2024年11月了解病毒的秘密,为win7打造安全盔甲(2)

发布时间:

  ⑴请引进”内存”的概念

  ⑵无论是哪个操作系统,等开机程序完成后,使用者就可以执行各种应用软件。比方说,你可以执行、文书处理程序、影片播放程序……,具体的行为就是用鼠标在应用程序的图标上,连续按两下鼠标左键,是的,就是这么的”easy”。

  ⑶只是一般人时常忘记的是:计算机里有个很重要的”组件”,称为”内存”。当使用者按下电源,执行开机程序时,这程序很重要的一个步骤就是:把操作系统的核心”从储存媒体加载到内存里面”。

  ⑷操作系统的核心加载到内存里面之后,依照开发厂商的设计,会不断地维护着自身核心和使用者应用程序的正常运作,这个过程一样是精巧而脆弱的。此外,由于程序是”人”写的,若是写程序的人”乱写”(无论是有意还是无意的),应用程序有可能会造成操作系统核心程序被破坏而导致当机。

  ⑸病毒会希望自己能够有下列能力:

  ⑹常驻在内存中,把自己伪装成操作系统的一部分

  ⑺伪装的过程中,最好让任何人、任何软件都发现不到

  ⑻尽可能不要干扰原先程序的运作,以免自己被察觉

  ⑼尽可能用各种方法,把自己(病毒)附身到别人(别台电脑)身上

  ⑽如果有必要,可以作一些对作者有用(或是好玩)的事情,包括窃取个资、造成破坏……

  ⑾好,如果病毒要把自身藏到内存中,首先它得让你去”执行”它。

  ⑿问题是,哪个人会傻傻执行病毒──如果病毒的额头上写着”我是病毒,来喔来喔,来执行我”,那你会去碰它吗?铁定不会吧!

  ⒀所以,病毒的写作者会想方设法、处心积虑的让使用者在不知不觉中执行之,以达成”感染”的目的。

  ⒁所以,”可执行档”,就成了大部分病毒”寄生”的主要目标了。

  ⒂所谓的可执行档,就是我们所说的”程序”、”软件”,通常这类软件也是一个(或数个)档案所构成。前面已经说过,软件要加载到内存中,才能被使用者所执行、运用之,因此软件的作者会使用开发工具将”原始程序”编译成”可执行档”,然后运送给使用者,让使用者可以执行之。

  ⒃以前,可执行档只有固定几种格式:扩展名是.、.EXE、.BAT的,这些都是可执行档。到了Windows时代,这还是没变。不过,Windows后来引进了很多”比较罕见”的可执行档案格式。比方说,.DLL是”动态链接库”,它也是一种”必须依附在主程序”底下的一种可执行档案;.SCR是屏幕保护程序,它也是一种特殊功能的可执行文件;.MSI(WindowsInstallerPackage)通常见于”安装程序”,但是……它也是一种可执行档;有些叙述档,像是.VBS、.JS……,它们也是可执行档案。

  ⒄这里有一个”可执行档案”的扩展名列表,看到这类扩展名就要小心了,有害的东西就可能藏身于其中。