① 哪儿有关于熊猫烧香的原创资料(各大报纸上的)
“熊猫烧香”病毒大致分为三部分。
第一部分为工作区:
工作区也就是其病毒目的性。其原理和代码非常简单。
首先是感染.exe文件,这段代码任何初级程序员都可以实现。原理是对系统磁盘做递归搜索,如果发现.exe文件就将其与病毒绑定,在改变其图标。如果发现.gho结尾的文件将其删除。
接下来的代码稍有点难度,是将源病毒感染到WEB文件,使网页也成为它传播的介质,这也是它大范围传播的主要因素。
在接下来就是常规病毒工作原理,简单点说就是将自己放入注册表,设为启动项。或在C以外的磁盘和U盘做auto启动。
然后开启双进程保护功能,以钩子技术对其他进程进行监视,发现游戏之类的进程立刻启动木马功能,将其帐号密码记录并发送到指定信箱。
第二部分为自我保护功能。
这是病毒存活的必须手段。
由于很多用户都没有最新的杀毒软件或者正板软件,还有很多杀毒软件并不知道这病毒是哪个变种。所以导致了病毒把杀毒软件“干”掉了。
为什么中了毒之后,杀毒软件杀不死呢?那是因为病毒已经与exe文件绑定,杀毒软件无法正确的将病毒与exe分开,所以导致连目标文件一起删除掉了。
由于很多用户都是中毒之后在安装杀毒软件,但为时以晚。由于病毒已经占据了系统控制权,相当于病毒有了优先权去杀死杀毒软件了。其工作原理有可能是双进程技术。
双进程技术已经是很老的黑客手段了,也就是说两条进程互相监视。如果其中一条进程被杀死了,另一条发现它消失了就会重新启动它。反过来也一样,但是用户无论如何也不可能同时杀死两条进程。
第三部分是最主要的部分,传播部分。
这段代码就是这病毒的厉害所在了,几乎可以传播的途径它都用上了。Exe捆绑传播,U盘传播,感染asp传播,网站传播,弱口令传播,auto传播 等等。
这病毒传播手段很厉害吗?其实这些传播手段在国外早就流传过,但是并没有传播太久就被消灭绝迹了。原因是他们一直使用的是正版操作系统和正版杀毒软件(正版的好处就是补丁打的快)。加上大部分网站使用的是Linux , 所以该病毒没有什么发挥的余地。用卡巴的人几乎没有中该病毒就是这个原因,因为它早已经有这种类型的病毒库了。
现在大多谈论的是,“熊猫烧香”作者的编程是在什么水平。那么就以这个病毒来衡量一下。第一个问题是,这个病毒有多少人能写出来。
首先可以确定这个病毒是Borland Delphi 6.0 - 7.0编写的,加的壳是UPack , FSG2.0 等等。至少这个壳加密不是作者自己写的,所以只谈代码。
我找了程序员朋友和专业级教师还有大学教授一起探讨过,每个人给我的结果非常一致。实现这个病毒只是时间的问题,如果合作开发的话威力更大。但是他们都有自己的工作,都有自己的职业道德,并不是他们开发不了这个病毒,而是他们根本就没有这方面的想法。
“害人之心不可有,防人之心不可无”。这句中国古训经过千年的证实,没有人能驳倒它。任何事情都是实践了才知道,如果现在让中国所有程度员都在研究病毒,那么10天之内中国互连网就会全面瘫痪。
难道显示自己实力只是通过编写病毒吗?这样的话,那些软件公司和游戏开发公司都可以关门了。举个简单的例子,如果熊猫烧香作者是电脑高手,为什么不去开发一款网络游戏呢?要知道10000个熊猫烧香的源代码加一起也不够编写一个小型网络游戏的。
他要是高手的话,开发一套桌面程度也可以卖上一个好价钱。一套汽车外形制造模拟系统光一次升级费用就是800万。该公司里所有的程序员都是精英中的精英,用的都是月薪过万的高级软件工程师。
最新的操作系统Vista据说是超过4000名高级程序员用了将近5年时间开发出来的。他要是高手的话,他懂大学里学的计算机基础的多少呢?汇编语言,数据结构,高数,线代,计算机原理,电路逻辑,编译器原理,C,操作系统原理,英语,等等。这些都是程序员必须掌握的东西,是必须掌握的,否则只能当一个中级程序员最多了。
而编写一个病毒需要什么呢?只需要一种语言和一点操作系统原理就够了。要是让熊猫烧香作者写一个杀毒软件的话,他根本就是无从下手。
本人机器里没有任何杀毒软件,一样上网一样用电脑。几乎没有中过任何病毒,有可能是因为接触电脑多的缘故,对病毒的传播有了很多的了解。病毒只有亲身研究了才知道,它也不过如此。
最后总结一下,首先熊猫烧香作者的目的性违法,其病毒难度还没有到达防不胜防的程度。其破坏性非常严重,多少用户电脑不得不全格式化,多少网站服务器不得不重新维护,多少公司不得不重新整理资料,多少网吧不得不停业整理系统。等等,这些严重后果在编写代码的时候就已经可以遇见了,所以不存在“没想到”这个词。因此这个人并没有“值得赞赏的地方。”