—
本帖被 阿尔塞斯 执行加亮操作(2007-12-22)
—
一个朋友写的 谢谢他(rootrun) 9OlJC[
lACS^(
知识就是力量。送给所有被木马困扰着的朋友。 kn`O3cW/
r $ YEq5
$`lGPi(Jc
完成于2007年6月6日晚 R[m+s=+
a\B?J
(S6>^:;=~
]IDhE{
不知道有谁说过这样一句话“无知者无畏”,我觉得真实情况恰恰相反,真正无畏的人是拥有了足够知识的人。“知识就是力量”。 V~Jt
5CH8;sMK
bZj5qjl`x
!QME!c>*$
病毒并不可怕,可怕的是众多媒体的夸大其词,众多杀毒软件厂商的有意误导。人心中最大的恐惧就是对未知的恐惧,恐怖片之所以恐怖,是因为你不知道下面将要发生什么;电脑病毒之所以让很多人害怕,也正是因为你不知道它是什么。我相信,如果大家掌握了足够的知识,就不会在再为媒体的宣传所左右,不会有那种被夸大的或者被误导的恐惧存在。 GNW.n(a
-afNiNiY
SWT)M1O2
L/5th}m
我买电脑快两年了,这期间遇到很多木马,而真正意义上的病毒却从来没遇到过,也许现在已经不流行病毒了。木马更能获得利益。 Zl.,pcL
KsqS{VVCh
;D%H}+Z
a,n#E!zT?w
还记得好几个月前,炒得沸沸扬扬的“熊猫烧香”,就在“熊猫烧香”流行的这段时间,有太多的木马都会像它那样,感染所有.exe文件,而这个技术是1987年由“西瑞夫二号”( Suriv-2)病毒首创的。其实要说感染量,威金应该比熊猫烧香的感染量更大,只是没熊猫烧香那么爱炫。我们都痛恨这种破坏的行为。而要实现这个行为并不是很难的事,当然,你必须得懂PE文件格式。而这种方式被称为“寄生”,现在利用的最多的应该算是“空洞利用”了。 4]xD-sc
lcfs
1].
uE..1N&*
NZ+TTMv
“空洞利用”:对于视窗环境下的可执行文件,由于视窗程序的结构非常复杂,一般里面都会有很多没有使用的部分,一般是空的段,或者每个段的最后部分。病毒寻找这些没有使用的部分,然后将病毒代码分散到其中,这样就实现了神不知鬼不觉的感染。 "od2i\
=t|,6Vp
7dR]$~+*e
'
wp _U/
寄生病毒精确的实现了病毒的定义,“寄生在宿主程序的之上,并且不破坏宿主程序的正常功能”,所以寄生病毒设计的初衷都希望能够完整的保存原来程序的所有内容,因此除了某些由于程序设计失误造成原来的程序不能恢复的病毒以外,寄生型病毒基本上都是可以安全清除的。 "wxyY^"
H5CL0#I
H#T&