一、计算机病毒的引导过程 (1)驻留内存病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。 (2)窃取系统控制权在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。 (3)恢复系统功能病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。 有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说,病毒引导程序占有了原系统引导程序的位置,并把原系统引导程序搬移到一个特定的地方。这样系统一启动,病毒引导模块就会自动地装入内存并获得执行权,然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置,并采取常驻内存技术以保证这两个模块不会被覆盖,接着对该两个模块设定某种激活方式,使之在适当的时候获得执行权。 处理完这些工作后,病毒引导模块将系统引导模块装入内存,使系统在带毒状态下运行。 对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件一执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。 破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量入口地址(一般为时钟中断INT 8H,或与时钟中断有关的其他中断,如INT 1CH),使该中断向量指向病毒程序的破坏模块。 这样,当系统或被加载的程序访问该中断向量时,病毒破坏模块被激活,在判断设定条件满足的情况下,对系统或磁盘上的文件进行破坏活动,这种破坏活动不一定都是删除磁盘文件,有的可能是显示一串无用的提示信息,例如,在用感染了“大麻病毒”的系统盘进行启动时,屏幕上会出现“Your PC is now Stoned!”。 有的病毒在发作时,会干扰系统或用户的正常工作,例如“小球”病毒在发作时,屏幕上会出现一个上下来回滚动的小球。而有的病毒,一旦发作,则会造成系统死机或删除磁盘文件。例如,“黑色星期五”病毒在激活状态下,只要判断当天既是13号又是星期五,则病毒程序的破坏模块即把当前感染该病毒的程序从磁盘上删除。 计算机病毒的破坏行为体现了病毒的杀伤力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。病毒破坏目标和攻击部位主要是系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。 二、常见漏洞扫描器及网络扫描技术 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题,如何保障自身网络的安全,其中一个主要的方法就是自查自纠,而在这个过程中,对自己的网络进行扫描成为一种较为快捷、直观、简单的方法。扫描技术基于TCP/IP协议,对各种网络服务,无论是主机或者防火墙、路由器都适用。同时, 扫描可以确认各种配置的正确性,避免遭受不必要的攻击。 网络扫描是一把双刃剑,对于安全管理员来说,可以用来确保自己系统的安全性,也能被黑客用来查找系统的入侵点。目前,扫描的技术已经非常成熟,已经有大量的商业、非商业的扫描器在各组织里使用。 扫描器的重要性体现在: 1、扫描器能够暴露网络上潜在的脆弱性。 2、无论扫描器被管理员利用,或者被黑客利用,都有助于加强系统的安全性。 3、它能使得漏洞被及早发现,而漏洞迟早会被发现的。 4、扫描器可以满足很多人的好奇心。 5、扫描器除了能扫描端口,往往还能够:发现系统存活情况,以及哪些服务在运行; 6、用已知的漏洞测试这些系统; 7、对一批机器进行测试,简单的迭代过程; 8、有进一步的功能,包括操作系统辨识、应用系统识别。
|