① 哪兒有關於熊貓燒香的原創資料(各大報紙上的)
「熊貓燒香」病毒大致分為三部分。
第一部分為工作區:
工作區也就是其病毒目的性。其原理和代碼非常簡單。
首先是感染.exe文件,這段代碼任何初級程序員都可以實現。原理是對系統磁碟做遞歸搜索,如果發現.exe文件就將其與病毒綁定,在改變其圖標。如果發現.gho結尾的文件將其刪除。
接下來的代碼稍有點難度,是將源病毒感染到WEB文件,使網頁也成為它傳播的介質,這也是它大范圍傳播的主要因素。
在接下來就是常規病毒工作原理,簡單點說就是將自己放入注冊表,設為啟動項。或在C以外的磁碟和U盤做auto啟動。
然後開啟雙進程保護功能,以鉤子技術對其他進程進行監視,發現游戲之類的進程立刻啟動木馬功能,將其帳號密碼記錄並發送到指定信箱。
第二部分為自我保護功能。
這是病毒存活的必須手段。
由於很多用戶都沒有最新的殺毒軟體或者正板軟體,還有很多殺毒軟體並不知道這病毒是哪個變種。所以導致了病毒把殺毒軟體「干」掉了。
為什麼中了毒之後,殺毒軟體殺不死呢?那是因為病毒已經與exe文件綁定,殺毒軟體無法正確的將病毒與exe分開,所以導致連目標文件一起刪除掉了。
由於很多用戶都是中毒之後在安裝殺毒軟體,但為時以晚。由於病毒已經占據了系統控制權,相當於病毒有了優先權去殺死殺毒軟體了。其工作原理有可能是雙進程技術。
雙進程技術已經是很老的黑客手段了,也就是說兩條進程互相監視。如果其中一條進程被殺死了,另一條發現它消失了就會重新啟動它。反過來也一樣,但是用戶無論如何也不可能同時殺死兩條進程。
第三部分是最主要的部分,傳播部分。
這段代碼就是這病毒的厲害所在了,幾乎可以傳播的途徑它都用上了。Exe捆綁傳播,U盤傳播,感染asp傳播,網站傳播,弱口令傳播,auto傳播 等等。
這病毒傳播手段很厲害嗎?其實這些傳播手段在國外早就流傳過,但是並沒有傳播太久就被消滅絕跡了。原因是他們一直使用的是正版操作系統和正版殺毒軟體(正版的好處就是補丁打的快)。加上大部分網站使用的是Linux , 所以該病毒沒有什麼發揮的餘地。用卡巴的人幾乎沒有中該病毒就是這個原因,因為它早已經有這種類型的病毒庫了。
現在大多談論的是,「熊貓燒香」作者的編程是在什麼水平。那麼就以這個病毒來衡量一下。第一個問題是,這個病毒有多少人能寫出來。
首先可以確定這個病毒是Borland Delphi 6.0 - 7.0編寫的,加的殼是UPack , FSG2.0 等等。至少這個殼加密不是作者自己寫的,所以只談代碼。
我找了程序員朋友和專業級教師還有大學教授一起探討過,每個人給我的結果非常一致。實現這個病毒只是時間的問題,如果合作開發的話威力更大。但是他們都有自己的工作,都有自己的職業道德,並不是他們開發不了這個病毒,而是他們根本就沒有這方面的想法。
「害人之心不可有,防人之心不可無」。這句中國古訓經過千年的證實,沒有人能駁倒它。任何事情都是實踐了才知道,如果現在讓中國所有程度員都在研究病毒,那麼10天之內中國互連網就會全面癱瘓。
難道顯示自己實力只是通過編寫病毒嗎?這樣的話,那些軟體公司和游戲開發公司都可以關門了。舉個簡單的例子,如果熊貓燒香作者是電腦高手,為什麼不去開發一款網路游戲呢?要知道10000個熊貓燒香的源代碼加一起也不夠編寫一個小型網路游戲的。
他要是高手的話,開發一套桌面程度也可以賣上一個好價錢。一套汽車外形製造模擬系統光一次升級費用就是800萬。該公司里所有的程序員都是精英中的精英,用的都是月薪過萬的高級軟體工程師。
最新的操作系統Vista據說是超過4000名高級程序員用了將近5年時間開發出來的。他要是高手的話,他懂大學里學的計算機基礎的多少呢?匯編語言,數據結構,高數,線代,計算機原理,電路邏輯,編譯器原理,C,操作系統原理,英語,等等。這些都是程序員必須掌握的東西,是必須掌握的,否則只能當一個中級程序員最多了。
而編寫一個病毒需要什麼呢?只需要一種語言和一點操作系統原理就夠了。要是讓熊貓燒香作者寫一個殺毒軟體的話,他根本就是無從下手。
本人機器里沒有任何殺毒軟體,一樣上網一樣用電腦。幾乎沒有中過任何病毒,有可能是因為接觸電腦多的緣故,對病毒的傳播有了很多的了解。病毒只有親身研究了才知道,它也不過如此。
最後總結一下,首先熊貓燒香作者的目的性違法,其病毒難度還沒有到達防不勝防的程度。其破壞性非常嚴重,多少用戶電腦不得不全格式化,多少網站伺服器不得不重新維護,多少公司不得不重新整理資料,多少網吧不得不停業整理系統。等等,這些嚴重後果在編寫代碼的時候就已經可以遇見了,所以不存在「沒想到」這個詞。因此這個人並沒有「值得贊賞的地方。」