U盘病毒

U盘病毒 计算机病毒检测与防治论文 浅析计算机病毒木马防范及查杀的 —— 随着计算机在社会生活各个领域的广泛运用，越来越多的的新型病毒和木马出现了，计算机病毒攻击与防范技术也在不断展，自1988年以来，五花八门的计算机病毒有如一场瘟疫，迅速传遍了全世界，并且造成了极大的危害。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、近期的科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算网络和武器控系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。下面就来深入了解一下计算机病毒及木马。 “计算机病毒”一词最早是由美国计算机病毒研究专家F.Cohen博士提出的。“病毒”一词是借用生物学中的病毒。通过分析研究计算机病毒，人们发现它在多方面与生物病毒有着相似之处。直到1987年，F?Cohe才给出了一个简明的定义:计算机病毒是一种具有自我复制能力的计算机程序。计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中的定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 而今天出现在计算机领域中的计算机病毒是一组程序，一段可执行码，是一种隐藏在计算机系统的可存取信息资源中，利用系统信息资源进行繁殖并且生存，能影响计算机系统正常运行，并通过系统信息关系和途径进行传染的，可执行的编码集合。 总之无论哪种定义，都有两个共同点:1、病毒本质上是一种程序，是由人写出来的。2、病毒具有自我复制、传播功能 目前的计算机病毒有成百上千种，有人把它归成四类:1.攻击高级语言程序和数据文件的源码型病毒，2.攻击系统导区(BOOT)的操作系统型病毒;3.攻击命令文件(。COM)可执行执行文件(。EXE)病毒;4.攻击CMOS的病毒。它们的本质是:与其他合法程序一样，是一段可执行程序，但它有可能不是一个完整的程序，而是寄生在其可执行程序上，因此它享有一切程序所能得到的权力。 病毒的危害主要现在:1(病毒激发作后对计算机数据的直接破坏作用 2(占用磁盘空间和对信息的破坏3(抢占系统资源4(影响计算机运行速度5(不可预见的危害6(计算机病毒的兼容性对系统运行的影响7(计算机病毒给用户造成严重的心理压力和经济损失 对于木马，现在木马和病毒的界线已越来越模糊，盗取资料、密码，像蠕虫一样网络中复制、爬行，还可以从网络上下载其它病毒、木马扩展组 件，可以感染移动硬盘、U盘等，如果说还有区别，那么可能木马还存在一个供黑客用来控制本地机器的服务端程序。 微软对木马的定义: 一种表面上有用、实际上起破坏作用的计算机程序。 不同的木马目的各不相同，危害也不尽相同。早期的木马，比如冰河，功能多而全:他们能在你的机器上干任何事，键盘记录，上传和下载功能，注册表操作，限制系统功能„„等。而现在的木马，则更注重隐蔽性，个头小巧，功能单一。比如QQ木马，仅仅用来盗取QQ号和密码，然后发送到控制者指定的邮箱中。传奇盗号木马，则只用来盗取传奇帐号。还有一些代理木马，就是将控制的机器设置为代理，以方便黑客利用这台机器对别的机器发起攻击，隐藏自己的踪迹。而DoS木马，则是将控制的机器作为日后发动DoS攻击的一个成员。还有一些木马，没有明确的目的，只会打开某些端口，等待外部指令。那些别有用心的人，就可以利用这个木马 ，轻易进入你的机器，做他想做的任何事情 随着技术的进步，木马和病毒的反查杀能力也越来越强。木马逃避追杀最好的办法，是不让用户知道自己的存在。木马运行后，要做到不被用户察觉，必须要伪装和隐藏，就有几种手段:1、对木马文件的伪装和隐藏2、对木马进程的隐藏3、采用Rootkit技术隐藏进程 和木马主要是对付用户手工查杀不同，病毒主要是要对付专业的杀毒软件，而且对于PE病毒、蠕虫病毒而言，隐藏也不是主要任务——它们没有单独的病毒文件。由于目前大多数的杀毒软件都是以特征码扫描为查毒的主要手段，所以病毒的隐藏手段都是以修改自己的特征码为基本。当杀毒软件扫描文件的特征码与预先存储在病毒库中的特征值不对时，将不会认为该文件是病毒。 前面所说的病毒、木马的伪装、隐藏和变形技术还是一种“正规”的传统技术，这些技术都属于被动防御。现在的病毒木马已经开始使用主动进攻技术——让杀毒软件和反木马软件无法正常运行，自然也就无法杀毒了。而且由于病毒在暗处，杀毒软件在明处，病毒的编制者会想尽一切办法来查找杀毒软件的漏洞，并指定相应的对策。所以这些主动进攻的技术也是五花八门，往往针对不同的杀毒软件有不同的方法，我们只能做一个简单的介绍。 1、利用系统消息关闭杀毒软件:杀毒软件都是可以由用户指定退出运行的。病毒木马看中这一点，搜索到杀毒软件的窗口后，再向这个窗口发送退出的WM_QUIT消息，让杀毒软件以为是用户发出的退出指令，导致杀毒软件退出运行。不过这种手段比较原始，很快就被杀毒软件察觉，它们会对WM_QUIT消息不予应答。 2、利用API函数强行关闭杀毒软件它们会利用系统提供的TerminateProcess()函数来强行终止杀毒软件的进程。如果杀毒软件处于用户层，且没有利用其它手段来保护自己的话，很容易就被强制退出了。目前大多数的杀毒软件都会利用各种办法(比如将自己注册为服务程序)来防止 病毒的这种手段。目前只有极少数的杀毒软件(比如瑞星)可以采用这种方法来关闭。 3、修改系统时间 像卡巴斯基这样的杀毒软件，已经嵌入到系统核心层，一般病毒很难将它终止掉。但卡巴斯基有个漏洞:它在每次启动时，都会要检查系统的时间，以判断自己的许可证是否到期，如果到期，将拒绝运行。于是病毒就利用这点，将系统时间修改到两年前或两年后，都可以让卡巴斯基拒绝启动。 还有像模拟用户按键，，破坏安全模式，破坏杀毒软件的升级模，映像劫持，关键词过滤等手段，这里就不足详细介绍了。 下面就来讲一下如何清除病毒:一般都是应用杀毒软件来清除病毒，杀毒软件对于用户而言是最重 要的。现在的大多数杀毒软件不仅杀病毒，也杀木马。选择一款好的杀毒软件，能让用户远离病毒、木马的困扰。有了工具还要有正确的杀毒方法，下面是两点建议:1、在安全模式或纯DOS模式下清除病毒 当计算机感染病毒的时候，很多人都会图方便，在正常模式下清除病毒，但这种方法往往是不能干净清除病毒的。 建议在查杀病毒的时候，要在安全模式(Safe Mode)或者纯DOS下进行清除。对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下清除，不必要像以前那样必须要用软盘启动杀毒;但对于一些引导区病毒和感染可执行文件的病毒才需要在纯DOS下杀毒(建议用干净软盘启动杀毒)。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后(升级到最新的病毒库)，在安全模式(Safe Mode)或者纯DOS下清除一遍病毒了～ 2、不要使用网页在线杀毒 我想这也是很多朋友使用的杀毒方法，其实这种方法也是和上述的一样，同样无法彻底清除病毒，同时，由于利用了IE的特殊功能，会带来更多的安全隐患，而且一般反病毒厂商也不会提供全面的病毒库文件，所以这种方法充其量只能查出计算机上是否感染流行的病毒，而不能实际的进行清除病毒。而且，换个角度来看，如果这样就能干净清除病毒的话，那么厂商就没必要销售反病毒软件了。 无论多么好的杀毒软件，都不能保证100%地清除所有病 毒。一旦碰上这种情况，又不想重装系统的话，就必须依靠手工杀毒了。当然，手工杀毒是一项技术活，需要对病毒和系统本身有足够多的了解，同时还要有足够的经验和耐心。手工杀毒要做的事情其实和杀毒软件做的事情是完全一样的。如果杀毒软件能做好，那么完全没有必要来手工杀毒。所以第一步，是安装一个好的杀毒软件，只有当 杀毒软件无法清除病毒或者无法正常工作的情况下，才考虑手工杀毒。即便如此，杀毒过程中，只要能打开杀毒软件的实时监控，就一定要打开，这样能大大减少工作量，而且也能给操作者提供一些关于病毒木马的线索如果安全模式还无法清除(或者根本进不去安全模式)，就需要进入纯DOS环境(注意不是DOS窗口)。这需要一张windows的启动盘，只进入DOS就可以用多数DOS操作了。理论上来讲，windows下的病毒木马没有一个能在纯DOS环境下运行，而且也不会有任何保护机制，所以一定能清除掉。 如果DOS下都清除不掉(其实几乎没有这种可能)，或者不会使用DOS。那就只能格式化系统盘了。注意，这里只要高级格式化就一定可以了。这个世界上就没有化杀不掉的病毒。 手工杀毒还需依靠一些手工工具，如 IceSword，SREng，WsysCheck，这会让让杀毒过程轻松一些，例如目前一些流氓软件采取的手段无所不用其极:线程注入，进程隐藏，文件隐藏，驱动保护，普通用户想把文件给删了或者找出进程来，是非常困难的。有的是看到了，删不掉，杀不掉，干着急，实在不行，还需要从另外的作系统去删除文件。比如采取驱动保护的流氓软件如CNNIC，雅虎助手之类，.sys驱动加载的时候，它过滤了文件和注册表作，直接返回一个true,Windows提示文件删了，但一看，它还在那里。象一些文件删除工具如unclocker都无效。而IceSword是目前所知唯一可以直接 删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流氓软件，不需要重启也可以完成了。 最后就是本人在日常使用电脑过程中的情况:最主要是讲一下U盘病毒。 U盘,MP3，相信大多数人都有，可谁得没中过病毒呢，我见过很多人一旦U盘中毒了就盲目格式化，结果病毒虽然是没了，但自己重要得资料同时也消失了。本人对U盘病毒有一定的研究，对病毒得查杀有较深得了解，我的U盘或MP3很久没中过毒，这里我就说一下我的经验:U盘病毒由于它的传播的特殊性，主流杀毒软件常常没把它真正定义为病毒，所以导致一些U盘病毒用主流的杀软并不能很好的查杀，这时候就要靠我们手动去杀了。 首先，插上你得U盘，在我得电脑得找到你的盘，这时千万不要双击打开，否则你得电脑就有可能中毒，这可就麻烦了。这时在你得盘上点右键，如果右键菜单第一个选项 不是“打开”，而是“Auto”，或“自动播放”或者出现两个“打开”这时就要恭喜你 ，你的盘200%中毒了，病毒在你得盘里生成了一个autorun.inf的文件，此文件能够定义你右键菜单中得内容，还能定义双击盘符时打开U盘中得哪个文件。比如第一个打开就是病毒的自定义的，也就是伪装的，当你你点一下第一个个“打开”时，实际上时在激活病毒，这时你是打不开U盘的。出现以上两种情况时千万别双击打开你得盘，也不要点右键菜单中得任何一个选项，因为每一个选项都有可能时病毒伪装的。这时怎么办呢,有一个简易的方法:在窗口下边的地址栏里输入你得盘符，如果你得是g盘，你就输入“g:\",千万别忘了把那个冒号加上去啊，然后回车就能安全进入你的盘了,进入你得盘之后你当然会看不到里面有什么病毒，接下来我要教你得就是怎么看到病毒点一下窗口上的”工具“选项，在下拉菜单里选择”文件夹选型“，就会 弹出如下对话框，选择”查看“选项卡把”隐藏受保护得操作系统文件“前面得那个钩去掉，把”显示所有文件和文件夹”点上，然后点“确定”就OK，这时你就会在U盘里发现一些奇妙得东西，包括Autorun.inf还有一下从来没见过的可执行文件如把这些文件统统删除，然后退出你的U盘，按F5刷新，你发现双击盘符能打开U盘了。 随着学习的不断深入，我相信今后一定能更好的对计算机病毒进行检测与防治。