—
本帖被 阿尔塞斯 执行加亮操作(2007-12-22)
—
一个朋友写的 谢谢他(rootrun) PRD_!VOW
H>?F8R_iq
知识就是力量。送给所有被木马困扰着的朋友。 GQx9u^>
>dk9f}7-
{rC~P
完成于2007年6月6日晚 .B>B`q;B
.|uLt J
a=+T95ulDy
kM!V.e[g
不知道有谁说过这样一句话“无知者无畏”,我觉得真实情况恰恰相反,真正无畏的人是拥有了足够知识的人。“知识就是力量”。 1kmQX+f
gLIT;BK
I]X
t+Z`n(>
病毒并不可怕,可怕的是众多媒体的夸大其词,众多杀毒软件厂商的有意误导。人心中最大的恐惧就是对未知的恐惧,恐怖片之所以恐怖,是因为你不知道下面将要发生什么;电脑病毒之所以让很多人害怕,也正是因为你不知道它是什么。我相信,如果大家掌握了足够的知识,就不会在再为媒体的宣传所左右,不会有那种被夸大的或者被误导的恐惧存在。 h>wcT VF
<qhBc:kc
}E; F)=E
nLy#|C
我买电脑快两年了,这期间遇到很多木马,而真正意义上的病毒却从来没遇到过,也许现在已经不流行病毒了。木马更能获得利益。 Qw?+!-7TN
#dc1pfL!y{
%9o+zg? RJ
.+E#q&=
还记得好几个月前,炒得沸沸扬扬的“熊猫烧香”,就在“熊猫烧香”流行的这段时间,有太多的木马都会像它那样,感染所有.exe文件,而这个技术是1987年由“西瑞夫二号”( Suriv-2)病毒首创的。其实要说感染量,威金应该比熊猫烧香的感染量更大,只是没熊猫烧香那么爱炫。我们都痛恨这种破坏的行为。而要实现这个行为并不是很难的事,当然,你必须得懂PE文件格式。而这种方式被称为“寄生”,现在利用的最多的应该算是“空洞利用”了。 .
uR M{Bs
z/1{OL
,=o0BD2q
z856 nl
“空洞利用”:对于视窗环境下的可执行文件,由于视窗程序的结构非常复杂,一般里面都会有很多没有使用的部分,一般是空的段,或者每个段的最后部分。病毒寻找这些没有使用的部分,然后将病毒代码分散到其中,这样就实现了神不知鬼不觉的感染。 2yKz-"E
t)N;'v &
ug*D52?
B8m_'!;;
寄生病毒精确的实现了病毒的定义,“寄生在宿主程序的之上,并且不破坏宿主程序的正常功能”,所以寄生病毒设计的初衷都希望能够完整的保存原来程序的所有内容,因此除了某些由于程序设计失误造成原来的程序不能恢复的病毒以外,寄生型病毒基本上都是可以安全清除的。 F
Z!J
Bf]$X>d
->E=&X
PJgp+u<
根据病毒感染后,被感染文件的信息是不是有丢失,我们把病毒感染分成两种最基本的类型,破坏性感染和非破坏性感染,对于非破坏性感染的文件,只要清楚的掌握了病毒感染的基本原理,准确的进行还原是可能的,在这种情况下,我们称这个病毒是可清除的。而对于破坏性感染,由于病毒删除或者覆盖了原来文件的全部/部分内容(比如最近的一个叫“兔子”的病毒),所以这种病毒是不能清除的,只能删除感染文件,或者用没有被感染的原始文件覆盖被感染的文件。 M=y0PCD
J!h^egP
<\@1Zz@ms
!QEL"iJ6M'
好了,我们这里只讨论木马,不说过深的技术,我也不懂这些,只是知道要这么做而已。 +a|/l
*8)2iv4[
/N)5
3!LT
Pxhz@":[
言规正传,就先从木马的传播方式说起好了。 N[Sb#w`[/