病毒及攻擊防御完全指南

　　“最初的信任已經消失了，伴隨著它們的進駐，這裡已經成為了一個沼澤——有你想要的寶藏，也有隨時能夠吞噬掉你的陷阱。” 　　覺得用這麼一句話某部電影中智者的忠告來形容商業化後的互聯網實在很恰當。隨著商業進駐互聯網——這個原本脫形於軍事，發展自高校/公司的網絡已經成為了一個勢力很大的媒體介質。在這個網絡上，能搜索到論文資料，結交到朋友，學習到一些身邊根本無法接觸到的技術——但網絡不是烏托邦，在表面的興盛繁榮下，罪惡之影亦在游走。 　　新上網的朋友最為困惑的，莫過於對病毒和各種惡意攻擊的恐懼和迷惑了——“我什麼都沒有做，為什麼就中毒了？”是天緣常常聽到內部網絡的疑問。Ok，接下來，就跟隨我一起，進入入門級的安全之旅，希望通過此篇文章，能讓您對一些概念，機制有所把握。 　　第一站——病毒防御入門之旅 　　潘多拉的魔盒被打開，從此世間便多了疾病、瘟疫、災難——自從1962年，貝爾實驗室三位傑出程序員——羅泊.莫裡斯、維克多.維索茨基、道格.邁克勞埃以“編制一些程序，讓這些程序根據某種規則自己在內存中生存、搏斗”而理念而造就的“磁芯大戰”程序開始，計算機世界的潘多拉魔盒就此打開。當時三位積極探索計算機技術的優秀程序員大概不會想到，病毒之門被打開，直至今日陰影仍揮之不去。可悲的是，以技術之鑰打開的病毒之門，在半個世紀裡越來越墮落，淪為一些人實施經濟犯罪或標榜自我的工具，在計算機世界四處游蕩著病毒幽靈。 　　病毒——這個源自醫學界的名詞，被用在計算機中，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用，並能自我復制的一組計算機指令或者程序代碼，就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。 　　木馬——來自“特伊諾木馬”，指深入到內部進行攻擊與破壞的行為。現在的木馬程序一般是指，利用系統漏洞或用戶操作不當進入用戶的計算機系統，通過修改啟動項目或捆綁進程方式自動運行，運行時有意不讓用戶察覺，將用戶計算機中的敏感信息都暴露在網絡中或接受遠程控制的惡意程序。 　　蠕蟲——蠕蟲病毒是指利用網絡缺陷進行繁殖的病毒程序，其原始特征之一是通過網絡協議漏洞進行網絡傳播。 　　腳本病毒——利用腳本來進行破壞的病毒，其特征為本身是一個ascii碼或加密的ascii碼文本文件，由特定的腳本解釋器執行。主要利用腳本解釋器的疏忽和用戶登陸身份的不當對系統設置進行惡意配置或惡意調用系統特點命令造成危害。 　　但目前，由於病毒，木馬，蠕蟲，腳本病毒這四類程序在不斷雜交中衍生，已經形成了“你中有我，我中有你”的多態特性。為了行文方便，以下統稱為“病毒”，但其實四類程序的感染機制和編寫方式是完全不同的，請讀者們在閱讀的時候詳加辨析。
　　現階段的病毒，主要分為以下幾種： 　　1．感染可執行文件的病毒 　　病毒描述：這類病毒就是上面所介紹的4種破壞性程序中的傳統病毒。這類病毒的編寫者的技術水平可說相當高超，此類病毒大多用匯編/c編寫，利用被感染程序中的空隙，將自身拆分為數段藏身其中，在可執行文件運行的同時進駐到內存中並進行感染工作，dos下大多為此類病毒居多，在windows下由於win95時期病毒編寫者對pe32的格式沒吃透，那段時間比較少，之後在win98階段這類病毒才擴散開來，其中大家廣為熟悉的CIH病毒就是一例；在windows發展的中後期，互聯網絡開始興盛，此類病毒開始結合網絡漏洞進行傳播，其中的傑出代表為funlove傳播——由於windows操作系統的局網共享協議存在默認共享漏洞，以及大部分用戶在設置共享的時候貪圖方便不設置復雜密碼甚至根本就沒有密碼，共享權限也開啟的是“完全訪問”。導致funlove病毒通過簡單嘗試密碼利用網絡瘋狂傳播。 　　病毒淺析：由於此類病毒的編寫對作者要求很高，對運行環境的要求也相當嚴格，在編寫不完善的時候，會導致系統異常（例如CIH的早期版本會導致winzip出錯和無法關閉計算機等問題；funlove在nt4上會導致mssqlserver的前台工具無法調出界面等問題）。這類病毒賴以生存的制約是系統的運行時間和隱蔽性。運行時間——系統運行的時間越長，對其感染其他文件越有利，因此此類病毒中一般不含有惡意關機等代碼，染毒後短期內（一般24小時內）也不會導致系統崩潰（如果你是25日感染cih除外），和其他病毒相比用戶有足夠的處理時間。破壞引導區的大腦病毒、擇日發作的星期五病毒、直接讀寫主板芯片，采用驅動技術的CIH病毒都是其中的代表。 　　感染途徑：此類病毒本身依靠用戶執行而進行被動運行，常見感染途徑為：盜板光盤、軟盤、安全性不佳的共享網絡； 　　病毒自查：此類病毒大多通過的是進駐內存後篇歷目錄樹的方式，搜索每個目錄下的可執行文件進行感染，因此對內存占用得比較厲害——如果突然在某個時間後發現自己的機器內存占用很高，可能就是感染了此類病毒。 　　病毒查殺：這類病毒由於編寫難度較大，因此升級（病毒也玩升級？對，例如CIH是在1.4版本後才完善的）速度相對較慢，但由於開機後進駐的程序可能已經被病毒感染，因此殺毒條件是各種病毒中最為嚴格的，且這2種方式比較干淨徹底的方法也適用用後面介紹的各種病毒： 　　1.軟盤（光盤）啟機使用殺毒軟（光）盤進行殺毒；在進行這一步的時候，必須要保證軟盤或光盤的病毒庫內已經有殺除該病毒的特征碼。 　　2.將硬盤拆下，作為其他機器的從盤；從其他機器的主盤啟動進行殺毒（該機需打開病毒即時監控，以防止來自從盤的可執行文件中的病毒進駐到內存中）； 以常見的國產幾種殺毒軟件為例，在購買的正式版本中，除了供安裝使用的光盤外，一般還包含幾張軟盤（一張引導盤，一張殺毒程序盤，一張病毒庫盤）。在對待上面提到的這類病毒時，最好的做法就是用引導盤啟動計算機，然後根據提示將殺毒程序盤和病毒盤依次插入，進行病毒查殺。注意2點：1.目前比較新版本的殺毒程序盤都能完善地支持ntfs分區的讀寫，如果您是在幾年以前購買的殺毒盤，可以根據廠家的服務方式進行升級；2.由於采用軟盤殺毒的時候，使用的是軟盤上的病毒庫，為了能正確地查殺病毒，請定期升級軟盤的病毒庫，否則真到用的時候就哭也哭不出來了。 　　殺毒遺留：由於這類病毒是寄生到其他程序內部，即使非常優秀的殺毒軟件，能做到的也只是把該染毒程序內的病毒某關鍵執行部分刪除，使得染毒程序在運行時病毒無法運行。因此並不是嚴格意義上的完全清除——病毒程序的某部分依然殘留在程序內部，俗稱“病毒僵屍”。 　　在殺除這類病毒的時候，最主要的是分析捕捉特征代碼，因為抓特征碼的過程中不僅要准確地破壞病毒的執行部分，而且不可以觸動正常的程序代碼。否則會常常出現殺毒之後該程序無法使用的情形——那還叫什麼殺毒？還不如直接刪除文件比較好嘛！在查殺這類病毒上，根據天緣的使用經驗，norton和國內的金山毒霸做的比較好一些。(此評價只根據我個人使用經驗如實說出，不帶任何廣告性質，請各位選擇殺毒產品的時候不要以我的介紹為依據，本人不承擔任何責任，下同。) 　　病毒防范：安裝包含即時監控的殺毒軟件並啟機執行，每天升級病毒庫獲取最新病毒特征代碼；盡量不使用來源不可靠的軟盤和光盤，使用前先掃描；關於網絡防毒部分後面一並介紹。
2．後台運行進行惡意控制和破壞的病毒 　　病毒描述：帳號被偷，密碼被盜，機器被人遠程控制著放歌/開關機/屏幕倒轉過來，硬盤不住地轉動將關鍵資料向外發出，就是這類病毒的傑作了。這類病毒和上一類病毒最本質的區別是——這類病毒本身是獨立的程序，而不是寄生於另一個程序中。這類病毒的編寫主要在於對操作系統本身接口的熟悉，網絡傳輸的熟悉，以及對隱蔽性的要求，此類病毒的編寫可使用多種語言，對病毒寫作者本身的實力也是一種考驗。這個病毒中，最出名的莫過於BO了，可以說，它指引了這種病毒在windows平台的發展理念。這類病毒就是統稱的“木馬”病毒，通過系統漏洞/用戶操作疏忽進入系統並駐留，通過改寫啟動設置來達到每次啟機運行或關聯到某程序的目的。在windows系統中，表現為修改注冊表啟動項、關聯Explorer、關聯notepad等方式。 　　病毒淺析： 此類病毒編寫者的功力就有高有低了。高手所編寫的遠程控制系統可以和最優秀的遠程管理工具相媲美，例如開山鼻主BO，國產的冰河，著名的黃金木馬sub7都屬於這一類，這類程序分為2個部分，控制端和被控制端；而在unix類平台下的木馬經常是一個簡單外部命令的重新實現——例如將原本的ls命令替換掉，用自己寫的一個程序代替，在執行正常文件列表的同時隱含執行特殊命令，這類木馬的編寫水平也相當高，但在windows下極少出現類似程序替代的木馬，這類病毒的聯系一般是單向進行的；還有一類木馬就是網絡盜竊性質的，以im軟件，網絡游戲盜號居多，近來發展為對金融業有所染指，這類一般就是通過程序監視當前窗口，並獲得當前窗口特定控件的值（用戶名/密碼框裡的值），然後通過email，遠程登陸web數據庫等方式把獲得的密碼發出去，這類程序具有一定編程基礎的各位朋友都能做到；第4類是惟恐天下不亂的純搗亂程序，原理跟上一種類似，不過是朝文本框寫信息，例如著名的qq尾巴病毒，這類病毒由於病毒作者將源代碼放出，改寫起來相當容易，智商85以上的人士都能勝任的。這類木馬病毒中的傑出代表為BO、冰河、Sub 7等。 　　感染途徑：系統漏洞/用戶錯誤權限/社會工程學； 　　利用系統漏洞——造成溢出——獲取一定權限——利用其他漏洞或用戶設置不當提升權限——上傳惡意程序/修改系統設置——啟動惡意程序。是這類病毒感染的慣用方式。在後期，出現了以誘騙用戶執行為主要感染方式的新木馬，充分利用了社會工程學，例如在im類軟件上給你發送一個名為“我的照片.exe”這樣的文件給你，引誘你打開執行。由於木馬的用途