一套关于加解密的文件

     └──┴────────────┴─────┘
        资料来源(趋势科技)
                                                        资料节录自财讯/1996.4
                                                            279~~~280页


    现在已经辞掉版主的工作了(NCKU gopher)....
          有时也流连一下此版...
          不知为啥...是小弟太嚣张了,还是有很多人对病毒认识不清呢?
          也许,看著一篇篇的 post 最后也没人要理....
          是最好的回答方式了.
              以下是我个人的经验.
           1.当你发现磁碟机有异状,平常会执行的程式突然不能RUN了,
             Memory 少了几K ,或一些不寻常的讯息出现时,
             请拿出你所有的扫毒程式,先乾净的DOS 片开机,
             哪怕是 MSAV / NAV / TBAV / FP / VT / VBxx ....
             全用了!!!!(交大资工常有最新版本,不用钱的!!!!)
             若是依然扫不到东西,再进入下一步.
           2.取样,因为病毒大部分几乎是要感染的,现在的纯开机型病毒,
             极为少见,也难以生存,因为有很多防毒程式都会比对 BOOT 和
             PARTITION TABLE ,若你当初所 Save 的是无毒的,一经比对,
             立刻现形! 
             如何取样呢?
             做几个不等长的 .COM 和 .EXE 档,不会做的话,从你确定乾净的
             磁片中 COPY 几个到你的硬碟中,先把日期和时间/长度记录下来,
             再随便跑你平常最常跑的几个程式,然后也跑跑你那几个 COPY 
             进去的程式,然后重新用乾净的 DOS开机,看看你的硬碟还在吗?
             那几个 COPY 的档案有没有增长,(事实上 MSAV 就有以上功能了)
             然后再用 PCTOOLS 去看看你那几个 COPY 的档案 EXE 档档头的
             部份,看有无异状(通常是有很乱的不规则符号塞满你的 EXE 档最前
             端[那叫档头]) ,若档案有增长或你看到有不寻常的东西在档头...
             好了! 你是中毒了,未知的毒,再 POST 上来把取样 MAIL 给那些
             大哥们,或你自己去解....
           3.若也没发现异状,好! POST 出来,我保证结局不是没人会理你,
             就是硬体上的问题最后不了了之...
             硬体上的问题只有拥有设备的你最清础你动到了啥? 安装了啥?
             到硬体版去问吧!
             其他就是有程式被破坏或目录乱掉,但始终取不到样本,那就是
             所谓的 "特落依木马" ,只是一种失败的程式或程式本身写错...
             这种问题,也没人晓得你的程式问题在哪!! 自己找出是哪个
             程式执行后会这样或你曾执行过哪些程式,能自己把程式的 BUG
             找出来就自己解,要不然就砍掉它!(一般皆是如此..) ,你若是把
             它传上来,那就期待哪位大哥有闲去看看那程式,专门为你救那个
             程式了! 
           4.其他问题我想也许可以 POST 上来,大家可能也会理你,像最近新
             毒动态,有哪些新的防毒程式或版本,讨论个人防毒技巧或写毒心得
             ,一些文件的分享...我想应该都是会很受欢迎的,其他像连 1. 步骤
             都没去做,就 POST 说...我中了 XXX 毒(怀疑你怎知毒名的),更好
             笑的是有些人是只 POST 说....我中毒了! 已经 FORMAT HD 了....
             就没下文了,...好歹也取个样本确定是中毒了! 全部能找到的扫毒
             软体也扫不出来....那再说嘛! 
                 至于其他的言论,不是已经有人讨论过了,就是.....唉.
             我能说的就只有这样了....
             不是没有人要帮你,而是你太依赖别人了,连扫毒软体都懒得去抓...
             (你能上网路,抓软体是必备技巧...不会...算了! 你怎送上来? )
             中毒多半是你自己太信任别人的软体,连扫一下都不愿,
             发作时,硬碟不见或被毁了...
             你能怪谁呢? 多支持正版软体,多一份警觉,多一个好习惯,
             中毒的事根本轮不到你!
                 好了! 言尽于此...
                                 无须我再言了.
                                 各位自己保重,好自为之....
                                                <<written by NCKU htk >>


                     电脑病毒世界探密系列之一
                                                     动95  锺元凯
 
     【写在前面】
 
         时光匆匆，玩电脑病毒也有一段时日。从完全陌生到如今的身经
     百战，我也经历了一般人所会走的路，遇过大家都可能遇到的问题。
     撰写此文的目的，无非是希望广大的电脑使用者，能走出电脑病毒的
     阴影，进而培养正确的观念及应对的方法。在本文中，我将分以下三
     部分，以第一手的资料，分数次为大家做介绍：
 
                ┌──────────────┐
                │    ⑴电脑病毒观念的建立    │
                │    ⑵电脑病毒程式的探究    │
                │    ⑶一般常见疑问Ｑ＆Ａ    │
                └──────────────┘
 
         分成三部分的原因，无非是希望能循序渐近地满足对电脑病毒有
     兴趣的人。第一部份将概述电脑病毒的基本常识，并为各位介绍如何
     与电脑病毒对抗。第二部分则尝试由组合语言的层次，来看一看电脑
     病毒的运作情形。当然，我不赞成您写作病毒，但所谓知己知彼，百
     战百胜，唯有从病毒本身下手才能真正的了解它们的世界也唯有这样
     才能真正地了解到电脑病毒核心。第三部分则是提出一些常见的疑难
     杂症及解答，以期纠正某些错误的观念及看法
 
         这一次，我将只提到第一部分（电脑病毒观念的建立），可以写
     的材料很多，但是要写得让人很容易接受，却也是一件蛮不容易的事
     情。期待各位的回应、批评及指报，我由衷的感谢！
 
 
     【⑴电脑病毒观念的建立】
 
         相信大家都知道，也常看到坊间的书藉及杂志不时会有有关电脑
     病毒的讯息出现。笔者不认为会写得比它们好，也没必要在这浪费篇
     幅去讲这些详细的内容。笔者只是希望，能经由一己之努力，补其所
     不足；要真正的了解电脑病毒，唯有自行努力，才是正途。
         看过第三波的人，一定对黄瑞强先生不定期的病毒文章有所认识
     。但大多数的人也认为，黄先生讲得太少，每每看到精彩处却下次再
     见。笔者试著用叙事的方式，来一一说明这些事情。分类如下：
 
                  ┌───────────────┐
                  │    ①什么是电脑病毒？        │
                  │    ②开机型病毒？            │
                  │    ③档案型病毒？            │
                  │    ④复合型及伴随型病毒？    │
                  │    ⑤变体引擎及病毒产生器？  │
                  │    ⑥Windows 的病毒？        │
                  │    ⑦防毒、扫毒及解毒？      │
                  │    ⑧病毒资讯的获得？        │
                  └───────────────┘
 
     》①什么是电脑病毒？
 
         电脑病毒，顾名思义，所指的是电脑（一般指个人电脑）作业系
     统下的一种程式，它被撰写的目的多数是为了破坏及恶作剧，但却常
     因为大众的认知不足，造成一般电脑使用者的恐慌及害怕，以致常听
     到有人用format的方法来解决问题。在此，笔替认为有必要先建立正
     确的病毒定义及观念。
 
         所谓电脑病毒，事实上必须符合三个必要的条件：⑴复制⑵散播
     以及⑶破坏。这三个条件，缺一而不为电脑病毒。如使用者会听到的
     「特洛依程式」、「玩笑程式」、「信件炸弹」、「ANSI炸弹」等，
     基本上都不应该也不能属于电脑病毒的范围之内。（这些东东我会在
     第三部分再加以说明）如一般使用者最常听见的米开兰基罗（石化三
     代），便符合了复制（感染磁片），散播（磁片开机）及破坏（摧毁
     硬碟）三个要素。又如本校计中最常附送的马盖仙1.0B(Music A08)
     也是与这三个原则符合的（抓图片→看图→中奖？？）。
 
         那么，病毒又是存在于那里的呢？这不禁又让笔者想起在 BBS上
     一直存在的笑话：「有病毒会藏在CMOS中吗？」这个简单的笑话，并
     没有随著时间的行进而消逝，反而是隔一段时间就会出来造成双方的
     激辩。在这里笔者先给各位一个肯定的答案：不会。其实很简单，病
     毒一定是藏在磁性记忆体上。哈！这根本是废话，因为病毒本身就是
     一种电脑程式。那么，简单的说，病毒可能存在于⑴软碟⑵硬碟及⑶
     记忆体中。⑴⑵是病毒静态存在的场所，而⑶则是病毒动态的隐身之
     地！
 
         而电脑病毒本身，也可以有很多种分类方法，如⑴开机型及档案
     型（这也是我所用的方法）⑵常驻及非常驻型及⑶编码型及非编码型
     等等。我之所以用⑴，是因为这种方式最通俗，也最好了解。
 
         因此，符合上述三要件的，才能称之为「电脑病毒」。下面，就
     让笔者来介绍电脑病毒的种类以及特徵。
 
 
     》②开机型病毒？
 
         所谓开机型的病毒(Boot-type virus) 是界定为在电脑开机时，
     抢先作业系统进入记忆体的程式。正常我们由软碟开机的程序如下（
     我不把特殊及不常见的方式计入）：
 
     ┌───┐  ┌───┐  ┌──┐  ┌───┐  ┌─────┐  ┌───┐
     │开电源│→│ POST │→│BIOS│→│IO.SYS│→│ MSDOS.SYS│→│ SHELL│
     │      │  │ 程序 │  │载入│  │载入  │  │ 载入     │  │ 程式 │
     └───┘  └───┘  └──┘  └───┘  └─────┘  └───┘
 
         由于病毒必须取得磁碟读写的控制权（这样才能达成感染的目的
     ），因此开机型病毒本身会存在于开机磁区(Boot Area) ，以便在载
     入OS时会先OS载入以取得绝对控制权。因此感染（中毒）后开机的程
     序变成了下面这样：
 
     ┌───┐  ┌───┐  ┌──┐  ┌───┐  ┌─────┐  ┌───┐
     │开电源│→│ POST │→│BIOS│→│IO.SYS│→│ MSDOS.SYS│→│ SHELL│
     │      │  │ 程序 │  │载入│↑│载入  │  │ 载入     │  │ 程式 │
     └───┘  └───┘  └──┘↑└───┘  └─────┘  └───┘
                                     ↑
                                ※病毒载入※
 
         我们看到了病毒在 DOS载入前载入，这样便可以利用读写磁片的
     机会（如dir 指令）进行感染。而硬式磁碟的感染，就是比软碟多了
     一项硬碟分割表的检查程序，而开机型病毒便可藏身于开机磁区或是
     硬碟分割表中，多了一种可能。至于很多人关心的病毒发作及破坏等
     等，不同的病毒会有不同的设计方法，例如最近很多人中的 MONKEY/
     猴子病毒（好像是因为拷大补吧？）就会把分割表搬走，造成了中毒
     者的恐慌。至于判断及解决的方法，笔者会在下一次说明。有兴趣的
     朋友可以自行参考书籍（如松岗最近那本）。
 
 
     》③档案型病毒？
 
         所谓档案型的病毒(File-type virus) 是介定为在档案执行时，
     先原档案之前放执行的程式。病毒本体寄居于可执行档案中，当此
     档案被执行时，便侵入作业系统取得绝对控制权。当然也有不常驻
     而仅在放执行时感染其它档案的病毒，不过笔者认为那没什么好讲
     的（如长度 32bytes的病毒，看完后真是%$#@....）
 
         而病毒要如何去取得控制权呢？大体而言病毒都是朝BIOS呼叫
     及 DOS呼叫两方面著手。会写常驻程式的人应知道我的意思：取得
     中断进入点。方式则千奇百怪，如早期的正常方式( Int21h's 25h