|
|
《病毒防范与查杀技巧 》
作者:临渊
最近计算机病毒有些泛滥。前些日子公司服务器被“冲击波”攻击,电脑系统重做,弄得公司整个网络差不多有一个星期的时间一瘸一拐的。这几天,QQ尾巴病毒好象又在兴风作浪,许多同仁都不小心中了招。
电脑病毒似乎是很可怕的,以至于有些同志电脑出现任何问题——包括速度慢一点,死了一下机,软件出了一点点运行错误,打不开某一个网页——都往往立刻会联系到病毒上去。这里需要纠正一个常识性错误,即电脑病毒不是“SARS”,远远还达不到造成社会极度恐慌的程度,它基本不会象某个电影里描述的那样会造成你触电身亡,从而引发灾难性事故。至于电脑运行速度慢,以笔者的亲身体会来看,至少99%以上的原因与电脑病毒无关,为什么?下文我们再进行讨论。
首先,我们将花一点点时间来认识一下什么是电脑病毒。自1987年第一个电脑病毒“C-BRAIN”诞生以来,在不到20年的时间里电脑病毒花样不断翻新,威力也越来越大,从原来的影响系统正常运行到后来的破坏硬件,全球众多的计算机用户一直在倍受折磨。虽说我们有反病毒软件,但终究是道高一尺,魔高一丈,反病毒软件总是被动地随着病毒的发展而发展。这里需要说明一下的是反病毒软件和抗生素的区别。我们都知道抗生素——比如青霉素——能杀死大量引发人感冒发烧及其他疾病的病菌,它运用的是化学物质对微生物的杀灭机理,因此可以杀死很多已知和未知病毒(也能够杀死人,主要看剂量的多寡);而反病毒软件不同,它只对已知的电脑病毒产生作用,为什么呢?这个原因我们接下来继续讨论。
一般来说,电脑病毒就是程序,都可以在我们的计算机上正常运行。只不过这个“程序”与我们普通所认识的程序不一样,它是具有破坏性的“坏”程序。(电脑病毒程序与普通程序相比有许多特性,诸如它的“寄生性”、“传染性”、“隐蔽性”等等,这些以前彭老师上课给大家讲过的东西这里不再赘述。)那么对于这个“坏”程序,很多同志可能从认识电脑的时候开始就知道有反病毒软件的存在,并且知道反病毒软件是用来杀这个“坏”程序的。有了反病毒软件,我们似乎就可以高枕无忧了。其实不然。让我们先来看一看反病毒软件的工作原理。
前面我们说过,电脑病毒就是程序,反病毒软件也是程序,要让一个程序“杀”掉另一个程序在理论和实际操作中都很容易做到。我们甚至可以编一个简单的批处理文件来自动删除某个或某一批指定的文件,包括进行硬盘格式化等等。这不仅是反病毒软件的杀灭原理,也是电脑病毒最初的基本原理,即一个程序吃掉另一个程序。可以打一个比方,假设我们认定我们电脑里所有后缀为doc的文件都是病毒,那么我们就可以编写一个简单的批处理文件来杀灭它:
@echo off
deltree/y c:\*.doc
deltree/y d:\*.doc
deltree/y …:\*.doc
cls
以上的信息是说,这个小程序执行后,它将依次删除从C盘到N盘的所有后缀为“doc”的文件。如果我们将这个文件命名为autoexec.bat的话,那么在下次电脑启动之后,你硬盘里所有的WORD文档都将不复存在。这就是最简单的反病毒软件杀灭原理。它的前提是我们必须认定“*.doc”就是病毒,而“doc”就是这种病毒的特征。当然,我们都知道“*.doc”不是病毒而是我们的word文档。这里就涉及到一个有趣的问题,我们还回到刚才那个比方,还回到刚才那个批处理文件,如果你将这个命名为autoexec.bat文件在别人不知道的情况下拷贝到他的C盘根目录下,那么同样,在他开机后,他的所有的WORD文档都将不复存在。那么这个时候,这个批处理文件实际上就变成了一个“坏”程序——一个最原始的病毒文件。
知道这个原理之后,我们对病毒与反病毒软件应该有一点点直观的认识了吧?对,我们至少知道了反病毒软件必须要“认识”病毒文件的特征才能够正确查杀。那么,把所有的病毒文件的特征都告诉反病毒软件,那不就再也不用怕病毒了吗?理论上说的确如此。但这里面牵涉到一个关键问题,即病毒它永远不会告诉你它是病毒,而且病毒是不断出现的(这是病毒的两个特性),只有在一个病毒文件造成大面积破坏之后,它才有可能逐渐被人们所认识和截获,并将它的特征写入反病毒软件,之后才能正确查杀(换句话说就是,如果你刚好碰到的是一个新型病毒,那么除了自认倒霉之外目前还没有其他更好的办法)。因此反病毒软件并不是万能的,即使升级到了最新的版本,你仍有可能中招。
那对于所有已知病毒,是不是就可以百分百保证不会受到它的攻击和破坏呢?实际上这一点也无可能做到。首先病毒感染文件的方式有很多,比如某些病毒会修改程序的某一部分,将自身的代码嵌入其中,这样就不会改变被感染文件的长度,以达到其隐蔽性的目的。被这样的病毒覆盖掉的源代码基本无法复原,因此这种病毒就无法把它安全的剥离出来杀除,一般出现这种情况我们就只能忍痛割爱选择删除,好的坏的一块杀。其次,由于各种病毒标本的来源不同,再加上反病毒软件公司在截获病毒标本后出于商业秘密的考虑,总存在一种软件能查杀的病毒,别的软件却不能查杀。另外,每一家制作反病毒软件的公司的侧重点都不一样,因此目前没有任何一个杀毒软件能杀灭所有的已知病毒,所以我们一般不建议选用单一的杀毒软件(在下一部分里我们还将进行更深入的讨论)。注意,这和彭老师“三大纪律八项注意”里的论述有一些区别,请大家自行甄别。
啰啰嗦嗦地说了一大通,主要是想直观地告诉大家病毒感染与查杀的一些基本原理。下面,我们将进入本文的正题——如何防范和查杀病毒。
知道了病毒感染的一些基本原理之后,我们是不是在挂上病毒防火墙之后再也不会象原来那么心安理得了?是不是觉得一个不知名的病毒正在侵入你的计算机,蚕食你的文件,而你却无能为力(如果因此破坏了您的好心情我感到万分的抱歉)?其实有一点担心很正常,为此忧虑却大可不必。因为即便是你机器里的文件被完全删除甚至被格式化了,也还有办法进行底层恢复,本篇不对这个问题进行讨论。
我们要讨论的是,如何防范自己的机器不被已知或未知的病毒攻击,以及在遭到攻击后如何处理的实际问题。
现在几乎所有的计算机用户都会在自己的机器上挂上一个小小的病毒防火墙,这是一个好办法,它的确能在很大程度上抵御绝大多数已知病毒的入侵。但就象拦截导弹一样,防火墙并不是每次都能拦截成功,因此,我们还需要做好更深一步的防护工作,以防不测。
首先,我们要做到的是,对所有重要的文件资料打包备份。一般来说电脑比较重要的资料主要是word、excel文档或者数据库文件,做设计的无非是些photoshop图片文件以及影视文件等,对于这些文件,我们可以定期将它们集中起来利用ghost、winzip、winrar等软件压缩备份,压缩后的文件一般不会被写入。当然,你如果有足够的磁盘空间,也可以利用windows自带的备份程序对整个系统包括分区进行备份。在备份前千万不要忘记对所要备份的文件用多种杀毒软件扫描一次(请不要使用快速扫描选项),以免将病毒备份进去。
如果你嫌上述操作比较麻烦的话,我们还可以用一个比较“懒”的备份办法。你可以在任意一个驱动器上建一个专用的备份文件夹(不要和你的源文件在一个区),把这个文件夹的权限设置为你专用(前提是你的磁盘必须是NTFS文件格式),然后把上述需要备份的文件同样复制一份到这个文件夹里,右键单击第一个文件,查看它的属性,把它的属性改为“只读”,这样一般来说,这些文件不会被改写。你可以依次更改所有需要备份文件的属性,下次如果需要用的话,只需要把只读属性改回来就行了。很方便是吧?要是你这样做也嫌麻烦(看来你比我还懒),我还可以教你一手更懒的,你可以一次性选择所有同类型的文件,单击右键,把它们所有的属性都改为“只读”。
是不是就万事大吉了?你想都不要想。纵使你严格进行了上述操作,也并代表你的文件不会被感染,已知就有很多病毒可以感染压缩文件内的文件,而改文件“只读”属性更是不堪一击。说这两个方法的目的其实只有一个,即要养成良好的备份习惯,因为文件“死”于病毒的情况并不是很大,就好比我前面提到的,运行速度慢,死机,软件运行错误等绝大多数情况下不是病毒的原因。就本人所知道和亲身感受的情况来看,大多数文件损坏都来自于误操作、硬盘损坏、软件错误等等诸如此类的原因。而电脑病毒的影响可以说是极小,即便是比较厉害的CIH病毒,通常也只是修改你硬盘的分区表,使你误以为硬盘上的文件全部被删除(分区表被修改后,分区信息丢失,硬盘信息被屏蔽,盘符及文件自然也无法找到)。大多数情况下,电脑病毒都是在你毫无知觉的情况下默默工作,直到被你用反病毒软件杀灭。那你能告诉我之前它究竟干了些什么呢?相信绝大多数人都说不清楚,也丝毫没有感觉到系统有些什么不正常(不是所有的病毒都是穷凶极恶的)。因此,对病毒的正确认识和防范有助于提高你的电脑运用和操作水平,减少你因误操作、死机而造成文件丢失的次数。信不信由你。
读到这里,是不是觉得有些悲哀了?终究还是不能有效的防范电脑病毒,就象我们每天都要面对“SARS”、“AIDS”以及这样或那样致命病菌的威胁,却没有有效的药物进行治疗和免疫。
尽管如此,在与病毒的抗争过程中,我们也决不能泄气,甚至象有些同志所讲的“网上病毒多就不上网了”、“今天是26号可能有CIH攻击,电脑停用一天”等等之类的丧气话,这就犯了我们老祖宗常讲的“因噎废食”的毛病了。
闲话少说,继续上一个话题。再给大家列举几个常见的病毒防范方法。
第一个方法,进行实时病毒检测。就是在日常操作时,不管是正版还是盗版软件,特别是网上下载的东西,你在安装之前最好先扫描一下,确定没有病毒之后再进行安装,因为有些病毒一旦被激活,纵使防火墙能侦测到,也不能保证顺利杀除。
第二个方法,避开网络陷阱。网络病毒也就是习惯上我们所称的第二代电脑病毒。如果我告诉你当你在浏览某一个网页也有可能中毒的时候,你不要惊讶得合不拢嘴。由于目前还没有出现在对方机器或线路上展示网页的技术,因此你打开网页的过程实际上就是一个网页下载和执行的过程,这些你浏览的网页都保存在windows的temp(临时文件夹)里。一般来说,通常我们用“html”语言来编写的静态页面藏毒的可能性很小,问题主要出在目前网页上普遍采用的“JAVA”技术和“ActiveX”技术上,它们增强了网页的交互性和动画功能,优势是静态网页所无法比拟的。由于实现网络交互或生成动画必须要使用“JAVA”和 “ActiveX”语言来编写可执行的程序,这些程序码往往和“html”代码参合在一起,当你浏览网页时, 就一并下载下来在系统里执行了。既然用“JAVA”和 “ActiveX”可写成一些可执行的程序,那么病毒也就有理由隐含其中了,这和第一代病毒的“寄生”原理基本相同。
一般来说,网络病毒的主要是通过两个手段来进行攻击,其一是通过让你下载一个“ActiveX”控件安装后完成病毒传染(前几天公司很多同事中招的QQ尾巴病毒用的就是这种手段),其二是直接修改你的注册表,控制你的“IE”,比如通常你上了一些黄色、不安全的、恶意的网站都会出现这样的结果。因此要防范网络病毒,就必须要避开这些网络陷阱。对于第一种攻击手段,我们需要注意的是在浏览一个不熟悉的网站时,如果对方要求你安装一个没有经过微软认证的插件或其他什么程序时,一定要三思,不要傻乎乎的看见什么就点“是”。对于第二种攻击手段,要注意提前防范,你需要将系统的注册表远程修改服务(Remote Registry Service,在管理工具里面找,注意将它的启动类别改为手动)设为禁用;如果忘了设置万一中招的话,你还可以使用系统DIY等软件或直接上某些网站进行修复,这些操作很简单,这里不详加论述。
第三个方法,用“ghost”构筑最安全的系统及文件备份。通常被病毒大范围破坏后,我们需要对系统盘进行格式化后重装系统,这不仅浪费很多时间,也常常会丢失很多你习惯使用的应用程序,比如办公软件、播放软件、看图软件等等,而把这些软件找齐装好,有时可能要浪费你一整天的时间都不止。那么就从这次系统重装开始,在安装完系统及常用软件之后,我们首先按程序用两种以上的杀毒软件对系统盘进行全面的扫描,在确定无病毒之后,建议您使用“ghost”软件对整个系统盘进行“克隆”(软件和使用方法都可以在网上找到,如果你还是不会不会使用,可以去问彭老师),然后把这个系统镜像文件备份到光盘上,这是目前我所能想到的最安全的办法了。今后万一被病毒攻击或因为自己误操作而造成系统崩溃,您只需要花上顶多不超过半小时的时间就可以完成系统完全恢复,而且和您原来使用的那个崩溃前的系统一模一样。是不是很方便?前面我们所讲的其他文件资料的备份也可以压缩后直接备份到光盘之上,光盘之上的文件是绝无可能被病毒感染的,至于什么原因不告诉你。
上面所讲的是防范病毒的一些基本知识,相信大家读完后肯定会想,防范我是这样防范了,但万一还是中招了怎么办呢?问得好,下面,我们就要来进行实战演习,看看怎样去杀灭“病毒”。
也许有些同志会说了,我自己有杀毒软件,杀病毒还需要你来教吗?嘿嘿,如果杀毒是件很简单的工作,那编写病毒程序的家伙们岂不是都成笨蛋了?还有个关键问题,即不可能每一个用户都拥有一套或多套正版杀毒软件,这对于我们的经济实力来说还很奢侈,因此很多的时候,我们只能够借助于一个盗版的病毒防火墙来完成诸病毒的查杀工作。
好了,废话少说,让我们正式开始。已知我们的手头是没有正版杀毒软盘的(因为买不起)。首先我们开机,看着自己的电脑检测硬件,完了之后调入引导程序准备启动,你看见IDE灯(硬盘读写指示灯)在闪动。突然,红灯不闪了,屏幕出现一行英文提示*¥¥%##*……%,什么?没有发现引导信息?别担心,首先把你软驱里的那块盘拿出来,然后按任意键,还是不行?恭喜,我们发现了第一个种类的病毒——引导区病毒。
在没有正版杀毒软盘的情况下,我们通常可以用三个办法来解决这个问题。其一是,格式化重装系统;其二是把这块盘作为从盘挂到其他的机器上去查杀;其三,在其他的机器上制作一个杀毒盘来杀这台机器。第一个最笨的办法显然是不用考虑的。第二个办法很简便但工作量也比较大,特别对我们硬件不是很熟悉的同志来说。那就让我们来试试第三个办法。
首先,我们要准备一到两张干净的软盘,不干净也不要紧,总之上面的文件可以删就行了。然后,找一台正在运行中的机器,看看他用的杀毒软件是什么?如果是金山毒霸或者北信源,那么就可以用这个两个软件之一制作一张杀毒盘。如果没有你就上网去下,总之一定要找到一个可以制作应急杀毒盘的软件。还有,你也许还需要制作一张启动盘以便引导机器启动。
再次打开你的电脑,先插入启动盘让它自己启动,启动后屏幕会显示一个A盘的盘符,抽出启动盘,换上杀毒盘,执行DIR命令,查看里面的文件,如果是金山毒霸,会有一个KAVDX.EXE文件;如果是北信源,会有一个VRV.EXE文件,执行这个EXE文件,按屏幕提示操作就可以完成杀毒了。
需要说明的是,引导区是硬盘上最为重要的区域,查杀病毒时由于种种原因可能会导致引导信息损坏或丢失而使您的机器无法正常启动。因此一般的杀毒软件都会提供一个文件名为***FIX.EXE的文件(FIX为修复的意思),这个文件在杀毒前后都能使用。如果万一杀完毒后还是不能启动,我们还可以手动修复引导信息。比如98系统,我们可以用启动盘执行SYS C:命令,手动将引导程序赋予WINDOWS;如果是2000以上的系统,您也许需要用安装光盘进行修复,这些操作不很复杂,在此不多做讨论。
刚才讲的是一个简单的引导区病毒的查杀。回到我们杀病毒之前的那个操作,软盘顺利引导启动后,放入杀毒盘,执行DIR命令,执行杀毒程序,按屏幕提示操作进行。但这个时候,你有可能会进行不下去,因为你会发现你的硬盘竟然空空如也。这就是我们将要遇到的另一个类型的病毒——混合型病毒。所谓混合就是既有引导型病毒破坏引导程序的功能,又有文件型病毒破坏系统文件的功能,比如混合型病毒里破坏能量最大的CIH,即以破坏硬盘分区表,屏蔽硬盘,甚至攻击BIOS而闻名。
记得在很多年前,只有KV300具有修复被CIH破坏的硬盘分区表的功能,那时候被CIH攻击了是件很幸福的事,因为你可以名正言顺地要求电脑公司给你杀毒,顺便装上一个升过级的防火墙。但现在大多数软件都具有了上述功能,比如你手上现在这个用盗版金山毒霸制作的杀毒软盘。
言归正传,当你发现你的杀毒操作无法进行时,你可以执行KAVFIX.EXE文件,会出现一个菜单,里面有多个选项,你会发现有两个带“FIX”的选项,对,这两个选项都是修复硬盘用的。选择第一项“Fast Fix HardDisk”:顾名思义就是快速修复硬盘,通常可以快速恢复被CIH破坏的硬盘;选择第二项“Normal Fix HardDisk”:意即为常规修复,速度慢但检索内容全面。其余选项可以备份和恢复信息,根据提示进行操作即可。硬盘修复后,即可对隐藏在磁盘文件里的CIH病毒进行查杀,过程也非常简单。
引导区病毒杀除后,我们的电脑又可以正常、欢快地启动了,看到久违的桌面展现在你眼前,是不是会有一种很幸福的感觉油然而生?并且这种幸福还是你亲手创造的,很有些成就感是吧?
不过你不要高兴得太早,这一切还只是刚刚开始。下面,我们提升一下这次实战演习的难度。彭老师不是常常说公司不准使用软盘吗?那好,这次我们连那两张软盘都扔掉。
还是CIH吗?不了,杀除没有激活的CIH病毒现在太小菜,任何一款杀毒软件都可以轻易地将它“KILLED”。我们需要增加一点点难度。比如你现在觉得你的机器运行非常缓慢,这显然与你运行的程序多少无关。因为你感到你的机器似乎每时每刻都在进行读写,你看到IDE指示灯在不停地闪烁也证明了你的猜测。很不幸,又有一种病毒在折磨着你的机器和你了。但现在,你已经不是那只什么都不懂的菜鸟了,你肯定会理所当然地弹出你的病毒防火墙(也许它自己早就弹出了),对系统实施全面杀毒。
果然,不断有病毒被揪出来杀灭,转瞬之间,被“KILLED”的病毒数就已经上升到了四位数。大约半小时左右,防火墙报告杀毒完毕,本次清除病毒数xxxx个,呵呵,一次歼灭了几个师,该弹冠相庆了吧?嘿嘿,其实你自己现在都感到有些困惑,因为你看到你的IDE指示灯还在不停地闪烁,显示仍有后台程序在对硬盘进行读写操作。怎么可能?再杀一遍看看,果然,又有病毒一行一行地被杀灭,半小时后,防火墙再次报告清除病毒xxxx个;再试一次,清除病毒xxxx个……..;再试,清除病毒xxxx个……..
是不是有些累了?那我们先休息一下,好好想一想。对,既然windows状态不能根除,那我们就用软盘杀吧。不行,为什么?彭老师说不允许用软盘(*—%¥#·)!怎么办?对了,我们不是还有一招吗,把这块盘作为从盘挂到其他的机器上去查杀。
说干就干。把硬盘拆下,在别人的机器上装好,进入系统,找到杀毒软件,开始杀毒。大约半小时,防火墙报告:杀毒完毕,本次清除病毒数xxxx个。但是你很快发现,这台机器的IDE指示灯也开始在不停地闪烁了,不会吧?它也不幸中招了?嘿嘿,就是这样,这种病毒的名字叫“FUNLOVE4077”,它还有个变体叫4099,如果翻译一下的话,可以叫做“有趣的爱”,其实我觉得叫它强烈的爱或者火热的爱更为直接。因为这种病毒进入你的机器后,几乎是每隔10秒左右自动启动一次,自动感染、改写文件,这也就是为什么病毒防火墙对它没有办法的原因,因为没有一种杀毒软件能在10秒钟之内完成一次对整个系统的查杀。还有个问题,即便是能找到一种软件可以在10秒内进行完全查杀的,你也无法清除windows正在使用中的染毒文件。
这下没招了吧,又想起了杀毒软盘是不是?呵呵,不要那么没出息,咱说过不用就是不用。其实还有一招,那就是专杀工具。由于专杀工具可以首先抑制“FUNLOVE”的核心传染文件,因此在查杀的过程中你的机器再也不会被一遍又一遍的感染。专杀工具在Windows下进行操作,在查杀正被Windows系统占用的文件时,会提示你重新启动计算机以DOS状态进行杀除。在这类专杀工具中,韩国的“V3”软件出现最早也最有效,它基本上可以做到完全Windows模式下操作,至于它是如何将被病毒从Windows系统占用的文件上剥离的,我到目前也还没弄清楚,知道的朋友可以告诉我。
也许有的同事会说了,你这完全是打屁脱裤子——多此一举,我有杀毒盘,为什么还要去下载专杀工具?这边有人说了,你别怪他,是彭老师说不准咱们用软盘的啊,那边又说了,他说不用就不用啊,我为什么要听他的?呵呵,有性格!其实,这并不是多此一举,首先,是想告诉大家尽可能多的病毒查杀方法,其次,用专杀工具在很大程度上不仅非常有效,而且是唯一的,比如对付“FUNLOVE”病毒,在刚刚出“V3”的时候。??
关于查杀正被Windows系统占用的文件,还有一个土办法,是在特定的年代特定的环境下产生的,对于现在来说可能没多大作用了,但对朋友们杀毒或者操作也可能会有一些启发作用(说不定你也会遇到),在这里笔者也和盘托出。
假定我们现在手上是一台单机,这台机器没有上网,并且我们手头没有杀毒盘,甚至软盘也没有。当然,和前面的条件一样,我们至少有一个盗版的病毒防火墙。已知这台机器感染上了病毒,就CIH 吧,于是我们启动防火墙进行全面扫毒。半小时后,杀毒完毕,显示查杀报告,你会发现有几个文件病毒无法清除。有经验的朋友不用看报告也知道,这几个文件不外乎是“internat.exe”、“explorer.exe”、“system”、“sysexplr.exe”等支持WINDOWS平台运行必须要调用的程序。由于在WINDOWS使用状态下,这些程序一直被使用,无法被改写,所以杀毒软件也无法有效地对其进行病毒清除。由于没有软盘,没有其他的机器,也没有上网,因此前面教大家的四个方法在此全部失灵。在这种情况下,我们就要采取一种非常规的方法。
首先,我们要将这些无法清除的染毒文件复制到另一个随便什么地方。然后,启动防火墙对这几个文件进行查杀,你会发现病毒很顺利地就被清除了。随后,我们要把这几个干净的文件再复制回来。简单的替换肯定是无法成功的。这个时候,如果你是98系统,你可以直接重启进入MSDOS模式,在DOS模式下手动将这几个文件COPY回来;如果你是2000以上的系统,你也许需要一张启动光盘或者软盘进入DOS,但前提是你的磁盘文件系统必须是FAT或者FAT32格式;如果你是NTFS文件格式,那么此题无解。
上面我们所进行的实战演习中所涉及到的病毒分别是引导区病毒、复合型病毒、文件型病毒。在病毒的分类里,还有一类叫做“宏病毒”的也非常讨厌。宏是OFFICE系列软件的一个特殊功能,目的是让用户文档中的一些任务自动化。打一个比方,比如你现在正看到的这个WORD文档,它的默认页边距上下是2.54厘米,左右是3.17厘米,那么这个尺寸在你新建任何一个新文档时都是不会改变的。这是因为,你创建任何一个新文档时,首先有一个“宏”命令会被调用自动执行,它会自动定义这个新建页面的尺寸等等属性。当然,你可以任意去改变这个尺寸来选择你所喜欢的尺寸打印,但这个“宏”不会改变,下次创建新文档时,依旧是原来的尺寸。如果你要改变这个“宏”,可以在改变尺寸后选择默认设置,那么这个“宏”就已经被你修改了(实际上是命令行所定义的参数被修改了)。如果你需要做深度修改,还可以在WORD工具栏里选择“宏”,选择你需要修改的“宏”名进行VB编程。
那么现在大家都知道了“宏”其实就是一堆命令的集合,取其汉字寓意里多和广的意思。而实际上,宏是一段BASIC程序(VB编程的意思就是VISUAL BASIC,意即可视化的BASIC编程),前面我们说过,只要是程序,病毒就有理由寄住其中,“宏”这个程序当然也不能幸免。一般以“宏”作为寄主的病毒我们就称之为“宏病毒”。宏病毒主要危害到基于OFFICE的WORD和EXCEL文档的安全以及编写、保存、打印等常规操作,此外,基于BASIC语言编写的程序还可以调用WINDOWS系统命令,从而造成更大范围和更严重的破坏。
目前市面上有很多软件都宣称可以杀除XXX种宏病毒,而且金山、瑞星等软件还可以对正在打开的文档进行实时扫描(即所谓的嵌入式防火墙),但由于宏病毒隐蔽性很强,且由于BASIC语言是最早出现的高级语言之一,而VB的出现使人用BASIC语言编写的一段程序变得更加简单和轻松(夸张地说大致就相当于上文里提到的那个简单批处理文件)。因此,宏病毒的新生频率较之比较复杂的病毒程序来说显得更快、更高,也更加难以防范。
应该说金山毒霸是一款比较好的防范宏病毒的软件,与以往其他杀毒软件所不同的,金山毒霸能对非正常的宏进行有效扫描,并以“可疑宏”进行标记,以便让用户正常区分这个可疑宏是用户自己编制录入的,还是一个未进入病毒特征库的新型病毒。
尽管如此,病毒防火墙和实时扫描还是不能百分之百的保证你的机器免受宏病毒的干扰。象前一段时间,笔者自己的机器就出现过问题。具体表现为,WORD文档不能正常保存,提示错误是磁盘已满(这是不可能的),保存到别的区,提示同样错误。进行如下操作:
1.换名保存,无效;
2.进行打印操作,无法打印,未提示任何错误;
3.使用CTRL+C将文字内容复制到TXT文档,保存后关闭;
4.不保存关闭WORD文档,使用金山毒霸对OFFICE文件夹进行全面扫描:
发现 [Macro.Excel.Generic] 病毒在 C:\Program Files\Microsoft Office\Office\2052\XL8GALRY.XLS 文件中(跳过)!
发现 [Macro.Excel.Generic] 病毒在 C:\Program Files\Microsoft Office\Office\Samples\SAMPLES.XLS 文件中(跳过)!
发现 [Macro.Word.Generic] 病毒在 C:\Program Files\Microsoft Office\Templates\2052\专业型传真.dot 文件中(跳过)!
发现 [Macro.Word.Generic] 病毒在 C:\Program Files\Microsoft Office\Templates\2052\专业型信函.dot 文件中(跳过)!
发现 [Macro.Word.Generic] 病毒在 C:\Program Files\Microsoft Office\Templates\2052\传真向导.wiz 文件中(跳过)!
发现 [Macro.Word.Generic] 病毒在 C:\Program Files\Microsoft Office\Templates\2052\信函向导.wiz 文件中(跳过)!
……………………..
………………………..
处理完毕时间:2003-11-21 18:08:18
用户“bgs-ljp”在 2003-11-21 18:08:33 时退出程序!
有两种病毒,一个是针对WORD的宏病毒,一个是针对EXCEL的宏病毒。由于病毒无法清除,又涉及到WORD模版文件,不能删除,所以我先选择跳过处理。
5.使用其他杀毒软件依次扫描,未发现病毒;
6.再次使用金山毒霸扫描,对感染文件选择隔离;
7.新建WORD文档,将原来保存在写字板里的文字复制过来,保存正常,执行打印程序,依旧无法正常打印;
8.删除打印机,重新添加打印驱动,打印测试通过。
这是在病毒无法清除的情况下,对被感染文件作出的隔离处理。感染文件被隔离后不会继续传染但也不能使用,你只能选择是重新安装OFFICE还是等待杀毒软件找出安全杀除病毒的办法,实际上这两个选择都是很痛苦的,好在上述模板我们平常办公的时候运用得较少,否则就真只能把OFFICE再重装一遍了。
说到这里,还想到一个问题。不知道大家在使用内部QQ的时候有没有遇到过这样的问题。当你启动内部QQ时,突然发现你的金山毒霸防火墙在报警(注意:如果你用的是其他防火墙将不会报警),报告显示有一个叫“win32.troj 357892”的病毒在PlugIn文件夹里,分别感染了ChineseChess和iphone两个EXE文件,这两个文件一个是内部QQ自带的网络象棋程序,一个是语音聊天程序。防火墙提示,可以删除,但你选择删除后,实际上却不能删除,下次启动(或不等下次)时又继续报警,如果你选择隔离,隔离无效,下次启动依旧报警。如果你选择删除,这也未尝不可,大不了不玩网络象棋或语音聊天就是。但既然有病毒总得杀一杀,于是我用了瑞星、KV3000、北信源、诺顿,但这些软件检测完毕后均没有任何反应。我想这可能是新型病毒,就上网查查有没有什么专杀工具,一查居然发现有条消息说这是金山毒霸误报警引起的,金山网站也说只要升级病毒库后此问题就会解决。于是我又升级,忙活了半天升完级一启动QQ,居然还是报警,当场晕倒。
醒来后一咬牙,禁掉了金山毒霸。如果大家也有类似问题,可以点击“开始”——“运行”,在对话框里输入“REGEDIT”,这样就会弹出一个注册表编辑器,进入第三项HKEY_LOCAL_MACHINE
双击SOFTWARE
双击Microsoft
双击Windows
双击CurrentVersion
点击Run
看看右边的字符串,找到KAVRUN这个键值,点击右健删除它,这样下次开机后,金山毒霸就不会自己启动了,你需要的时候,可以自己运行它。如果你的自启动程序实在太多而你又不喜欢的话,也可以看清楚了一并删除它们。但需要着重强调的是,注册表是非常非常重要的系统文件,是懂非懂的情况下千万不要乱动它,否则你的系统崩溃了可不要找我(建议找彭老师)。
这是一个误报警的问题,还有一个不报警的问题。比如有一天,我无意中在李海霞的机器里发现了一个病毒,用肉眼发现的,厉害吧?其实说出来一钱不值,不过就是个脚本病毒,中文名称叫“红色结束符”,这个病毒的特征非常明显,就是两个文件,一个是名称为FOLDER.HTT的病毒体文件,另一个是叫做DESKTOP.INI配置文件,这两个文件会感染到所有的文件夹,也就是所有的文件夹里都会有这样两个文件。这个病毒的破坏作用不是很大,就象我们前面杀掉的那个FUNLOVE病毒一样,只是减缓机器运行的速度而已(因为它要在内存中驻留),使用任何杀毒软件应该都可以迅速杀除。
但是,为什么病毒防火墙在实时监控的时候发现不了病毒,非要等到手动操作的时候才能发现呢?这个原因其实也简单,这是因为你的金山毒霸在实时监控的时候只会对EXE程序以及WORD文档进行来回扫描,因为这样至少可以控制99%以上的病毒而且占用系统资源较少,不会影响到机器的运行速度。
说到这里,这篇小文就应该要结束了。本篇我们主要讲述了病毒的一些基本原理和三大类病毒的特征以及查杀的多种手段,如果对各位小有帮助,我将感到非常高兴。另外,说到系统安全,还有一种攻击手段也不能不防,这就是我们常听说的“木马”,这里也顺便提一下。
大家可能在很小的时候就听说过“特洛伊木马”的故事,其实电脑里使用的木马运用的也是这个原理。所谓的“木马”其实就是一种远程控制程序,它会有一个Client(客户端)程序(由发木马的人控制),一个Server(服务器端)程序给你来运行,只要同时在线就能通过Client端程序来控制对方的计算机(你的机器是不是经常被彭老师控制?呵呵,就是那种感觉)。那么木马是怎样进入你的机器的呢?很简单,通常也就是首先把木马伪装成有用的程序,比如和应用软件合在一起,然后诱惑你下载或直接用邮件寄给你,当你运行后,木马就会在每次开机时自动运行,对方就通过木马在你电脑中打开的一个秘密端口用Client端连上你的电脑。
需要说明的是,木马不是病毒,因为木马程序不会自我复制并传染。那么,中了木马之后怎么办呢?木马发送一般是随机的(也有特定的,比如你网上的一些居心叵测的朋友),在控制者与“肉鸡”(通常用语)之间,双方并不认识,因此对方恶意破坏你的电脑的情况很少。而通常中了木马之后你是不会知道的,除非人家一定要和你开玩笑,或者给你发消息或者要控制你的鼠标、键盘、屏幕以及其他。
如果确定自己中了木马,也不要慌,拔掉网线就是了,从物理上给他断除。然后抽个空乘对方不在的时候去下载一个木马客星之类的随便什么软件杀一杀就可以了。如果你觉得这样不安全,还可以在别人的机器上下载,再到你自己的机器上安装查杀。
此外,网络上用于攻击的手段并不只有木马一种,通常人家并不需要依靠木马直接就可以进入你的机器。你不信?我敢打赌你的IPC连接没有关闭。如果你问我什么是IPC,呵呵,这已不在本文讨论的范围,下次有空再告诉你。 |
|
IP卡
狗仔卡
发表于 2003-12-12 20:11:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡