詳細(xì)的電腦病毒介紹怎么樣
詳細(xì)的電腦病毒介紹怎么樣
什么是電腦病毒,你知道嗎! 下面由學(xué)習(xí)啦小編給你做出詳細(xì)的電腦病毒介紹!希望對(duì)你有幫助!
詳細(xì)的電腦病毒介紹:
病毒淺析: 此類病毒編寫(xiě)者的功力就有高有低了。高手所編寫(xiě)的遠(yuǎn)程控制系統(tǒng)可以和最優(yōu)秀的遠(yuǎn)程管理工具相媲美,例如開(kāi)山鼻主BO,國(guó)產(chǎn)的冰河,著名的黃金木馬sub7都屬于這一類,這類程序分為2個(gè)部分,控制端和被控制端;而在unix類平臺(tái)下的木馬經(jīng)常是一個(gè)簡(jiǎn)單外部命令的重新實(shí)現(xiàn)——例如將原本的ls命令替換掉,用自己寫(xiě)的一個(gè)程序代替,在執(zhí)行正常文件列表的同時(shí)隱含執(zhí)行特殊命令,這類木馬的編寫(xiě)水平也相當(dāng)高,但在windows下極少出現(xiàn)類似程序替代的木馬,這類病毒的聯(lián)系一般是單向進(jìn)行的;還有一類木馬就是網(wǎng)絡(luò)盜竊性質(zhì)的,以im軟件,網(wǎng)絡(luò)游戲盜號(hào)居多,近來(lái)發(fā)展為對(duì)金融業(yè)有所染指,這類一般就是通過(guò)程序監(jiān)視當(dāng)前窗口,并獲得當(dāng)前窗口特定控件的值(用戶名/密碼框里的值),然后通過(guò)email,遠(yuǎn)程登陸web數(shù)據(jù)庫(kù)等方式把獲得的密碼發(fā)出去,這類程序具有一定編程基礎(chǔ)的各位朋友都能做到;第4類是惟恐天下不亂的純搗亂程序,原理跟上一種類似,不過(guò)是朝文本框?qū)懶畔?,例如著名的qq尾巴病毒,這類病毒由于病毒作者將源代碼放出,改寫(xiě)起來(lái)相當(dāng)容易,智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO、冰河、Sub 7等。
感染途徑:系統(tǒng)漏洞/用戶錯(cuò)誤權(quán)限/社會(huì)工程學(xué);
利用系統(tǒng)漏洞——造成溢出——獲取一定權(quán)限——利用其他漏洞或用戶設(shè)置不當(dāng)提升權(quán)限——上傳惡意程序/修改系統(tǒng)設(shè)置——啟動(dòng)惡意程序。是這類病毒感染的慣用方式。在后期,出現(xiàn)了以誘騙用戶執(zhí)行為主要感染方式的新木馬,充分利用了社會(huì)工程學(xué),例如在im類軟件上給你發(fā)送一個(gè)名為“我的照片.exe”這樣的文件給你,引誘你打開(kāi)執(zhí)行。由于木馬的用途主要是將病毒編寫(xiě)者感興趣的資料回發(fā)——因此感染途徑99%來(lái)源于網(wǎng)絡(luò),在完全無(wú)網(wǎng)絡(luò)單機(jī)狀態(tài)下的木馬等于是沒(méi)用的死馬。
病毒自查:由于木馬發(fā)送者的企圖都是通過(guò)控制你的機(jī)器操作來(lái)獲得一定利益,因此都會(huì)設(shè)置啟動(dòng)時(shí)加載該程序。控制類的木馬需要占用相當(dāng)一部分系統(tǒng)資源——用戶直接能感覺(jué)到的就是啟動(dòng)速度變慢,系統(tǒng)運(yùn)行速度變慢;而帳號(hào)盜取類的木馬由于需要獲得特定窗口的窗口句柄,因此會(huì)在當(dāng)前窗口切換的時(shí)候進(jìn)行讀取判斷——在機(jī)器配置不高的機(jī)器上,如果快速輪循窗口,則感覺(jué)到窗口出現(xiàn)速度明顯下降;惡作劇類的木馬就不用提了,大家都知道不對(duì)勁。
木馬病毒在編制不夠完美的時(shí)候,會(huì)導(dǎo)致程序溢出——例如運(yùn)行ie的時(shí)候多次出現(xiàn)“非法操作”、打開(kāi)資源瀏覽器速度狂慢等現(xiàn)象,也可能是系統(tǒng)中了木馬后的蛛絲馬跡。在現(xiàn)象判斷上,確實(shí)沒(méi)有切實(shí)的客觀規(guī)則可循,主要是依據(jù)主觀經(jīng)驗(yàn)判斷??傊?mdash;—如果您沒(méi)有安裝任何軟件/修改任何設(shè)置,原本昨天速度飛快的機(jī)器今天要么總是非法操作,要么速度延遲——那么您被感染了病毒或木馬的可能性相當(dāng)大了。當(dāng)然,如果您的qq帳號(hào),傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬干的。另外,相當(dāng)多的木馬程序由于帶了hook鉤子,常常導(dǎo)致調(diào)試類程序出錯(cuò),如果您使用softice調(diào)試某些程序時(shí)經(jīng)常無(wú)故報(bào)錯(cuò),那或許也是系統(tǒng)中掛接了異常的hook程序——木馬。
病毒查殺:木馬病毒的繁衍也是相當(dāng)快速的,特別是行為上難以判斷——合法遠(yuǎn)程控制軟件和木馬在本質(zhì)上基本上無(wú)區(qū)別,在執(zhí)行行為上也相當(dāng)類似。而木馬的控制協(xié)議一般是走tcp/ip協(xié)議,理論上是可以在65535個(gè)端口中隨意選擇(當(dāng)然實(shí)際中會(huì)避開(kāi)一些保留端口,防止系統(tǒng)沖突——木馬最必要的生存條件就是其隱蔽性),因此也無(wú)法利用端口方式準(zhǔn)確判斷出病毒種類;通過(guò)特征碼方式,如果木馬作者沒(méi)有留下版本信息或說(shuō)明文字,則也相當(dāng)難以判斷;特別是木馬的源代碼公開(kāi)后,想在其中加入一段獨(dú)特的功能代碼不是什么難事,因而衍生的版本特別快也特別多,這更加大了殺毒軟件查殺的的難度。
事實(shí)上現(xiàn)在世面上的殺毒軟件對(duì)待木馬的查殺能力并不夠強(qiáng)大,如果有可能,可以選擇專用的木馬查殺軟件,如木馬克星等。當(dāng)然,木馬也有手工解決的辦法,而且對(duì)待層出不窮的木馬也只有手工查殺才能以不變應(yīng)萬(wàn)變——感染/修改設(shè)置/啟動(dòng)加載/運(yùn)行獲取密碼 是木馬必經(jīng)過(guò)的4個(gè)步驟,讓我們看看怎么找出藏在機(jī)器中的馬來(lái)——由于木馬需要啟動(dòng)加載執(zhí)行,因此大多采取修改啟動(dòng)項(xiàng)目來(lái)加載的方式進(jìn)行——那么,我們就到啟動(dòng)項(xiàng)目里去牽馬吧;
在這一步,需要用戶對(duì)自己windows的啟動(dòng)項(xiàng)目熟悉。Win98中,病毒可能在注冊(cè)表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 或者HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Services中,或者是system.ini文件的[boot]小節(jié)將默認(rèn)項(xiàng)目修改,或者是在Win.ini中的[Windows]小節(jié)中的load、run部分進(jìn)行加載;在WindowsStart MenuPrograms啟動(dòng)這里加載,如果是2000或者xp,除了上面提到的幾個(gè)地方,還可能以服務(wù)方式加載,在HKEY_LOCAL_MACHINESytemCurrent Control SetServices可以查到具體的加載項(xiàng)目。
對(duì)于這一步,由于每個(gè)人的機(jī)器設(shè)置不同,所以天緣也沒(méi)辦法給出列表來(lái)說(shuō)明到底加載的程序中哪些程序是正常的,哪些是不正常的。有個(gè)比較方便的方法是——當(dāng)您系統(tǒng)把需要安裝的軟件安裝得當(dāng)時(shí),您查看一下以上幾個(gè)位置,并把其中的項(xiàng)目記錄下來(lái),以后覺(jué)得自己可能中木馬了后,再對(duì)比一下以前的記錄,將后來(lái)添加的自啟動(dòng)程序記錄下名字/路徑,進(jìn)行刪除操作。這樣做的好處是——即使刪除掉的是正常程序,也不會(huì)是關(guān)鍵進(jìn)程,不會(huì)導(dǎo)致系統(tǒng)無(wú)法啟動(dòng),有恢復(fù)修改的余地。在Win98和XP中有個(gè)方便的Msconfig命令便于我們查看以上說(shuō)的啟動(dòng)項(xiàng)目,如果使用的是Win2000,可以將XP的該文件Copy過(guò)去使用。
如果的確發(fā)現(xiàn)了可疑的啟動(dòng)項(xiàng),那么接下來(lái)的工作就是刪除它了。
在刪除的步驟上,有2個(gè)選擇:
1.刪除啟動(dòng)項(xiàng)目,重新啟機(jī),刪除木馬文件;
2.禁止當(dāng)前運(yùn)行的木馬程序,刪除啟動(dòng)項(xiàng)目,重新啟機(jī);
兩種方法各有其優(yōu)點(diǎn),下面我們來(lái)一一分析。第一種方法,是刪除啟動(dòng)設(shè)置里的木馬程序選項(xiàng),并記錄下該木馬文件的位置(可用“查找”功能定位,并記錄下來(lái)),然后重新啟動(dòng)機(jī)器(直到機(jī)器被重新啟動(dòng)前木馬依然是存活著的),重新啟動(dòng)后,木馬程序本身依然存留在硬盤(pán)上,然后直接象刪除普通程序一樣刪除掉——這個(gè)方法的要點(diǎn)就是先禁止木馬的啟動(dòng)然后再行殺除,好處是操作簡(jiǎn)單,不需要借助其他軟件,特別是在Win98下默認(rèn)是無(wú)法查看某些進(jìn)程的,因此用這個(gè)方法相當(dāng)方便,壞處則是對(duì)某些木馬無(wú)效——某些木馬在運(yùn)行的時(shí)候會(huì)定期查看設(shè)置的啟動(dòng)項(xiàng)是否還存在,若是不存在的話會(huì)自動(dòng)修改過(guò)來(lái),屬于比較強(qiáng)硬的做法,于是第一種殺除方法就無(wú)法應(yīng)對(duì)這樣的木馬了;第2種方法是先通過(guò)進(jìn)程管理器查看,記錄并終止運(yùn)行可疑程序(不光是注冊(cè)表/配置文件里的木馬啟動(dòng)項(xiàng),有時(shí)候木馬程序本身會(huì)運(yùn)行一個(gè)附帶的獨(dú)立監(jiān)視程序來(lái)防止自己被改寫(xiě)
因此需要非常熟悉自己的機(jī)器上的固定正常運(yùn)行程序才能準(zhǔn)確判斷,當(dāng)然還有一個(gè)做法是非關(guān)鍵進(jìn)程都?xì)?mdash;—天緣在給朋友機(jī)器手工殺木馬的時(shí)候常這樣),之后再到啟動(dòng)項(xiàng)目里去殺除掉相關(guān)的啟動(dòng)項(xiàng)目,重新啟動(dòng)機(jī)器后再把剛才記錄下的進(jìn)程進(jìn)行仔細(xì)查看,把確認(rèn)為木馬的文件刪除掉。這個(gè)方法好處當(dāng)然就是比較容易殺掉一些定期檢查/回寫(xiě)啟動(dòng)項(xiàng)目的疑難木馬,不過(guò)對(duì)用戶的操作要求比較高一些。
以上2種方法如果掌握了,基本上就能把目前的木馬全部手工殺除掉,但遇到木馬使用2個(gè)程序互相關(guān)聯(lián)/檢查啟動(dòng),或者是在加載基本驅(qū)動(dòng)階段時(shí)以驅(qū)動(dòng)程序方式嵌入的木馬程序時(shí)候用上面提到的2種方法都無(wú)效。在Win2000/xp中,啟動(dòng)機(jī)器的時(shí)候會(huì)加載system32/drivers目錄下的驅(qū)動(dòng),而如果這些驅(qū)動(dòng)中含有惡意程序,那么它可以做到改寫(xiě)i/o,讓W(xué)indows修改某些文件無(wú)效,或讓操作某一注冊(cè)表無(wú)效,目前這一技術(shù)在病毒中尚未看到先例,但頗有爭(zhēng)議的3721已經(jīng)成功地運(yùn)用了該技術(shù),相信在不久的將來(lái)一些功力深厚的病毒作者也會(huì)運(yùn)用到此技術(shù)。天緣在這里預(yù)先提一下對(duì)該類病毒的刪除方法——由于病毒已改寫(xiě)i/o,故最好的做法是在非windows環(huán)境中將其刪除,具體的做法是用軟盤(pán)/光驅(qū)引導(dǎo)啟動(dòng),或者利用vFloppy等工具配合boot引導(dǎo)程序制作一個(gè)小型虛擬引導(dǎo)盤(pán),進(jìn)行殺除工作。
殺毒遺留:由于木馬程序并不一定只有一個(gè)可執(zhí)行文件,因此如果利用手工查殺的方法,或許會(huì)有一些木馬留下的dll,ocx等資源文件留下,副作用沒(méi)什么,但是會(huì)殘留在硬盤(pán)上。殺毒軟件嚴(yán)格意義上來(lái)說(shuō)只是殺除了一些比較流行的主流木馬,對(duì)待一些不太流行的木馬是視而不見(jiàn)的,專業(yè)的木馬查殺工具能殺除90%左右的木馬,但剩下的10%高技術(shù)的木馬也無(wú)法查殺——如上文提到采用3721那種加載到system32/drivers下的木馬在windows上改寫(xiě)文件/注冊(cè)表的讀寫(xiě),則無(wú)法在windows環(huán)境下查殺。
病毒防御:對(duì)待木馬,防止感染遠(yuǎn)比事后殺除更為重要——重要的文件/資料/帳號(hào)已經(jīng)被獲取了,即使把木馬殺了也無(wú)事于補(bǔ)。木馬的進(jìn)駐,除了利用系統(tǒng)漏洞,大多采用欺騙方式——記得一句古話:“便宜莫貪”。網(wǎng)絡(luò)上初認(rèn)識(shí)的朋友熱情地給你發(fā)他的照片,四處標(biāo)榜著的免費(fèi)游戲外掛,一些小站點(diǎn)吹噓的精品軟件,一些情色站點(diǎn)的專用播放器,一些所謂“安全站點(diǎn)”的所謂黑客工具。
世界上沒(méi)有絕對(duì)免費(fèi)的事,以上提到的這些事情中的確有一些是免費(fèi)的,當(dāng)更多的是木馬程序,或者利用程序捆綁技術(shù),將正常程序和木馬程序捆綁在一起的。如非必要盡量不要在這些地方進(jìn)行下載??傁胴潏D便宜,會(huì)吃大虧的——生活中如此,網(wǎng)絡(luò)上同樣是!網(wǎng)絡(luò)上喜歡你6位qq號(hào)的人遠(yuǎn)比覺(jué)得你帥的人多;網(wǎng)絡(luò)上喜歡你40級(jí)帳號(hào)的人遠(yuǎn)比喜歡你在游戲中造型的人多;網(wǎng)絡(luò)上希望你作他肉機(jī)的人遠(yuǎn)比他做你肉機(jī)的人多??傊痪湓?,無(wú)事獻(xiàn)殷勤——大多非奸即盜!對(duì)待漏洞或權(quán)限設(shè)置不當(dāng)?shù)模诤竺嫒湎x(chóng)病毒部分一并介紹。
看過(guò)“ 詳細(xì)的電腦病毒介紹怎么樣”人還看了: