病毒及攻擊防禦手冊之三

現階段的病毒，主要分為以下幾種：

1．感染可執行檔案的病毒

　　<b>病毒描述</b>：這類病毒就是上面所介紹的4種破壞性程式中的傳統病毒。這類病毒的編寫者的技術水準可說相當高 超，此類病毒大多用彙編/c編寫，利用被感染程式中的空隙，将自身拆分為數段藏身其中，在可執行檔案運作的同時進駐到記憶體中并進行感染工作，dos下大多 為此類病毒居多，在windows下由于win95時期病毒編寫者對pe32的格式沒吃透，那段時間比較少，之後在win98階段這類病毒才擴散開來，其 中大家廣為熟悉的CIH病毒就是一例；在windows發展的中後期，網際網路絡開始興盛，此類病毒開始結合網絡漏洞進行傳播，其中的傑出代表為 funlove傳播——由于windows作業系統的局網共享協定存在預設共享漏洞，以及大部分使用者在設定共享的時候貪圖友善不設定複雜密碼甚至根本就沒有密碼，共享權限也開啟的是“完全通路”。導緻funlove病毒通過簡單嘗試密碼利用網絡瘋狂傳播。

　　<b>病毒淺析</b>：由于此類病毒的編寫對作者要求很高，對運作環境的要求也相當嚴格，在編寫不完善的時候，會導緻系統異常（例如CIH的早期版本會導緻winzip出錯和無法關閉計算機等問題；funlove在nt4上會導緻mssqlserver的前台工具無法調出界面等問題）。這類病毒賴以生存的制約是系統的運作時間和隐蔽性。運作時間——系統運作的時間越長，對其感染其他檔案越有利，是以此類病毒中一般不含有惡意關機等代碼，染毒後短期内（一般24小時内）也不會導緻系統崩潰（如果你是25日感染cih除外），和其他病毒相比使用者有足夠的處理時間。破壞引導區的 大腦病毒、擇日發作的星期五病毒、直接讀寫主機闆晶片，采用驅動技術的CIH病毒都是其中的代表。

　　<b>感染途徑</b>：此類病毒本身依靠使用者執行而進行被動運作，常見感染途徑為：盜闆CD光牒、軟碟、安全性不佳的共享網絡；

　　<b>病毒自查</b>：此類病毒大多通過的是進駐記憶體後篇曆目錄樹的方式，搜尋每個目錄下的可執行檔案進行感染，是以對記憶體占用得比較厲害——如果突然在某個時間後發現自己的機器記憶體占用很高，可能就是感染了此類病毒。

　　<b>病毒清除</b>：這類病毒由于編寫難度較大，是以更新（病毒也玩更新？對，例如CIH是在1.4版本後才完善的）速度相對較慢，但由于開機後進駐的程式可能已經被病毒感染，是以殺毒條件是各種病毒中最為嚴格的，且這2種方式比較幹淨徹底的方法也适用用後面介紹的各種病毒：

　　1.軟碟（CD光牒）啟機使用殺毒軟（光）盤進行殺毒；在進行這一步的時候，必須要保證軟碟或CD光牒的病毒庫内已經有殺除該病毒的特征碼。

　　2.将硬碟拆下，作為其他機器的從盤；從其他機器的主盤啟動進行殺毒（該機需打開病毒即時監控，以防止來自從盤的可執行檔案中的病毒進駐到記憶體中）； 以常見的國産幾種防毒軟體為例，在購買的正式版本中，除了供安裝使用的CD光牒外，一般還包含幾張軟碟（一張引導盤，一張殺毒程式盤，一張病毒庫盤）。在對待 上面提到的這類病毒時，最好的做法就是用引導盤啟動計算機，然後根據提示将殺毒程式盤和病毒盤依次插入，進行病毒清除。注意2點：1.目前比較新版本的殺 毒程式盤都能完善地支援ntfs分區的讀寫，如果您是在幾年以前購買的殺毒盤，可以根據廠家的服務方式進行更新；2.由于采用軟碟殺毒的時候，使用的是軟碟上的病毒庫，為了能正确地清除病毒，請定期更新軟碟的病毒庫，否則真到用的時候就哭也哭不出來了。

　　<b>殺毒遺留</b>：由于這類病毒是寄生到其他程式内部，即使非常優秀的防毒軟體，能做到的也隻是把該染毒程式内的病毒某關鍵執行部分删除，使得染毒程式在運作時病毒無法運作。是以并不是嚴格意義上的完全清除——病毒程式的某部分依然殘留在程式内部，俗稱“病毒僵屍”。

　　在殺除這類病毒的時候，最主要的是分析捕捉特征代碼，因為抓特征碼的過程中不僅要準确地破壞病毒的執行部分，而且不可以觸動正常的程式代碼。否則會常常出現殺毒之後該程式無法使用的情形——那還叫什麼殺毒？還不如直接删除檔案比較好嘛！在清除這類病毒上，根據天緣的使用經驗，norton和國内 的金山毒霸做的比較好一些。(此評價隻根據我個人使用經驗如實說出，不帶任何廣告性質，請各位選擇殺毒産品的時候不要以我的介紹為依據，本人不承擔任何責任，下同。)

　　<b>病毒防範</b>：安裝包含即時監控的防毒軟體并啟機執行，每天更新病毒庫擷取最新病毒特征代碼；盡量不使用來源不可靠的軟碟和CD光牒，使用前先掃描；關于網絡防毒部分後面一并介紹。

本文轉自wangshujiang51CTO部落格，原文連結：http://blog.51cto.com/wangshujiang/42161 ，如需轉載請自行聯系原作者