病毒是壹段計算機程序,故意設計成能夠用某種方法把自身附著在其它計算機程序上。當原來的程序運行時,病毒程序也運行,通過附著在其它程序上,病毒實現自身的復制。”病毒把自身附著在原來程序上的方法是:把自己附加在原來程序上,甚至直接替代原程序;而且許多時候,病毒感染時都會改頭換面。被感染的程序可能是壹個宏,可以是磁盤的引導扇區,或者正好是從引導盤上裝載的第壹個程序。 請註意定義裏的這壹段:“故意設計成”。病毒不是事故這麽簡單。具有相當技術水平的程序員設計開發病毒,然後設法讓病毒進入不設防的計算機。防病毒程序越強大,病毒作者繞過防毒程序越費力。對許多病毒作者來說,這就是壹種挑戰;而對另外壹些人來說,因為計算生活不穩定或者很慘,他們就可以過得很快活。這真是可惡,他們完全可以不靠病毒,而靠解決千年蟲危機大把賺錢。 病毒已經贏得了有害的惡名,但實際上,許多病毒沒有那麽大的危害。的確,某些病毒會破壞文件或者進行其它形式的破壞活動,但是還有許多病毒只做些無傷大雅的騷擾,多數用戶甚至根本看不到它們。要成為病毒,程序只需能夠復制自身即可,至於其它的行為都是額外的。 但是,這些相對來說無關痛癢的病毒,當然也不是完全無害的。它們消耗磁盤空間、內存、CPU資源,所以會影響機器運行的速度和效率。而且,清查它們的防病毒程序也要消耗內存和CPU資源;實際上,許多用戶認為,防病毒程序比病毒讓計算機速度降得更厲害、更煩人。換句話說,即使病毒什麽壞事也不做,它也影響計算機的正常使用。 病毒和與病毒類似的程序 比起我們要使用的病毒這個術語來說,上面對病毒的解釋,實際是相當具體而有限的 。還有其它類型的壹些程序,它們只符合前面的定義的壹部分。它們和病毒的***同之處在於,都是在用戶不知道的情況下活動,並且在計算機內部進行故意設計的壹些動作。這些程序類型包括蠕蟲、特洛伊木馬以及滴管。所有這些程序,包括病毒,都是稱為惡件(malware)或惡意軟件(malicious-logic software)的這類程序的組成部分。 蠕蟲是壹個程序,它不斷地復制自身,但並不感染其它程序。它把自己拷貝到軟盤或從軟盤拷貝出來,或者通過網絡拷貝;有時它利用網絡運行。有壹種類型的蠕蟲—主機蠕蟲—只利用網絡把自身拷貝到其它主機上;而另壹種類型的蠕蟲—網絡蠕蟲—則把自身的各個部分在網絡上散布,然後通過網絡運行各個不同部分。蠕蟲還能存在於沒有連網的計算機上,這時它能在硬盤上四處復制自己。 特洛伊木馬的名稱來自著名的希臘神話—奧德賽。在故事裏,希臘軍隊在特洛伊城前留下壹具木馬,木馬的肚子裏埋伏了小支軍隊。當特洛伊人把木馬拉進城時,馬腹中的軍隊也壹起進了城。希臘人從馬腹中跳出來,占領了特洛伊城,結束了對特洛伊城曠日持久的圍攻。在計算機領域借用特洛伊木馬這個典故,意義是壹樣的。特洛伊木馬是壹個程序,它隱藏在看起來無害的程序裏。當它隱身其中的程序運行時,特洛伊木馬就啟動,執行壹些用戶不希望進行的動作。特洛伊木馬不復制自身。 滴管也是程序,是專門為了對抗防病毒檢測而設計的,通常使用了加密手段,以阻止防病毒程序發現它們。滴管的典型作用是傳送、安裝病毒。它們守護在系統上,等待特定事件發生。當特定事件出現時,滴管程序就啟動,然後用自身包含的病毒感染系統。 與這些程序有關的另壹個概念是炸彈。炸彈通常植入惡件,以惡件作為激活炸彈的手段。炸彈程序被設計成在特定事件發生時才激活。某些炸彈在特定時間激活,通常使用系統時間。炸彈可以設計成在除夕夜刪除硬盤上的全部DOC文檔文件,或者在某位名人生日的時候彈出壹條消息。炸彈還可以設計成被其它事件或條件觸發:比如,炸彈可以等待程序啟動20次,然後刪除程序的模板文件。要是從這個角度來看,炸彈只是惡意的腳本或者調度程序。 病毒可以看作是包括壹個或多個惡件程序的特殊例子。它們能夠通過滴管傳播(雖然本身不必是滴管),它們使用蠕蟲的技術來復制自身。雖然從技術上說,病毒不是特洛伊木馬,但是它在兩種方式上很象特洛伊木馬:首先,它們做的是用戶不想做的;其次,通過把自身附著在現有的程序上,它們有效地把原來的程序變成特洛伊木馬(它們隱藏在原來的程序裏,在原程序啟動時,病毒也啟動,並進行用戶不希望進行的活動。) 病毒是如何工作的 病毒以不同的方式工作,不過有壹些基本的步驟: 首先,病毒要感染系統 。它通常成為被感染程序文件(COM,EXE或引導扇區)的壹部分。以前,程序幾乎毫無例外地都是通過受感染軟盤的流傳而傳播的。而現在,病毒則經常是由網絡下載而來,比如作為試用程序安裝文件的壹部分、某個程序使用的宏、或者電子郵件附件。 需要註意的是:電子郵件內容本身不可能是病毒。病毒是程序,它必須被執行才能激活。病毒當作電子郵件的附件進行傳播,但是,如果不運行它,它就什麽也做不了。只有啟動附件(通常是雙擊附件)時,才會使這種病毒得到執行。有壹種簡單的方法,有助於保護妳免受這種病毒危害:從不打開可執行文件附件(EXE或COM文件)或者程序文件使用的數據文件(如OFFICE文件,裏面可能包含有宏)附件。至於圖片、聲音和其它類型的文件,則是安全的。 帶毒程序到達系統之後,病毒也就駐留在PC上,就象特洛伊木馬程序壹樣。它隱藏在其它程序或文件裏,和宿主程序壹起啟動。在被感染的可執行文件裏,病毒對原來的程序做了實質的修改,使得原來的代碼指向病毒代碼,在啟動程序代碼的同時也啟動病毒代碼。典型的情況是:程序跳轉到病毒代碼,執行病毒代碼,然後再跳轉回原來的代碼。這樣,病毒被激活,系統也就被感染了。 壹旦被激活,病毒或者立即進行破壞-如果它是直接行動型的病毒;或者駐留在後臺,使用操作系統允許的TSR(終止駐留)過程,作為常駐內存程序。多數病毒是第二種類型,叫做常駐型病毒。因為TSR程序可以進行的活動範圍很廣,從啟動程序、備份文件壹直到監視鍵盤或鼠標活動(甚至更多)。所以壹個常駐型病毒,可以設計成去做許多操作系統能做的事。使用炸彈,它可以等待觸發它的事件,然後在系統上活動。有壹件它能做的事是掃描磁盤或者網絡磁盤,查找其它正在運行的(或者可執行的)程序,然後把自身拷貝到這些程序上,把它們也全都感染。 病毒類型 病毒的設計者不斷地嘗試新的方法來感染系統 。但是病毒的實際類型還是很少的幾種。它們是:引導型病毒,文件型病毒,宏病毒。這些類型有不同的名字,還有壹些子類型,但是意思是壹樣的。 引導型病毒,或稱引導扇區病毒,駐留在PC機硬盤上的特定區域,這個區域只在啟動時被計算機讀取、執行。真正的引導扇區病毒只感染DOS引導扇區,而壹種叫做MBR病毒的子類型則感染主引導記錄。硬盤的這兩個區域都是在引導時被讀取,所以病毒也就在這時裝入內存。病毒能夠感染軟盤的引導扇區,但是沒有病毒的、寫保護的引導軟盤壹直是啟動系統的安全方法。當然,問題在於要保證軟盤本身沒被感染,這就是防病毒程序該幹的事了。 文件型病毒,又叫做寄生型病毒,這類病毒把自身附著在可執行文件上,是壹類最常見,也是討論得最多的病毒。這樣的病毒通常駐留在內存裏,等待用戶運行其它程序,把這當作觸發它的事件,觸發後感染新打開的程序。所以,它們的復制很簡單,只需要通過計算機的正常使用就可進行。有不同類型的文件型病毒,但它們的概念都類似。 宏病毒,是壹種相對較新的類型,它的產生是因為許多程序裏面都內置了編程語言。程序內置的編程語言的設計目的,是用來建立叫做宏的小程序,幫助用戶使工作自動化。比如,微軟的Oiffice,就帶有這樣的內置語言,實際上Office自己也提供了許多內置的宏。所謂宏病毒,也是這些程序可以使用的壹個宏,實際上這種類型的病毒最初為人所知,就是因為它感染微軟的Word文件。在目標程序裏打開包含文檔或模板時,如果裏面包含病毒宏,病毒就會運行並且進行破壞。另外,宏被設計成能夠把自身拷貝到其它文檔裏,這樣繼續使用軟件,就會造成病毒的不斷傳播。 第四種類型的部分,叫做多體病毒。這種病毒組合了引導扇區病毒和文件型病毒的特點。 如果想得到大量病毒的列表以及它們危害的說明,請參閱Symantec防病毒研究中心 的病毒大百科壹節。 越來越聰明 宏病毒的概念產生,是因為內置的編程語言能夠訪問內存和硬盤 。而且,實際上其它壹些最新的技術,包括ActiveX 控件和Java applets,也都有這種能力。它們在設計時,確實是想設計成對硬盤提供保護,防止病毒侵害(Java 要比ActiveX強),但是實際的情況是,僅僅是因為訪問某個Web站點,這些程序就能把自己安裝在用戶的計算機上。很明顯,隨著網絡化的程度的提高,通過互聯網進行操作系統升級很方便 (Windows 98 和 NT 5 都可以通過互聯網升級),所以我們在享受這樣的方便性的同時,也把自己置身在受病毒和其它惡件攻擊的更大風險之中。
上一篇:我沒有黑客基礎,但現在立誌做壹個黑客,需要什麽基礎?下一篇:fanucex1001報警北壹機床是什麽意思?