看透本质抓出弱点 深入了解电脑病毒

看透本质抓出弱点　深入了解电脑病毒

作者：lvvl　来源：赛迪网安全社区

电脑病毒是一些能够自我复制的程序段，它能附在应用程序或系统文件的可执行部分。在宿主程序执行的某些阶段，它能够获得执行控制权。按病毒传染机理可分为两大类：一类是系统引导型，它感染系统引导时的程序（系统引导扇区、操作系统的某些模 块、设备驱动程序等）；

另一类是文件型，它感染可执行的程序文件（即应用程序，含COM文件、EXE文件或覆盖文件等）。

透过各种病毒的分析，可以发现病毒有三个本质弱点：

（1）病毒的宿主目标必须是电脑系统的可执行程序，也就是说它们只能感染系统引导程序或应用程序。

（2）病毒的感染总是以某种方式改变被感染的程序段，如果附在现存程序上，它会改变程序的开头、结尾或程序中间的某些部分，如果它隐藏在磁盘的某些区，它会更改这些区的内容。

（3）如果病毒要存活、传播， 那么它的程序代码必须能够被执行，即病毒必须把自身或一部分定位于宿主程序的特殊位置，以便获得控制权。

实际上，现有PC病毒都是通过改变宿主程序的第一条执行的指令，达到先于宿主程序执行的目的。对于COM 文件，病毒替换它的第一条指令（因为COM 文件入口地址固定为CS:100H）；对于EXE文件，病毒改变入口指针（在文件头）；对于中断服务程序，也类似地改变它的中断向量。

因此，病毒破坏了被感染程序的数据真实性，准确地说是破坏了被感染程序第一条被执行指令的真实性。所以，对应用程序的校验只要针对第一条执行的指令和附近的数据，既可保证准确性，又减少检测时间。

亲身实践编制Word病毒理解恶意宏作用

作者：lvvl　来源：赛迪网安全社区

第一步：启动Word 2003（同样适合Word 2000/XP），单击“插入→对象”命令，在弹出的“对象”窗口中单击“对象类型”列表的“包”项，单击“确定”按钮。

第二步：在弹出的“对象包装程序”对话框窗口单击“编辑→命令行”菜单，在弹出的“命令行”对话框中输入“regedit”，然后单击“确定”按钮。

小提示

如果想更坏一点，试试Format、Deltree命令，不过一切后果自负呀！

第三步：然后在“对象包装程序”窗口中单击“插入图标”按钮，为该命令行选个比较通用的图标（如一个常见的文档图标），然后单击“文件→更新”，可以立刻在Word文件看到显示效果。关闭“对象包装程序”窗口，这时候文档的相关位置出现了一个和相关命令关联的图标。在图标旁边加点鼓动性的文字，尽量让浏览者看到后用鼠标“试试”。

第四步：至此，秘密小“病毒”就做成功了，想办法发送出去试试效果吧。当用户双击它时，将会自动打开“注册表编辑器”。

其实这个根本不算是个病毒，要算也只能算最低级的简单“小病毒”。真正的时候，我们可以利用Office中的宏指令（如FileOpen、FileSave、FilePrint等命令）相关联，还内嵌使系统瘫痪、使每一个Word文件感染的代码，并且可以自动保存为模板文件，只要打开染毒的Word文件，随后所有的Word文件都会被感染。

小提示

如果我们在上述的命令行中加上format或者deltree之类的恶意代码，那用户双击后其后果就可想而知了！

第五步：有矛比有盾，如何防范藏在暗里的病毒呢？很简单，禁止Word执行宏指令就可以了。打开Word，单击“工具→宏→安全性”菜单，在弹出的“安全性”窗口中将其安全性设为“高”，从此以后末经系统签署的宏指令将会被Word禁止执行，安全性也就上了一个台阶。

小提示

单击“开始→运行”，输入“winword.exe /m DisableAutoMacros”也可将禁止Word的自动宏。

第六步：如果你的电脑已经中了可恶的宏病毒怎么办呢？别着急，一步一步来。单击“工具→宏”菜单，进入宏“管理器”，单击“宏方案项”，在“宏有效范围”下拉列表框中打开要检查的模板文档。这时在上面的列表框中就会出现该文档模板中所含的宏，将不明来源的自动执行宏删除。

第七步：然后一定用最新病毒库的杀毒软件对系统进行查杀，将系统内的病毒彻底干掉！

小提示

由于宏病毒的变种千变万化，防范和清除病毒的方法也不断变化，因此大家在了解宏病毒的同时，也要关注除病毒的方法，做好防范工作，不然，DOC病毒还真会黑你没商量呢。