病毒知识学习

一Active K

 

纵观反病毒技术发展，从防病毒卡到自升级的软件反病毒产品，再到动态、实时的反病毒技术，所经营的从来都是被动式的防御理念。这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层应用软件的反病毒产品，才能帮助借助于操作系统或网络系统所提供的功能来被动地防治病毒。这种做法就给计算机系统的安全性、可靠性造成了很大的影响。

   能在操作系统和网络的内核中加入反病毒功能，使反病毒成为系统本身的底层模块，而不是一个系统外部的应用软件，一直是反病毒厂家追求的目标。
   嵌入操作系统和网络系统底层，实现各种反毒模块与操作系统和网络无缝连接的反病毒技术，实现起来难度极大。
   Active K（主动内核）技术的要点在于它采用了与“主动反应装甲”同样的概念，能够在病毒突破计算机系统软、硬件的瞬间发生作用。这种作用，一方面不会伤及计算机系统本身，另一方面却对企图入侵系统的病毒具有彻底拦截并杀除的作用。以往的反病毒技术，甚至连“被动反应”都称不上，因为它们本身不具备防护能力，病毒入侵系统时它们不会产生反应，它们之所以有存在的必然性，是因为系统被病毒感染后，能够用这些产品对系统进行反病毒检查与杀除工作。实时化的反病毒技术，可以被称为“主动反应”技术，因为这时反病毒技术能够在用户不关心的情况下，自动将病毒拦截在系统之外。
   主动内核技术，用通俗的说法：是从操作系统内核这一深度，给操作系统和网络系统本身打了一个补丁，而且是一个“主动”的补丁，这个补丁将从安全的角度对系统或网络进行管理和检查，对系统的漏洞进行修补；任何文件在进入系统之前，作为主动内核的反毒模块都将首先使用各种手段对文件进行检测处理。

 

二、病毒种类

 

1、DOS病毒： 指针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒，由于Win9x病 毒的出现，DOS病毒几乎绝迹。但DOS病毒在Win9x环境中仍可以进行感染活动，因此若执行染毒文件，Win9x用户也 会被感染。我们使用的杀毒软件能够查杀的病毒中一半以上都是DOS病毒，可见DOS时代DOS病毒的泛滥程度。但这些 众多的病毒中除了少数几个让用户胆战心惊的病毒之外，大部分病毒都只是制作者出于好奇或对公开代码进行一定变 形而制作的病毒。

 

　　2、Windows病毒：主要指针对Win9x操作系统的病毒。现在的电脑用户一般都安装Windows系统 Windows病毒一般感染Win9x系统，其中最典型的病毒有CIH病毒。但这并不意味着可以忽略系统是WinNT系列包括 Win2000　的计算机。一些Windows病毒不仅在Win9x上正常感染，还可以感染WinNT上的其它文件。主要感染的文 件扩展名为EXESCRDLLOCX等。

 

　　3、入侵型病毒：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程 序，针对性强。一般情况下难以发现，清除起来较困难。

 

　　4、嵌入式病毒：这种病毒将自身代码嵌入到被感染文件中，当文件被感染后，查杀和清除病毒都 非常不易。不过编写嵌入式病毒比较困难，所以这种病毒数量不多。

 

　　5、外壳类病毒：这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒的种类繁多，大多 感染文件的病毒都是这种类型。

 

6、病毒生成工具：通常是以菜单形式驱动，只要是具备一点计算机知识的人，利用病毒生成工具就 可以像点菜一样轻易地制造出计算机病毒，而且可以设计出非常复杂的具有偷盗和多形性特征的病毒

 

7、通过Java Script、Applet、ActiveX编辑的脚本程序修改IE浏览器：1.默认主页被修改； 2.默认首页被修改； 3.默认的微软主页被修改； 4.主页设置被屏蔽锁定，且设置选项无效不可改回； 5.默认的IE搜索引擎被修改； 6.IE标题栏被添加非法信息 7.OE标题栏被添加非法信息； 8.鼠标右键菜单被添加非法网站广告链接； 9.鼠标右键弹出菜单功能被禁用失常； 10.IE收藏夹被强行添加非法网站的地址链接； 11.在IE工具栏非法添加按钮； 12.锁定地址下拉菜单及其添加文字信息； 13.IE菜单“查看”下的“源文件”被禁用；

8、通过Java Script、Applet、ActiveX编辑的脚本程序修改用户操作系统：1、开机出现对话框； 2.系统正常启动后，但IE被锁定网址自动调用打开； 3.格式化硬盘 4.暗藏“万花谷”蛤蟆病毒，全方位侵害封杀系统，最后导致瘫痪崩溃； 5.非法读取或盗取用户文件； 6.锁定禁用注册表； 7.注册表被锁定禁用之后，编辑*.reg注册表文件打开方式错乱； 8.时间前面加广告； 9.启动后首页被再次修改； 10.更改“我的电脑”下的一系列文件夹名称

     9、变形病毒的基本类型

计算机病毒都具有一定的基本特性，这些基本特性主要指的是病毒的传染性、破坏性、恶作剧等表现，这是普通病毒所应具备的基本特性。据目前占据国内杀毒 软件市场８０％以上份额的ＫＶ３００的研制者王江民介绍，能用变化自身代码 和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。 变形病毒 特征主要是：病毒传染到目标后，病毒自身代码和结构在空间上、时间上具有不 同的变化。

 

　　 以下简要以变形病毒的变化能力将其化分为四类。

 

　　 第一类变形病毒的特性是：具备普通病毒所具有的基本特性然而，病毒每感染 一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字 节是相同的，但这些代码其相对空间的排列位置是不变动的，这里称为：一维变 形病毒。

 

　　 第二类变形病毒的特性是：除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置），也是变化的，有的感染文件的字节数不 定，这里称为：二维变形病毒。

 

　　 第三类变形病毒的特性是：具备二维变形病毒的特性，并且能分裂后分别潜藏在 几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附 着体上的空间位置是变化的，即潜藏的位置不定。比如：可能一部分藏在第一台 机器硬盘的主引导区，另外几部分也可能潜藏在可执行文件中，也可能潜藏在覆 盖文件中，也可能潜藏在系统引导区，也可能另开垦一块区域潜藏……等等。而在下一台被感染的机器内，病毒又改变了其潜藏的位置。这里称为：三维变形病 毒。

 

　　 第四类变形病毒的特性是：具备三维变形病毒的特性，并且，这些特性随时间动 态变化。比如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段 时间后又变成了

 

　　 另一个样子，再次开机后病毒在内存里又是一个不同的样子，这里称为：四维变形病毒。

 

以上的四类变形病毒可以说是病毒发展的趋向，也就是说：病毒主要朝着能对抗 反病毒手段的方向发展。目前，已发展到了一维、二维、三维变形病毒。四维变形病毒必将出现，那将是信息社会战争的需要。

 

四、木马防治

 

如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马'文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

五、国际上对病毒命名的惯例

 

国际上对病毒命名的一般惯例为前缀+病毒名+后缀。前缀表示该病毒发作的操作平台或者病毒的类型，而DOS下的病毒一般是没有前缀的；病毒名为该病毒的名称及其家族；后缀一般可以不要的，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小。

 

　　 例如：WM.Cap.A，A表示在Cap病毒家族中的一个变种，WM表示该病毒是一个Word宏病毒。下面就讲解一下各种前缀的含义：

 

　　 WM: Word宏病毒，可以在Word6.0和Word95(Word7.0)下传播发作，也可以在Word97(Word8.0)或以上的Word下传播发作，但该病毒不是在Word97制作完成的。

 

　　 W97M: Word97宏病毒，这些是在Word97下制作完成，并只在Word97或以上版本的或以上的Word传播发作。

 

　　 XM: Excel宏病毒在Excel5.0和Excel95下制作完成并传播发作，同样，此种病毒也可以在Excel97或以上版本传播发作。

 

　　 X97M: 在Excel97下制作完成的Excel宏病毒，此类病毒也可以在Excel5.0和Excel97下传播发作。

 

　　 XF: Excel程式（Excel Formula）病毒，此类病毒是用Excel4.0把程序片断植入新的Excel文档中的。

 

　　 AM: 在Access95下制作完成并传播发作的Access的宏病毒。

 

　　 A97M: 在Access97下制作完成并传播发作的Access的宏病毒。

 

　　 W95: 顾名思义，这类是Windows95病毒，运行在Windows95操作系统下，当然也可以运行在Windows98下。

 

　　 Win: Windows3.x病毒，感染Windows3.x操作系统的文件。

 

　　 W32: 32位Windows病毒，感染所有的32位Widnows平台。

 

　　 WNT: 同样是32位Windows病毒，但只感染Windows NT操作系统。

 

　　 HLLC: 高级语言同伴（High Level Language Companion）病毒，他们通常是DOS病毒，通过新建一个附加的文件（同伴文件）来传播。

 

　　 HLLP: 高级语言寄生（High Level Language Parasitic）病毒，这些通常也是DOS病毒，寄生在主文件中。

 

　　 HLLO: 高级语言改写（High Level Language Overwriting）病毒，通常是DOS病毒，以病毒代码改写主文件。

 

　　 Trojan/Troj: 这并不是病毒，只是特洛伊木马，通常装扮成有用的程序，但通常有恶意代码，特洛伊木马并不会传染。

 

　　 VBS: 用Visual Basic Script程序语言编写的病毒。

 

　　 AOL: 美国在线（AOL）环境下特殊的木马，其目的通常位窃取AOL的密码等信息。

 

　　 PWSTEAL: 窃取密码等信息的木马。

 

　　 JAVA: 用JAVA程序语言编写的病毒。