计算机病毒的攻击与防御

计算机病毒的攻击与防御

“最初的信任已经消失了，伴随着它们的进驻，这里已经成为了一个沼泽一一有你想要的

宝藏，也有随时能够吞噬掉你的陷阱。”

觉得用这么一句话某部电影中智者的忠告来形容商业化后的互联网实在很恰当。随着商业

进驻互联网一一这个原本脱形于军事，发展自高校/公司的网络已经成为了一个势力很大的媒体

介质。在这个网络上，能搜索到论文资料，结交到朋友.学习到一些身边根本无法接触到的技

术一一但网络不是乌托邦，在表面的兴盛繁荣下，罪恶之影亦在游走。

新上网的朋友最为困惑的，莫过于对病毒和各种恶意攻击的恐惧和迷惑了一一“我什么都

没有做，为什么就中毒了？”是天缘常常听到内部网络的疑问。Ok,接下来，就跟随我一起，

进入入门级的安全之旅，希望通过此篇文章，能让您对一些概念，机制有所把握。

第一站一一病毒防御入门之旅

潘多拉的魔盒被打开，从此世间便多了疾病、瘟疫、灾难一一自从1962年，贝尔实验室三

位杰出程序员一一罗泊.莫里斯、维克多.维索茨基、道格.迈克劳埃以“编制一些程序，让这些

程序根据某种规则自己在内存中生存、搏斗”而理念而造就的“磁芯大战”程序开始，计算机

世界的潘多拉魔盒就此打开。当时三位积极探索计算机技术的优秀程序员大概不会想到，病毒

之门被打开，直至今日阴影仍挥之不去。可悲的是，以技术之钥打开的病毒之门，在半个世纪

里越来越堕落，沦为一些人实施经济犯罪或标榜自我的工具，在计算机世界四处游荡着病毒幽

灵。

病毒一一这个源自医学界的名词，被用在计算机中.是指编制或者在计算机程序中插入的

破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代

码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常

难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个

用户时，它们就随同文件一起釐延开来。

木马一一来自“特伊诺木马”，指深入到内部进行攻击与破坏的行为。现在的木马程序一般

是指，利用系统漏洞或用户操作不当进入用户的计算机系统，通过修改启动项目或捆绑进程方

式自动运行，运行时有意不让用户察觉，将用户计算机中的敏感信息都暴露在网络中或接受远

程控制的恶意程序。

蠕虫一一蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序，其原始特征之一是通过网络协

议漏洞进行网络传播。

脚本病毒一一利用脚本来进行破坏的病毒，其特征为本身是一个ascii码或加密佗ascii码

文本文件，由特定的脚本解释器执行。主要利用脚本解释器的疏忽和用户登陆身份的不当对系

统设置进行恶意配置或恶意调用系统特点命令造成危害。

但目前，由于病毒，木马，蠕虫，脚本病毒这四类程序在不断杂交中衍生，已经形成了“你

中有我，我中有你”的多态特性。为了行文方便，以下统称为“病毒”，但其实四类程序的感染

机制和编写方式是完全不同的，请读者们在阅读的时候详加辨析工

现阶段的病毒，主要分为以下几种：

1.感染可执行文件的病毒

病毒描述：这类病毒就是上面所介绍的4种破坏性程序中的传统病毒。这类病毒的编写者

的技术水平可说相当高超，此类病毒大多用汇编/c编写，利用被感染程序中的空隙，将自身拆

分为数段藏身其中，在可执行文件运行的同时进驻到内存中并进行感染工作，dos下大多为此类

病毒居多，在windows下由于win95时期病毒编写者对pe32的格式没吃透，那段时间比较少，

之后在win98阶段这类病毒才扩散开来，其中大家广为熟悉的CIH病毒就是一例：在windows

发展的中后期，互联网络开始兴盛，此类病毒开始结合网络漏洞进行传播，其中的杰出代表为

funlove传播----由于windows操作系统的局网共享协议存在默认共享漏洞，以及大部分用户在

设置共享的时候贪图方便不设置复杂密码甚至根本就没有密码，共享权限也开启的是“完全访

问”。导致funlove病毒通过简单尝试密码利用网络疯狂传播。

病毒浅析：由于此类病毒的编写对作者要求很高，对运行环境的要求也相当严格，在编写

不完善的时候，会导致系统异常（例如CIH的早期版本会导致winzip出错和无法关闭计算机等

问题；funlove在nt4上会导致mssqiserver的前台工具无法调出界面等问题）。这类病毒赖以生

存的制约是系统的运行时间和隐蔽性。运行时间一一系统运行的时间越长，对其感染其他文件

越有利，因此此类病毒中一般不含有恶意关机等代码，染毒后短期内（一般24小时内）也不会

导致系统崩溃（如果你是25口感染cih除外），和其他病毒相比用户有足够的处理时间。破坏

引导区的大脑病毒、择日发作的星期五病毒、直接读写主板芯片，采用驱动技术的CIH病毒都

是其中的代表。

感染途径：此类病毒本身依靠用户执行而进行被动色行，常见感染途径为：盗板光盘、软

盘、安全性不佳的共享网络；

病毒自查：此类病毒大多通过的是进驻内存后篇历目录树的方式，搜索每个目录下的可执

行文件进行感染，因此对内存占用得比较厉害一一如果突然在某个时间后发现自己的机器内存

占用很高，可能就是感染了此类病毒。

病毒查杀：这类病毒由于编写难度较大，因此升级（病毒也玩升级？对，例如CIH是在1.4

版本后才完善的）速度相对较慢，但由于开机后进驻的程序可能已经被病毒感染，因此杀毒条

件是各种病毒中最为严格的，且这2种方式比较干件彻底的方法也适用用后面介绍的各种病毒；

1.软盘（光盘）启机使用杀毒软（光）盘进行杀毒；在进行这•步的时候，必须要保证软

盘或光盘的病毒库内已经有杀除该病毒的特征码。

2.将硬盘拆下，作为其他机器的从盘：从其他机器的主盘启动进行杀毒（该机需打开病毒

即时监控，以防止来自从盘的可执行文件中的病毒进驻到内存中）；以常见的国产几种杀毒软

件为例，在购买的正式版本中，除了供安装使用的光盘外，一般还包含几张软盘（一张引导盘，

一张杀毒程序盘，一张病毒库盘）。在对待上面提到的这类病毒时，最好的做法就是用引导盘启

动计算机，然后根据提示将杀毒程序盘和病毒盘依次插入，进行病毒查杀。注意2点：1.目前

比较新版本的杀毒程序盘都能完善地支持ntfs分区的读写，如果您是在几年以前购买的杀毒盘，

可以根据厂家的服务方式进行升级；2.由于采用软盘杀毒的时候，使用的是软盘上的病毒库，

为了能正确地查杀病毒，请定期升级软盘的病毒库，否则真到用的时候就哭也哭不出来了。

杀毒遗留：由于这类病毒是寄生到其他程序内部，即使非常优秀的杀毒软件，能做到的也

只是把该染毒程序内的病毒某关键执行部分删除，使得染毒程序在运行时病毒无法运行。因此

并不是严格意义上的完全清除一一病毒程序的某部分依然残留在程序内部，俗称“病毒僵尸”。

在杀除这类病毒的时候，最主要的是分析捕捉特征代码，因为抓特征码的过程中不仅要准

确地破坏病毒的执行部分，而且不可以触动正常的程序代码。否则会常常出现杀毒之后该程序

无法使用的情形一一那还叫什么杀毒？还不如直接删除文件比较好嘛！在查杀这类病毒上，根

据天缘的使用经验，norton和国内的金山毒霸做的比较好一些。（此评价只根据我个人使用经验

如实说出，不带任何广告性质，请各位选择杀毒产品的时候不要以我的介绍为依据，本人不承

担任何责任，下同。）

病毒防范：安装包含即时监控的杀毒软件并启机执行，每天升级病毒库获取最新病毒特征

代码；尽量不使用来源不可靠的软盘和光盘，使用前先扫描；关于网络防毒部分后面一并介绍。

2.后台运行进行恶意控制和破坏的病毒

病毒描述：帐号被偷，密码被盗，机器被人远程控制着放歌/开关机/屏幕倒转过来，硬盘不

住地转动将关键资料向外发出，就是这类病毒的杰作了。这类病毒和上•类病毒最本质的区别

是一一这类病毒本身是独立的程序，而不是寄生于另一个程序中。这类病毒的编写主要在于对

操作系统本身接口的熟悉，网络传输的熟悉，以及对隐蔽性的要求，此类病毒的编写可使用多

种语言，对病毒写作者本身的实力也是一种考验。这个病毒中，最出名的莫过于BO了，可以

说，它指引了这种病毒在windows平台的发展理念。这类病毒就是统称的“木马”病毒,通过

系统漏洞/用户操作疏忽进入系统并驻留，通过改写启动设置来达到每次启机运行或关联到某程

序的目的。在windows系统中，表现为修改注册表启动项、关联Explorer、关联notepad等方式。

病毒浅析•：此类病毒编写者的功力就有高有低了。高手所编写的远程控制系统可以和最优

秀的远程管理工具相媲美，例如开山鼻主B0,国产的冰河，著名的黄金木马sub7都属于这一

类，这类程序分为2个部分，控制端和被控制端：而在unix类平台下的木马经常是一个简单外

部命令的重新实现一一例如将原本的1s命令替换掉，用自己写的一个程序代替，在执行正常文

件列表的同时隐含执行特殊命令，这类木马的编写水平也相当高，但在windows下极少出现类

似程序替代的木马，这类病毒的联系一般是单向进行的：还有一类木马就是网络盗窃性质的，

以im软件，网络游戏盗号居多，近来发展为对金融业有所染指，这类一般就是通过程序监视当

前窗口，并获得当前窗口特定控件的值（用户名/密码框里的值），然后通过email,远程登陆

web数据库等方式把获得的密码发出去，这类程序具有一定编程基础的各位朋友都能做到；第

4类是惟恐天下不乱的纯捣乱程序，原理跟上一种类似.不过是朝文本框写信息，例如著名的

qq尾巴病毒，这类病毒由于病毒作者将源代码放出，改写起来相当容易，智商85以上的人士

都能胜任的。这类木马病毒中的杰出代表为B0、冰河、Sub7等。

感染途径：系统漏洞;用户错误权限/社会工程学；

利用系统漏洞造成溢出获取一定权限利用其他漏洞或用户设置不当提升权限

——上传恶意程序/修改系统设置一一启动恶意程序。是这类病毒感染的惯用方式。在后期，出

现了以诱骗用户执行为主要感染方式的新木马，充分利月了社会工程学，例如在im类软件上给

你发送一个名为''我的照片.exe”这样的文件给你，引诱你打开执行。由于木马的用途主要是将

病毒编写者感兴趣的资料回发一一因此感染途径99%来源于网络，在完全无网络单机状态下的

木马等于是没用的死马。

病毒自查：由于木马发送者的企图都是通过控制你的机器操作来获得一定利益，因此都会

设置启动时加载该程序。控制类的木马需要占用相当一部分系统资源一一用户直接能感觉到的

就是启动速度变慢，系统运行速度变慢；而帐号盗取类的木马由于需要获得特定窗口的窗口句

柄，因此会在当前窗口切换的时候进行读取判断一一在机器配置不高的机器上，如果快速轮循

窗口，则感觉到窗口出现速度明显下降；恶作剧类的木马就不用提了，大家都知道不对劲。

木马病毒在编制不够完美的时候，会导致程序溢出一一例如运行ie的时候多次出现“非法

操作”、打开资源浏览器速度狂慢等现象，也可能是系统中了木马后的蛛丝马迹。在现象判断上，

确实没有切实的客观规则可循，主要是依据主观经验判断。总之一一如果您没有安装任何软件/

修改任何设置，原木昨天速度飞快的机器今天要么总是非法操作，要么速度延迟一一那么您被

感染了病毒或木马的可能性相当大了。当然，如果您的qq帐号，传奇密码被偷了一一更有100%

的可能性是潜伏着的木马干的。另外，相当多的木马程序由于带了hook钩子，常常导致调试类

程序出错，如果您使用softice调试某些程序时经常无故报错，那或许也是系统中挂接了异常的

hook程序----木马。

病毒查杀：木马病毒的繁衍也是相当快速的，特别是行为上难以判断一一合法远程控制软

件和木马在本质上基本上无区别，在执行行为上也相当类似。而木马的控制协议一般是走tcp/ip

协议，理论上是可以在65535个端口中随意选择（当然实际中会避开一些保留端口，防止系统

冲突一一木马最必要的生存条件就是其隐蔽性），因此也无法利用端口方式准确判断出病毒种

类；通过特征码方式，如果木马作者没有留下版本信息或说明文字，则也相当难以判断；特别

是木马的源代码公开后，想在其中加入•段独特的功能代码不是什么难事，因而衍生的版本特

别快也特别多，这更加大了杀毒软件查杀的的难度。

事实上现在世面上的杀毒软件对待木马的查杀能力并不够强大，如果有可能，可以选择专

用的木马查杀软件，如木马克星等。当然，木马也有手工解决的办法，而且对待层出不穷的木

马也只有手工查杀才能以不变应万变一一感染/修改设置/启动加载/运行获取密码是木马必经

过的4个步骤，让我们看看怎么找出藏在机器中的马来一一由于木马需要启动加载执行，因此

大多采取修改启动项目来加载的方式进行一一那么，我们就到启动项目里去牵马吧；

3.蠕虫病毒

繁殖，繁殖，再繁殖，利用系统漏洞，通过网络感染感染其他计算机，繁殖，繁殖，再繁殖。

此类病毒深得“乾坤生两仪，两仪生四象，四象生八卦”之能，每台受感染的机器，本身又以病

毒发送者的身份将蠕虫病毒送向四面八方。

病毒描述：这类病毒的木质特征之一就是透过网络主:动进行感染，本身不具有太多破坏特性，

以消耗系统带宽、内存、CPU为主。这类病毒最大的破坏之处不是对终端用户造成的麻烦，而

是对网络的中间设备无谓耗用。例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕

虫病毒爆发的最大受害者——“互联网瘫痪了！？”——2003年1月的SQL蠕虫爆发就是最好的

例证。

病毒浅析：在以前，编写这类病毒的技术要求相当高。1988年，前面提到的“磁芯大战”之子罗

伯特・莫里斯在发现了几个系统漏洞后，编写了一个精巧的程序，短短时间便将当时的大半个互

联网瘫痪。由以上可以看出，蠕虫的出现，传播，感染是需要系统漏洞和获得系统权限的。莫

里斯不愧为技术高手，不光在于对病毒的编写，更在于对系统漏洞的发掘上。随着时间的推移,

操作系统的进步，在功能完善的同时，漏洞也随之增加。

不少真正的安全小组在发现漏洞的同时，除了会给出详细的技术说明外，往往附带一个小程序

的源代码，说明利用漏洞获得权限的实现。而这个小程序被蠕虫病毒编写者如获至宝，将起改

写，加上文件传输，ping扫描，修改启动项自动执行等能用代码简单实现的功能，就成了一个

蠕虫病毒——换句话说，现在编写蠕虫病毒的门槛已经大大降低了，所以大家会看到18岁的优

秀病毒编写者云云——其实相较起破坏特性来，发现安全漏洞更是需要高超的技术水平——这

是安全小组做到的，而不是病毒编写者。因此可以这样概括：自从莫里斯发明出蠕虫病毒以来,

该种病毒的编写者自身实力日渐下降，从操作系统级水平沦落到代码编写级水平，不可同日而

语。

感染途径：系统漏涧/用户错误权限

蠕虫病毒本事是一个需要以一定身份执行的程序。因此通过系统漏洞进行感染是其手段，提升

权限是其企图，重复感染是其目的。没打上系统漏洞补丁的操作系统，权限设置松散的设置.，

极其简单的用户密码是这类病毒的最爱。

病毒自查：由于通过网络感染，这类病毒都会大最占用网络带宽。由于现在普通pc的性能相当

不错，因此一些新兴的蠕虫病毒在大肆占用网卡发送封包的同时，木机速度不会变的太缓慢，

这跟自查带来了一定麻烦。以天缘工作为例，检查到内网中有用户染毒后，电话通知他，结果

被反问：“我运行单机程序的时候这么快，只有上网的时候才觉得慢，是不是你们网络中心故意

捣乱？？"网管难做啊，不对单机造成任何伤害的病毒用户一般难以察觉，因此还是后来会导致

系统出错1分钟内自动关闭的这类病毒比较受我们网管欢迎呢。上网的朋友可以检查一下网络

连接的封包发送，如果自己没进行任何操作的时候，依然有大量的数据报文不断发出——那么

有很大可能您中了蠕虫病毒。

病毒查杀：这类蠕虫病毒由于感染非常迅速，而且是通过系统漏洞方式感染，所以对互联网络

的危害相当大，唇亡齿寒，因此•般来说发现了该漏洞的操作系统公司和杀毒公司都不会坐视

不管，会在第一时间推出补丁和专杀工具。用户下载后，断网进行杀毒，然后打上paich,重新

启动系统就能避免再次重且感染了。至于病毒传播速度太快，在杀毒后下载patch的中途又被

重复感染的问题，可见我以前的一篇文章《网管笔记之小兵逞英雄》，举一反三则可以。

杀毒遗留：由于该类病毒本身是独立程序，利用系统漏洞进行远程权限获取，进而上传，运行,

感染，所以用专用的软件杀除后，基本无文件残留，但部分专杀工具没有将其启动项目清理得

非常完全，可以使用上面行找木马启动设置的方法手工查找加载位置进行删除。另外切记一定

在杀毒后第一时间及时打上补丁，否则重复感染机会高达100%o

病毒防御：

1.勤打补丁，一一般说来一个操作系统被发现漏洞以后，大概在15天以内相关的病毒就会出现，

因此有必要随时关注自己所使用的操作系统的补丁升级，.青况，养成每天定时查看补丁升级情形

的习惯。这里的补丁不光包括操作系统自身的，也包含程序服务的补丁，例如ftp服务器的补丁

等等。

2.权限设置，很多蠕虫感染的条件是需要以rooi级运行的进程出现漏洞，那么蠕虫才有权限进

行上载、执行的权利，在windows卜由于大多数后台进程是以administrator权限执行，带来的

危害也相当大；*nix下则可设置非关键进程使用普通用户或chroot方式来避免权限提升。

3.尽量少开服务，可开可不开的服务绝对不开，最小化风险；

4.安装网络封包防火墙，只允许特定的端口的数据包通过或者特定的程序访问网络。这部分我

们放在后面攻击防御那里介绍。

4.脚本病毒

这类病毒编写最为简单，但造成的危害非常大。我们常见的浏览了xx站点就被改了主:页，在收

藏夹里被添加上很多无谓的东西，就是拜这类病毒所赐。

病毒描述：这类病毒的本质是利用脚本解释微的检查漏洞和用户权限设置不当进行感染传播；

病毒本身是ascii码或者加密的ascii码，通过特定的脚本解释器执行产生规定行为，因其行为

对计算机用户造成伤害，因此被定性为恶意程序。最常见的行为就是修改用户主页，搜索页，

修改用户收藏夹，在每个文件夹下放置自动执行文件拖嘤系统速度等；比较出名的如美利莎邮

件病毒、新欢乐时光病毒、office的宏病毒等都属于这类。

病毒浅析：为了完成一些自动化的任务，需要用程序方式来实现。但复杂的程序编写又不是非

程序人员能够胜任的。为了提高工作效率，方便用户操作，加强系统特性，于是许多软件/操作

系统都预留了接口给用户，用简单的方法编写一些完成一定功能的小程序。程序本身是ascii码

的，不编译，直接解释执行，在调试/修改使用上相当简便，虽然牺牲•定效率，但是换来了易

用性。这本是一个良好的愿望，但太多的时候，这没有起到积极的作用，反而为脚本病毒编写

者提供了良机。

以web病毒为例，由于用户缺乏安全意识用错误的权限登陆，导致ie中的解释器使用wsh可以

操作硬盘上的文件和注册表，而javascript和vbscript调用wsh是很容易的事情——于是恶意脚

本的作者只需要让你访问该页面，就能在你本地写上一些恶意的脚本，在注册表里修改你的主

页/搜索项了。而利用ie的aclivex检查漏洞，则可以在不提示地情况下从网络上下载文件并自

动执行一这就成了木马攻击的前奏曲：利用mime头漏洞，则可以用一个以jpg结尾的url中，

指向一个事实上的web页，然后在web页中内嵌图片+恶意代码的方式迷惑计算机用户；利用

outlook自动读去eml的特性和mime头检查不严格来执行恶意2进制代码；利用本地硬盘上有

执行autoruminf的特性（这功能本来是光驱用的，我们的光盘之所以放进去就能自动读出程序，

就是光盘上有个名为autorun.inf文件起的作用，它是个文本文件，各位可以看看）把一些需要

加载的程序写到该文件下导致每次访问该分区的时候就会自动运行；利用windows下会优先读

取folder.hu和desktop.ini的特性，将恶意代码写入其中，导致访问任何一个文件夹的时候都会

启动该病毒，再配合上锁定注册表的功能，杀除起来异常麻烦——不复杂，但是相当烦琐，■

不留意没杀干净一处，又导致死灰复燃，前功尽弃。

病毒自查：上面有提到，这类病毒•般以捣乱居多，所以特别容易发现。而其另•个作用是作

为木马进驻系统的先遣部队，利用浏览器漏洞等达到下载木马文件到本地硬盘，并修改启动项,

达到下次启机运行的目的。因此一旦发现木马的同时，也可以检查一下是不是有些可疑的脚本

文件。

病毒查杀：这类病毒一般来说由于其编写灵活，源代码公开，所以衍生版本格外地多；杀毒软

件/木马杀除软件对待这类病毒大多没用。而由于脚本病毒（除宏病毒外）大多是独立文件，只

要将这些文件查找出来删除掉就行了。不过这里值得留意的是，利用微软的浏览器的漏洞，在

点击选择某些文件的同时就自动执行了，甚至打开浏览器的同时脚本病毒就开始驻留感染——

这样是无法杀除干净的。

正确的做法是使用其他第三方的资源浏览器，例如TotalCommand就是一个非常不错的选择。

查杀大致过程如下：首先，在资源浏览器一工具一文件夹选项中，将“使用Windows传统

风格的桌面”取消抻，在桌面上点右键，点“属性''——"桌面设置”，将使用活动桌面取消，接着

查杀可疑对象；常见查杀对象：各个根分区卜的autorun.inf,各个目录下的desktop.ini和foldcr.htt

（有几个是系统自带的，不过删除了也无关系的），这一步最好采用第三方的资源浏览器，例如

前面介绍的TotalCommand来完成。在这一步，最忌讳查杀不净，即使有一个病毒遗漏，很快

就又遍布各个文件夹内了，关于邮件病毒的杀除使用专杀工具就行了。

病毒残留：纯粹脚本病毒在杀除后不会有任何残留，但由于目前的病毒大都采用复合形态，捆

绑多种传染方式和多种特性，因此不少脚本病毒只是将用户机器的安全防线撕开的前奏一真

正的破坏主力木马、蠕虫尾随其后进入系统，因此在杀除掉脚本病毒后，非常有必要连带着检

查系统中是否已经有了木马和蠕虫病毒。

病毒防御：脚本病毒的特性之一就是被动触发——因此防御脚本病毒最好的方法是不访问带毒

的文件/web网页，在网络时代，脚本病毒更以欺骗的方式引诱人运行居多。由于ie本身存在多

个漏洞，特别是执行activex的功能存在相当大的弊端，最近爆出的重大漏洞都和它有关，包括

mozilla的windows版本也未能幸免。因此个人推荐使用myie2软件代替ie作为默认浏览器，因

为myie2中有个方便的功能是启用/禁用web页面的activex控件，在默认的时候，可以将页面

中的activex控件全部禁川，待访问在线电影类等情况下根据自己的需要再启用。关于邮件病毒，

大多以eml作为文件后缀的，如果您单机有用outlook取信的习惯，最好准备一个能检测邮件病

毒的杀毒软件并及时升级，如果非必要，将word等。ffice软件中的宏选项设置为禁用。脚本病

毒是目前网络上最为常见的一类病毒，它编写容易，源代码公开，修改起来相当容易加方便，

而且往往给用户造成的巨大危害。

以上4类程序的介绍，为了降低学习难度，我是单态方式来介绍的。事实上目前的病毒大多以

具有上面4类程序中的2到3类的特征，因此无论感染，传播，杀除的困难都大大增加。例如

发文前夕的mydoom新变种病毒的分析中：它利用系统漏洞/邮件群发/共享漏洞方式传播（具备

了蠕虫、脚本病毒和新型病毒的传播特性），进驻用户系统后上载自身并运行（木马特性），获

取用户本地。utlook中的地址本（木马特性），通过调用google等搜索引擎获取用户email地址

本中同后缀的相关选项（调用系统程序，木马功能），再主动给地址本中的每个程序发出email

（木马特性）。对待这样一个病毒，无论是系统存在漏洞、共享安全设置不当、或者随意地打开

了“朋友”发来的email,都可能导致中毒。关于中毒途径的分析，留待下一站《攻击防御之旅》

内一并介绍。

在从第一个病毒出现到现在，已经有整整半个世纪了，病毒的发展日新月异，令查杀的困难大

大增加，造成的损失也异常巨大。或许，计算机病毒这个幽灵，从计算机诞生的那一刻起就注

定要如影相随的。只要还有用心险恶的人存在，那么病毒就不会消亡。病毒之战，恐怕会在今

后的日子里越演越烈……

第二站、攻击防御之旅

除了病毒，互联网络上还有一股暗潮——人为攻击。

早期的攻击者大多是技艺高超之辈，他们对服务器的系统、程序相当熟悉，常常通过寻找他人

系统中的漏洞来提高自身技术水平，并以此为乐。不过池们的默认准则之一是不攻击普通终端

用户、进驻服务器后不改变服务器重要设置。那是一群令人尊敬的人，他们在技/艺的边缘地带

行走，以自己独特的方式磨练着自己；独特立行，或许你曾因为各种原因在im软件上，在web

论坛中，在ire聊天室里与他们匆匆邂逅又匆匆离别，却茫然不知道他们的真正身份；都是真正

意义上的技术好手，对操作系统，网络协议，编程语言都有相当造诣，他们中相当一部分人的

正当职业就是高级程序员、系统分析师、网络管理员——这类人，我们尊敬地称他们为“黑客”,

俗称“黑帽工

到了商业时代，随着金钱利益的驱动，行行色色的各类人进入了互联网。其中有一群被金钱利

益驱动着的人，他们也有着不错的技术，却被金钱物欲所俘获，将自己的技术和灵魂出卖给金

钱—只要为了经济利益，可以不择手段地进行破坏。他们对没利益的终端个人用户也没有什

么兴趣，相比之卜.服务器更令他们青睐。把攻击得逞的服务器做成肉鸡以备后用是他们的习惯

之一。这类人，我们称他们为“骇客”，俗称“灰帽”。

就如有影就有光一样，网络上也有跟“骇客‘相反的一类人，他们以研究系统漏洞、帮助企业实

施安全方案为职，我们称他们为“安全顾问他们具有足以和“骇客”匹敌的能力，网络上的商

业服务器攻防之战大多是在他们与“骇客''之间展开，，俗称“白帽

最后一类，可说是堕落的平庸者。使用着前几类人所开发者的工具，对网络上的机器一不管

是终端用户还是服务器进行扫描；看到有漏洞的系统就又使用他人的教程、工具尝试进入，并

在进入之后大肆进行破坏；在无法进入的时候，甚至就直接用DDOS攻击了事。他们破坏的理

由大多足为了逞一时之愉快或为了炫耀自己而已，这类人没有什么技术可言，行为也无道德可

言。他们不具备扎实地技术功底，大多是使用前三类高手所开发的工具，这样的一类人，一般

被称为“脚本小子值得附带一提的是，国内不少所谓“安全站点”上驰骋风云、威风八面的“高

手”也不过就属于这类档次的混混而已——不知天高地厚的自吹自擂也是这类家伙常见的特性

之一呢。

对个人用户而言，由于不具备较大的经济利益，因此前三类人一般不会染指用户的计算机。让

用户深受其害的，常常是脚本小子的所为。

攻击的六大步骤

首先，让我们看看这类家伙是怎么样•步步发起攻击的.•次典型的正面攻击大概分这么几步

来进行，值得一提目前的网络病毒传染方式从实质上来讲也是一种自动攻击，因此下面的步骤

对待病毒也是同样适用；

I.利用扫描工具批量ping一个段的地址，判断存活主机；

为了加快感染的速度，常常是ping不通的主机就放弃后续的操作，相当多的病毒均是属于先ping

目标主机，再进行感染操作的；

2.扫描所开放端口；

针对常见的默认端口来猜测服务器的性质，如80是web服务器：21是ftp,22是ssh,25是

smep等等；

3.根据获得的情报，判断主机的操作系统和决定攻击方式；

如果操作系统开了80的，就看看web服务器的信息；如果开了21,就看看ftp服务器的信息一

从这些蛛丝马迹中获得资料，如从iis的版本号、ftp服务的欢迎信息来判断所用的程序，以及

操作系统可能使用的版本；

4.尝试攻击——在这一步，分为漏洞攻击、溢出攻击、密码破解攻击；

对待网络共享，一般采用利用弱密码漏洞方式进入；对待公共服务，如web、ftp则通过查找该

版本的软件漏洞（这个在google上搜索到很容易，甚至有示范代码的）进行溢出攻击；枚举用

户帐号，通过挂载密码字典，进行弱密码穷尽猜测攻击等等；

5.进入系统，想办法提升权限；

如果是通过服务漏洞进入，则不少情况下默认就是最高权限了（windows的服务大多默认以

administrator权限运行），如果通过其他方式获得帐号密码的，那么还要想办法提升权限，常见

的做法有利用重定向方式写系统设置文件、运行有权限执行的高权限程序并造成溢出获得；

6.获得最高权限后进行破坏行为实施；

常见的就是安装木马、设置后门、修改配置、删除文件、复制重要文件等；

应对攻击行为

让我们分析一下以上6步，看看该怎么应对攻击行为。

利用扫描工具批量ping一个段的地址，判断存活主机；

由于无谓的攻击一个不能确定是否开机的率上来说比较低下，在要求快速攻击/感染的情况下，

常常会对目标地址进行ping检测——如著名的冲击波病毒等：换句话说，如果能让我们的主机

不回应icmp包，则对方无法确定我们的存活;很可能就此放弃攻击。目前不少免费/商业的个

人网络防火墙都带了这一功能；

判断主机的操作系统和扫描所开放端口；

个人用户所开主机的服务类端口不多，但由于windows自身的设置问题，例如win98共享漏洞、

win2k默认开着telnet服务等原因，让攻击者有多个攻击选择。在这一步，同样可以用防火墙把

必要的端口禁止抻一我常用的做法是把135、137、138、139、445端口禁止掉，这能避免很

多麻烦，windows的网络共享安全性实在不怎么好，个人推荐用户考虑放弃网络共享，采用ftp

等方式进行必要的文件传输；

根据获得的情报，决定攻击方式；

在这一步，攻击者将上一步扫描的资料进行汇总，然后确定攻击方式——因此上一步中，我们

如果能将对外的端口开得尽量少，那么攻击者能利用的资源也就越少，出现漏洞攻击的可能行

就越小；

尝试攻击——在这一步，分为漏洞攻击、溢出攻击、密码破解攻击；

由于攻击个人用户的家伙大多是属于脚本小子一级的，只会用别人现成工具的居多，因此有了

上面的防御后，能让他们利用的漏洞也不是太多了。只要密切注意自己所用操作系统的动态，

随时给系统升级补丁，一般来说攻击者已经没折了。

进入系统，想办法提升权限；

进入到系统之后，对其他平台而言，攻击者获得的大多不是rool权限，还要进行权限提升的步

骤，利用重定向写配置文件、信任欺骗等手段来提升权限：而在windows下，个人用户大多直

接以administrator的身份登陆并进行日常使用（值得一提的是天缘看到不少win2k/nt服务器的

管理员在进行日常操作的时候也使用administrator帐号，甚至在服务器上浏览不可信任的web

页），且windows的后台服务大多直接以administrator身份运行，因此一旦被入侵，直接获得

administratoi•的几率相当高，客观上降低了攻击难度。漏洞多，补丁慢，服务权限设置设置不严

格——这就是攻击者更喜欢攻击windows系列操作系统的原因了。

获得最高权限后进行破坏行为实施；

到这一步，基本上用户已经无力阻挡了——最好的做法是立即拔掉网线再谋对策了。

对待上面这样典型的正面攻击行为，有一个好的个人用户防火墙是不错的选择，天网/金山的的

偶比较好用，目前我个人的桌面系统使用的是费尔防火墙，它操作上不如天网/金山方便，但可

定制性更好一些。普通用户可以下一个天网的防火墙来用，默认的规则已经可以对付上面提到

的大部分攻击行为了。

正因为随着个人防火墙的使用，脚本小子进行正面攻击不容易得逞，因此采用欺骗的手段进行

攻击成为了更为可取的方式。

常见欺骗手法

1.im软件中的一个网站地址——该网站地址其实是一个利用了activex漏洞或mime漏洞的页

面,当用户采用启用activex的浏览器或mime解析不严格的web浏览器访问该页面时，会导致

脚本病毒自动执行，修改用户的本机设置，并将远程木马木马下载到本地，在没有提示的情形

下运行起来，之后又挂接到im软件，在用户知情/不知情的情形下，将该网站地址发送到用户

im软件里的好友中，以次延续感染；对付activcx漏洞的方式是使用能准确控制是否启用页面

中activex的浏览器，如myie2；对付mime头的方法是及时打上系统补丁——“美女图片''病毒

就是典型的一个利用浏览器没检查jpg的mime的漏洞，而这个漏洞微软在很早前就发布了

patch,结果没想到还是很多人中招了。

2.主动在im软件中发送木马——这类方法比较拙劣，攻击者以“这是我的照片”，“新发现一个

好用的软件”等借口，将一个文件发过来一并要求你执行，由于可执行文件的后缀是

以.exe.bat.pif.scr.cmd为主，所以用户看到这几类后缀就要小心了。如果的确想看对方的照片

怎么办？让对方把图片转成jpg文件发过来，记住是放到你本地来，而不是给你一个url,否则

上面提到的mime头检查漏洞正等着你呢！

3.利用邮件方式传播病毒。对利用outlook等客户端工具的朋友来说，自动在邮件里显示出html

是一项很贴心的设计——可惜是有漏洞的设计——这样在ie存在漏洞的时候，读取html格式的

邮件同样会中毒；预防方式要么是禁用html方式解析，要么是及时升级windows补丁，要么是

不采用outlook本地方式收信，而是先利用webmail方式以文本格式读信，然后将有必要的信保

留，没必要的删除，再行下载。

本来利用im叩远程管理信箱是个好主意一可以将名字/来源email看着不对劲的信直接删除

掉；但由于smtp协议本身的不完善和不少呻件病毒采用获取用户outlook地址本的特性，使得

信件来源常常来自•个可信任的朋友地址，令远程管理无从仅仅根据信件来源email地址和信

件标题判断是否为病毒。对待这类病毒，除了依仗邮件系统自身的杀毒功能外，用户在自己机

器上装一个带邮件监控功能的杀毒系统也是非常有益的。当然，最好的方法就是用纯文本方式

阅读信件一舍弃一点华再，换来更多安全是值得的，至少在有重要资料的机器上是如此。

4.程序捆绑欺骗。FI前有一种程序，专门将2个文件捆绑到一起，称为捆绑机。具体来说——

打个比方，我把a.exe文件和b.exe文件捆绑到一起的话，会生成一个c.exe文件----那么如果

我运行c.exe,则等于同时执行了a.exe和b.exe文件。如果正好a.exe或b.exe文件是一个木马

的话……常见的做法就是不少所谓的“安全站点”告诉好奇的学习者——这是xx强大的安全工

具、扫描工具。结果是捆绑着木马的，下栽下来一运行，自己先中招了。不少脚本小子自己的

机器上都被人种了木马还茫然不知，真是报应啊，哈哈哈。不过对普通用户来说，对待不信任

的人发给的这类文件还是不运行比较好；当然自己去一些不是太正规的站主动下载文件就更是

脑袋里进水了。

著名病毒的攻击原理

当然，攻击的方式从来不是被单独利用的，让我们分析一下几个著名病毒的攻击原理看看就知

道了；

冲击波病毒（蠕虫类病毒）：通过ping命令探测主机——检查是否为win2k/xp系统——利用rpc

漏洞获取权限——通过tftp上载必要文件—修改注册表，添加服务——感染其他机器；

这类病毒的预防手段：

禁止ping的iemp回应封包发出；

打patch将漏洞补上；

在管理工具——服务中,将“允许远程编辑注册表''功能禁用；

网络天空病毒（邮件类病毒）：广发病毒邮件——用户收到邮件后打开运行——利用漏洞/欺骗

执行邮件中的带毒程序——修改系统注册表设置——复制自身到系统目录——搜索本地htm,

eml等文件中的邮件地址——利用自带smtp将病毒以多种标题连带欺骗文字向各个地址发出

-某些病毒会ddos攻击某些站点；

这类病毒的预防手段:

不阅读来历不明和没理由收到的信件；

使用web方式在线阅读、管理信件；

打上最新的浏览器、outlook补丁；

禁止信件以hlml格式显示信件；

平时不用administrator身份登陆，而以普通用户登录，让病毒修改注册表和系统文件的权限受

到抑止；

使用带邮件即时监控的杀毒程序；

新欢乐时光病毒（脚本类病毒）：outlook传播一浏览染毒邮件时利用outlook漏洞运行vb代

码——各个目录下生成大量fokler.htt和desktop.ini文件，由于资源浏览器的脚木检查漏洞，浏

览该目录即感染一搜索网络内其他机器共享一对有可写权限的（新变种能自动枚举尝试

123,111,用户名123这样的简单密码）其他机器共享目录上载fokier.hu和desktip.ini文件——

其他机器使用资源浏览器浏览该文件夹时被感染

此类病毒的预防手段：

最好不使用网络邻居•，必要使用的时候请只开放读取权限；

打上outlook补丁和浏览器补丁；

禁止采用hlml格式查看信件；

采用带即时文件监控的杀毒程序：

采用第二方资源浏览渊浏览网络邻居资源，如totalcommand等等；

由此可见，目前的主流病毒/攻击，都是将上面介绍的病毒方式/攻击方式进行复核后，以多种方

式传播，力争在最短时间内感染数量尽量多的机器。行文到这里，基本上主要的攻击方式都介

绍完了，在下面，我例出一张表，各位可以大致地看看应对方法。

病毒/攻击防御——对应主动攻击：

v扫描存活主机designtimesp=26948>（防御方法：禁止icmp反馈，用防火墙实现）；

〈扫描端口、漏洞designt：mesp=26951>（防御方法：】,禁用不必要的服务；2.禁止一些不对外

的敏感端口；3打系统补丁）

<攻击designtimesp=26954>（防御方法：1.用户密码设置得复杂,些；有特定服务的•定留意

该服务的权限设置和打上针对该服务的最新补丁）

病毒/攻击防御2——对应欺骗攻击：

（发起欺骗designtimesp=26959>（防御方法：检杳对方可信任度，这里的对方，不光是指操作

计算机的人，而是指对方的机器是否可靠——如果对方是可信任的人，给你发了个url.你可以

询问是不是对方发给你，因为病毒是不会自动应答你的洵问的，由此你可以判断出是对方给你

发的，还是对方机器已经中毒后自动发的）

〈访问潜在欺骗源designtimesp=26962>（防御方法：每一个web页，每一，封信件不管是不

是来自朋友，也不管是不是门户站点，都有可能存在木马或脚本病毒，最好的办法就是禁用

activex,必要的时候才打开，及时升级浏览器/邮件工具补丁，防止浏览器漏洞被利用；）

病毒不断演化，随着编程技术的进步，目前的病毒具备越来越多的欺骗特征——可以说目前病

毒传播的2条主要途径就是漏洞和欺骗；对待漏洞没说的，第一时间打上补丁是最好的解决办

法，对待欺骗则就要依靠用户主观的判断了。虽然很难易化标准，但天缘还是尽力把防止病毒/

攻击的办法大致例举一下，下面的有些条件比较苟苛，但还是希望能尽力做到——