Novell网病毒防范技术

以NovellNetware为背景,从计算机病毒的侵入途径入手,分析如何利用NetWare提供的网络安全特性防御计算机病毒.     

防止病毒入侵Novell Netware网络系统的研究

从ｏｖｅｌｌ Ｎｅｔｗａｒｅ网络系统的安全性入手,针对病毒入侵网络这一问题,介绍了笔者近几年来在防止病毒入侵网络方面的所做的研究和几点体会,并提出了几点建议。     

一种新型病毒的分析和防治

笔者发现一种微机病毒,可你为333病毒(病毒代码长度为333字节),它是“引导区寄生型”病毒,表现为良性.CPAV(2.O)和公安部推出的KILL均查不出此病毒.通过万析,可以看出这种病毒的驻留和传播机制同以往的“引导区寄生型”病毒有很大的下同,其特殊的驻留和传播机制甚至可以使某些防病毒卡(如瑞星防病毒卡Ⅱ型)无法检测其存在,也不能阻止其传染.由于没有表现部分,加之其特殊的驻留和传播机制,使病毒具有极强的隐蔽性.     

一种变长病毒的分析与清除

最近,在本单位的微机上发现一种不知名的病毒,用K72,CPAV均无法检测出来.笔者对其进行了深入分析,成功地清除了该病毒,在此介绍给同行,以便发现时能及时清除.一、变长病毒的标志当发现文件的长度无故增长,并且,如果COM文件的前五个字节为B8 XX XX FFEO;EXE文件的第3,4字节(文件映像长度)为FF FF及第17,18字节(SP寄存器应具有的值)为C1 05,则可判定文件感染了此种病毒.     

DEMOCRACY病毒分析

笔者用公安部KILL70查毒软件检查一张软盘时,发现有几个文件含有DEMOCRACY病毒,杀毒后文件不能运行,于是对病毒进行了分析,基本弄清了病毒原理,现介绍如下.传染机理该病毒有效长度为OEB7H(3767)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,利用DOS中断调用的48H号功能,申请一块大小为FOH节(3840字节)的内存,然后驻留内存,用PCTOOLS看内存容量时,内存总量并不减少,但可用内存减少3840+16字节.     

1349病毒分析

近日发现一种新病毒,用公安部KILL77和McAFee的SCAN117等查毒软件不能发现该病毒,于是对该病毒进行了分析,弄清了病毒程序的执行过程.一、传染机理该病毒长度基数为545H(1349)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6AH节(1696字节),然后驻留内存,地址从CS:0100开始.CS:0000——CS:00FF为病毒运行的数据区.用PCTOOLS看内存容量时,内存总量减少2KB.病毒驻留内存后更改INT21H(DOS功能调用)为XXXX:0287H,更改INT 1CH(时钟中断)为     

1091病毒分析

该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内     

无盘站由Novell网升级至Novell、NT混合网

本文主要讲述了由无盘工作站组成的Novell网升级至Novell、WindowsNT混合网，具体内容包括，使用Novell，NT混合网的必要性，网络的硬件配置，组网方案及在不影响原Novell网络运行的情况下，在较高档无盘工作站上实现Novell,Windows NT双启动。     

1786病毒的分析与清除

朋友送来一含病毒的程序,称用SCAN116,CPAV2.0,KILL70.01,CLEAR0.9均查不出任何结果,但是CLEAR发出警告说内存已经被未知病毒感染.经过仔细研究,发现该病毒有两个特点:1、运用了一种较为先进的后跟踪手段一逆指令法,简单地说,就是将指令的执行方向由从前向后改为从后向前,利用INT01单步中断的特性,每执行一条指令后,进入单步中断处理程序,将病毒的后续指令移至CS:IP所指向的地址,然后中断返回.直至所有的逆指令均已运行完毕.     

Greeting病毒分析及清除

文中描述了一种新发现的文件外壳型病毒，并结合此类病毒共有的特点对其进行了详细的分析，最后给出了检测及清除的方法。     

Tiger病毒的分析与防治

本文介绍了一种新计算机病毒——Tiger病毒。分析了新病毒的传染特征,工作机理及表现形式,并给出了检测和诊治新病毒的方法。最后还简介了新一代计算机病毒——多形性病毒。     

1741病毒的分析与清除

最近,在我室微机上发现一种新病毒,用KILL、SCAN、CPAV等杀毒软件均不能清除该病毒,笔者通过对该病毒的分析,弄清了该病毒的原理,并用汇编语言编制了杀毒软件K1741.ASM(本期程序盘中)。 一、检测 当计算机内存中存在该病毒时,表现出列目录时间变长,读写盘时间变长,运行一些大型程序时提示内存不够或干脆死机。用PCTOOLS察看文件,发现文件长度增加1741～1757字节不等,用DEBUG或PCTOOLS察看文件倒数第5、6字节为7859H时,则可确定已感染了该毒。     

3072病毒的分析与清除

1、简述笔者遇到一种复合病毒,类似米氏病毒,既可传染硬盘主引导程序,又可传染可执行文件(.COM,EXE),只是因为对.COM文件,其长度增加3072字节(C00H),对.EXE文件,其长度增加3072-3090字节,故暂名为3072病毒,用SCAN V117和KILL V77均不能杀死.该病毒不传染软盘BOOT区,但传染性较强.加载运行及内存有毒的情况下进行目录搜索,均可实施传染.2、表现方法(1)键盘随机锁定,或字母为大小互变,上下档互交.PUSH DSXOR AX,AXMOV DS,AXMOV WORD PTR[0417],0091POP DS     

Dabi病毒的分析与清除

本刊94年第8期曾刊出了《警惕!尚未达到发作条件的“东方红”病毒》一文.但并未登出清病毒程序.艾立武先生通过对病毒代码的分析,弄清了该病毒的原理,并编制了清毒程序KDABI.ASM,把该程序编译、链接转换为COM文件后使用,使用时先进入要清毒的目录下.然键入“KDABI文件名(回车)”即可,文件名可以含有通配符(＊和?),可以一次清除多个文件.该程序在LC486微机上调试通过,使用起来效果良好.     

1099病毒的分析与清除

近来流行一种新的病毒,常用检测软件对它不能发现和清除.由于其代码长1099字节(44bh),故称之为1099病毒.一、病毒特点1099病毒是一种恶性病毒,它发作时对硬盘进行格式化,使大量的数据丢失,应该引起人们的注意.病毒采取了较强的反跟踪措施,这给分析带来了困难.它首先用指令in al,21hor al,1ahout 21h,al来屏蔽对键盘的响应,然后将指令进行动态恢复,执行以后再将恢复出来的代码、数据清零,因此,同一时刻不能得到全部的反汇编代码.另外,病毒执行过程中用了大量的栈操作及灵活的跳转方式,静态分析不易看清其真面目.