机理的文章。
通过修改 win.ini
字段[boot]中的键
自动运行notepad.exe,修改后的win.ini 或system.ini 文件象这样就可以:
win.ini
[windows]
load=c:\winnt\notepad.exe
run=c:\winnt\notepad.exe
Run,
Run
RunServices
RunOnce,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunOnce
RunServicesOnce
载,要仔细检查是不是病毒所为。
殊,原因有六:
自动执行的效果;
新的应用软件后
被立即更改,
靠地自动完成余下的任务;
执行
序在安装时创建了它,
又不会自动删除它;
的方法对其它驱动程序
CONFIG.SYS是DOS系统中的一个重要文件,它的配置直接影响到系统的使用
及其效率。如果配置不当的话,可能很多程序都无法正常运行。因此,正确合理
地配置CONFIG.SYS文件是十分必要和重要的。
处于DOS环境,只能运行16位应用程序,Windows下的32位程 序是不能运行的。因
此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce
for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于xx应用程序)也是
先要在Autoexec.bat文件中运行然后才能在Windows中呼 叫出窗口,进行调试的,既
然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我
想能写这样木马的人一定是高手中的高手了。
是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是
Windows的面貌(如改为Progman.exe就可以让Win9x变成Windows3.2)。我们
可以在 “Explorer.exe”后加上木马程序的路径,这样Windows启动后木马也就
随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证
永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果
木马程序也具有自动检测添加Shell项的功能的话,那简直是天 衣无缝的绝配,
我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没
有xx之法了。但这种方式也有个先天的不足,因为只有 Shell这一项嘛,如果
有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启
动,呵呵以毒攻毒啊。
Windows 病毒的九大藏身地点
ndows\load,观察一下有没有可疑程序安家
inlogon\Userinit,找找有没有病毒在这里申请运行
cies\Explorer\Run
硬件设备传播。
被人们所接受并得到广泛的使用。商务来往的电子邮件,还有浏览网页、下载软
件、即时通讯软件、网络游戏等等,都是通过互联网这一媒介进行。如此频繁的
使用率,注定备受病毒的“青睐”。
找到了载体,最常见的是通过 Internet 交换 Word 格式的文档。由于
的广泛,其传播速度相当神速。电子邮件携带病毒、木马及其他恶意程序,会导
致收件者的计算机被黑客入侵。email
BBS 文件区也是病毒传播的主要形式。经常有病毒制造者上传带毒文件到FTP 和
BBS 上,通常是使用群发到不同组,很多病毒伪装成 一些软件的新版本,甚至是
杀毒软件。很多病毒流行都是依靠这种方式同时使上千台计算机染毒。
深受大众用户的喜爱,用户可以在BBS 上进行文件交换(包括自由软件、游戏、自
病毒程序编写者提供了传播病毒的场所。各城市BBS 站间通过中心站间进行传送,
传播面较广。随着BBS 在国内的普及,给病毒的传播又增加了新的介质。
即使是亲朋好友的邮件也要倍加小心。
并且每次打开IE 都被迫登陆某一固定网站,有的还被禁止恢复还原,这便是恶意
代码 在作怪。当你的IE 被修改,注册表不能打开了,开机后IE 疯狂地打开窗口,
被强制安装了一些不想安装的软件,甚至可能当你访问了某个网页时,而自己的
硬盘 却被格式化……那么很不幸,你肯定是中了恶意网站或恶意软件的毒了。
其中某些链接或下载软件时,便会自动在您的浏览器或系统中安装上某种间谍程
序。这些间谍程序便可让您的浏览器不定时地访问其站点,或者截获您的私人信
息并发送给他人。
识别恶意网站地址,有效封杀通过恶意网站进行感染的病毒和木马。同时,随着
光华反病毒软件的每日自动升级,恶意网站列表将不断更新,所以不必担心列表
中的网站数量有限。
广告软件的打扰真正实现您自由自在的网络游弋。
绿色上网插件窗口。同样,针对不同类型的恶意软件,光华为我们进行了详细的
分 类,有国内、国外、聊天、安全、游戏等等。我们在相应的分类上点选自己想
屏蔽的组件,即可屏蔽上网过程中出现的各种恶意组件,免受间谍软件、广告软
件的打 扰。
不要轻易下载小网站的软件与程序,下载的软件需先进行安全检查,确认无安全
无病毒后再安装使用,确保您的计算机始终处于安全的环境下。
{zg}的软件,它已经从原来纯娱乐休闲工具变成生活工作的必备利器。由于用户
数量众多, 再加上即时通讯软件本身的安全缺陷,例如内建有联系人清单,使得
病毒可以方便地获取传播目标,这些特性都能被病毒利用来传播自身,导致其成
为病毒的攻击目 标。事实上,臭名昭著、造成上百亿美元损失的求职信(Worm.Klez)
病毒就是{dy}个可以通过ICQ 进行传播的恶性蠕虫,它可以遍历本地ICQ 中的联
络人清单来传播自身。而更多的对即时通讯软件形成安全隐患的病毒还正在陆续
发现中,并有愈演愈烈的态势。截至目前,通过
QQ
种。
用户的计算机,进行文件共享与交换。每天全球有成千上万的网民在通过
件交换资源、共享文件。由于这是一种新兴的技术,还很不完善,因此,存在着
很大的安全隐患。由于不经过中继服务器,使用起来更加随意,所以许多病 毒制
造者开始编写依赖于P2P 技术的病毒。
确定是否真的是好友所发。要防范通过 IRC
生的站点下载可疑文件并执行,而且轻易不要在 IRC
文件,以免计算机受到损害。
通过网络游戏传播:
生活的压力,实现自我价值,可以说,网络游戏已经成了一部分人生活中不可或
缺的东 西。对于游戏玩家来说,网络游戏中最重要的就是装备、道具这类虚拟物
品了,这类虚拟物品会随着时间的积累而成为一种有真实价值的东西,因此出现
了针对这些 虚拟物品的交易,从而出现了偷盗虚拟物品的现象。一些用户要想非
法得到用户的虚拟物品,就必须得到用户的游戏帐号信息,因此,目前网络游戏
的安全问题主要 就是游戏xx问题。由于网络游戏要通过电脑并连接到网络上才
能运行,偷盗玩家游戏账号、密码最行之有效的武器莫过于特洛伊木马(Trojan
horse),专门偷窃网游账号和密码的木马也层出不穷,这种攻击性武器无论是菜鸟
级的黑客,还是研究网络安全的高手,都视为{za}。
组成网络的每一台计算机都能连接到其他计算机,数据也能从一台计算机发送到
其他计 算机上。如果发送的数据感染了计算机病毒,接收方的计算机将自动被感
染,因此,有可能在很短的时间内感染整个网络中的计算机。局域网络技术的应
用为企业的 发展作出巨大贡献,同时也为计算机病毒的迅速传播铺平了道路。同
时,由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播。
机的专用集成电路芯片(ASIC)和硬盘为病毒的重要传播媒介。通过
ASIC
病毒极为少见,但是,其破坏力却极强,一旦遭受病毒侵害将会直接导致计算机
硬件的损坏,检测、查杀此类病毒的手段还需进一步的提高。
盘传播计算机病毒的途径是:硬盘向软盘上复制带毒文件、带毒情况下格式化软盘、
向光盘上刻录带毒文件、硬盘之间的数据复制,以及将带毒文件发送至其它地方
等。
我们常见的软盘、磁带、光盘、移动硬盘、U 盘(含数码相机、MP3 等)、ZIP 和
磁盘,后两者仅仅是存储容量比较大的特殊磁盘。软盘主要是携带方便,早期在
网络还不普及时,软盘是使用广泛、移动频繁的存储介质,因此也成了计算机 病
毒寄生“温床”。光盘的存储容量大,所以大多数软件都刻录在光盘上,以便互相传
递;同时,盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要 途
径。随着大容量可移动存储设备如 Zip
用,这些存储介质也将成为计算机病毒寄生的场所。
因其超大空间的存储量,逐步成为了使用最广泛、最频繁的存储介质,为计算机
病毒寄生的提供更宽裕的空间。目前,U 盘病毒逐步的增加,使得 U 盘成为第二
大病毒传播途径。
设备的用户要特别谨慎小心,以防感染木马,造成自己的信息失密并被窃取。
装,以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。
4.0,可选。
shell\2\=浏览(&B)
而且还会生成一些与U盘根目录文件夹同名的EXE文件并隐藏相关的文件夹,这
些与文件夹同名的EXE文件的图标与文件夹一模一样 ,所以你双击相关文件的时
候,实际上运行的是病毒程序,这个病毒程序会打开同名的隐藏文件夹,所以用
户可能以为打开的是文件夹。
件(工具-文件夹选项-查看-高级设置)或者在打开文件夹前点右键-属性 如果是
该对象是文件夹,则 “类型:”后面将是“文件夹”(注:通过类型判断的方法
并非xx可靠,建议使用{dy}种方法)
算是一个变异的autorun病毒
可能有变化)
必要加以防范的一种病毒传播途径。随着智能手机的普及,通过彩信、上网浏览
与下载到 手机中的程序越来越多,不可避免的会对手机安全产生隐患,手机病毒
会成为新一轮电脑病毒危害的“源头”。手机、特别是智能手机和3G网络发展的
同时,手机 病毒的传播速度和危害程度也与日俱增。通过无线传播的趋势很有可
能将会发展成为第二大病毒传播媒介,并很有可能与网络传播造成同等的危害。
上下载信息和文件,即便是有这方面的需求,也{zh0}从一些正规网站上下载。收
到带有 病毒的短信或邮件立即删除,键盘被锁死应立即取下电池,然后重新开机
进行删除。可先用光华反病毒软件手机版查杀病毒,如仍旧不能恢复正常的,请
及时将手机 送厂维修,避免病毒二次传播
基本特征,任何病毒都希望在被感染的计算机中隐藏起来不被发现,因为病毒都
只有在不 被发现的情况下,才能实施其破坏行为。为了达到这个目的,许多病毒
使用了各种不同的技术来躲避反病毒软件的检验,这样就产生了各种各样令普通
用户xx的病 毒隐藏形式。由于木马后门的行为特征已具备病毒条件,因此这里
把木马后门也统一归纳为病毒来描述。
普及并不是很广泛,这个时期的用户群对计算机和网络安全的防范意识可以说 是
几乎没有的,普通用户的系统也多为脆弱的Windows 95/98系列和电话线拨号的
慢速网络,而那一段时间正是外国木马“bo”和国产木马雏形“冰河”、
金时期,很多用户根本就没有防火墙和杀毒软件(即使有,也是以杀cih的为主),
即使远方的黑客把用户的计算机翻了个底朝天,用 户也不会有所察觉,这一时期
接触此类技术的人相对较少,因此并未造成如今这个病毒到处蔓延的局面。
者们并不需要消耗太多的脑筋就可以做到让病毒悄无声息运行的效果,并让它在
alt+del+ctrl呼出的任务管理器中不可见。
这个途径与用户产生交互,每个完整的程序都必须拥有至少一个窗口, 但是如果
编写者将这个窗口在运行期间设置为“不可见”呢?这样一来,用户就不会察觉到
这个程序在桌面上运行了,但是如果有一定经验的用户打开任务管理器, 他就会
因为发现系统里多出来的进程而产生怀疑,因此病毒编写者在这个时期采取了初
级形式的隐藏手段:隐藏进程。
interface,应用程序接口)函数“registerserviceprocess”将自身注册为“服
务进程”,而恰巧Windows 9x中的任务管理器是不会显示此类进程的,结果就被
病毒钻了空子,让“冰河”等木马在国内大部分普通用户的机器上安家落户。
藏手段相比,它可谓是“不入流”级别了——这里提到的“隐藏”,就是简单 的
将文件属性设置为“隐藏”而已,除此之外,再无别的保护手段了,然而,由于
系统设计时为了避免初学者胡乱删除文件而默认“不显示系统和隐藏文件”的做
法 (到了Windows 2000/xp时代,这个做法更升级到“隐藏受保护的系统文件”
了),却恰好给这些病毒提供了xx的隐身场所——大部分对电脑操作不熟悉的用
户根本不知道 “隐藏文件”的含义,更别提设置为“显示所有文件”了,在那个
安全软件厂商刚开始探索市场的时代,用户更是不会留意太多安全产品及其实际
含义,因而这个时 期成了各种初期木马技术发展的重要阶段,利用这种手段制作
的木马被统称为“{dy}代木马”。
了,因为它们采用的“进程隐藏”技术在nt体系上的 Windows2000/xp/2003等操
作系统上已经无效了,直接使用系统自带的任务管理器便能发现和迅速终止进程
运行,而后在“控制面板”——“文 件夹选项”里面设置“显示所有文件”和取
消“隐藏受保护的系统文件”,就能发现那个被隐藏起来的木马程序了。对于
Windows 9x用户,使用任意一款第三方的进程管理工具如“Windows优化大师”
的进程管理组件即可轻松发现。
那个混沌时代经历过来的人都不会忘记{sg}采用“线程注射”的dll木马“广外
幽灵”在当时所带来的恐惧,“线程注射”到底是种什么东西呢?下面就让我们来
详细讲解一下。
不能不先提到“进程”(process)的概念。许多刚接触计算 机的用户无法理解
到任务管理器列表里的一堆东西,头就大了。许多用户知道使用任 务管理器关闭
一些失去响应的任务,但是如果某个任务没有在“应用程序”列表里出现,用户
就不知所措了。到底什么是“进程”呢?“进程”是指一个可执行文件 在运行期
间请求系统在内存里开辟给它的数据信息块,系统通过控制这个数据块为运行中
的程序提供数据交换和决定程序生存期限,任何程序都必须拥有至少一个进 程,
否则它不被系统承认。
像,它通常和某个在磁盘上的文件保持着对应关系,一个完整的进程信息包括很
多方面的数据,我们使用进程查看工具看到的“应用程序”选项卡包含的是进程
的标题,而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等,其
中 “进程文件名”和“进程标识符”是必须掌握的关键,“进程标识符”是系统
分配给进程内存空间时指定的{wy}数字,进程从载入内存到结束运行的期间里这
个数字 都是保持不变的,而“进程文件名”则是对应着的介质存储文件名称,根
据“进程文件名”我们就可以找到最初的可执行文件位置。
出来的窗口对象,例如用户打开word 2003撰写文档,它的进程“winword.exe”
会创建一个在桌面上显示的前台窗口,这个窗口就是任务管理器里看得见的“任
务”了,而实际上真正在 运行的是进程“winword.exe”。并不是所有的进程都
会在任务管理器里留下“任务”的,像qq、msn和所有后台程序,它们并不会在
任务列表里出 现,但是你会在进程列表里找到它们,如果要它们在任务列表里出
现该怎么办呢?只要让它们产生一个在桌面上出现的窗体就可以了,随便打开一个
好友聊天,就会 发现任务列表里终于出现了qq的任务。因此,真正科学的终止
程序执行方案是针对“进程”来结束程序的运行,而不是在任务列表里关闭程序,
因为木马作者们是 不会让自己的木马在任务列表里出现的,但是进程列表里一般
人都是逃不过的。
一个网络文件传输程序如果只有一个线程(单线程)运作,那么它的执行效率 会非
常低下,因为它既需要从网络上读取文件数据,又需要把文件保存到磁盘,同时
还需要绘制当前传输进度条,由于在代码的角度里这些操作只能一条条的顺序执
行,程序就不能很好的做到在保存数据的同时绘制传输进度条,即使程序员将其
勉强凑到一块执行,在用户方面看来,这个程序的响应会非常缓慢甚至直接崩溃,
而 “多线程”技术则是为了解决这种问题而产生的,采用“多线程”技术编写的
应用程序在运行时可以产生多个同时执行的操作实例,例如一个采用“多线程”
技术的 网络文件传输程序就能同时分出三个进度来同时执行网络数据传输、文件
保存操作和绘制传输进度条的操作,于是在用户看来,这个程序运行非常流畅,
这就是线程 的作用。在程序运行时,只能产生一个进程,但是在这个进程的内存
空间(系统为程序能正常执行而开辟的独立内存领域)里,可以产生多个线程,其
中至少有一个 默认的线程,被称为“主线程”,它是程序主要代码的运行部分。
已投稿到: |
|
---|