詳細的電腦病毒介紹怎么樣
詳細的電腦病毒介紹怎么樣
什么是電腦病毒,你知道嗎! 下面由學習啦小編給你做出詳細的電腦病毒介紹!希望對你有幫助!
詳細的電腦病毒介紹:
病毒淺析: 此類病毒編寫者的功力就有高有低了。高手所編寫的遠程控制系統(tǒng)可以和最優(yōu)秀的遠程管理工具相媲美,例如開山鼻主BO,國產(chǎn)的冰河,著名的黃金木馬sub7都屬于這一類,這類程序分為2個部分,控制端和被控制端;而在unix類平臺下的木馬經(jīng)常是一個簡單外部命令的重新實現(xiàn)——例如將原本的ls命令替換掉,用自己寫的一個程序代替,在執(zhí)行正常文件列表的同時隱含執(zhí)行特殊命令,這類木馬的編寫水平也相當高,但在windows下極少出現(xiàn)類似程序替代的木馬,這類病毒的聯(lián)系一般是單向進行的;還有一類木馬就是網(wǎng)絡盜竊性質(zhì)的,以im軟件,網(wǎng)絡游戲盜號居多,近來發(fā)展為對金融業(yè)有所染指,這類一般就是通過程序監(jiān)視當前窗口,并獲得當前窗口特定控件的值(用戶名/密碼框里的值),然后通過email,遠程登陸web數(shù)據(jù)庫等方式把獲得的密碼發(fā)出去,這類程序具有一定編程基礎(chǔ)的各位朋友都能做到;第4類是惟恐天下不亂的純搗亂程序,原理跟上一種類似,不過是朝文本框?qū)懶畔?,例如著名的qq尾巴病毒,這類病毒由于病毒作者將源代碼放出,改寫起來相當容易,智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO、冰河、Sub 7等。
感染途徑:系統(tǒng)漏洞/用戶錯誤權(quán)限/社會工程學;
利用系統(tǒng)漏洞——造成溢出——獲取一定權(quán)限——利用其他漏洞或用戶設(shè)置不當提升權(quán)限——上傳惡意程序/修改系統(tǒng)設(shè)置——啟動惡意程序。是這類病毒感染的慣用方式。在后期,出現(xiàn)了以誘騙用戶執(zhí)行為主要感染方式的新木馬,充分利用了社會工程學,例如在im類軟件上給你發(fā)送一個名為“我的照片.exe”這樣的文件給你,引誘你打開執(zhí)行。由于木馬的用途主要是將病毒編寫者感興趣的資料回發(fā)——因此感染途徑99%來源于網(wǎng)絡,在完全無網(wǎng)絡單機狀態(tài)下的木馬等于是沒用的死馬。
病毒自查:由于木馬發(fā)送者的企圖都是通過控制你的機器操作來獲得一定利益,因此都會設(shè)置啟動時加載該程序??刂祁惖哪抉R需要占用相當一部分系統(tǒng)資源——用戶直接能感覺到的就是啟動速度變慢,系統(tǒng)運行速度變慢;而帳號盜取類的木馬由于需要獲得特定窗口的窗口句柄,因此會在當前窗口切換的時候進行讀取判斷——在機器配置不高的機器上,如果快速輪循窗口,則感覺到窗口出現(xiàn)速度明顯下降;惡作劇類的木馬就不用提了,大家都知道不對勁。
木馬病毒在編制不夠完美的時候,會導致程序溢出——例如運行ie的時候多次出現(xiàn)“非法操作”、打開資源瀏覽器速度狂慢等現(xiàn)象,也可能是系統(tǒng)中了木馬后的蛛絲馬跡。在現(xiàn)象判斷上,確實沒有切實的客觀規(guī)則可循,主要是依據(jù)主觀經(jīng)驗判斷。總之——如果您沒有安裝任何軟件/修改任何設(shè)置,原本昨天速度飛快的機器今天要么總是非法操作,要么速度延遲——那么您被感染了病毒或木馬的可能性相當大了。當然,如果您的qq帳號,傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬干的。另外,相當多的木馬程序由于帶了hook鉤子,常常導致調(diào)試類程序出錯,如果您使用softice調(diào)試某些程序時經(jīng)常無故報錯,那或許也是系統(tǒng)中掛接了異常的hook程序——木馬。
病毒查殺:木馬病毒的繁衍也是相當快速的,特別是行為上難以判斷——合法遠程控制軟件和木馬在本質(zhì)上基本上無區(qū)別,在執(zhí)行行為上也相當類似。而木馬的控制協(xié)議一般是走tcp/ip協(xié)議,理論上是可以在65535個端口中隨意選擇(當然實際中會避開一些保留端口,防止系統(tǒng)沖突——木馬最必要的生存條件就是其隱蔽性),因此也無法利用端口方式準確判斷出病毒種類;通過特征碼方式,如果木馬作者沒有留下版本信息或說明文字,則也相當難以判斷;特別是木馬的源代碼公開后,想在其中加入一段獨特的功能代碼不是什么難事,因而衍生的版本特別快也特別多,這更加大了殺毒軟件查殺的的難度。
事實上現(xiàn)在世面上的殺毒軟件對待木馬的查殺能力并不夠強大,如果有可能,可以選擇專用的木馬查殺軟件,如木馬克星等。當然,木馬也有手工解決的辦法,而且對待層出不窮的木馬也只有手工查殺才能以不變應萬變——感染/修改設(shè)置/啟動加載/運行獲取密碼 是木馬必經(jīng)過的4個步驟,讓我們看看怎么找出藏在機器中的馬來——由于木馬需要啟動加載執(zhí)行,因此大多采取修改啟動項目來加載的方式進行——那么,我們就到啟動項目里去牽馬吧;
在這一步,需要用戶對自己windows的啟動項目熟悉。Win98中,病毒可能在注冊表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 或者HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Services中,或者是system.ini文件的[boot]小節(jié)將默認項目修改,或者是在Win.ini中的[Windows]小節(jié)中的load、run部分進行加載;在WindowsStart MenuPrograms啟動這里加載,如果是2000或者xp,除了上面提到的幾個地方,還可能以服務方式加載,在HKEY_LOCAL_MACHINESytemCurrent Control SetServices可以查到具體的加載項目。
對于這一步,由于每個人的機器設(shè)置不同,所以天緣也沒辦法給出列表來說明到底加載的程序中哪些程序是正常的,哪些是不正常的。有個比較方便的方法是——當您系統(tǒng)把需要安裝的軟件安裝得當時,您查看一下以上幾個位置,并把其中的項目記錄下來,以后覺得自己可能中木馬了后,再對比一下以前的記錄,將后來添加的自啟動程序記錄下名字/路徑,進行刪除操作。這樣做的好處是——即使刪除掉的是正常程序,也不會是關(guān)鍵進程,不會導致系統(tǒng)無法啟動,有恢復修改的余地。在Win98和XP中有個方便的Msconfig命令便于我們查看以上說的啟動項目,如果使用的是Win2000,可以將XP的該文件Copy過去使用。
如果的確發(fā)現(xiàn)了可疑的啟動項,那么接下來的工作就是刪除它了。
在刪除的步驟上,有2個選擇:
1.刪除啟動項目,重新啟機,刪除木馬文件;
2.禁止當前運行的木馬程序,刪除啟動項目,重新啟機;
兩種方法各有其優(yōu)點,下面我們來一一分析。第一種方法,是刪除啟動設(shè)置里的木馬程序選項,并記錄下該木馬文件的位置(可用“查找”功能定位,并記錄下來),然后重新啟動機器(直到機器被重新啟動前木馬依然是存活著的),重新啟動后,木馬程序本身依然存留在硬盤上,然后直接象刪除普通程序一樣刪除掉——這個方法的要點就是先禁止木馬的啟動然后再行殺除,好處是操作簡單,不需要借助其他軟件,特別是在Win98下默認是無法查看某些進程的,因此用這個方法相當方便,壞處則是對某些木馬無效——某些木馬在運行的時候會定期查看設(shè)置的啟動項是否還存在,若是不存在的話會自動修改過來,屬于比較強硬的做法,于是第一種殺除方法就無法應對這樣的木馬了;第2種方法是先通過進程管理器查看,記錄并終止運行可疑程序(不光是注冊表/配置文件里的木馬啟動項,有時候木馬程序本身會運行一個附帶的獨立監(jiān)視程序來防止自己被改寫
因此需要非常熟悉自己的機器上的固定正常運行程序才能準確判斷,當然還有一個做法是非關(guān)鍵進程都殺——天緣在給朋友機器手工殺木馬的時候常這樣),之后再到啟動項目里去殺除掉相關(guān)的啟動項目,重新啟動機器后再把剛才記錄下的進程進行仔細查看,把確認為木馬的文件刪除掉。這個方法好處當然就是比較容易殺掉一些定期檢查/回寫啟動項目的疑難木馬,不過對用戶的操作要求比較高一些。
以上2種方法如果掌握了,基本上就能把目前的木馬全部手工殺除掉,但遇到木馬使用2個程序互相關(guān)聯(lián)/檢查啟動,或者是在加載基本驅(qū)動階段時以驅(qū)動程序方式嵌入的木馬程序時候用上面提到的2種方法都無效。在Win2000/xp中,啟動機器的時候會加載system32/drivers目錄下的驅(qū)動,而如果這些驅(qū)動中含有惡意程序,那么它可以做到改寫i/o,讓Windows修改某些文件無效,或讓操作某一注冊表無效,目前這一技術(shù)在病毒中尚未看到先例,但頗有爭議的3721已經(jīng)成功地運用了該技術(shù),相信在不久的將來一些功力深厚的病毒作者也會運用到此技術(shù)。天緣在這里預先提一下對該類病毒的刪除方法——由于病毒已改寫i/o,故最好的做法是在非windows環(huán)境中將其刪除,具體的做法是用軟盤/光驅(qū)引導啟動,或者利用vFloppy等工具配合boot引導程序制作一個小型虛擬引導盤,進行殺除工作。
殺毒遺留:由于木馬程序并不一定只有一個可執(zhí)行文件,因此如果利用手工查殺的方法,或許會有一些木馬留下的dll,ocx等資源文件留下,副作用沒什么,但是會殘留在硬盤上。殺毒軟件嚴格意義上來說只是殺除了一些比較流行的主流木馬,對待一些不太流行的木馬是視而不見的,專業(yè)的木馬查殺工具能殺除90%左右的木馬,但剩下的10%高技術(shù)的木馬也無法查殺——如上文提到采用3721那種加載到system32/drivers下的木馬在windows上改寫文件/注冊表的讀寫,則無法在windows環(huán)境下查殺。
病毒防御:對待木馬,防止感染遠比事后殺除更為重要——重要的文件/資料/帳號已經(jīng)被獲取了,即使把木馬殺了也無事于補。木馬的進駐,除了利用系統(tǒng)漏洞,大多采用欺騙方式——記得一句古話:“便宜莫貪”。網(wǎng)絡上初認識的朋友熱情地給你發(fā)他的照片,四處標榜著的免費游戲外掛,一些小站點吹噓的精品軟件,一些情色站點的專用播放器,一些所謂“安全站點”的所謂黑客工具。
世界上沒有絕對免費的事,以上提到的這些事情中的確有一些是免費的,當更多的是木馬程序,或者利用程序捆綁技術(shù),將正常程序和木馬程序捆綁在一起的。如非必要盡量不要在這些地方進行下載??傁胴潏D便宜,會吃大虧的——生活中如此,網(wǎng)絡上同樣是!網(wǎng)絡上喜歡你6位qq號的人遠比覺得你帥的人多;網(wǎng)絡上喜歡你40級帳號的人遠比喜歡你在游戲中造型的人多;網(wǎng)絡上希望你作他肉機的人遠比他做你肉機的人多。總之一句話,無事獻殷勤——大多非奸即盜!對待漏洞或權(quán)限設(shè)置不當?shù)模诤竺嫒湎x病毒部分一并介紹。
看過“ 詳細的電腦病毒介紹怎么樣”人還看了:
4.電腦病毒詳細介紹
5.電腦病毒報告介紹