|
 | 作者: lazivip [lazivip]
 论坛用户 |
登录 |
作者:孤独浪子 (lazivip) 当多数人民发现一个计算机病毒潜伏在他们的硬盘上时,第一反应是劫掠一个反病毒程序例如Norton AntiVirus或McAfee的VirusScan,并且尽快杀害病毒。 二个共同的方式杀害计算机病毒将删除是象杀害 癌症通过射击患者)的被传染的文件(或试图清洗被传染的文件一个有一点更加危险的方法。 清洗一个被传染的文件意味反病毒程序尝试从文件去除计算机病毒节目代码,无需危害被传染的文件。 在许多情况下,计算机病毒那么坚定地附有自己文件去除计算机病毒不可弥补地损坏被传染的文件。 当 这发生时,您没有选择,但是删除被传染的文件。 但是而不是删除一个被传染的文件或让反病毒程序尝试清洗它,您也许是对尝试第三种方法感兴趣,如果 您喜欢危险地居住-学习计算机病毒并且解剖它。 跟踪这样非职业的病毒可以是有趣,但是危险的,很象设法由您在互联网发现的计划做炸弹。 在试图之 前隔绝和解剖病毒,做备份所有您的重要文件。 那个方式,如果病毒得到宽松并且消除您的硬盘,您永 远不会丢失一切。 (更好,寻找在您不关心对,例如属于您的上司或烦恶的工友的一台老计算机或计算机 的计算机上的实践病毒。 那个方式,如果病毒得到宽松并且彻底毁灭一切,至少您的计算机数据将是安 全的。) 查出病毒 除非您什么都不更好有做,但是寻找攻击您的计算机的病毒的所有可能的症状,您的第一个防御范围应该 是反病毒程序。 多数反病毒程序包括通知您的一个监控程序片刻病毒感染您的计算机。 您能买一个商业 反病毒程序(例如Norton AntiVirus),尝试共享软件版本(例如McAfee的VirusScan),或者使用一个自由 反病毒程序(例如F-Prot)。 通过链接要浏览到最普遍的反病毒程序,参观http://www.nha.com网站。 抗病毒新闻和热链接 一旦您有使用特别病毒诱饵文件,您信任的一个可靠的反病毒程序,设法夺取病毒。 因为计算机病毒能 通过传染一个硬盘的引导扇区只传播、COM或EXE文件,或者在您的计算机上的所有Microsoft Word文件, 您能种植“在您的硬盘上的假的” EXE文件。 病毒传染你的一个“假的” EXE文件的片刻,您可能安全 地开始解剖病毒。 那个方式,如果您完全地弄糟并且击毁被传染的EXE文件,您在过程中不会破坏任何可 贵的节目。 对于病毒引诱的节目的拷贝,下载从ftp://boardwatch.com的VC50.ZIP文件。 这个文件包含称Victor ? 的一个反病毒程序查理,包含“假的” COM和EXE文件。 不同于要求恒定更新捉住新的病毒的更加常规的 抗病毒扫描器,胜者查理是从未需要更新的一个普通反病毒程序。 反病毒程序的主要防御是它的扫描器。 多数抗病毒扫描器包含二部分: 实际扫描器和包含是独特的特征 辨认具体病毒的病毒“署名的文件”。 每次新的病毒于原野出现,抗病毒公司必须创造告诉扫描器如何 认可它的新的病毒“署名”。 由于新的病毒每个月出现,抗病毒扫描器永远将冒险想念致命的新的病毒 。 胜者查理虽则是不同的。 而不是搜索查找病毒,胜者查理让您种植它的在您的硬盘上的“假的” COM和 EXE文件。 病毒传染这些假的文件之一的片刻,胜者查理设陷井病毒的“署名”以后使用。 这样,胜者 查理经常更新自己。 胜者查理有二个大缺点。 病毒能在攻击其中一个之前攻击和毁坏重要文件胜者查理的“假的”文件。 直 到病毒传染“假的”文件,胜者查理不会能查出那病毒。 更坏,胜者查理能只引诱攻击COM或EXE文件、 引导扇区或者不是宏病毒的病毒。 因为最共同的病毒是引导扇区和宏病毒,不要依靠胜者单独查理保持 您的硬盘无病毒。 解剖病毒 一旦您捉住了病毒,下一个步骤将解剖它使用一位六角形的编辑例如在Norton公共事业找到的 DISKEDIT.EXE节目,是可利用的在 [URL=http://ourworld.compuserve.com./homepages/breakpoint/hexhome.htm或EditPro 节目((可利用在http://www.winsite.com/info/pc/win3/util/editpro.zip)。 一位六角形的编辑让您审查一个懒散或硬盘的区段,因此您能看到计算机病毒的内部胆量。 通过使用一 位六角形的编辑,您能经常找到暗藏的消息被埋没在计算机病毒里面,无需实际引起病毒。 除让您以外观看文件的内容,一位六角形的编辑也让您修改那个文件。 在右手,一位六角形的编辑能修 补一个有毛病的节目,删掉从节目的某人的命名或注册号或者让您增加您自己的名字或消息到节目。 许 多软件海盗使用六角形的编辑崩裂防止复制的比赛或在普通的节目掩藏淫秽消息例如Microsoft Word或莲 花1-2-3。 如果您是足够熟练的与一位六角形的编辑,您能从一个被传染的文件分离计算机病毒,例如Victor ?查理 的诱饵捉住的一个归档。 一旦您隔绝了一个计算机病毒,您能去更加进一步的和使用反汇编程序转换从 工作程序的计算机病毒成未加工的装配语言的原始代码。 如果您设了陷井其中一增长的共同的微软视窗病毒,您能下载从Boardwatch文件传送规约地点的 W32DASM2.ZIP文件。 这个演示版本可能拆卸以便携式的可执行的格式的32位Windows节目(PE),因此您能 使用它审查除病毒以外的其他Windows节目。 不幸地,这个Windows反汇编程序不可能拆卸16位节目,并 且演示版本不会让您打印或保存任何汇编程序源程序码。 万一您横跨其中一个更加共同的基于DOS的计算机病毒跑,参观您能下载各种各样不同的拆卸节目的 http://rasi.lr.ttu.ee/teave/msdos/simtel/simtel_index_disasm.html站点。 反汇编程序运作在转换EXE旁边或COM归档入装配语言的原始代码,因此您能看到节目怎么实际上运作。 不幸地,反汇编程序从未是完善的,因此意味着反汇编程序创造的装配语言的原始代码也许要求轻微编辑 ,在您能装配它使用装配工例如Borland的涡轮装配工(病毒程序员喜爱的装配工)之前,微软的宏汇编程 序或者您能从http://lexitech.com/bobrich下载的共享软件装配A86.ZIP。 (在您想知道的案件,反汇编程序能只创造装配语言的原始代码。 他们不可能转换EXE或COM归档入COBOL 、C++或者帕斯卡原始代码。 使用任何编程语言,因为所有节目可能被写了百万个不同的方式,反汇编程 序没办法知道哪种编程语言某人也许使用了。) 在拆卸计算机病毒和修改汇编集合病毒的原始代码,尝试以后回到它的原来形状和奔跑它确定它仍然运作 。 (那个方式您能分辨是否恰当地工作的反汇编程序。) 通过设陷井,隔绝,拆卸,然后集合计算机病毒,您比您可能通过读书或使用抗病毒扫描器学会能学会更 多关于计算机病毒。 当病毒狩猎在消除您的硬盘的您的计算机上时总是冒宽松让病毒之险,它可以是一 个可笑的方式学习只将持续生长的问题,只要我们依靠个人计算机。 因为病毒狩猎是最计算机科学的毕业生在学院从未学会的技巧,您采摘隔绝真正的病毒的所有技能可能翻 译成一个高工资工作、新的事业工作为抗病毒公司的或者平原乐趣,分开剥去计算机病毒和目击在病毒作 家和抗病毒程序员之间的持续的争斗。 然而,使用与活病毒可能也翻译成一个被击毁的硬盘或缺掉文件,因此保持那些反病毒程序附近,万一病 毒通过您的陷井滑倒并且开始切细您的数据。 病毒狩猎不是为大家,但是与正确的工具,它可以是您能 开发能提高您的计算机知识的另一个技巧。 [此贴被 lazivip(lazivip) 在 09月18日20时11分 编辑过] |
| 地主 发表时间: 10-09-18 20:10 |
 | 回复: siyuan [xiaosi2007]  论坛用户 |
登录 |
|
哦~~~~~~~~~~~ |
| B1层 发表时间: 10-10-13 15:53 |
 | 回复: hszd [hszd] 论坛用户 |
登录 |
 |
| B2层 发表时间: 10-11-14 10:07 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 偷偷靠近计算机病毒