【正文】 裝一次。 ? 如果病毒確定了計算機內(nèi)存中沒有它自己的拷貝，它就會把自己安裝為駐留的服務提供者。當病毒完成感染其他可執(zhí)行程序后，它就會把控制傳送給宿主程序，并允許宿主程序執(zhí)行。 ? 用戶可能會注意到啟動被感染的程序時會增加的磁盤活動，因為被感染的程序一啟動直接操作病毒就必須搜索磁盤找到其他要感染的程序。隨著更多的文件被感染，病毒必須搜索越來越多的硬盤 (或軟盤 )以找到要感染的新文件。 ? DOS提供了系統(tǒng)服務，以便系統(tǒng)且有效地遍歷硬盤上的許多項目和目錄。 ? 有些直接操作病毒只在當前目錄下搜索要感染的新文件，其他直接操作病毒可能要感染硬盤或 DOS路徑下的每一個文件。如果當前目錄是 C： \DOS而用戶執(zhí)行 C:\DOS\ (一分感染病毒的拷貝 )來格式化軟盤，直接操作病毒立即會得到控制。例如，任何時候當直接操作病毒感染了一個新程序，它就會把這個程序的日期和時間戳改為一個特定的日期和時間。 ? 使用這種技術(shù)，病毒可能會無意地跳過一些未被感染的程序，這些程序碰巧有這個特殊的日期時間設(shè)置。 ? 其他文件病毒會檢查它們遇到的每一個可執(zhí)行程序的內(nèi)容。同樣，病毒可能同樣會無意跳過一些未感染的程序，而它錯誤地認為已經(jīng)感染了這個程序。 ? 直接操作病毒還必須確定它所定位的當前文件是否屬于要感染的類型。如果一個直接操作 COM感染病毒要感染 EXE程序，它很可能使這個程序崩潰。大多數(shù)感染 EXE程序的病毒使用“ EXE文件感染”部分描述的“后置”技術(shù)。 ? 病毒感染了目標文件之后，它就把控制傳送給宿主程序；然而，一些直接操作病毒一次感染多個程序。 ? 直接操作病毒執(zhí)行后，它會有效地把自己從內(nèi)存中清除。 ? 內(nèi)存駐留文件病毒的工作方式類似于相應的引導記錄病毒。從這時開始，任何時候當 DOS或其他程序要讀、寫、執(zhí)行或訪問一個程序時，病毒就會控制計算機。例如，每次用戶執(zhí)行一個程序時，就會向 DOS發(fā)出一個系統(tǒng)服務請求，要求把程序裝入內(nèi)存執(zhí)行。在病毒了解了服務請求后，它就會感染這個程序，并把原來的請求傳遞給 DOS。 ? 駐留文件病毒使用與直接操作病毒同樣的技術(shù)確定目標文件是否已經(jīng)感染。然而，大多數(shù)駐留文件病毒只有在程序執(zhí)行時才會感染它。任何時候當一個文件被復制或訪問時，病毒都會去感染它。每次當反病毒程序打開一個新的程序文件時，它就會發(fā)出一個 DOS“Open file(打開文件 )”服務請 求，這就會觸發(fā)病毒，并感染就要被掃描的程序。由于這個原因，內(nèi)存掃描技術(shù)是完全的反病毒解決方案中最為關(guān)鍵的部分。但并非將文件型病毒和引導型病毒簡單的疊加在一起，其中有一個轉(zhuǎn)換過程，這是最關(guān)鍵的。染毒硬盤啟DOS并未加載，無法修改 INT 21中斷，也就無法感染文件， 可以用這樣的辦法，修改 INT 8中斷，保存 INT 21中斷目前的地址，用 INT 8中斷服務程序監(jiān)測 INT 21中斷的地址是否改變，若改變則說明 DOS已加載，則可修改 INT 21中斷指向病毒感染段。 Inter病毒 ? 有關(guān)病毒和計算機網(wǎng)絡的好消息是網(wǎng)絡可以成為計算機病毒半滲透的障礙。 ? 在 Inter上的文件病毒可以毫無困難地發(fā)送。由于連接到 Inter上的一臺計算機不 能在另一臺連接到 Inter的計算機上完成扇區(qū)級操作，所以引導型的病毒無法通過 Inter傳播。宏病毒也像文件病毒一樣，無法通過 Inter感染遠程站點上的文件。 計算機網(wǎng)絡病毒的發(fā)展 ? 自 80年代以來，微型計算機已在我國社會生活的各方面獲得了廣泛的普及與應用。但是，從1988年以來，計算機病毒也開始在我國出現(xiàn)并迅速泛濫，這對數(shù)據(jù)的安全造成了極大地威脅，也妨礙了機器的正常運行。 ? 入侵計算機網(wǎng)絡的病毒類形式多樣的，既有單用戶 微型機上常見的某些計算機病毒，如感染磁盤系統(tǒng)區(qū)的引導型病毒和感染可執(zhí)行文件的文件型病毒，也有專門攻擊計算機網(wǎng)絡的網(wǎng)絡型病毒，如特洛伊木馬病毒及蠕蟲病毒。所以計算機網(wǎng)絡一旦染上病毒，其影響要遠比單機染毒更大，破壞性也更大，計算機網(wǎng)絡必須要具備防范網(wǎng)絡病毒破壞的功能。 (2) 端到端網(wǎng)絡，這里每一臺工作站都可以既作為服務器又作為客戶機。 (3) 對于信息高速公路網(wǎng)絡 (意即 Inter)，數(shù)據(jù)從網(wǎng)絡中流過，但是不存放在網(wǎng)絡中，網(wǎng)絡的主要作用是作為數(shù)據(jù)導管。最常見的就是一些可執(zhí)行文件，像擴展名為 .exe及 .的文件。 ? 另外，不需要寄主的病毒也出現(xiàn)了，它們就寄生在Inter上。但是，為了讓網(wǎng)頁看起來更生動、更漂亮，許多語言也紛紛出籠，其中最有名的就數(shù) Java和 Active X了。 Java和 Active X的執(zhí)行方式，是把程序碼寫在網(wǎng)頁上。這樣，使用者就會在神不知鬼不覺的狀態(tài)下，執(zhí)行了一些來路不明的程序。新的病毒的機理告訴我們，病毒本身是能執(zhí)行的一段代碼，但它們可以寄生在非系統(tǒng)可執(zhí)行文檔里。 ? 在德國漢堡一個名為 Chaos Computer的俱樂部，其中某俱樂部成員完成了一種新型態(tài)的病毒 ——這種病毒可以找出 Inter用戶的私人銀行資料，還可以進入銀行系統(tǒng)將資金轉(zhuǎn)出，不需要個人身份證明，也不需要轉(zhuǎn)賬密碼。Active X控制可搜尋使用者計算機的硬盤，來尋找Intuit Quicken這個已有全球超過九百萬使用者的知名個人理財軟件。 計算機網(wǎng)絡病毒的檢測、清除與防范 計算機網(wǎng)絡病毒的檢測 ? 當一臺計算機染上病毒之后，會有許多明顯或不明顯的特征。 ? 常用的防毒軟件是如何去發(fā)現(xiàn)它們的呢？就是利用所謂的病毒碼 (virus pattern)。 ? 在電腦中所有可以執(zhí)行的程序 (如 *.EXE,*.COM) 幾乎都是由二進制程序碼所組成的 , 也就是電腦的最基本語言 —— 機器碼。 ? 反病毒軟件常用以下 6種技術(shù)來查找病毒。以后每當執(zhí)行掃毒程序時，便能立刻掃描目標文件，并作病毒碼比對，即能偵測到是否有病毒。 (2) 加總比對法 (checksum) ? 根據(jù)每個程序的文件名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個資料庫中，再利用此 Check sum系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭到更改，以判斷是否中毒。 (3) 人工智能陷阱 ? 人工智能陷阱是一種監(jiān)測電腦行為的常駐式掃描技 術(shù)。這種技術(shù)的優(yōu)點是執(zhí)行速度快、手續(xù)簡便，且可以偵測到各式病毒；其缺點就是程序設(shè)計難，且不容易考慮周全。 (4) 軟件模擬掃描法 ? 軟件模擬掃描技術(shù)專門用來對付千面人病毒(polymorphic/mutationvirus)。軟件模擬技術(shù)則是成功地模擬 CPU執(zhí)行，在 其設(shè)計的 DOS虛擬機器 (virtual machine)下假執(zhí)行病毒的變體引擎解碼程序，安全并確實地將多型體病毒解開，使其顯露原本的面目，再加以掃描。既然軟件模擬可以建立一個保護模式下的DOS虛擬機器，模擬 CPU動作并假執(zhí)行程序以解開變體引擎病毒，那么應用類似的技術(shù)也可以用來分析一般程序檢查可疑的病毒碼。 ? (6) 實時 I/O掃描 (realtime I/O scan) ? Realtime I/O Scan的目的在于即時地對數(shù)據(jù)的輸入 /輸出動作做病毒碼比對的動作，希望能夠在病毒尚未被執(zhí)行之前，就能夠防堵下來。但是使用實時掃描技術(shù)，文件傳送進來之后，就等于掃過一次毒了。網(wǎng)絡防病毒應該利用網(wǎng)絡的優(yōu)勢，使網(wǎng)絡防病毒逐漸成為網(wǎng)絡安全體系的一部分；重 在防，從防病毒、防黑客和災難恢復等幾個方面綜合考慮 , 形成一整套安全機制 , 才可最有效地保障整個網(wǎng)絡的安全。 (1) 以網(wǎng)為本，防重于治。例如，利用網(wǎng)絡喚醒功能，在夜間對全網(wǎng)的 PC機進行掃描，檢查病毒情況；利用在線報警功能，當網(wǎng)絡上每一臺機器出現(xiàn)故障、病毒侵入時，網(wǎng)絡管理人員都會知道，從而從管理中心處予以解決。 ? 網(wǎng)絡防病毒最大的優(yōu)勢在于網(wǎng)絡的管理功能，如果沒有把網(wǎng)絡管理加上，很難完成網(wǎng)絡防毒的任務。管理功能就是管理全部的網(wǎng)絡設(shè)備：從 Hub、交換機、服務器到 PC，軟盤的存取、局域網(wǎng)上的信息互通及與 Inter的接駁等。 ? 計算機網(wǎng)絡的安全威脅主要來自計算機病毒、黑客攻擊和拒絕服務攻擊等 3個方面，因而計算機的安全體系也應從這幾個方面綜合考慮，形成一整套的安全機制。才是最有效的網(wǎng)絡安全手段。 ? 多層防御體系將病毒檢測、多層數(shù)據(jù)保護和集中式管理功能集成起來，提供了全面的病毒防護功能，從而保證了“治療”病毒的效果。 ? 后臺實時掃描驅(qū)動器能對未知的病毒包括異形病毒和秘密病毒進行連續(xù)的檢測。掃描驅(qū)動器能阻止已被感染過的文件拷貝到服務器或工作站上。完整性保護不只是病毒檢測，實際上它 能制止病毒以可執(zhí)行文件的方式感染和傳播。 ? 完整性檢驗使系統(tǒng)無需冗余的掃描并且能提高實時檢驗的性能。多層次防御病毒軟件把病毒檢測、多層數(shù)據(jù)保護和集中式管理的功能集成在同一產(chǎn)品內(nèi)，因而極大地減輕了反病毒管理的負擔，而且提供了全面的病毒防護功能。 ? 大量的病毒針對網(wǎng)上資源的應用程序進行攻擊，這樣的病毒存在于信息共享的網(wǎng)絡介質(zhì)上，因而要在 網(wǎng)關(guān)上設(shè)防，網(wǎng)絡前端實時殺毒。 病毒防治新產(chǎn)品 ? 病毒的發(fā)展促進了反病毒技術(shù)的發(fā)展，反病毒產(chǎn)品也得到了相應的發(fā)展，涌現(xiàn)出了許多既適合單機，也適合于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒的新產(chǎn)品。 ? 下面介紹一些現(xiàn)有的防病毒新產(chǎn)品： (1) KILL98: 冠群金辰公司產(chǎn)品 ? 最大特色是采用 CA獨有的主動內(nèi)核技術(shù) (ActiveK)的反病毒技術(shù)，直接在操作系統(tǒng)內(nèi)核中加入反病毒功能。 KILL98能夠集中修改、更新、管理活動日志報告。此外，它還具備實時病毒檢測、壓縮文件自動掃描、關(guān)鍵磁盤保護、災難恢復等多項功能。 KILL的核心由完備而卓有成效的病毒掃描引擎構(gòu)成，其獨特之處包括：實時修復、統(tǒng)一管理、防火墻、病毒隔離、無人值守自動升級病毒特征庫、廣泛的預警選項與群件防護等。 (2) McAfee TVD： 網(wǎng)絡聯(lián)盟公司 (NAI)產(chǎn)品 ? NAI 提供了 3套解決方案： VSS是一個高級桌面反病毒解決方案，可殺滅 1500種病毒，其 Web ScanX功能可以防止用戶在 Inter下載時，一些惡意 Java和 Active X小程序?qū)ε_式機造成的破壞；NSS可以提供對企業(yè)基于 Windows NT 、 Netware 、 UNIX的文件服務器與應用程序服務器以及 Exchange與 Lotus Notes群件服務器，HTTP/FTP代理服務器的病毒保護。在 Windows NT環(huán)境下，如果不激活最新的防病毒軟件，它不允許任何工作站訪問網(wǎng)絡，并能夠自動把最新版本的病毒定義無縫的分布到網(wǎng)絡中的每一臺設(shè)備上。此外它還可防范電子郵件及其附件病毒。在操作系統(tǒng)變遷期間或是存在多個 NOS的網(wǎng)絡域上，客戶不需要購買新的或額外的病毒防護產(chǎn)品。 (6) Kaspersky Anti Virus(AVP)： Kaspersky lab 公司產(chǎn)品 ? 這是 Kaspersky lab公司針對 Linux操作系統(tǒng)而開發(fā) 的 Kaspersky Anti Virus(AVP)的新版本。這個新版本分為工作站版和服務器版兩款產(chǎn)品。它可持續(xù)的對往來的 Email進行過濾并能夠迅速的擊退那些企圖通過 Email進行惡意攻擊的程序。 網(wǎng)絡病毒實例 CIH病毒機制及防護 ? CIH病毒屬文件型病毒，其別名有 Win ，Space filler， Win ， PE_CIH，它主要感染W(wǎng)indows 95/98下的可執(zhí)行文件 (PE格式， Portable Executable Format)，目前的版本不感染 DOS以及Windows (NE格式， Windows and OS/2， Windows Execute File Format)下的可執(zhí)行文件，并且在 Windows NT中無效。 1. CIH病毒分析 ? CIH病毒是迄今為止發(fā)現(xiàn)的最陰險的病毒之一。 CIH病毒是發(fā)現(xiàn)的首例直接破壞計算機系統(tǒng)硬件的病毒。因為 CIH病毒使用的是 VXD技術(shù)，而且被 CIH病毒感染了的文件長度不會改變，所以很難發(fā)現(xiàn)。它感染時首先檢測到文件的頭部，當發(fā)現(xiàn)至少有 184個字節(jié)的空間時，就將本身的引導信息寫入此空間，病毒中所含的其余代碼部分則分別寫入文件內(nèi)部的空閑區(qū)域，所以感染前后的文件不會增 加長度。 4月 26日； 的發(fā)作日期是每年的 6月 26日； 期則是每月的 26日 (有些變種是在 27或 28日發(fā)作 )。這里所說的發(fā)作日是指病毒損壞硬盤和主板的日期。 2. CIH病毒發(fā)作現(xiàn)象 ? CIH病毒發(fā)作時，將用凌亂的信息覆蓋硬盤主引導區(qū)和系統(tǒng) BOOT區(qū)，改寫硬盤數(shù)據(jù)，破壞 Flash BIOS，用隨機數(shù)填充 Flash內(nèi)存，導致機器無法運行。 ? 一旦系統(tǒng)不幸遇到了這樣的情況，出了硬盤中的數(shù)據(jù)丟失外，很有可能主板也已經(jīng)報廢，只能更換主板或請專業(yè)人員重新填寫 Flash BIOS信息。 ? PE文件格式是 32位的，文件頭標存放了文件各模塊參