木馬是怎麼樣隱藏的
木馬是一種隱藏性極強的病毒,那麼它是怎麼樣隱藏的呢?下面由小編給你做出詳細的木馬隱藏方式介紹!希望對你有幫助!
最基本的隱藏:不可見窗體+隱藏檔案
木馬查殺法程式無論如何神祕,但歸根究底,仍是Win32平臺下的一種程式。Windows下常見的程式有兩種:
木馬隱藏方式1.
Win32應用程式***Win32 Application***,比如QQ、Office等都屬於此行列。
木馬隱藏方式2.
Win32控制檯程式***Win32 Console***,比如硬碟引導修復程式FixMBR。
其中,Win32應用程式通常會有應用程式介面,比如系統中自帶的“計算器”就有提供各種數字按鈕的應用程式介面。木馬查殺法雖然屬於Win32應用程式,但其一般不包含窗體或隱藏了窗體***但也有某些特殊情況,如木馬查殺法使用者與被害者聊天的視窗***,並且將木馬查殺法檔案屬性設定為“隱藏”,這就是最基本的隱藏手段,稍有經驗的使用者只需開啟“工作管理員”,並且將“資料夾選項”中的“顯示所有檔案”勾選即可輕鬆找出木馬查殺法***見圖1***,於是便出現了下面要介紹的“程序隱藏”技術。
木馬隱藏方式第一代程序隱藏技術:
Windows 98的後門
在Windows 98中,微軟提供了一種能將程序註冊為服務程序的方法。儘管微軟沒有公開提供這種方法的技術實現細節***因為Windows的後續版本中沒有提供這個機制***,但仍有高手發現了這個祕密,這種技術稱為RegisterServiceProcess。只要利用此方法,任何程式的程序都能將自己註冊為服務程序,而服務程序在Windows 98中的工作管理員中恰巧又是不顯示的,所以便被木馬查殺法程式鑽了空子。
要對付這種隱藏的木馬查殺法還算簡單,只需使用其他第三方程序管理工具即可找到其所在,並且採用此技術進行隱藏的木馬查殺法在Windows 2000/XP***因為不支援這種隱藏方法***中就得現形!中止該程序後將木馬查殺法檔案刪除即可。可是接下來的第二代程序隱藏技術,就沒有這麼簡單對付了。
木馬隱藏方式第二代程序隱藏技術:
程序插入
在Windows中,每個程序都有自己的私有記憶體地址空間,當使用指標***一種訪問記憶體的機制***訪問記憶體時,一個程序無法訪問另一個程序的記憶體地址空間,就好比在未經鄰居同意的情況下,你無法進入鄰居家吃飯一樣。比如QQ在記憶體中存放了一張圖片的資料,而MSN則無法通過直接讀取記憶體的方式來獲得該圖片的資料。這樣做同時也保證了程式的穩定性,如果你的程序存在一個錯誤,改寫了一個隨機地址上的記憶體,這個錯誤不會影響另一個程序使用的記憶體。