怎样保护电脑
硬件
显示器保存护,主要是要防尘。
主机也需要防尘,但更重要的是要注意散热,放主机的柜子不要太小太严实了,如果不是专门的电脑桌,更好放在桌子上。还有音响更好不要放在主机上,那样对主机内部有一些干扰。
硬盘最主要是防震,不要经常非法关机,要是非法关机后,再次启动系统会自动对硬盘进行整理,这个过程不要跳过去,要耐心等待。还有尽量少用 *** 软件下载东西,不要经常对硬盘进行碎片整理,用硬盘碎片整理工具分析后,系统会有建议的。
系统维护,Windows 优化大师是个不错的软件,定期用它把一些垃圾文件和没用的注册信息清理掉。
软件
之一步:从操作系统抓起
保护我们的电脑,之一步当然要从操作系统抓起,只有让我们的系统健康起来,完善起来,才能够真正的做好安全保护工作。操作系统的安全保护主要由以下三方面组成:
一、选择稳定的操作系统
也许大家要说,我们现在用的不都是Windows操作系统么?这还能有什么不一样的?其实Windows操作系统按照内核划分为Win 9x系列和Win NT系列,我们常用的Windows XP就属于Win NT系列。一般说来,Windows 95和Windows NT已经被淘汰,现在主要是用的是Windows XP、2000、2003和ME、98,对于家庭用户来说,Windows 98稳定性存在一定问题,而Windows ME更是被很多人嗤之以鼻,所以一般建议家庭用户使用Windows XP。办公用户不仅希望电脑运行稳定,而且由于机器配置相对不高,因此多数选择Windows 2000,当然,虽然Windows 2000其貌不扬,但是稳定性和速度仍旧胜过Windows XP,所以,如果你不嫌弃Windows 2000难看的话,推荐你还是使用Windows 2000。
二、定期给系统打补丁
去年的一场冲击波和紧接着来临的震荡波,让大家着实手忙脚乱了一段时间,在Windows XP SP2尚未出世之前,所有人安装Windows XP以后的之一件事情,就是安装RPC的两个漏洞补丁,用以防范冲击波和震荡波以及派生出来的高波、lovegate等变种病毒,也正是由于这两次病毒的肆虐,让大家之一次把目光聚集到了之前从未注意过的Windows Update,因此,保护我们的操作系统的第二件事情,就是给电脑安装补丁程序,确保不会因为系统的漏洞给病毒和黑客可乘之机。
三、关闭系统默认共享资源
Windows XP是大家使用最广泛的操作系统,但是他也有一些鲜为人知的缺点,尤其是系统默认的共享资源,给病毒造成了可乘之机。所以安装完成操作系统以后,一定要关闭默认的共享资源。
四、及时备份操作系统
一般推荐大家在安装完驱动和必备软件之后,之一件做的事情就是备份系统,只要你备份了系统,哪怕真的哪一天系统坏掉无法使用,马上拿出备份来恢复,可以省却重装系统的时间和无尽的烦恼。
下一页:防范病毒
第二步:防范病毒入侵
虽然保护计算机和防范病毒不能完全等同起来,病毒的防护并不是保护电脑安全的全部内容,但是不可否认的是,现今对电脑危害更大的安全问题中,病毒是首屈一指的,尤其是对于个人用户来说,我们并没有更多的“个人机密”或是“宝贵资源”可以盗取,主要威胁我们计算机安全的就是病毒,尤其是那些直接危害我们正常使用的病毒,他们轻则删除文件,更改系统文件,重则盗取游戏帐号密码,或者无法启动电脑,甚至于类似CIH,搞的我们只能抱着沉沉的电脑去维修点,搞不好都要破费花钱,累的气喘吁吁,因此防范病毒是我们第二件要做的事情。
一、安装杀毒软件
市场上主要销售的杀毒软件都具有较好的病毒防护和查杀能力,一般来说,只要是较为知名的杀毒软件都可以考虑,另外一些免费的杀毒软件也可以纳入考虑范畴,不过重要的还是要及时升级病毒特征码。
二、慎用来路不明的光盘、软盘
进入市场的大量的盗版光盘,或者是从外面网吧、学校机房拷贝回来的文件,一般建议大家在打开或运行其中的文档、程序的时候,首先进行用杀毒软件查杀病毒,如果是光盘等无法写入的载体,如果出现病毒,请尽量避免使用。
三、谨慎使用 *** 上的程序和文件
*** 、MSN都肆虐过尾巴病毒, *** 尾巴一般停留在感染 *** 发送消息上面,而MSN病毒的肆虐曾经严重到影响整个MSN服务用户的登录,并且会使用户懵懂中下载病毒程序,在电脑本机发作,对电脑进行破坏活动。当然还有一些恶意的人或是恶意网站,传播病毒、进行非法的恶意操作。因此,上网的时候,一定要谨慎对待下载或是别人传送的软件,同时打开病毒防火墙和 *** 防火墙,才能尽量避免在上网的时候,受到病毒的危害。
第三步:防范 *** 攻击和入侵
现如今,没有联入互联网的个人电脑简直是凤毛麟角,每一个买电脑顾客,无一例外的会问到上网的问题,2004年是宽带上网飞速发展的一年,长城宽带、歌华有线、网通小区宽带、ADSL快车如雨后春笋般涌现出来,各种所谓的入侵、窃取工具也随之流传开来,尤其是一些木马入侵工具,让大家防不胜防,而 *** 上无目标的IP攻击行为更是让人嗤之以鼻,操作系统的漏洞也被少数居心不良者利用,出现了很多通过 *** 进行传播、攻击的病毒,因此,保护我们的 *** 不仅仅是保护我们可以正常上网,同时也是保护我们的电脑免受病毒和他人的破坏。
保护 *** 主要步骤:
一、打好系统补丁
去年的一场冲击波和紧接着来临的震荡波,让大家着实手忙脚乱了一段时间,在Windows XP SP2尚未出世之前,所有人安装Windows XP以后的之一件事情,就是安装RPC的两个漏洞补丁,用以防范冲击波和震荡波以及派生出来的高波、lovegate等变种病毒,也正是由于这两次病毒的肆虐,让大家之一次把目光聚集到了之前从未注意过的Windows Update,因此,保护我们的操作系统的第二件事情,就是给电脑安装补丁程序,确保不会因为系统的漏洞给病毒和黑客可乘之机。
二、安装 *** 防火墙
*** 防火墙可以防范大多数的 *** 攻击,即使你的电脑已经有了木马病毒, *** 防火墙也可以屏蔽木马的对外“联络”,使外界的控制端无从下手。一般来说,我们现在使用的多是软件 *** 防火墙,比较有代表性的是费尔托斯和天网个人防火墙,推荐大家安装其中一款,以保证 *** 顺畅。
三、安装木马检测软件
虽然 *** 防火墙可以屏蔽大多数的 *** 攻击和木马,但是木马的技术越来越先进,使用的计算机端口越来越广泛,因此,安装一个木马扫描程序也是必不可少的,推荐木马克星,大家可以安装试一下。
清除间谍软件
美国互联网提供商Earthlink发表的一份报告显示,平均每台家用电脑感染了个28间谍软件,而全球一半以上的电脑,无论是家用电脑还是办公电脑,都感染了至少一种间谍软件,他们大多数会记录用户的操作记录、点击广告和软件使用的习惯,严重的会窃取用户的信用卡信息、 *** 密码或是被人利用窃取其他重要信息,因此打击间谍软件是我们每一个用户必须要做的事情。
高分悬赏电脑病毒问题
相信最近很多朋友上网的时候都碰到了MyTest2[n].jpg(n为自然数)这款病毒,挺恶心人的,我当初也遇到了这个病毒!
瑞星将他报为Hack.SuspiciousAni !所谓Hack.SuspiciousAni,其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件,一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时,浏览器将会把这种畸形ANI文件下载到本机临时文件夹中,并依照网页脚本执行,将其设置为浏览此页面时鼠标的光标图案。如果这整个过程完成,则对于没有打上MS07-017补丁的电脑,此漏洞将被触发,黑客将可远程执行任意代码(一般是下载木马)。
针对此情况,瑞星把这种畸形ANI文件列入查杀范围,命名Hack.SuspiciousAni。
有了瑞星监控的电脑上,当用户的浏览器打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,瑞星文件监控和(或)网页监控将报警,提示发现Hack.SuspiciousAni。如果该文件在被下载到临时文件夹时即被瑞星查出,一般处理结果为“清除成功”,而如果该文件在被浏览器调用过程中被发现,瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况,此畸形ANI文件都将不起作用,也就不会下载真正的病毒木马了。
然而有时就因为“重启后删除”这个提示,有可能会令不明就理的用户们十分紧张。因为他们会发现,重启后再扫描时,瑞星仍然会提示……
其实如果仅仅就这个“病毒”本身而言,处理 *** 非常简单:
关闭浏览器,然后清空IE临时文件夹。
但是,如果浏览任何网页都会出现此报毒提示,那么真正的根源就不在Hack.SuspiciousAni本身了,详情请看下面的补充说明。
另外,由于MS07-017漏洞目前被黑客在网页挂马上利用得比较频繁,强烈建议用户到windows update上打上相关补丁,补丁详情可参考http://forum.ikak *** /topic.asp?board=28artid=8292648或直接参考http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
后来又出现利用ARP欺骗等手段,在用户收到的 *** 数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候,均会出现Hack.SuspiciousAni的报警。
如果用户上任意网站时都会出现Hack.SuspiciousAni的报警,即可能属于这种情况,必须采取的措施:
1.无论如何先把补丁打上。
2.查实是自己的电脑中了毒,还是别人的电脑中毒后攻击自己。
如果是自己的电脑中了毒,应及时处理;如果是别人的电脑中毒后攻击自己,应联系相关网管人员协调处理。
这个病毒的表现为无论你上什么网页瑞星监控一直提醒C:\Documents and Settings\“用户名”\Local Settings\Temporary Internet Files\Content.IE5下某些文件夹有病毒,病毒名称为MyTest2[n].jpg并且无法删除!还会造成网页显示不正常!
解决 *** :先打上MS07-017漏洞补丁,关闭浏览器,清空IE临时文件夹,打开IE--工具--Internet选项--常规--删除文件
如果还不会清除,可以重启电脑后在地址栏输入C:\Documents and Settings\“用户名”\Local Settings\Temporary Internet Files\Content.IE5删除里边的所有文件夹
如果你删除后打开网页瑞星还提示有病毒并且你是通过局域网来上网的,这说明你受到了其它中毒机器的ARP地址欺骗的攻击!解决 *** ,安装ARP防火墙,下载地址:http://hera.divshare.com/launch.php?f=761480s=fc9然后再清空IE临时文件夹!
成功例子:http://zhidao.baidu.com/question/27130714.html
http://zhidao.baidu.com/question/26695689.html
http://zhidao.baidu.com/question/26635262.html
http://zhidao.baidu.com/question/27726864.html
国际上的一些著名有电脑病毒有那些? 越多越好!!
二十年最强悍病毒排行榜
自从之一个计算机病毒爆发以来,已经过去了20年左右的时间。《InformationWeek》最近评出了迄今为止破坏程度最为严重的十大病毒。
上个世纪80年代上半期,计算机病毒只是存在于实验室中。尽管也有一些病毒传播了出去,但绝大多数都被研究人员严格地控制在了实验室中。随后, “大脑” (Brain)病毒出现了。1986年年初,人们发现了这种计算机病毒,它是之一个PC病毒,也是能够自我复制的软件,并通过5.2英寸的软盘进行广泛传播。按照今天的标准来衡量,Brain的传播速度几乎是缓慢地爬行,但是无论如何,它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。下面就是这20年来计算机病毒发展的历史。
CIH
估计损失:全球约2,000万~8,000万美元,计算机的数据损失没有统计在内。
CIH病毒1998年6月爆发于中国***,是公认的有史以来危险程度更高、破坏强度更大的病毒之一。
CIH感染Windows 95/98/ME等操作系统的可执行文件,能够驻留在计算机内存中,并据此继续感染其他可执行文件。
CIH 的危险之处在于,一旦被激活,它可以覆盖主机硬盘上的数据并导致硬盘失效。它还具备覆盖主机BIOS芯片的能力,从而使计算机引导失败。由于能够感染可执行文件,CIH更是借众多软件分销商之力大行其道,其中就包括Activision游戏公司一款名为“原罪”(Sin)游戏的演示版。
CIH一些变种的触发日期恰好是切尔诺贝利核电站事故发生之日,因此它也被称为切尔诺贝利病毒。但它不会感染Windows 2000/XP/NT等操作系统,如今,CIH已经不是什么严重威胁了。
梅利莎(Melissa)
损失估计:全球约3亿~6亿美元
1999 年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,为了防止损害,他们被迫关闭整个电子邮件系统。
梅利莎通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。
该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。而单击这个文件(成千上万毫无疑虑的用户都是这么做的),就会使病毒感染主机并且重复自我复制。
更加令人恼火的事情还在后头——一旦被激活,病毒就用动画片《辛普森一家》(The Simpsons)的台词修改用户的Word文档。
我爱你(ILOVEYOU)
损失估计:全球约100亿~150亿美元
又称情书或爱虫。它是一个Visual Basic脚本,设计精妙,还有令人难以抗拒的诱饵——爱的诺言。
2000年5月3日,“我爱你”蠕虫病毒首次在香港被发现。
“我爱你”蠕虫病毒病毒通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。和梅利莎类似,病毒也向Microsoft Outlook通讯簿中的联系人发送自身。
它还大肆复制自身覆盖音乐和图片文件。更可气的是,它还会在受到感染的机器上搜索用户的账号和密码,并发送给病毒作者。
由于当时菲律宾并无制裁编写病毒程序的法律,“我爱你”病毒的作者因此逃过一劫。
红色代码(Code Red)
损失估计:全球约26亿美元
“红色代码”是一种计算机蠕虫病毒,能够通过 *** 服务器和互联网进行传播。2001年7月13日,红色代码从 *** 服务器上传播开来。它是专门针对运行微软互联网信息服务软件的 *** 服务器来进行攻击。极具讽刺意味的是,在此之前的六月中旬,微软曾经发布了一个补丁,来修补这个漏洞。
“红色代码”还被称为Bady,设计者蓄意进行更大程度的破坏。被它感染后,遭受攻击的主机所控制的 *** 站点上会显示这样的信息:“你好!欢迎光临www.worm.com!”。随后,病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。在短短不到一周的时间内,这个病毒感染了近40万台服务器,据估计多达100万台计算机受到感染。
SQL Slammer
损失估计:由于SQL Slammer爆发的日期是星期六,破坏所造成的金钱损失并不大。尽管如此,它仍然冲击了全球约50万台服务器,韩国的在线能力瘫痪长达12小时。
SQL Slammer也被称为“蓝宝石”(Sapphire),2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒,给互联网的流量造成了显而易见的负面影响。有意思的是,它的目标并非终端计算机用户,而是服务器。它是一个单包的、长度为376字节的蠕虫病毒,它随机产生IP地址,并向这些IP地址发送自身。如果某个IP地址恰好是一台运行着未打补丁的微软SQL服务器桌面引擎(SQL Server Desktop Engine)软件的计算机,它也会迅速开始向随机IP地址的主机开火,发射病毒。
正是运用这种效果显著的传播方式,SQL Slammer在十分钟之内感染了7.5万台计算机。庞大的数据流量令全球的路由器不堪重负,如此循环往复,更高的请求被发往更多的路由器,导致它们一个个被关闭。
冲击波(Blaster)
损失估计:20亿~100亿美元,受到感染的计算机不计其数。
对于依赖计算机运行的商业领域而言,2003年夏天是一个艰难的时期。一波未平,一波又起。IT人士在此期间受到了“冲击波”和“霸王虫”蠕虫的双面夹击。 “冲击波”(又称“Lovsan”或“MSBlast”)首先发起攻击。病毒最早于当年8月11日被检测出来并迅速传播,两天之内就达到了攻击顶峰。病毒通过 *** 连接和 *** 流量传播,利用了Windows 2000/XP的一个弱点进行攻击,被激活以后,它会向计算机用户展示一个恶意对话框,提示系统将关闭。在病毒的可执行文件MSBLAST.EXE代码中隐藏着这些信息:“桑(San),我只想说爱你!”以及“比尔?盖茨(Bill Gates)你为什么让这种事情发生?别再敛财了,修补你的软件吧!”
病毒还包含了可于4月15日向Windows升级网站(Windowsupdate.com)发起分布式DoS攻击的代码。但那时,“冲击波”造成的损害已经过了高峰期,基本上得到了控制。
霸王虫(Sobig.F)
损失估计:50亿~100亿美元,超过100万台计算机被感染.。
“冲击波”一走,“霸王虫”蠕虫便接踵而至,对企业和家庭计算机用户而言,2003年8月可谓悲惨的一月。更具破坏力的变种是Sobig.F,它 8月19日开始迅速传播,在最初的24小时之内,自身复制了100万次,创下了历史纪录(后来被Mydoom病毒打破)。病毒伪装在文件名看似无害的邮件附件之中。被激活之后,这个蠕虫便向用户的本地文件类型中发现的电子邮件地址传播自身。最终结果是造成互联网流量激增。
2003年9月10日,病毒禁用了自身,从此不再成为威胁。为得到线索,找出Sobig.F病毒的始作俑者,微软宣布悬赏25万美元,但至今为止,这个作恶者也没有被抓到。
Bagle
损失估计:数千万美元,并在不断增加
Bagle是一个经典而复杂的蠕虫病毒,2004年1月18日首次露面。这个恶意代码采取传统的机制——电子邮件附件感染用户系统,然后彻查视窗(Windows)文件,寻找到电子邮件地址发送以复制自身。
Bagle (又称Beagle)及其60~100个变种的真正危险在于,蠕虫感染了一台计算机之后,便在其TCP端口开启一个后门,远程用户和应用程序利用这个后门得到受感染系统上的数据(包括金融和个人信息在内的任何数据)访问权限。据2005年4月,TechWeb.com的一篇文章称,这种蠕虫“通常被那帮为了扬名而不惜一切手段的黑客们称为‘通过恶意软件获利运动’的始作俑者”。
Bagle.B变种被设计成在2004年1月28日之后停止传播,但是到目前为止还有大量的其他变种继续困扰用户。
MyDoom
损失估计:在其爆发的高峰期,全球互联网的速度性能下降了10%,网页的下载时间增加了50%。
2004 年1月26日几个小时之间,MyDoom通过电子邮件在互联网上以史无前例的速度迅速传播,顷刻之间全球都能感受到它所带来的冲击波。它还有一个名称叫做 Norvarg,它传播自身的方式极为迂回曲折:它把自己伪装成一封包含错误信息“邮件处理失败”、看似电子邮件错误信息邮件的附件,单击这个附件,它就被传播到了地址簿中的其他地址。MyDoom还试图通过P2P软件Kazaa用户 *** 账户的共享文件夹来进行传播。
这个复制进程相当成功,计算机安全专家估计,在受到感染的最初一个小时,每十封电子邮件就有一封携带病毒。MyDoom病毒程序自身设计成2004年2月12日以后停止传播。
震荡波(Sasser)
损失估计:数千万美元
“震荡波”自2004年8月30日起开始传播,其破坏能力之大令法国一些新闻机构不得不关闭了卫星通讯。它还导致德尔塔航空公司(Delta)取消了数个航班,全球范围内的许多公司不得不关闭了系统。
与先前多数病毒不同的是,“震荡波”的传播并非通过电子邮件,也不需要用户的交互动作。
“震荡波”病毒是利用了未升级的Windows 2000/XP系统的一个安全漏洞。一旦成功复制,蠕虫便主动扫描其他未受保护的系统并将自身传播到那里。受感染的系统会不断发生崩溃和不稳定的情况。
“震荡波”是德国一名17岁的高中生编写的,他在18岁生日那天释放了这个病毒。由于编写这些代码的时候他还是个未成年人,德国一家法庭认定他从事计算机破坏活动,仅判了缓刑。
边栏1:病毒纪年
1982
Elk Cloner病毒是实验室之外诞生的最早的计算机病毒之一。该病毒感染了当时风靡一时的苹果II型(Apple II)计算机。
1983
早 期的病毒研究人员,佛瑞德?科恩(Fred Cohen),提出了“计算机病毒”(Computer Virus)的概念,并将其定义为“是一类特殊的计算机程序,这类程序能够修改其他程序,在其中嵌入他们自身或是自身的进化版本,从而来达到“感染”其他程序的目的。”
1986
“大脑”(Brain)病毒出现。这是一种启动区病毒,当计算机重启时,通过A驱动器中的软盘传播。该病毒不仅是最早的PC病毒,还是之一例隐蔽型病毒—被感染的磁盘并不会呈现明显症状。
1987
“李海”(Lehigh)病毒最早在美国的李海大学(Lehigh University)被发现。该病毒驻留内存,而且是之一个感染可执行文件的病毒。
同年,商业杀毒软件登上历史舞台,其中包括约翰?迈克菲(John McAfee)的VirusScan和罗斯?格林伯格(Ross Greenberg)的Flu_Shot。
1988
这一年诞生了最早在Mac系统传播的病毒,MacMag病毒和Scores病毒。
同年出现的Cascade病毒是之一个经加密后难以删除和修改的病毒。
第 一个广泛传播的蠕虫病毒是“莫里斯的蠕虫”(Morris Worm)病毒。蠕虫是病毒的一种,它们通过外界资源,比如互联网或是 *** 服务器,传播自身。美国国内一位著名计算机安全顾问的儿子,罗伯特?T?莫里斯 (Robert T. Morris),将该病毒从麻省理工学院(MIT)释放到了互联网上。但是,他声称这一切纯属意外。
1989
“黑暗复仇者”(Dark Avenger)/“埃迪”(Eddie)病毒是最早的反杀毒软件病毒。该病毒会删除部分杀毒软件。
“费雷多”(Frodo)病毒出现。这个病毒感染文件后具有一定隐蔽性,当用户对被感染计算机进行目录列表检查时,被感染文件的大小也不会发生改变,极具隐蔽性。
1990
出 现了众多杀毒软件,其中包括沃尔夫冈?斯蒂勒(Wolfgang Stiller)的“整合专家”(Integrity Master),帕姆?凯恩(Pam Kane)的“熊猫反病毒”(Panda Anti-Virus)工具,以及雷?格雷斯(Ray Clath)的Vi-Spy软件。到此时,杀毒程序作者和病毒制造者已经开始展开了全面的较量。
变形病毒出现。这些病毒随机改变特征,同时对自身进行加密,从而避免被发现。最早的此类病毒可能是1260/V2P1病毒。
加壳病毒(Armored Virus)首次出现。此类病毒很难分解。比如防护能力极强的顽固病毒,“鲸鱼”(Whale)病毒。
1991
“特奎拉”(Tequila)病毒出现。特奎拉具有隐蔽性,属于复合型态,具备保护外壳,同时会对自身变换加密,每次感染时都会采用不同的密钥。该病毒攻击主引导记录。主引导记录一旦被感染就会随之感染其他程序。
一种名为病毒制造实验室(Virus Creation Lab)的病毒软件编写工具库催生了一系列病毒。但是大多数该类病毒都充满漏洞,而无法制造真正的威胁。
复合型DAMN病毒由“黑暗复仇者变形引擎”(Dark Avenger Mutation Engine)编写,并且在1992年大行其道。
1992
“米开朗基罗”(Michelangelo)病毒出现后感染所有类型的磁碟。但是,该病毒的散播范围比媒体预先估计的要小一些。
1993
当年出现的Satanbug/Little Loc/Natas病毒是同一个病毒的不同变种。
Satanbug病毒具有很强的反杀毒软件功能:该变种能够检查到四种杀毒软件,并且破坏相关磁碟。这是杀毒软件研究人员历史上之一次和美国联邦调查局(FBI)联手逮捕并且起诉了这个还是孩子的病毒编写者
1994
危害相对较小的KAOS4病毒出现在一个色情新闻组之中,并且很快通过COMSPEC/PATH环境变量传遍全球。这是之一个利用环境变量来定位潜在攻击对象目录的病毒。
1995
之一个宏病毒出现。宏病毒利用软件自带的编程语言编写来传播,比如微软公司(Microsoft,下称微软)的Word、Excel和Access。
1996
Laroux/Excel宏病毒利用微软为应用软件宏语言环境设计的新型Visual Basic语言,进行大范围自我复制。但是该病毒危害非常有限。
Boza病毒出现并且感染了曾号称百毒不侵的Windows 95操作平台。
Staag病毒这一年出现并且感染了当时刚刚诞生不久的Linux操作系统。
1998
StrangeBrew病毒在Java环境下传播和发作。这是一个概念性病毒,没有攻击性。
危险的CIH病毒现身后感染了视窗(Windows)可执行文件,覆盖了硬盘和BIOS数据,并且让无数计算机系统瘫痪。这个别名为 “Chernobyl” 的病毒在全球范围内造成了2,000万~8,000万美元的经济损失。CIH病毒对中国用户发起大规模的进攻,受损计算机超过几十万台。
1999
毁灭性的梅利莎(Melissa)Word 97宏病毒是目前为止传播得最快的一种病毒。这个以一个脱衣 *** 命名的病毒是群发邮件病毒的鼻祖。
蠕虫病毒开始产生比普通病毒更大的危害。“泡沫男孩”(Bubble Boy)病毒是之一个在用户打开电子邮件附件之前就感染系统的蠕虫病毒。在邮件被浏览之时,蠕虫病毒已经开始暗中传播。
2000
我爱你(ILoveYou)病毒,又称情书或爱虫,也是群发邮件病毒。被感染的计算机会向邮件地址簿中的所有人发送包含病毒的电子邮件。
借助人们对于情书的好奇心,该病毒迅速传遍全球,造成了大范围的电子邮件阻塞和企业亿万美元的损失。
之一次分布式拒绝服务(DoS)攻击同时侵袭了亚马逊公司(Amazon)、电子港湾公司(eBay)、谷歌公司(Google)、雅虎公司(Yahoo)和微软的网站,攻击长达数小时之久。
2001
Sircam蠕虫病毒把被感染电脑的个人文档和数据文件通过电子邮件四处发送。但是由于该病毒文件比较大,限制了自身的传播速度。
“尼姆达”(Nimda)病毒利用复杂的复制和传染技术,在全球范围内感染了数十万台计算机。
“坏透了”(BadTrans)蠕虫病毒可以截获并且向病毒作者传回受感染用户的信用卡信息和密码。但是该病毒聪明的自我复制机制在真正发挥作用之前就被防病毒软件发现,并且在其大范围传播之前被追踪清除。
2002
梅利莎病毒的编写者大卫?史密斯(David L. Smith)被判处在联邦监狱服刑20个月。
2003
SQL Slammer蠕虫病毒在十分钟内攻击了7.5万台计算机,几乎每十秒钟就将攻击数量翻倍。虽然病毒没有造成直接伤害,但是该蠕虫病毒让 *** 服务器过载,全球内互联网阻塞。
“冲 击波”(Blaster)蠕虫病毒在8月11日攻击了Windows 2000和Windows XP一个已经推出补丁的安全漏洞,让数十万台来不及打补丁的计算机陷入瘫痪。该病毒的最终目的是利用受感染的计算机在8月15日发动一次针对 Windowsupdate.com的分布式DoS攻击,但是病毒的危害到当天已经基本被控制。
我国的北京、上海、广州、武汉、杭州等城市也遭到了强烈攻击,从11日到13日,短短三天间就有数万台电脑被感染,4,100多个企事业单位的局域网遭遇重创,其中2,000多个局域网陷入瘫痪,对相关机构的电子政务、电子商务工作产生了伤害,造成了巨大的经济损失。
“霸王虫”(Sobig.F)是一个群发邮件病毒,通过不安全的 *** 共享感染系统。该病毒传播迅速,24小时之内自我复制超过百万次。“霸王虫” 病毒大规模爆发,波及亚洲、美洲和澳洲等地区,致使我国互联网大面积感染。这次比“冲击波”病毒更加强劲,截至8月14日22时,我国受袭击的局域网数量已增加到 5,800个。
参考资料:http://hi.baidu.com/453081202/blog/item/f8b1f2ca5a001845f31fe775.html
求一篇计算机病毒危害性总结的文章(尤以公司电脑为对象),要求精简确切!高分!
计算机病毒及实例
之一节 计算机病毒历史
早在1949年,电脑的先驱者冯·诺伊曼在他的一篇文章《复杂自动装置的理论及组织的行为》中,即提出一种会自我繁殖的程序的可能----现在称为病毒,但没引起注意。
十年之后,在贝尔实验室中,这个概念在一个电子游戏中形成了。这个电子游戏叫“Core War”。
Core War
这个游戏由三个年轻的工程师完成,道格拉斯·麦耀莱、维特·维索斯基和罗伯特·莫里斯(后来那个编写蠕虫病毒的莫里斯的父亲)。
Core
War的玩如下:双方各编写一套程序,输入同一部电脑中。这两套程序在计算机内存中运行,它们相互追杀。有时它们回放下一些关卡,有时会停下来修复被对方破坏的指令。当它们被困时,可以自己复制自己,逃离险境。因为它们都在电脑的内存(以前是用core做内存的)游走,因此叫Core
War。
这个游戏的特点,在於双方的程序进入电脑之后,玩游戏的人只能看着屏幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止。
这个游戏分成好几种,麦耀莱所写的叫 [达尔文],包含了 [物竞天择 ,适者生存] 的意思 。
它的游戏规则跟以上所描述的最接近。游戏双方用汇编语言(Assembly Language)各写一套程式 ,叫有机体(organi *** )
。这两个有机体在电脑里争斗不休,直到一方把另一方杀掉而取代之 ,便算分出胜负。
另外有个叫爬行者 (Creeper)的程序,每一次把它读出时
,它便自己复制一个副本。此外,它也会从一部电脑[爬]到另一部和它相连的电脑。很快地电脑中原有资料便被这些爬行者挤掉了。爬行者的唯一生存目的是繁殖。
为了对付[爬行者],有人便写出了[收割者](Reaper)。它的唯一生存目的便是找到爬行者,把它们毁灭掉。当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令毁灭自己,从电脑中消失。
[侏儒](Dwarf)并没有达尔文等程式聪明。却可是个极端危险人物。它在内存中迈进,每到第五个[地址](address)便把那里所储存的东西变为零,这会使得原来的程序停止。
最奇特的就是一个叫[印普](Imp)的战争程式了 ,它只有一行指令:
MOV 01
这条指令把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01]。
[双子星](Germini)也相当有趣。它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本]。
从双子星衍生出一系列的程序。[牺牲者](Juggeraut)把自己复制后送到下十个地址之后,而[大雪人](Bigfoot)则把正本和复制品之间的地址定为某一个大质数。
电脑病毒的出现
一九八三年,科恩·汤普逊(Ken
Thompson)是当年一项杰出电脑奖得主。在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程序。
1983 年 11 月 3 日,弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼 (Len
Adleman) 将它命名为计算机病毒 (computer viruses),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在 VAX11/750
计算机系统上运行,之一个病毒实验成功,一周后又获准进行 5 个实验的演示,从而在实验上验证了计算机病毒的存在。
一九八四年, [科学美国人]月刊(Scientific American)的专栏作家杜特尼(A. K. Dewdney)在五月号写了之一篇讨论[Core
War]的文章,并且只要寄上两块美金,任何读者都可以收到有关程序的纲领,在自己家中的电脑中开辟战场。
[病毒]一词的正式出现
在一九八五年三月份的[科学美国人]里 ,杜特尼再次讨论[Core War]和病毒。在文章的开头他便说:“当去年五月有关[Core War]的文章印出来时
,我并没有想过我所谈论的是那麽严重的题目”文中还之一次提到[病毒]这个名称。他提到说:“意大利的罗勃吐·歇鲁帝(Roberto
Cerruti)和马高·莫鲁顾帝(Marco Morocutti)发明了一种破坏软件的 *** 。他们想用病毒,而不是蠕虫,来使得苹果二号电脑受感染。
歇鲁弟写了一封信给杜特尼,信内说:“马高想写一个像[病毒]一样的程式,可以从一部苹
果电脑传染到另一部苹果电脑,使其受到感染。可是我们没法这样做,直到我想到这个病毒要先使软盘受到感染,而电脑只是媒介。这样,病毒就可以从张软盘传染到另一软盘了。”
1986 年初,在巴基斯坦的拉合尔 (Lahore),巴锡特 (Basit) 和阿姆杰德 (Amjad) 两兄弟经营着一家 IBM-PC
机及其兼容机的小商店。他们编写了Pakistan 病毒,即 Brain。在一年内流传到了世界各地。
1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。
1988 年 11 月 2 日,美国六千多台计算机被病毒感染,造成 Internet
不能正常运行。这是一次非常典型的计算机病毒入侵计算机 *** 的事件,迫使美国 *** 立即作出反应,国防部成立了计算机应急行动小组。
这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点,连接着 *** 、大学、研究所和拥有 *** 合同的 250,000
台计算机。这次病毒事件,计算机系统直接经济损失达 9600 万美元。
这个病毒程序设计者是罗伯特·莫里斯 (Robert T.Morris),当年 23 岁,是在康乃尔 (Cornell) 大学攻读学位的研究生。
罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵 ARPANET
网的更大的电子入侵者,而获准参加康乃尔大学的毕业设计,并获得哈佛大学 Aiken 中心超级用户的特权。他也因此被判 3 年缓刑,罚款 1 万美元,他还被命令进行
400 小时的新区服务。
1988 年底,在我国的国家统计部门发现小球病毒。
第二节 计算机病毒原理
计算机病毒定义
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。(此节内容摘自《计算机安全管理与实用技术》一书)
计算机病毒原理
病毒的工作原理是什么呢?病毒是一个程序,一段人为编制的计算机程序代码。它通过想办法在正常程序运行之前运行,并处于特权级状态。这段程序代码一旦进入计算机并得以执行,对计算机的某些资源进行监视。它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过 *** 接触,病毒会继续进行传染。
一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。
病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。
大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。
大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如“PETER-2"在每年2月27日会提三个问题,答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。这类病毒较多,如:GENP、小球、W-BOOT等。恶性病毒则有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。
病毒分类
按传染方式分为:引导型病毒、文件型病毒和混合型病毒。
文件型病毒一般只传染磁盘上的可执行文件(COM,EXE)。在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。这是较为常见的传染方式。
混合型病毒兼有以上两种病毒的特点,既染引导区又染文件,因此扩大了这种病毒的传染途径
随着计算机技术的发展,新的病毒也不断出现。我们在本章的最后一节将介绍宏病毒的机理和一个实例。
电脑病毒的新趋势
传统型病毒的一个特点, 就是一定有一个「寄主」程序,病毒就窝藏的这些程序里。最常见的就是一些可执行档,
像是副档名为.EXE及.COM的档案。但是由於微软的WORD愈来愈流行,且WORD所提供的宏命令功能又很强,
使用WORD宏命令写出来的病毒也愈来愈多于是就出现了以.DOC文件为“寄主”的也会宏病毒。
另外,不需要寄主的病毒也出现了,其实,它们寄生在「Internet」上。
如果Internet上的网页只是单纯用HTML写成的话, 那麽要传播病毒的机会可说是非常小了。但是呢, 为了让网页看起来更生动, 更漂亮,
许多语言也纷纷出笼, 其中最有名的就属JAVA和ActiveX了。从而,它们就成为新一代病毒的温床。JAVA和ActiveX的执行方式,是把程式码写在网页上,
当你连上这个网站时, 浏览器就把这些程式码读下来, 然后用使用者自己系统里的资源去执行它。这样,使用者就会在神不知鬼不觉的状态下,执行了一些来路不明的程序。
对于传统病毒来讲,病毒是寄生在「可执行的」程序代码中的。新的病毒的机理告诉我们,病毒本身是能执行的一段代码,但它们可以寄生在非系统可执行文档里。只是这些文档被一些应用软件所执行。
在德国汉堡一个名为Chaos Computer 的俱乐部,
有一个俱乐部成员完成一只新型态的病毒-----这只病毒可以找出Internet用户的私人银行资料, 还可以进入银行系统将资金转出, 不需要个人身份证明,
也不需要转帐密码。
当使用者在浏览全球网站时, 这个病毒会自动经由Active X 控制载入。Active X 控制可搜寻使用者计算机的硬盘, 来寻找Intuit
Quicken这个已有全球超过九百万使用者的知名个人理财软体。一旦发现Quicken的档案, 这个病毒就会下转帐指令。
计算机病毒防范
电脑病毒检测技术
一台计算机染上病毒之后,会有许多明显或不明显的特征。例如是文件的长度和日期忽然改变,系统执行速度下降或出现一些奇怪的信息或无故死机,或更为严重的硬盘已经被格式化。
我们常用的防毒软件是如何去发现它们的呢?他们就是利用所谓的病毒码(Virus Pattern)。病毒码其实可以想像成是犯人的指纹,
当防毒软件公司收集到一只新的病毒时, 他们就会从这个病毒程式中截取一小段独一无二而且足以表示这只病毒的二进制程序码 (Binary Code) ,
来当做扫毒程序辨认此病毒的依据, 而这段独一无二的二进制程序码就是所谓的病毒码。 在电脑中所有可以执行的程序(如 *.EXE,*.COM)
几乎都是由二进制程序码所组成, 也就是电脑的最基本语言-- 机器码。就连宏病毒在内, 虽然它只是包含在Word文件中的宏命令集,
可是它也是以二进制代码的方式存在於Word文件中。
反病毒软件常用下列技术来查找病毒的:
1.病毒码扫描法
将新发现的病毒加以分析后, 根据其特徵, 编成病毒码, 加入资料库中。以后每当执行扫毒程序时, 便能立刻扫描目标文件, 并作病毒码比对,
即能侦测到是否有病毒。病毒码扫描法又快又有效率( 例如趋势科技的PC-cillin及Server Protect, 利用深层扫描技术,
在即时扫瞄各个或大或小的档案时,平均只需1/20秒的时间), 大多数防毒软件均采用这种方式, 但其缺点是无法侦测到未知的新病毒及以变种病毒。
2.加总比对法 (Check-sum)
根据每个程序的文件名称、大小、时间、日期及内容, 加总为一个检查码, 再将检查码附於程序的后面, 或是将所有检查码放在同一个资料库中,
再利用此Check-sum系统, 追踪并记录每个程序的检查码是否遭更改, 以判断是否中毒。这种技术可侦测到各式的病毒, 但更大的缺点就是误判断高,
且无法确认是哪种病毒感染的。
3.人工智能陷阱
人工智能陷阱是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来, 一旦发现内存的程式有任何不当的行为, 系统就会有所警觉,
并告知使用。这种技术的优点是执行速度快、手续简便, 且可以侦测到各式病毒;其缺点就是程序设计难, 且不容易考虑周全。不过在这千变万化的病毒世界中,
人工智能陷阱扫描技术是一个至少具有保全功能的新观点。
4.软件模拟扫描法
软件模拟扫描技术专门用来对付千面人病毒(Polymorphic /MutationVirus)。千面人病毒在每次传染时,
都以不同的随机乱数加密於每个中毒的档案中, 传统病毒码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行,
在其设计的DOS虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序, 安全并确实地将多型体病毒解开,使其显露原本的面目, 再加以扫描。
5.VICE(Virus Instruction Code Emulation) - 先知扫描法
VICE先知扫描技术是继软件模拟后的一大技术上突破。既然软件模拟可以建立一个保护模式下的DOS虚拟机器, 模拟CPU动作并假执行程序以解开变体引擎病毒,
那麽应用类似的技术也可以用来分析一般程序检查可疑的病毒码。因此VICE将工程师用来判断程新是否有病毒码存在的 *** , 分析归纳成专家系统知识库,
再利用软体工程的模拟技术(Software Emulation)假执行新的病毒, 则可分析出新病毒码对付以后的病毒。
6.即时I/O扫描(Realtime I/O Scan)
Realtime I/O Scan的目的在於即时地对数据的输入/输出动作做病毒码比对的动作, 希望能够在病毒尚未被执行之前, 就能够防堵下来。理论上,
这样的即时扫描技术会影响到数据的输入输出速度。但是使用实时扫描技术,文件传送进来之后,就等于扫过一次毒了。从整体上来讲,是没有什么差别的。
第三节 计算机病毒实例
CIH病毒检测
CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable
Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1
execution File Format)下的可执行文件,并且在Win
NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前更流行的是v1.2版本。
CIH病毒v1.0版本:
最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其更大的“卖点”是在于其是当时为数不多的、可感染Microsoft
Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。
CIH病毒v1.1版本:
发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是Win
NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN
PE类可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。
CIH病毒v1.2版本:
发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
CIH病毒v1.3版本:
原先v1.2版本的CIH病毒更大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors
file)时,将导致此ZIP压缩包在自解压时出现:
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进 *** 是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。
CIH病毒v1.4版本:
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4
TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。
CIH属恶性病毒,当其发作条件成熟时,将破坏硬盘数据,同时有可能破坏BIOS程序。其发作特征是:
1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏。
2、某些主板上的Flash Rom中的BIOS信息将被清除。
感染CIH病毒的特征:
由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH
v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4
TATUNG”,不要直接搜索“CIH”特征串,因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:
inc bx
dec cx
dec ax
则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
另外一个判断 *** 是在Windows
PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值,则表示很可能已经感染了CIH病毒。
还有一个判断 *** 是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8
33 DB 64,如果是,则表示此程序已被感染。
适合高级用户使用的一个 *** 是直接搜索特征代码,并将其修改掉, *** 是:先处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB
33 DB特征串,将这两个特征串中的CC改为90(nop),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40
00 特征字串,将其全部修改为90,即可(以上数值全部为16进制)。
另外一种 *** 是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例),具体 *** 为:先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着将距此点偏移0x28处的4个字节值,例如“A0
02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB
64”,并由0X02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 40
00”(OXOO4021CB),将此值减去OX40000,将得数----“CB 21 00 00”
(OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Entry
Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我们容易判断病毒是否已经被杀除过。
CIH机理分析
其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程 *** 。使用这一 *** 的目的是获取高的CPU权限,CIH病毒使用的 *** 是首先使用SIDT取得IDT
base address(中断描述符表基地址),然后把IDT的INT 3 的入口地址改为指向CIH自己的INT3程序入口部分,再利用自己产生一个INT
3指令运行至此CIH自身的INT
3入口程序出,这样CIH病毒就可以获得更高级别的权限(即权限0),接着病毒将检查DR0寄存器的值是否为0,用以判断先前是否有CIH病毒已经驻留。如DR0的值不为0,则表示CIH病毒程式已驻留,则此CIH副本将恢复原先的INT
3入口,然后正常退出(这一特点也可以被我们利用来欺骗CIH程序,以防止它驻留在内存中,但是应当防止其可能的后继派生版本)。如果判断DR0值为0,则CIH病毒将尝试进行驻留,其首先将当前EBX寄存器的值赋给DR0寄存器,以生成驻留标记,然后调用INT
20中断,使用VxD call Page Allocate系统调用,要求分配Windows系统内存(system
memory),Windows系统内存地址范围为C0000000h~FFFFFFFFh,它是用来存放所有的虚拟驱动程序的内存区域,如果程序想长期驻留在内存中,则必须申请到此区段内的内存,即申请到影射地址空间在C0000000h以上的
内存。
如果内存申请成功,则接着将从被感染文件中将原先分成多段的病毒代码收集起来,并进行组合后放到申请到的内存空间中,完成组合、放置过程后,CIH病毒将再次调用INT
3中断进入CIH病毒体的INT
3入口程序,接着调用INT20来完成调用一个IF *** gr_InstallFileSystemApiHook的子程序,用来在文件系统处理函数中挂接钩子,以截取文件调用的操作,接着修改IF *** gr_InstallFileSystemApiHook的入口,这样就完成了挂接钩子的工作,同时Windows默认的IF *** gr_Ring0_FileIO(InstallableFileSystemManager,IF *** gr)。服务程序的入口地址将被保留,以便于CIH病毒调用,这样,一旦出现要求开启文件的调用,则CIH将在之一时间截获此文件,并判断此文件是否为PE格式的可执行文件,如果是,则感染,如果不是,则放过去,将调用转接给正常的Windows
IF *** gr_IO服务程序。CIH不会重复多次地感染PE格式文件,同时可执行文件的只读属性是否有效,不影响感染过程,感染文件后,文件的日期与时间信息将保持不变。对于绝大多数的PE程序,其被感染后,程序的长度也将保持不变,CIH将会把自身分成多段,插入到程序的空域中。完成驻留工作后的CIH病毒将把原先的IDT中断表中的INT
3入口恢复成原样。
Flash ROM的破坏原理
PC机上常用来保存PC BIOS程序的Flash ROM包含两个电压接口,其中+12V一般用Boot Block的改写,Boot
Block为一特殊的区块,它主要用于保存一个最小的BIOS,用以启动最基本的系统之用,当Flash ROM中的其它区块内的数据被破坏时,只要Boot
Block内的程序还处于可用状态,则可以利用这一基本的PC
BIOS程序来启动一个最小化的系统,一般情况下,起码应当支持软盘的读写以及键盘的输入,这样我们就有机会使用软盘来重新构建整个Flash
ROM中的数据。一般的主板上均包含有一个专门的跳线,用来确定是否给此Flash ROM芯片提供+12V电压,只有我们需要修改Flash ROM中的Boot
Block区域内的数据时,才需要短接此跳线,以提供+12V电压。
另外一路电压为+5V电压,它可以用于维持芯片工作,同时为更新Fla *** ROM中非Boot Block区域提供写入电压。
主板上的+12V跳线是为了防止更新Flash ROM中的Boot Block区域而设置的,如果想升级BIOS,同时此升级程序只需要更新Boot
Block区域以外的BIOS程序,则主板上的跳线根本没必要去跳,因为更新Boot
Block区域以外的数据并不需要+12V电压,这样,即使升级失败,我们也还存在着一个Boot
Block中的最基本BIOS可以使用,这样就可以使用软盘来恢复原先的BIOS数据(一般在升级的时候后,都提示用户保存当前的BIOS数据)。
某些芯片在+5V的电压下就可以进行改写,这些单5V的芯片便是造成BIOS数据被彻底破坏的原应。
Word宏病毒透视
Word宏病毒,是近年来被人们谈论得最多的一种电脑病毒。由于一些杀毒软件广告对此病毒的着力渲染,使得一些普通的用户对该病毒谈之色变。其实,在了解了Word宏病毒的编制、发作过程之后,即使是普通的电脑用户,不借助任何杀毒软件,也可以较好地对其进行防冶。
Word宏病毒,是用一种专门的Basic语言即Word Basic所编写的程序。与其它计算机病毒一样,它能对用户系统中的
我的电脑中了木马病毒
木马小常识
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。
一、木马的危害
相信木马对于众多网民来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!
木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!
广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作 *** 和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。
二、木马原理
特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏 *** 主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的 *** 就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的 *** 。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种 *** 与一般 *** 不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的 *** (改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的 *** 监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
三、木马防范工具
防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会安全许多。
网上防火墙软件很多,推荐使用“天网防火墙个人版”。它是一款完全的免费的软件,安装成功后,它就变成一面盾牌图表缩小到任务来的系统托盘里,并时刻监视黑客的一举一动,当有黑客入侵时,它就会自动报警,并显示入侵者的IP地址。
用鼠标双击盾牌图标,就会弹出天网的控制台,控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签,会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵,它阻挡了几乎所有的蓝屏攻击和信息泄漏问题,并且不会影响普通 *** 软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与 *** 连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑,天网防火墙会将其自动拦截,并告警提示,同时在控制台的“安全纪录”里会将连接者的IP,协议,来源端口,防火墙采取的操作,时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明,防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开 *** ,点一下控制台上的“停”就可以了。
四、木马的查杀
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的 *** 是安装杀毒软件(自动),现在很多杀毒软件能删除 *** 最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。 *** 是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
请问电脑”肉鸡”远程操控是什么意思?
什么是肉鸡
[ 2005-12-28 22:50:21 | By: 沙狼 ]
肉鸡就是具有更高管理权限的远程电脑。简单的说就是受你控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要你有这本事入侵并控制他,呵呵。莱鸟所说用的肉鸡一般是开了3389端口的Win2K系统的服务器。
要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码
黑客可以用远程登陆你的电脑,对你电脑实施操控,比如可以开启你的计算机,窃取你的资料等等