|
计算机病毒已经给现代计算机应用带来了很大的威胁。当我们通过网络,磁盘来分享更多信息的同时,计算机病毒的蔓延速度也在不断增大。从传统上讲,dos环境有大量的病毒,现在已经超过了5000种。然而, 近几年产生了许多以windows平台为特定目标的计算机病毒将来我们会看到针对象windows95这种32位操作系统的计算机病毒吗? 不幸的是答案是正确的。当windows95引入的新技术给用户带来新的动力的时候,它也给计算机病毒更多的机会。例如windows95没有文件等级保护,这意味着,当网络上的任一台计算机感染了病毒以后,在对等网络中共享的没有被保护的驱动器和文件,将被很快感染。另外,windows95没有内置防病毒能力, 这样公司和个人用第三方反病毒解决方案来加固系统是十分重要的。
1在windows95环境下的病毒
windows95下可以运行dos程序,windows16位程序和windows32位程序。为保持与先前windows版本的兼容,windows运行时十分象在dos下的windows3.1,首先启动实模式。在实模式中程序和设备驱动程序从config.sys和autoexec.bat中装载。之后是引导过程,启动windows95的图形部件。当windows完成启动后, 用户可以用打开dos 对话框的方式运行dos程序。dos对话框中包括在系统初期启动时所有程序的拷贝,包括可能被装载的病毒代码。不幸的是,这意味着每次dos对话框启动时将始终有相同的程序,它们是在windows95图形部份启动前装载的(包括病毒)。并且多次dos进程可以导致多次感染。
在早期版本的windows中,dos管理文件系统。而在windows95中就不同了,windows95通过使用设备驱动和32位程序来管理传统文件系统。windows95要求确保文件系统的完整体。为了达到以上目的,禁止dos程序(和传统病毒)对硬盘进行直接读写,除非它们用特殊的windows专用代码。但是,在windows95中允许 dos程序和病毒对软盘进行直接读写。以上对病毒十分有利,对用户来说是十分不幸的;病毒仍然可以用相同的方式工作,象从硬盘中一样。并且windows95很少能阻止它。当用户没有注意到用一张有病毒的软盘来引导时,病毒能感染mbr。 病毒将在每次计算机引导时装载,在每一次dos对话框时安装到系统中。这样当用户对软盘进行操作时,病毒可以将自身繁殖到另外的软盘,从而蔓延到其它的计算机。
另外,和dos一样,windows没有文件等级保护。利用文件进行传播的病毒仍然可以在windows95下进行繁殖。这与其它的32位操作系统一样,例如os/2,windowsnt,它们也允许对文件进行写操作。这样,文件型病毒恰恰象它们在dos环境下一样进行复制。
2新技术促进病毒的传播
一些使windows95有吸引力的新技术,实际上帮助病毒在整个网络中繁殖。 例如工作组网络环境十分容易地使病毒快速传播。再有,由于windows95没有文件等级保护,如果在网络中的计算机被病毒感染, 在对等网络中共享的没有被保护的驱动器和文件将很快被感染。
3潜在新病毒
在反病毒界,有关于新病毒的讨论,这些病毒有可能因windows95的特性而产生。一个可能的病毒类型是ole 2 (object linking and embedded)病毒。这种类型的病毒通过将自己假扮成公共服务的一个 ole2服务器来容易地进行传播。之后,当一个ole2客户申请一个ole2服务器来提供公共服务时,实际上病毒取得了控制权。
它能将自己繁殖到其它文件和计算机,之后运行它替换了的原有ole2服务器。这个应用程序甚至不知道自己是另一个病毒进行“通话”而不是实际上的ole2服务器。如果这个ole2服务器在一个完全不同网络计算机,这个病毒能很快地在网络上传播。
另外一种可能的病毒是扩展shell病毒。microsoft使这种shell在windows95中完全扩展来允许自定义。从技术上讲,病毒能成为其中的一个扩展,因为windows95对于扩展shell不需要确认,因此病毒可以写成一种扩展 shell这样就可以取得控制权并且复制自身。
另外一种病毒可能会变得十分流行,它是虚拟设备驱动病毒vxd病毒(virtual device driver)。 windows95 vxd对整个计算机具有完全控制权。如果通过编制特定程序,它可以直接对硬盘进行写操作。它具有写windows95 kernel模块相同的特权,因此它具有广泛的自由来控制系统。在windows95中增加了动态装载vxd能力, 这就是说一个vxd,不需要每次都在内存中,而是在系统需要时。这意味着病毒可以用一段很小的代码来激活一个动态vxd, 这可以导致严重的系统崩溃。因为windows95对vxd的行为没有限制,因此vxd病毒可以绕过你所采用的任何保机制。
另外一种可能产生病毒的原因是windows的易操作编程工具的流行。 过去,病毒的编制看需要了解大量的关于汇编和操作系统的知识来创建tsr程序来进行复制。对于windows来说,许多新手可以用可视化开发工具的高级语言来编写病毒。因为它们更象用户运行的其它程序,因此很难检测出来。
| 
