按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
欺骗实现原理:当您双击这个伪装起来的。txt时候,由于真正文件扩展名是。{3050F4D8…98B5…11CF…BB82…00AA00BDCE0B},也就是。html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第2行又是干什么的呢?您可能已经注意到了第2行里的〃WSCript〃,对!就是它导演了全幕,它是实际行动总指挥。
WScript全称Windows Scripting Host,它是Win98新加进的功能; 是一种批次语言/自动执行工具它所对应的程序〃WScript。exe〃是一个脚本语言解释器,位于c:WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在Windows Scripting Host脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
下面我们通过一个小例子来说明Windows Scripting Host功能是如何的强大,使用又是怎样的简单,被有心人利用后的威胁有多大。例如有内容如下的*。vbs文件:
Set so=CreateObject( Scripting。FileSystemObject )
so。GetFile(c:windowswinipcfg。exe)py( e:winipcfg。exe )
就是这么两行就可以拷贝文件到指定地点。第一行是创建一个文件系统对象,第二行前面是打开这个脚本文件,c:windowswinipcfg。exe指明是这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到e盘根目录下。这也是大多数利用VBscript编写的病毒的一个特点。从这里可以看出,禁止了FileSystemObject这个对象就可以很有效的控制这种病毒的传播。用regsvr32 scrrun。dll /u这条命令就可以禁止文件系统对象。
欺骗识别及防范方法:这种带有欺骗性质的。txt文件显示出来的并不是文本文件的图标,它显示的是未定义文件类型的标志,这是区分它与正常。txt文件的最好方法。识别的另一个办法是在〃按WEB页方式〃查看时在〃我的电脑〃左面会显示出其文件名全称,此时可以看到它不是真正的txt文件。问题是很多初学者经验不够,老手也可能因为没留意而打开它,在这里再次提醒您,注意您收到的邮件中附件的文件名,不仅要看显示出来的扩展名,还要注意其实际显示的图标是什么。对于附件中别人发来的看起来是。txt的文件,可以将它下载后用鼠标右键选择〃用记事本打开〃,这样看会很安全。
好了,现在您知道。txt文件也不能轻易打开了吧?
第二节 电脑病毒的编年史
谁打开了潘多拉的魔盒
显然,在巴贝奇的差分机上不存在任何病毒,早期基于电子管的电子计算机,比如说埃利亚特,也不可能有电脑病毒存在。但是Univac 1108,一个很古老的公司,一种很古老的机器,以及IBM360/370机器上,已经有一些可以看成是病毒的程序存在,比如“流浪的野兽”(Pervading Animal) 和 “圣诞树”(Christmas tree),因此,可以认为最早的病毒出现在七十年代初甚至六十年代末,虽然那时候没有任何人称这些程序为病毒。
一般意义上的病毒(可以运行在IBM PC机及其兼容机上)一般认为是在1986年左右出现的。从那以后的十五年时间里,出现了大概6万余种病毒,病毒的数量不断增大,和病毒制作的技术也逐步提高,从某种意义上,病毒是所有软件中最先利用操作系统底层功能,以及最先采用了复杂的加密和反跟踪技术的软件之一,病毒技术发展的历史,就是软件技术发展的历史。
下面我们将尽可能详细的描述病毒发展历史上的重要事件,以及这些事件的背景。
萌芽时期,磁芯大战
五十年代末六十年代初,在著名的美国电话电报公司(AT&T)下设的贝尔实验室里,三个年轻的程序员:道格拉斯、维索斯基和罗伯特?莫里斯,在工作之余编制了一个叫“磁芯大战” (core war)的游戏。“磁芯大战”基本的玩法就是想办法通过复制自身来摆脱对方的控制并取得最终的胜利,这可谓病毒的第一个雏形。虽然由于这种自我复制是在一个特定的受控环境下进行的,所以不能认为是真正意义上的病毒,但是这些软件的基本行为和后来的电脑病毒已经非常类似了。
六十年代晚期到七十年代早期:
这个时候是大型电脑的时代,就是那种占据了几个房间的大家伙。在大型电脑时代,由于开发人员的错误或者是出于恶作剧的目的,一些程序员制作了被称为“兔子”的程序,他们在系统中分裂出替身,占用系统资源,影响正常的工作,但是这些“兔子”很少在系统之间相互拷贝。
这个时期,在一种型号的大型电脑—Univax 1108系统上,首次出现了和现代病毒本质上是一样的东西,一个叫做“流浪的野兽”(Pervading Animal)的程序可以将自己附着到其它程序的最后!
七十年代上半叶:
“爬行者”病毒,出现在一种叫做泰尼克斯(Tenex)的操作系统上,这个病毒可以通过网络进行传播(又一个伟大的进步,当然不是现在意义上的因特网,那个时代的网络就是一对一的,通过调制解调器—就是你上网用的“猫”,将一台电脑和另外一台相连接)。一种叫做“清除者”(Reeper)的程序也被开发出来专门对付“爬行者”,这可能就是病毒和反病毒的第一次战争。
八十年代早期
电脑已经在国外变得非常普遍了,出现了最早的独立程序员,他们在为公司工作的同时,出于兴趣的原因,写了很多游戏或者其他的小程序,这些程序可以通过电子公告板(BBS)自由的流传,窃取帐号和密码成了所有爱好者所梦寐以求的事情,也是体现他们在这个社区独特价值的最好机会,所以在这一时期诞生了无数的特洛伊木马(Trojan horses),他们尽力将自己伪装得和真正的登录程序和提示程序一模一样,这样就可以骗取不明真相用户的密码了。
BBS电子公告板:BBS(Bulletin Board Service)是Internet上的一种电于信息服务系统。它提供一块公共电子白板,每个用户都可以在上面书写,可发布信息或提出看法。大部分BBS由教育机构,研究机构或商业机构管理。象日常生活中的黑板报一样,电子公告牌按不同的主题、分主题分成很多个布告栏,布告栏设立的依据是大多数BBS使用者的要求和喜好,使用者可以阅读他人关于某个主题的最新看法(几秒钟前别人刚发布过的观点),也可以将自己的想法毫无保留地贴到公告栏中。同样地,别人对你的观点的回应也是很快的(有时候几秒钟后就可以看到别人对你的观点的看法)。如果需要私下的交流,也可以将想说的话直接发到某个人的电子信箱中。如果想与正在使用的某个人聊天,可以启动聊天程序加人闲谈者的行列,虽然谈话的双方素不相识,却可以亲近地交谈。在BBS里,人们之间的交流打破了空间、时间的限制。在与别人进行交往时,无须考虑自身的年龄、学历、知识、社会地位、财富、外貌、健康状况,而这些条件往往是人们在其他交流形式中无可回避的。同样地,也无从知道交谈的对方的真实社会身份。这样,参与BBS的人可以处于一个平等的位置与其他人进行任何问题的探讨。这对于现有的所有其他交流方式来说是不可能的。
BBS连入方便,可以通过Internet登录,也可以通过电话网拨号登录。BBS站往往是由一些有志于此道的爱好看建立,对所有人都免费开放。而且,由于BBS的参与人众多,因此各方面的话题都不乏热心者。可以说,在BBS上可以找到任何你感兴趣的话题。在Internet没有广泛流行的时期,BBS基本上就是电脑网络的全部,人们利用BBS交流信息,发布程序,当然也包括传播病毒和木马程序。
1981年
在苹果机上,诞生了最早的引导区病毒——“埃尔科克隆者”(Elk Cloner)这个病毒将自己附着在磁盘的引导扇区上。这个病毒有很强的表现欲望,再发作的时候,她会尽力引起你的注意,关掉显示器、让显示的文本闪烁或者显示一大堆乱七八糟的信息。
1986
最早运行在IBM PC兼容机上的病毒“大脑”(Brain)开始流行。这是一种感染360K软盘的病毒(不是我们现在使用的软盘,是很古老的5。25英寸的大盘,而且容量只有360K,现在在一些老型号的机器上还可以见到),由于所有的人对于电脑病毒都没有任何心理准备,所以这种病毒在制造出来之后,立刻在世界范围内迅速传播。巴基斯坦的两兄弟:巴斯特(Basit)和埃姆佳德(Amjad Farooq Alvi)制造了这个病毒,他们在病毒中留下一条信息,其中有他们的名字、地址甚至还有电话号码(我想现在不会有人这么干了,因为警察会在第二天就造访你留下的地址!)。
根据作者的说法,他们是软件开发商,制作这个病毒的目的是为了检验一下盗版问题在巴基斯坦的严重程度,也就是说,如果你使用了他们开发未经授权的软件,其中可能就包括了这个病毒,考察这个病毒的流行程度就知道盗版问题的严重程度了。遗憾的是病毒的蔓延远远超过了制造者的预计,这一病毒成为世界性的问题,也宣告了一个拥有病毒和反病毒软件的电脑时代的到来。 “大脑”病毒还首次使用了巧妙的手段来伪装自己,如果你想要查看被病毒感染的地方,她会提供一个完好无损的东西给你。
同样在1986年,一个名叫莱夫?伯格(Ralph Burger)的程序员发现可以写出这样的程序:将自己复制之后然后加在一个DOS可执行程序的后面,在1986年12月,他首次发布了使用这一原理的病毒“VirDem”——“病毒魔鬼”?这可以认为是DOS文件型病毒的起源。
在中国,这一年公安部成立了计算机病毒研究小组,并派出专业技术人员到中科院计算所和美国、欧洲进修、学习计算机安全技术。
1987
这是电脑病毒技术飞速发展的一年,特别是DOS环境下的文件型病毒,在这一年得到了长足的进步。
“维也纳”(Vienna)病毒出现,这个病毒不是莱夫?伯格编写的,但是他得到这个病毒之后,对它进行了分析,并在他出的书《计算机病毒:高技术的瘟疫》中公布了分析的结果。这本书使得病毒制造的技术变得大众化了,书中详细的阐述了如何制造病毒,以及一些病毒构造的思路,在书出版以后,成百上千的病毒被这本书的读者们制造出来。
在这一年中,更多的IBM PC兼容机上的病毒出现了,这里面比较著名的有:“里海”(Lehigh),仅仅感染MAND;“西瑞夫一号”(Suriv…1),又叫做〃四月一号〃感染所有的文件,“西瑞夫二号”( Suriv…2):感染EXE文件,值得一提的是,这是首个感染EXE文件的病毒,还有“西瑞夫三号”(Suriv…3),首次既感染文件又感染EXE文件。还有一些引导型病毒,比如出现在美国的“耶鲁”(Yale)病毒,新西兰的“石头”(Stoned)病毒和意大利的“乒乓”(PingPong)病毒。
另外,首次能够自我加密解密的病毒“小瀑布”(Cascade)也在这一年出现了。
这一年中,同样有一些非IBM PC兼容机上的病毒出现,比如在苹果机和土星机上的病毒。
1987年12月份,第一个网络病毒“圣诞树”(Christmas Tree)开始流行,这是一个使用REXX语言编写的病毒,在VM/CMS操作系统下传播。12月9号,“圣诞树”首次在西柏林大学的内部网络出现,然后通过网关(连接网络和网络之间的一种装置)进入欧洲学术研究网络,随后采用同样的方式进入IBM公司的内部网络。四天以后,由于不受节制的自我复制,整个网络充满了这个病毒的拷贝,从而造成了系统瘫痪。“圣诞树”病毒在运行之后,在屏幕上显示一个圣诞树的图象,然后把自己拷贝到当前所有的网络用户的机器上。
REXX语言,一种脚本语言,类似于DOS环境下的批处理程序。在IBM的操作系统中得到广泛的使用,是IBM版本的Unix—AIX环境下一种重要的开发工具。
1988
1988年,13号星期五,一些国家的公司和大学遭到了“耶鲁撒冷”(Jerusalem)病毒的拜访。在这一天,病毒摧毁了电脑上所有想要执行的文件。从某种意义上,“耶路撒冷”病毒首次通过自己的破坏引起了人们对电脑病毒的关注。从欧洲到美洲以及中东都有“耶路撒冷”病毒的报告,该病毒因攻击了耶路撒冷大学而得名。
在1988年,“耶路撒冷”