关于加密文件与杀毒软件的冲突

这是一个新的讨论问题，现在好多朋友在担心这个问题，下面我们对这个问题讲些东西，希望帮助大家理解！ 字串8

不同的病毒如何感染计算机,病毒感染感染计算机主要有以下几种方式,这几种方式也决定的病毒的种类及发作方式.
1. 文件型病毒
描述:文件型病毒是常见的病毒,我们重点分析这类病毒, 文件型病毒只感染程序如WordPerfect或Microsoft Excel.每当运行一个被感染的程序时，文件性病毒就会传播.传播文件感染病毒的两个最常见的方式是通过一个可移动的盘(如软盘、Zip盘，甚至是CD),或通过电子邮件传播.
文件型病毒还主要分成寄生性病毒和重写性病毒,但是不管哪种文件型病毒,只感染程序.
这里就提一下.所谓我们常用的PC机上的可执行程序包括几种:1.最常见的是EXE文件,这是标准的可执行程序,于此相关的还有打包成执行文件的FLASH动画,RAR的自解压包之类.2.DLL文件,原理上讲DLL文件是没有入口的程序,所以他不能单独运行.它需要EXE去调用它.一旦被调用,它在内存中就和EXE的行为一样了.3. ACTIVEX控件, ACTIVEX控件就是变体的DLL文件.4批处理文件,批处理文件理论上讲不属于可执行文件,但是在WINDOWS下.批处理文件也是可以运行的.所以它也是文件型病毒的目标之一.
发作:文件型病毒你不去主动运行它,它是不会自己加载到内存并运行的.比如你收到一个带有附件的电子邮件,假如这个附件就是一病毒,但是你只要不打开附件,那这个病毒是不会运行的.还有相似情况的是电子邮件带了一个病毒网址的链接,如果你点击这个网址.你的电脑就会主动下载这个网址的ACTIVEX控件并运行,且这个控件正好就是病毒.如果你的PC防范措施不到位.可能就被感染上了.病毒运行后,就一直潜伏在内存中,当满足一定条件后就发作.比如CHI病毒,它检测到系统日期是4月26号,就会向主板BOIS写数据.达到破坏BIOS的目的.再比如MSN小尾巴病毒.只要它检测到MSN在运行,就会线程注入到MSN中,然后向你MSN所有的联系人发送自己的可执行文件,对方只要一打开,它也会感染上MSN小尾巴.

传播:文件型病毒一旦被运行,它就会到PC中找寻目标并感染目标,一般来说.它的主要目标就是系统自带的DLL和EXE,修改注册表,这些文件一般在WINDOWS的SYSTEM32目录下面,有些DLL就WINDOWS系统运行不可少的.它就把自己注入其中.这样,每次开机,它就能和这些DLL一起启动.05年的冲击波病毒就是把自身注入了SVCHOST.EXE文件.其次就是感染各种可执行文件,以达到复制自身的目的.或者找寻用户的邮件列表,把自己通过邮件发出去,现代蠕虫病毒的标准行为就是通过邮件把自己发出去.再次就是破坏系统文件,比如观乐时光病毒,它就破坏文件夹下的floder.htt文件,让用户的文件夹行为异常.
 杀毒:文件型病毒本身就是一个程序,寄生性文件病毒把自己加在正常的可执行程序结尾处,并改变正常可执行程序的文件头跳转指令来达到执行自己的目的. 重写病毒危险性更大一些。因为它们用自己的代码替换了部分程序代码，从物理上改变了所感染的文件，所以它们可以破坏或摧毁文件。如果运行被重写病毒感染的程序，该程序通常无法工作.应为它们本身是程序, 反病毒程序可以认出特定病毒的签名，签名就是内嵌在病毒中的具体指令，告诉病毒如何表现和行动。病毒的签名就像罪犯的指纹，每一个都是独特的，与众不同的(对杀毒软件来讲就是所谓的病毒库)。,杀毒软件就是找这些签名来达到查毒的目的.  字串9
总结:文件型病毒,平时我们讲的病毒几乎都是文件型病毒,它只感染程序文件,如果你不主动运行它也不会自动运行(有些情况例外,比如冲击波病毒,它是利用WINDOWS的RPC漏洞来进入你的系统,其实是骗过了WINDOWS的服务,让WINDOWS自己运行了它,所以虽然你没有运行它,但是它还是发作了,所以经常更新WONDOWS也是很重要的).查毒主要通过病毒特征码来完成
2. 引导型病毒
描述:引导病毒是感染磁盘的引导扇区的病毒,引导病毒只感染磁盘的引导扇区，每个磁盘的引导扇区告诉计算机如何使用这个磁盘。每当从被感染的硬盘或可移动盘(软盘、Zip盘、CD等)引导(或访问这些盘)时，引导病毒就会传播。由于每个盘都有一个引导扇区，包含指示计算机如何使用该盘的指令，引导病毒也会感染任何可移动的存储设备。 字串8

查毒:引导型病毒可以通过签名来查毒,也可以通过行为来查毒,因为很少有软件会修改磁盘引导区,如果发现有软件要修改引导区.一般都是病毒,加上它只感染引导扇区,所以病毒载体比起文件型病毒少多了, 因为上述原因,现在单纯的引导型病毒已经很少了.现代引导型病毒一般是和文件型病毒的混合体出现,
3. 宏病毒
描述:宏病毒只感染具体程序创建的文件，如用Microsoft Word创建的文档，或用Microsoft Excel创建的电子表格。宏病毒在加载受感染的文件(如受感染的Word文档)时传播。宏病毒是文档型病毒.
传播和行为:和用汇编语言、C/C++、BASIC或Pascal编写的其他类型的病毒不同的是，宏病毒是用某一具体程序的宏编程语言编写的。虽然大多数的宏病毒是Microsoft的宏语言Visual Basic for Applications(VBA)编写的，但有些早期的宏病毒是用WordBasic编写的，Word Basic是Micrsoft Word的一种较早的宏编程语言。
宏病毒感染定义文档的页边距、字体和一般格式设置的模板。每次从被宏病毒感染的模板创建一个新的文档，宏病毒就试图感染另一个模板和新创建的文档。因为大多数人都是共享文档文件，而不是模板文件，宏病毒非常聪明地把被感染的文档转换为模板文件，同时还保留它们普通文档文件的外观。所以当您认为您是在打开一个文档进行编辑时，实际上您打开的是一个模板。 字串8
尽管宏病毒非常普遍，但它们只限于感染Microsoft产品，如Word、Excel或PowerPoint创建的文档(至少在写作本书时是如此)。虽然有人试着编写了感染WordPro或WordPerfect文档的宏病毒，但这些宏病毒的传播并不是那么容易，因为WordPro或WordPerfect文档是在一个单独的文件中存储它们的宏。对比之下，当把一个Word或Excel文档文件复制到软盘，或通过网络、Internet复制Word或Excel文档文件时，就会自动地在一个文件中既复制了文档，又复制了宏。这给了宏病毒传播的机会。
查毒:综上所述,如果宏病毒要发作,必需让相应的软件加载感染病毒的文档才行.如果你机器的完全权限设置的高一点的话,宏就没有运行的机会.因为宏病毒的写作门槛很低,一般程序员都可以写出宏病毒,所以宏病毒很普遍,杀毒软件也很难处理所有的宏病毒,对与一些有名的宏病毒,杀毒软件可以通过查找特征签名来检测是否有病毒,其它的宏病毒就只能通过行为来判断了.OFFICE如果做出作出反常行为那么文档就很可能带有病毒.比如WORD加载了某个文档后,它就不停的修改WORD模板文件.那就有可能是宏病毒了.
4. 脚本病毒
描述:脚本病毒在90年初就有,但是只到互联网发展的今天才大行其道,脚本病毒并不是真正的病毒,称它为恶意代码比较合适. IE浏览器可以运行JAVA或VBA脚本来实现一些特殊效果.但是如果这些脚本的行为是非法的或背着用户做一些事情,那就是恶意代码了.情节严重的可以叫作病毒,也就是脚本病毒.

查毒:同宏病毒一样,恶意代码数量巨大,可以说每个不正当的网站都有一些恶意代码在等着浏览者,要防范它只能靠用户自觉.至少把浏览器的完全设置在”中等”完全设置上
综合一下各类病毒,我们可以做如下概述:
1. 除宏病毒之外的病毒都是程序,需要有用户或服务去运行它,它不会自动运行.
2. 宏病毒是一般载体是OFFICE文档(DOC文档,XLS文档),一般平台是OFFICE系列软件(WOED,EXCEL,OUTLOOK),只有当OFFICE软件加载了DOC文件后宏病毒才会发作
综合一下杀毒软件的查毒方式:
1. 查找特定病毒的签名，签名就是内嵌在病毒中的具体指令，告诉病毒如何表现和行动。病毒的签名就像罪犯的指纹，每一个都是独特的，与众不同的。
2. 通过检测病毒的行为发现病毒。反病毒程序经常能通过在病毒试图感染其他文件或磁盘时捕捉此病毒，来检测到以前未知的病毒的存在.
现在我们可以来分析文档加密软件对杀毒软件的影响
1. 文档加密是怎么会事.大家知道,计算机里所有的东西.都以二进制来保存的,文档也不例外,加密就是把文档中的’0’和’1’通过某种方式打乱,这种方式被称为加密算法,解密就是通过某种解密算法把乱掉的’0’和’1’回复过来.如果加密解密使用相同的算法的话.那就是对称加密,如果二都算法不同,就是非对称加密. 字串4
2. 杀毒软件主要是通过查找病毒的特征签名来查毒的,特征签名也是’0’和’1’排列而成.如果文件被加密后,杀毒软件就不一定能找到特征签名了,这种情况下,加密对杀毒软件查毒会造成影响.这里补充一下.如果文件打包后,二进制编码也会变化,比如用WINRAR软件压缩过的文件.杀毒软件也是不能正确的查毒,但是现代杀毒软件都有WINRAR解压缩权,所以它对压缩.文件查毒的时候是将文件解压后再扫描的.
对宏病毒和脚本病毒来说,除了少数流行的病毒可以通过特征签名来查杀,主要还是通过对软件的行为来分析是否为病毒.
3. 我们的文档加密软件主要针对文档进行加密,几乎不会对可执行程序加密(可执行程序有专用的加密软件).所以文档加密系统和杀毒软件只有一个交集,就是查杀宏病毒,上面说了.查杀宏病毒主要二种方式,一种是查找特征签名(只能针对流行的设计软件),另一种是分析OFFICE的行为来分析是否为病毒(主要就是这种方式来查毒),对第一种查找特征签名的方式,文档被加密后,杀毒软件可能不能正确查毒,对于第二种情况,分析OFFICE行为来查毒,应该不存在影响,应为被华陵软件加密系统加密过的文档用OFFICE打开的时候能自动解密.就和.正常文档一样.

字串7

结论:华陵图档保镖对大部分病毒的查杀不造成什么影响,除了对宏病毒以加密文档(仅OFFICE文档,其它文档主包括)的形式存在的时候,杀毒软件会查毒失败,如果感染宏病毒文档被OFFICE软件打开(如果OFFICE不打开文档宏病毒不可能发作)后.杀毒软件还是能查出病毒的.