了解病毒的秘密,为win7打造安全盔甲(2)

　　请引进”内存”的概念

　　无论是哪个操作系统，等开机程序完成后，使用者就可以执行各种应用软件。比方说，你可以执行浏览器、文书处理程序、影片播放程序……，具体的行为就是用鼠标在应用程序的图标上，连续按两下鼠标左键，是的，就是这么的”easy”。

　　只是一般人时常忘记的是：计算机里有个很重要的”组件”，称为”内存”。当使用者按下电源，执行开机程序时，这程序很重要的一个步骤就是：把操作系统的核心”从储存媒体加载到内存里面”。

　　操作系统的核心加载到内存里面之后，依照开发厂商的设计，会不断地维护着自身核心和使用者应用程序的正常运作，这个过程一样是精巧而脆弱的。此外，由于程序是”人”写的，若是写程序的人”乱写”(无论是有意还是无意的)，应用程序有可能会造成操作系统核心程序被破坏而导致当机。

　　至于病毒呢?

　　病毒会希望自己能够有下列能力：

　　常驻在内存中，把自己伪装成操作系统的一部分

　　伪装的过程中，最好让任何人、任何软件都发现不到

　　尽可能不要干扰原先程序的运作，以免自己被察觉

　　尽可能用各种方法，把自己(病毒)附身到别人(别台电脑)身上

　　如果有必要，可以作一些对作者有用(或是好玩)的事情，包括窃取个资、造成破坏……

　　可执行档学问多

　　好，如果病毒要把自身藏到内存中，首先它得让你去”执行”它。

　　问题是，哪个人会傻傻执行病毒──如果病毒的额头上写着”我是病毒，来喔来喔，来执行我”，那你会去碰它吗?铁定不会吧!

　　所以，病毒的写作者会想方设法、处心积虑的让使用者在不知不觉中执行之，以达成”感染”的目的。

　　所以，”可执行档”，就成了大部分病毒”寄生”的主要目标了。

　　所谓的可执行档，就是我们所说的”程序”、”软件”，通常这类软件也是一个(或数个)档案所构成。前面已经说过，软件要加载到内存中，才能被使用者所执行、运用之，因此软件的作者会使用开发工具将”原始程序”编译成”可执行档”，然后运送给使用者，让使用者可以执行之。

　　以前，可执行档只有固定几种格式：扩展名是.COM、.EXE、.BAT的，这些都是可执行档。到了Windows7时代，这还是没变。不过，Windows后来引进了很多”比较罕见”的可执行档案格式。比方说，.DLL是”动态链接库”，它也是一种”必须依附在主程序”底下的一种可执行档案;.SCR是屏幕保护程序，它也是一种特殊功能的可执行文件;.MSI(WindowsInstallerPackage)通常见于”安装程序”，但是……它也是一种可执行档;有些叙述档，像是.VBS、.JS……，它们也是可执行档案。

　　这里有一个”可执行档案”的扩展名列表，看到这类扩展名就要小心了，有害的东西就可能藏身于其中。