网络通信 频道

32位操作系统下的病毒


   计算机病毒已经给现代计算机应用带来了很大的威胁。当我们通过网络,磁盘来分享更多信息的同时,计算机病毒的蔓延速度也在不断增大。从传统上讲,DOS环境有大量的病毒,现在已经超过了5000种。然而, 近几年产生了许多以Windows平台为特定目标的计算机病毒将来我们会看到针对象Windows95这种32位操作系统的计算机病毒吗? 不幸的是答案是正确的。当Windows95引入的新技术给用户带来新的动力的时候,它也给计算机病毒更多的机会。例如Windows95没有文件等级保护,这意味着,当网络上的任一台计算机感染了病毒以后,在对等网络中共享的没有被保护的驱动器和文件,将被很快感染。另外,Windows95没有内置防病毒能力, 这样公司和个人用第三方反病毒解决方案来加固系统是十分重要的。

   1在Windows95环境下的病毒

   Windows95下可以运行DOS程序,Windows16位程序和Windows32位程序。为保持与先前Windows版本的兼容,Windows运行时十分象在DOS下的Windows3.1,首先启动实模式。在实模式中程序和设备驱动程序从CONFIG.SYS和AUTOEXEC.BAT中装载。之后是引导过程,启动Windows95的图形部件。当Windows完成启动后, 用户可以用打开DOS 对话框的方式运行DOS程序。DOS对话框中包括在系统初期启动时所有程序的拷贝,包括可能被装载的病毒代码。不幸的是,这意味着每次DOS对话框启动时将始终有相同的程序,它们是在Windows95图形部份启动前装载的(包括病毒)。并且多次DOS进程可以导致多次感染。

   在早期版本的Windows中,DOS管理文件系统。而在Windows95中就不同了,Windows95通过使用设备驱动和32位程序来管理传统文件系统。Windows95要求确保文件系统的完整体。为了达到以上目的,禁止DOS程序(和传统病毒)对硬盘进行直接读写,除非它们用特殊的Windows专用代码。但是,在Windows95中允许 DOS程序和病毒对软盘进行直接读写。以上对病毒十分有利,对用户来说是十分不幸的;病毒仍然可以用相同的方式工作,象从硬盘中一样。并且Windows95很少能阻止它。当用户没有注意到用一张有病毒的软盘来引导时,病毒能感染MBR。 病毒将在每次计算机引导时装载,在每一次DOS对话框时安装到系统中。这样当用户对软盘进行操作时,病毒可以将自身繁殖到另外的软盘,从而蔓延到其它的计算机。

   另外,和DOS一样,Windows没有文件等级保护。利用文件进行传播的病毒仍然可以在Windows95下进行繁殖。这与其它的32位操作系统一样,例如OS/2,WindowsNT,它们也允许对文件进行写操作。这样,文件型病毒恰恰象它们在DOS环境下一样进行复制。

   [iduba_page]2新技术促进病毒的传播

   一些使Windows95有吸引力的新技术,实际上帮助病毒在整个网络中繁殖。 例如工作组网络环境十分容易地使病毒快速传播。再有,由于Windows95没有文件等级保护,如果在网络中的计算机被病毒感染, 在对等网络中共享的没有被保护的驱动器和文件将很快被感染。

   3潜在新病毒

   在反病毒界,有关于新病毒的讨论,这些病毒有可能因Windows95的特性而产生。一个可能的病毒类型是OLE 2 (Object Linking and Embedded)病毒。这种类型的病毒通过将自己假扮成公共服务的一个 OLE2服务器来容易地进行传播。之后,当一个OLE2客户申请一个OLE2服务器来提供公共服务时,实际上病毒取得了控制权。

   它能将自己繁殖到其它文件和计算机,之后运行它替换了的原有OLE2服务器。这个应用程序甚至不知道自己是另一个病毒进行“通话”而不是实际上的OLE2服务器。如果这个OLE2服务器在一个完全不同网络计算机,这个病毒能很快地在网络上传播。

   另外一种可能的病毒是扩展Shell病毒。Microsoft使这种Shell在Windows95中完全扩展来允许自定义。从技术上讲,病毒能成为其中的一个扩展,因为Windows95对于扩展Shell不需要确认,因此病毒可以写成一种扩展 Shell这样就可以取得控制权并且复制自身。

   另外一种病毒可能会变得十分流行,它是虚拟设备驱动病毒VxD病毒(Virtual Device Driver)。 Windows95 VxD对整个计算机具有完全控制权。如果通过编制特定程序,它可以直接对硬盘进行写操作。它具有写Windows95 Kernel模块相同的特权,因此它具有广泛的自由来控制系统。在Windows95中增加了动态装载VxD能力, 这就是说一个VxD,不需要每次都在内存中,而是在系统需要时。这意味着病毒可以用一段很小的代码来激活一个动态VXD, 这可以导致严重的系统崩溃。因为Windows95对VxD的行为没有限制,因此VxD病毒可以绕过你所采用的任何保机制。

   另外一种可能产生病毒的原因是Windows的易操作编程工具的流行。 过去,病毒的编制看需要了解大量的关于汇编和操作系统的知识来创建TSR程序来进行复制。对于Windows来说,许多新手可以用可视化开发工具的高级语言来编写病毒。因为它们更象用户运行的其它程序,因此很难检测出来。

文章转载地址:http://www.cnpaf.net/Class/Virus/05122020353963563397.htm

0
相关文章