詳細的電腦病毒介紹怎麼樣

  什麼是電腦病毒,你知道嗎! 下面由小編給你做出詳細的電腦病毒介紹!希望對你有幫助!

  詳細的電腦病毒介紹:

  病毒淺析: 此類病毒編寫者的功力就有高有低了。高手所編寫的遠端控制系統可以和最優秀的遠端管理工具相媲美,例如開山鼻主BO,國產的冰河,著名的黃金木馬sub7都屬於這一類,這類程式分為2個部分,控制端和被控制端;而在unix類平臺下的木馬經常是一個簡單外部命令的重新實現——例如將原本的ls命令替換掉,用自己寫的一個程式代替,在執行正常檔案列表的同時隱含執行特殊命令,這類木馬的編寫水平也相當高,但在windows下極少出現類似程式替代的木馬,這類病毒的聯絡一般是單向進行的;還有一類木馬就是網路盜竊性質的,以im軟體,網路遊戲盜號居多,近來發展為對金融業有所染指,這類一般就是通過程式監視當前視窗,並獲得當前視窗特定控制元件的值使用者名稱/密碼框裡的值,然後通過email,遠端登陸web資料庫等方式把獲得的密碼發出去,這類程式具有一定程式設計基礎的各位朋友都能做到;第4類是惟恐天下不亂的純搗亂程式,原理跟上一種類似,不過是朝文字框寫資訊,例如著名的qq尾巴病毒,這類病毒由於病毒作者將原始碼放出,改寫起來相當容易,智商85以上的人士都能勝任的。這類木馬病毒中的傑出代表為BO、冰河、Sub 7等。

  感染途徑:系統漏洞/使用者錯誤許可權/社會工程學;

  利用系統漏洞——造成溢位——獲取一定許可權——利用其他漏洞或使用者設定不當提升許可權——上傳惡意程式/修改系統設定——啟動惡意程式。是這類病毒感染的慣用方式。在後期,出現了以誘騙使用者執行為主要感染方式的新木馬,充分利用了社會工程學,例如在im類軟體上給你傳送一個名為“我的照片.exe”這樣的檔案給你,引誘你開啟執行。由於木馬的用途主要是將病毒編寫者感興趣的資料回發——因此感染途徑99%來源於網路,在完全無網路單機狀態下的木馬等於是沒用的死馬。

  病毒自查:由於木馬傳送者的企圖都是通過控制你的機器操作來獲得一定利益,因此都會設定啟動時載入該程式。控制類的木馬需要佔用相當一部分系統資源——使用者直接能感覺到的就是啟動速度變慢,系統執行速度變慢;而帳號盜取類的木馬由於需要獲得特定視窗的視窗控制代碼,因此會在當前視窗切換的時候進行讀取判斷——在機器配置不高的機器上,如果快速輪循視窗,則感覺到窗口出現速度明顯下降;惡作劇類的木馬就不用提了,大家都知道不對勁。

  木馬病毒在編制不夠完美的時候,會導致程式溢位——例如執行ie的時候多次出現“非法操作”、開啟資源瀏覽器速度狂慢等現象,也可能是系統中了木馬後的蛛絲馬跡。在現象判斷上,確實沒有切實的客觀規則可循,主要是依據主觀經驗判斷。總之——如果您沒有安裝任何軟體/修改任何設定,原本昨天速度飛快的機器今天要麼總是非法操作,要麼速度延遲——那麼您被感染了病毒或木馬的可能性相當大了。當然,如果您的qq帳號,傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬乾的。另外,相當多的木馬程式由於帶了hook鉤子,常常導致除錯類程式出錯,如果您使用softice除錯某些程式時經常無故報錯,那或許也是系統中掛接了異常的hook程式——木馬。

  病毒查殺:木馬病毒的繁衍也是相當快速的,特別是行為上難以判斷——合法遠端控制軟體和木馬在本質上基本上無區別,在執行行為上也相當類似。而木馬的控制協議一般是走tcp/ip協議,理論上是可以在65535個埠中隨意選擇當然實際中會避開一些保留埠,防止系統衝突——木馬最必要的生存條件就是其隱蔽性,因此也無法利用埠方式準確判斷出病毒種類;通過特徵碼方式,如果木馬作者沒有留下版本資訊或說明文字,則也相當難以判斷;特別是木馬的原始碼公開後,想在其中加入一段獨特的功能程式碼不是什麼難事,因而衍生的版本特別快也特別多,這更加大了防毒軟體查殺的的難度。

  事實上現在世面上的防毒軟體對待木馬的查殺能力並不夠強大,如果有可能,可以選擇專用的木馬查殺軟體,如木馬克星等。當然,木馬也有手工解決的辦法,而且對待層出不窮的木馬也只有手工查殺才能以不變應萬變——感染/修改設定/啟動載入/執行獲取密碼 是木馬必經過的4個步驟,讓我們看看怎麼找出藏在機器中的馬來——由於木馬需要啟動載入執行,因此大多采取修改啟動專案來載入的方式進行——那麼,我們就到啟動專案裡去牽馬吧;

  在這一步,需要使用者對自己windows的啟動專案熟悉。Win98中,病毒可能在登錄檔的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 或者HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Services中,或者是system.ini檔案的[boot]小節將預設專案修改,或者是在Win.ini中的[Windows]小節中的load、run部分進行載入;在WindowsStart MenuPrograms啟動這裡載入,如果是2000或者xp,除了上面提到的幾個地方,還可能以服務方式載入,在HKEY_LOCAL_MACHINESytemCurrent Control SetServices可以查到具體的載入專案。

  對於這一步,由於每個人的機器設定不同,所以天緣也沒辦法給出列表來說明到底載入的程式中哪些程式是正常的,哪些是不正常的。有個比較方便的方法是——當您系統把需要安裝的軟體安裝得當時,您檢視一下以上幾個位置,並把其中的專案記錄下來,以後覺得自己可能中木馬了後,再對比一下以前的記錄,將後來新增的自啟動程式記錄下名字/路徑,進行刪除操作。這樣做的好處是——即使刪除掉的是正常程式,也不會是關鍵程序,不會導致系統無法啟動,有恢復修改的餘地。在Win98和XP中有個方便的Msconfig命令便於我們檢視以上說的啟動專案,如果使用的是Win2000,可以將XP的該檔案Copy過去使用。

  如果的確發現了可疑的啟動項,那麼接下來的工作就是刪除它了。

  在刪除的步驟上,有2個選擇:

  1.刪除啟動專案,重新啟機,刪除木馬檔案;

  2.禁止當前執行的木馬程式,刪除啟動專案,重新啟機;

  兩種方法各有其優點,下面我們來一一分析。第一種方法,是刪除啟動設定裡的木馬程式選項,並記錄下該木馬檔案的位置可用“查詢”功能定位,並記錄下來,然後重新啟動機器直到機器被重新啟動前木馬依然是存活著的,重新啟動後,木馬程式本身依然存留在硬碟上,然後直接象刪除普通程式一樣刪除掉——這個方法的要點就是先禁止木馬的啟動然後再行殺除,好處是操作簡單,不需要藉助其他軟體,特別是在Win98下預設是無法檢視某些程序的,因此用這個方法相當方便,壞處則是對某些木馬無效——某些木馬在執行的時候會定期檢視設定的啟動項是否還存在,若是不存在的話會自動修改過來,屬於比較強硬的做法,於是第一種殺除方法就無法應對這樣的木馬了;第2種方法是先通過程序管理器檢視,記錄並終止執行可疑程式不光是登錄檔/配置檔案裡的木馬啟動項,有時候木馬程式本身會執行一個附帶的獨立監視程式來防止自己被改寫

  因此需要非常熟悉自己的機器上的固定正常執行程式才能準確判斷,當然還有一個做法是非關鍵程序都殺——天緣在給朋友機器手工殺木馬的時候常這樣,之後再到啟動專案裡去殺除掉相關的啟動專案,重新啟動機器後再把剛才記錄下的程序進行仔細檢視,把確認為木馬的檔案刪除掉。這個方法好處當然就是比較容易殺掉一些定期檢查/回寫啟動專案的疑難木馬,不過對使用者的操作要求比較高一些。

  以上2種方法如果掌握了,基本上就能把目前的木馬全部手工殺除掉,但遇到木馬使用2個程式互相關聯/檢查啟動,或者是在載入基本驅動階段時以驅動程式方式嵌入的木馬程式時候用上面提到的2種方法都無效。在Win2000/xp中,啟動機器的時候會載入system32/drivers目錄下的驅動,而如果這些驅動中含有惡意程式,那麼它可以做到改寫i/o,讓Windows修改某些檔案無效,或讓操作某一登錄檔無效,目前這一技術在病毒中尚未看到先例,但頗有爭議的3721已經成功地運用了該技術,相信在不久的將來一些功力深厚的病毒作者也會運用到此技術。天緣在這裡預先提一下對該類病毒的刪除方法——由於病毒已改寫i/o,故最好的做法是在非windows環境中將其刪除,具體的做法是用軟盤/光碟機引導啟動,或者利用vFloppy等工具配合boot載入程式製作一個小型虛擬引導盤,進行殺除工作。

  防毒遺留:由於木馬程式並不一定只有一個可執行檔案,因此如果利用手工查殺的方法,或許會有一些木馬留下的dll,ocx等資原始檔留下,副作用沒什麼,但是會殘留在硬碟上。防毒軟體嚴格意義上來說只是殺除了一些比較流行的主流木馬,對待一些不太流行的木馬是視而不見的,專業的木馬查殺工具能殺除90%左右的木馬,但剩下的10%高技術的木馬也無法查殺——如上文提到採用3721那種載入到system32/drivers下的木馬在windows上改寫檔案/登錄檔的讀寫,則無法在windows環境下查殺。

  病毒防禦:對待木馬,防止感染遠比事後殺除更為重要——重要的檔案/資料/帳號已經被獲取了,即使把木馬殺了也無事於補。木馬的進駐,除了利用系統漏洞,大多采用欺騙方式——記得一句古話:“便宜莫貪”。網路上初認識的朋友熱情地給你發他的照片,四處標榜著的免費遊戲外掛,一些小站點吹噓的精品軟體,一些情色站點的專用播放器,一些所謂“安全站點”的所謂黑客工具。

  世界上沒有絕對免費的事,以上提到的這些事情中的確有一些是免費的,當更多的是木馬程式,或者利用程式捆綁技術,將正常程式和木馬程式捆綁在一起的。如非必要儘量不要在這些地方進行下載。總想貪圖便宜,會吃大虧的——生活中如此,網路上同樣是!網路上喜歡你6位qq號的人遠比覺得你帥的人多;網路上喜歡你40級帳號的人遠比喜歡你在遊戲中造型的人多;網路上希望你作他肉機的人遠比他做你肉機的人多。總之一句話,無事獻殷勤——大多非奸即盜!對待漏洞或許可權設定不當的,在後面蠕蟲病毒部分一併介紹。

”人還: