毒程序盘,一张病毒库盘)。在对待这类病毒时,最好的做法就是用引导盘启动计算机,然后根据提示将杀毒程序盘和病毒盘依次插入,进行病毒查杀。
3.普通的查杀软件也可以做到,但是肯定会有遗留,所以建议还是手工查杀。不要过分的依赖杀软。
注意2点:
1.目前比较新版本的杀毒程序都能完善地支持ntfs分区的读写,如果是在几年以前购买的杀毒盘,可以根据厂家的服务方式进行升级
2.由于采用软盘杀毒的时候,使用的是软盘上的病毒库,为了能正确地查杀病毒,一定要定期升级软盘的病毒库,否则真到用的时候就哭也哭不出来了。
病毒防范:安装包含即时监控的杀毒软件并启机执行,每天升级病毒库获取最新病毒特征代码;尽量不使用来源不可靠的软盘和光盘,使用前先扫描;关于网络防毒部分后面一并介绍。
2.后台运行进行恶意控制和破坏的病毒(要求特别注意!)
帐号被偷,密码被盗,机器被人远程控制着放歌/开关机/屏幕倒转过来,硬盘不住地转动将关键资料向外发出,就是这类病毒的杰作了。这类病毒和上一类病毒最本质的区别是——这类病毒本身是独立的程序,而不是寄生于另一个程序中。通过系统漏洞/用户操作疏忽进入系统并驻留,通过改写启动设置来达到每次启机运行或关联到某程序的目的。在windows系统中,表现为修改注册表启动项、关联Explorer、关联notepad等方式。
所谓的“盗号”的实现过程是:通过程序监视当前窗口,并获得当前窗口特定控件的值(用户名/密码框里的值),然后通过email,远程登陆web数据库等方式把获得的密码发出去。
还有一种是纯捣乱程序,原理跟上一种类似,不过是朝文本框写信息,例如著名的qq尾巴病毒,这类病毒由于病毒作者将源代码放出,改写起来相当容易,智商85以上的人士都能胜任的。这类木马病毒中的杰出代表为BO、冰河、Sub7等。
利用系统漏洞——造成溢出——获取一定权限——利用其他漏洞或用户设置不当提升权限——上传恶意程序/修改系统设置——启动恶意程序。是这类病毒感染的惯用方式。在后期,出现了以诱骗用户执行为主要感染方式的新木马,充分利用了社会工程学,例如在im类软件上给你发送一个名为“我的照片.exe”这样的文件给你,引诱你打开执行。由于木马的用途主要是将病毒编写者感兴趣的资料回发——因此感染途径99%来源于网络,在完全无网络单机状态下的木马等于是没用的死马。
查杀:
先通过注册表自己查找一下。xp和2000一般都是以下的几个位置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\Sytem\Current Control Set\Services
或者是system.ini文件的[boot]小节将默认项目修改,或者是在Win.ini中的[Windows]小节中的load、run部分进行加载,在Windows\Start Menu\Programs\启动这里加载
现在大部分的杀毒程序已经能够做到傻瓜式杀毒。半脱产管理。但是我们不要过分的依赖这类杀毒程序,毕竟不是人。不会做到人能做到的事。下面说说这类程序的手工查杀方法。
1.删除启动项目,重新启机,删除木马文件
2.禁止当前运行的木马程序,删除启动项目,重新启机
这两种都是可以的。但是对3721类病毒无效,因为这类病毒是使用2个程序互相关联/检查启动启动机器的时候会加载system32/drivers目录下的驱动,改写i/o,让Windows修改无效或者是修改注册表无效。
病毒防御:对待木马,防止感染远比事后杀除更为重要——重要的文件/资料/帐号已经被获取了,即使把木马杀了也无事于补。木马的进驻,除了利用系统漏洞,大多采用欺骗方式——记得一句古话:“便宜莫贪”。网络上初认识的朋友热情地给你发他的照片,四处标榜着的免费游戏外挂,一些小站点吹嘘的精品软件,一些情色站点的专用播放器,一些所谓“安全站点”的所谓黑客工具。
世界上没有绝对免费的事,以上提到的这些事情中的确有一些是免费的,当更多的是木马程序,或者利用程序捆绑技术,将正常程序和木马程序捆绑在一起的。如非必要尽量不要在这些地方进行下载。总想贪图便宜,会吃大亏的——生活中如此,网络上同样是!网络上喜欢你6位qq号的人远比觉得你帅的人多。网络上喜欢你180级帐号的人远比喜欢喜欢飞剑侠的人多。网络上希望你作他肉机的人远比他做你肉机的人多。总之一句话,无事献殷勤——大多非奸即盗!
第一篇结束,下一篇介绍蠕虫和脚本病毒。
顺便提一句,推荐使用360安全卫士和卡巴6.0这两个软件,虽然他们不是最好的。但是从实用性。操作性。难易程度来区分还是最适合国人使用的杀软。如果对自己的系统不是很放心或者说想做到百毒莫侵,用这两个软件可以做到95%。
新上网的朋友最为困惑的,莫过于对病毒和各种恶意攻击的恐惧和迷惑了——“我什么都没有做,为什么就中毒了?”是最近在叶子常常听到内部网络的疑问。Ok,接下来,就跟随我一起,进入入门级的安全之旅,希望通过此篇文章,能让您对一些概念,机制有所把握。
潘多拉的魔盒被打开,从此世间便多了疾病、瘟疫、灾难。自从1962年,贝尔实验室三位杰出程序员——罗泊.莫里斯、维克多.维索茨基、道格.迈克劳埃以“编制一些程序,让这些程序根据某种规则自己在内存中生存、搏斗”而理念而造就的“磁芯大战”程序开始,计算机世界的潘多拉魔盒就此打开。
------------------------------------------------------------
come on ~
“计算机病毒”从类别上区分可以分为:病毒,木马,脚本病毒,蠕虫四种。目前,由于病毒,木马,蠕虫,脚本病毒这四类程序在不断杂交中衍生,已经形成了“你中有我,我中有你”的多态特性。为了行文方便,以下统称为“病毒”,但其实四类程序的感染机制和编写方式是完全不同的。
1.感染可执行文件的病毒
这类病毒的编写者的技术水平可说相当高超,此类病毒大多用汇编/c编写,利用被感染程序中的空隙,将自身拆分为数段藏身其中,在可执行文件运行的同时进驻到内存中并进行感染工作,dos下大多为此类病毒居多。互联网络开始兴盛的时候,这类病毒开始结合网络漏洞进行传播,其中的杰出代表为funlove传播——由于windows操作系统的局网共享协议存在默认共享漏洞,以及大部分用户在设置共享的时候贪图方便不设置复杂密码甚至根本就没有密码,共享权限也开启的是“完全访问”。导致funlove病毒通过简单尝试密码利用网络疯狂传播。
这类病毒赖以生存的制约是系统的运行时间和隐蔽性。运行时间——系统运行的时间越长,对其感染其他文件越有利,因此此类病毒中一般不含有恶意关机等代码,染毒后短期内(一般24小时内)也不会导致系统崩溃(如果你是25日感染cih除外),和其他病毒相比用户有足够的处理时间。破坏引导区的大脑病毒、择日发作的星期五病毒、直接读写主板芯片,采用驱动技术的CIH病毒都是其中的代表。
感染途径:此类病毒本身依靠用户执行而进行被动运行,常见感染途径为:盗板光盘、软盘、安全性不佳的共享网络。此类病毒大多通过的是进驻内存后篇历目录树的方式,搜索每个目录下的可执行文件进行感染,因此对内存占用得比较厉害——如果突然在某个时间后发现自己的机器内存占用很高,可能就是感染了此类病毒。
查杀:
1.软盘(光盘)启机使用杀毒软(光)盘进行杀毒,在进行这一步的时候,必须要保证软盘或光盘的病毒库内已经有杀除该病毒的特征码。
2.将硬盘拆下,作为其他机器的从盘;从其他机器的主盘启动进行杀毒(杀毒的机器需要打开病毒即时监控,防止来自从盘的可执行文件中的病毒进驻到内存中)以常见的国产几种杀毒软件为例,在购买的正式版本中,除了供安装使用的光盘外,一般还包含几张软盘(一张引导盘,一张杀毒程序盘,一张病毒库盘)。在对待这类病毒时,最好的做法就是用引导盘启动计算机,然后根据提示将杀毒程序盘和病毒盘依次插入,进行病毒查杀。
3.普通的查杀软件也可以做到,但是肯定会有遗留,所以建议还是手工查杀。不要过分的依赖杀软。
注意2点:
1.目前比较新版本的杀毒程序都能完善地支持ntfs分区的读写,如果是在几年以前购买的杀毒盘,可以根据厂家的服务方式进行升级
2.由于采用软盘杀毒的时候,使用的是软盘上的病毒库,为了能正确地查杀病毒,一定要定期升级软盘的病毒库,否则真到用的时候就哭也哭不出来了。
病毒防范:安装包含即时监控的杀毒软件并启机执行,每天升级病毒库获取最新病毒特征代码;尽量不使用来源不可靠的软盘和光盘,使用前先扫描;关于网络防毒部分后面一并介绍。
2.后台运行进行恶意控制和破坏的病毒(要求特别注意!)
帐号被偷,密码被盗,机器被人远程控制着放歌/开关机/屏幕倒转过来,硬盘不住地转动将关键资料向外发出,就是这类病毒的杰作了。这类病毒和上一类病毒最本质的区别是——这类病毒本身是独立的程序,而不是寄生于另一个程序中。通过系统漏洞/用户操作疏忽进入系统并驻留,通过改写启动设置来达到每次启机运行或关联到某程序的目的。在windows系统中,表现为修改注册表启动项、关联Explorer、关联notepad等方式。
所谓的“盗号”的实现过程是:通过程序监视当前窗口,并获得当前窗口特定控件的值(用户名/密码框里的值),然后通过email,远程登陆web数据库等方式把获得的密码发出去。
还有一种是纯捣乱程序,原理跟上一种类似,不过是朝文本框写信息,例如著名的qq尾巴病毒,这类病毒由于病毒作者将源代码放出,改写起来相当容易,智商85以上的人士都能胜任的。这类木马病毒中的杰出代表为BO、冰河、Sub7等。
利用系统漏洞——造成溢出——获取一定权限——利用其他漏洞或用户设置不当提升权限——上传恶意程序/修改系统设置——启动恶意程序。是这类病毒感染的惯用方式。在后期,出现了以诱骗用户执行为主要感染方式的新木马,充分利用了社会工程学,例如在im类软件上给你发送一个名为“我的照片.exe”这样的文件给你,引诱你打开执行。由于木马的用途主要是将病毒编写者感兴趣的资料回发——因此感染途径99%来源于网络,在完全无网络单机状态下的木马等于是没用的死马。
查杀:
先通过注册表自己查找一下。xp和2000一般都是以下的几个位置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\Sytem\Current Control Set\Services
或者是system.ini文件的[boot]小节将默认项目修改,或者是在Win.ini中的[Windows]小节中的load、run部分进行加载,在Windows\Start Menu\Programs\启动这里加载
现在大部分的杀毒程序已经能够做到傻瓜式杀毒。半脱产管理。但是我们不要过分的依赖这类杀毒程序,毕竟不是人。不会做到人能做到的事。下面说说这类程序的手工查杀方法。
1.删除启动项目,重新启机,删除木马文件
2.禁止当前运行的木马程序,删除启动项目,重新启机
这两种都是可以的。但是对3721类病毒无效,因为这类病毒是使用2个程序互相关联/检查启动启动机器的时候会加载system32/drivers目录下的驱动,改写i/o,让Windows修改无效或者是修改注册表无效。
病毒防御:对待木马,防止感染远比事后杀除更为重要——重要的文件/资料/帐号已经被获取了,即使把木马杀了也无事于补。木马的进驻,除了利用系统漏洞,大多采用欺骗方式——记得一句古话:“便宜莫贪”。网络上初认识的朋友热情地给你发他的照片,四处标榜着的免费游戏外挂,一些小站点吹嘘的精品软件,一些情色站点的专用播放器,一些所谓“安全站点”的所谓黑客工具。
世界上没有绝对免费的事,以上提到的这些事情中的确有一些是免费的,当更多的是木马程序,或者利用程序捆绑技术,将正常程序和木马程序捆绑在一起的。如非必要尽量不要在这些地方进行下载。总想贪图便宜,会吃大亏的——生活中如此,网络上同样是!网络上喜欢你6位qq号的人远比觉得你帅的人多。网络上喜欢你180级帐号的人远比喜欢喜欢飞剑侠的人多。网络上希望你作他肉机的人远比他做你肉机的人多。总之一句话,无事献殷勤——大多非奸即盗!
第一篇结束,下一篇介绍蠕虫和脚本病毒。
顺便提一句,推荐使用360安全卫士和卡巴6.0这两个软件,虽然他们不是最好的。但是从实用性。操作性。难易程度来区分还是最适合国人使用的杀软。如果对自己的系统不是很放心或者说想做到百毒莫侵,用这两个软件可以做到95%。
本资讯及文章仅代表发表厂商及作者观点,不代表叶子猪本身观点
已有人对此文章评分
您的评分地址:
大话成功交易一览更多>>>
