病毒描述可执行文件:
可执行文件病毒是传统的病毒其中一种。这类病毒的作者技术水平可以说是相当高超的,可执行文件的病毒大多是汇编/c编写,利用感染程序中的间隙,将自己分成几段藏身,在可执行文件运行的同时进入内存并进行感染工作,dos大部分是可执行文件病毒,在windows下由于win95时期病毒编写者是对的pe32格式没有彻底理解,那段时间比较少,然后是win98可执行文件病毒在阶段扩散,其中大家都很熟悉CIH病毒就是一个例子。
在windows在发展的中后期,互联网开始蓬勃发展,可执行文件病毒开始结合网络漏洞传播,其中杰出的代表是funlove传播——由于windows操作系统的局网络共享协议存在默认共享漏洞,大多数用户在设置共享时贪图方便,不设置复杂密码,甚至根本没有密码。共享权限也打开了“完全访问”。导致funlove病毒通过简单的尝试密码使用网络疯狂传播。
病毒可执行文件分析:
由于可执行文件病毒的编写对作者的要求很高,对运行环境的要求也很严格,当编写不完善时,会导致系统异常(如CIH早期版本会导致winzip错误和无法关闭计算机;funlove在nt4上会导致 mssqlserver前台工具无法调出界面等问题)。可执行文件病毒生存的限制是系统的运行时间和隐蔽性。运行时间——系统运行的时间越长,对其他文件的感染就越有利。因此,此类病毒通常不含恶意关闭等代码,如果你在25日感染,它不会导致系统崩溃(通常在24小时内)cih除外),与其他病毒相比,用户有足够的时间处理它们。破坏引导区的脑病毒,周五发作的病毒,直接读写主板芯片,使用驱动技术CIH病毒是其中的代表。
病毒感染的可执行文件:
可执行文件病毒本身依赖于用户执行和被动操作,常见的感染方式是:盗窃板光盘、软盘、安全共享网络;
病毒自查可执行文件:
大多数可执行文件病毒都是通过搜索每个目录下的可执行文件来感染的,因此它们占来感染的,内存——如果你突然发现你的机器内存占据了很高的时间,你可能会感染这种病毒。
病毒查杀可执行文件:
可执行文件病毒因编写难度大而升级(病毒也玩升级?是的,例如CIH是在1.4版本后才完善的)速度相对较慢,但由于开机后进驻的程序可能已经被病毒感染,因此杀毒条件是各种病毒中最为严格的,且这2种方式比较干净彻底的方法也适用用后面介绍的各种病毒:
1.软盘(光盘)启动使用杀毒软(光盘)磁盘杀毒;在此步骤中,必须确保软盘或光盘病毒库中有杀灭病毒的特征代码。
2.拆下硬盘作为其他机器的从盘;从其他机器的主盘开始杀毒(机器需要打开病毒的即时监控,以防止病毒从可执行文件中进入内存);以国内几种常见的杀毒软件为例,在购买的正式版本中,除了安装光盘外,一般还包括几个软盘(一个导盘、一个杀毒程序磁盘、一个病毒磁盘)。在处理上述可执行文件病毒时,***方法是用引导盘启动计算机,然后根据提示依次插入杀毒程序盘和病毒盘,查杀病毒。
注意:
1.目前比较新版本的杀毒程序盘可以完美支持ntfs如果您在几年前购买了杀毒盘,可以根据厂家的服务模式进行升级;
2.使用软盘杀毒时,使用软盘上的病毒库。为了正确检查和杀死病毒,请定期升级软盘上的病毒库,否则使用时会哭。
病毒防治可执行文件:
安装包括即时监控杀毒软件并启动执行,每天升级病毒库获取***病毒特征代码;尽量不使用来源不可靠的软盘和光盘,使用前先扫描。
病毒杀毒遗留可执行文件:
由于可执行文件病毒寄生在其他程序中,即使是优秀的杀毒软件也只能删除染毒程序中病毒的关键执行部分,使病毒在运行过程中无法运行。因此,它并不是严格意义上的完全清除——病毒程序的一部分仍然残留在程序中,俗称“病毒僵尸”。
当可执行文件中的病毒被检查和杀死时,最重要的是分析和捕获特征代码,因为在捕获特征代码的过程中,不仅要准确地破坏病毒的执行部分,而且不能触摸正常的程序代码。否则,该程序在杀毒后往往无法使用——还叫什么杀毒?最好直接删除文件。!根据作者的杀这类病毒的经验,norton比国内金山毒霸好。
【编辑推荐】