詳細(xì)的電腦病毒介紹怎么樣

詳細(xì)的電腦病毒介紹怎么樣

　　什么是電腦病毒，你知道嗎!　下面由學(xué)習(xí)啦小編給你做出詳細(xì)的電腦病毒介紹!希望對(duì)你有幫助!

　　詳細(xì)的電腦病毒介紹：

　　病毒淺析： 此類病毒編寫者的功力就有高有低了。高手所編寫的遠(yuǎn)程控制系統(tǒng)可以和最優(yōu)秀的遠(yuǎn)程管理工具相媲美，例如開山鼻主BO，國(guó)產(chǎn)的冰河，著名的黃金木馬sub7都屬于這一類，這類程序分為2個(gè)部分，控制端和被控制端;而在unix類平臺(tái)下的木馬經(jīng)常是一個(gè)簡(jiǎn)單外部命令的重新實(shí)現(xiàn)——例如將原本的ls命令替換掉，用自己寫的一個(gè)程序代替，在執(zhí)行正常文件列表的同時(shí)隱含執(zhí)行特殊命令，這類木馬的編寫水平也相當(dāng)高，但在windows下極少出現(xiàn)類似程序替代的木馬，這類病毒的聯(lián)系一般是單向進(jìn)行的;還有一類木馬就是網(wǎng)絡(luò)盜竊性質(zhì)的，以im軟件，網(wǎng)絡(luò)游戲盜號(hào)居多，近來(lái)發(fā)展為對(duì)金融業(yè)有所染指，這類一般就是通過(guò)程序監(jiān)視當(dāng)前窗口，并獲得當(dāng)前窗口特定控件的值(用戶名/密碼框里的值)，然后通過(guò)email，遠(yuǎn)程登陸web數(shù)據(jù)庫(kù)等方式把獲得的密碼發(fā)出去，這類程序具有一定編程基礎(chǔ)的各位朋友都能做到;第4類是惟恐天下不亂的純搗亂程序，原理跟上一種類似，不過(guò)是朝文本框?qū)懶畔ⅲ缰膓q尾巴病毒，這類病毒由于病毒作者將源代碼放出，改寫起來(lái)相當(dāng)容易，智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO、冰河、Sub 7等。

　　感染途徑：系統(tǒng)漏洞/用戶錯(cuò)誤權(quán)限/社會(huì)工程學(xué);

　　利用系統(tǒng)漏洞——造成溢出——獲取一定權(quán)限——利用其他漏洞或用戶設(shè)置不當(dāng)提升權(quán)限——上傳惡意程序/修改系統(tǒng)設(shè)置——啟動(dòng)惡意程序。是這類病毒感染的慣用方式。在后期，出現(xiàn)了以誘騙用戶執(zhí)行為主要感染方式的新木馬，充分利用了社會(huì)工程學(xué)，例如在im類軟件上給你發(fā)送一個(gè)名為“我的照片.exe”這樣的文件給你，引誘你打開執(zhí)行。由于木馬的用途主要是將病毒編寫者感興趣的資料回發(fā)——因此感染途徑99%來(lái)源于網(wǎng)絡(luò)，在完全無(wú)網(wǎng)絡(luò)單機(jī)狀態(tài)下的木馬等于是沒(méi)用的死馬。

　　病毒自查：由于木馬發(fā)送者的企圖都是通過(guò)控制你的機(jī)器操作來(lái)獲得一定利益，因此都會(huì)設(shè)置啟動(dòng)時(shí)加載該程序?？刂祁惖哪抉R需要占用相當(dāng)一部分系統(tǒng)資源——用戶直接能感覺到的就是啟動(dòng)速度變慢，系統(tǒng)運(yùn)行速度變慢;而帳號(hào)盜取類的木馬由于需要獲得特定窗口的窗口句柄，因此會(huì)在當(dāng)前窗口切換的時(shí)候進(jìn)行讀取判斷——在機(jī)器配置不高的機(jī)器上，如果快速輪循窗口，則感覺到窗口出現(xiàn)速度明顯下降;惡作劇類的木馬就不用提了，大家都知道不對(duì)勁。

　　木馬病毒在編制不夠完美的時(shí)候，會(huì)導(dǎo)致程序溢出——例如運(yùn)行ie的時(shí)候多次出現(xiàn)“非法操作”、打開資源瀏覽器速度狂慢等現(xiàn)象，也可能是系統(tǒng)中了木馬后的蛛絲馬跡。在現(xiàn)象判斷上，確實(shí)沒(méi)有切實(shí)的客觀規(guī)則可循，主要是依據(jù)主觀經(jīng)驗(yàn)判斷?？傊?mdash;—如果您沒(méi)有安裝任何軟件/修改任何設(shè)置，原本昨天速度飛快的機(jī)器今天要么總是非法操作，要么速度延遲——那么您被感染了病毒或木馬的可能性相當(dāng)大了。當(dāng)然，如果您的qq帳號(hào)，傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬干的。另外，相當(dāng)多的木馬程序由于帶了hook鉤子，常常導(dǎo)致調(diào)試類程序出錯(cuò)，如果您使用softice調(diào)試某些程序時(shí)經(jīng)常無(wú)故報(bào)錯(cuò)，那或許也是系統(tǒng)中掛接了異常的hook程序——木馬。

　　病毒查殺：木馬病毒的繁衍也是相當(dāng)快速的，特別是行為上難以判斷——合法遠(yuǎn)程控制軟件和木馬在本質(zhì)上基本上無(wú)區(qū)別，在執(zhí)行行為上也相當(dāng)類似。而木馬的控制協(xié)議一般是走tcp/ip協(xié)議，理論上是可以在65535個(gè)端口中隨意選擇(當(dāng)然實(shí)際中會(huì)避開一些保留端口，防止系統(tǒng)沖突——木馬最必要的生存條件就是其隱蔽性)，因此也無(wú)法利用端口方式準(zhǔn)確判斷出病毒種類;通過(guò)特征碼方式，如果木馬作者沒(méi)有留下版本信息或說(shuō)明文字，則也相當(dāng)難以判斷;特別是木馬的源代碼公開后，想在其中加入一段獨(dú)特的功能代碼不是什么難事，因而衍生的版本特別快也特別多，這更加大了殺毒軟件查殺的的難度。

　　事實(shí)上現(xiàn)在世面上的殺毒軟件對(duì)待木馬的查殺能力并不夠強(qiáng)大，如果有可能，可以選擇專用的木馬查殺軟件，如木馬克星等。當(dāng)然，木馬也有手工解決的辦法，而且對(duì)待層出不窮的木馬也只有手工查殺才能以不變應(yīng)萬(wàn)變——感染/修改設(shè)置/啟動(dòng)加載/運(yùn)行獲取密碼 是木馬必經(jīng)過(guò)的4個(gè)步驟，讓我們看看怎么找出藏在機(jī)器中的馬來(lái)——由于木馬需要啟動(dòng)加載執(zhí)行，因此大多采取修改啟動(dòng)項(xiàng)目來(lái)加載的方式進(jìn)行——那么，我們就到啟動(dòng)項(xiàng)目里去牽馬吧;

　　在這一步，需要用戶對(duì)自己windows的啟動(dòng)項(xiàng)目熟悉。Win98中，病毒可能在注冊(cè)表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 或者HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Services中，或者是system.ini文件的[boot]小節(jié)將默認(rèn)項(xiàng)目修改，或者是在Win.ini中的[Windows]小節(jié)中的load、run部分進(jìn)行加載;在WindowsStart MenuPrograms啟動(dòng)這里加載，如果是2000或者xp，除了上面提到的幾個(gè)地方，還可能以服務(wù)方式加載，在HKEY_LOCAL_MACHINESytemCurrent Control SetServices可以查到具體的加載項(xiàng)目。

　　對(duì)于這一步，由于每個(gè)人的機(jī)器設(shè)置不同，所以天緣也沒(méi)辦法給出列表來(lái)說(shuō)明到底加載的程序中哪些程序是正常的，哪些是不正常的。有個(gè)比較方便的方法是——當(dāng)您系統(tǒng)把需要安裝的軟件安裝得當(dāng)時(shí)，您查看一下以上幾個(gè)位置，并把其中的項(xiàng)目記錄下來(lái)，以后覺得自己可能中木馬了后，再對(duì)比一下以前的記錄，將后來(lái)添加的自啟動(dòng)程序記錄下名字/路徑，進(jìn)行刪除操作。這樣做的好處是——即使刪除掉的是正常程序，也不會(huì)是關(guān)鍵進(jìn)程，不會(huì)導(dǎo)致系統(tǒng)無(wú)法啟動(dòng)，有恢復(fù)修改的余地。在Win98和XP中有個(gè)方便的Msconfig命令便于我們查看以上說(shuō)的啟動(dòng)項(xiàng)目，如果使用的是Win2000，可以將XP的該文件Copy過(guò)去使用。

　　如果的確發(fā)現(xiàn)了可疑的啟動(dòng)項(xiàng)，那么接下來(lái)的工作就是刪除它了。

　　在刪除的步驟上，有2個(gè)選擇：

　　1.刪除啟動(dòng)項(xiàng)目，重新啟機(jī)，刪除木馬文件;

　　2.禁止當(dāng)前運(yùn)行的木馬程序，刪除啟動(dòng)項(xiàng)目，重新啟機(jī);

　　兩種方法各有其優(yōu)點(diǎn)，下面我們來(lái)一一分析。第一種方法，是刪除啟動(dòng)設(shè)置里的木馬程序選項(xiàng)，并記錄下該木馬文件的位置(可用“查找”功能定位，并記錄下來(lái))，然后重新啟動(dòng)機(jī)器(直到機(jī)器被重新啟動(dòng)前木馬依然是存活著的)，重新啟動(dòng)后，木馬程序本身依然存留在硬盤上，然后直接象刪除普通程序一樣刪除掉——這個(gè)方法的要點(diǎn)就是先禁止木馬的啟動(dòng)然后再行殺除，好處是操作簡(jiǎn)單，不需要借助其他軟件，特別是在Win98下默認(rèn)是無(wú)法查看某些進(jìn)程的，因此用這個(gè)方法相當(dāng)方便，壞處則是對(duì)某些木馬無(wú)效——某些木馬在運(yùn)行的時(shí)候會(huì)定期查看設(shè)置的啟動(dòng)項(xiàng)是否還存在，若是不存在的話會(huì)自動(dòng)修改過(guò)來(lái)，屬于比較強(qiáng)硬的做法，于是第一種殺除方法就無(wú)法應(yīng)對(duì)這樣的木馬了;第2種方法是先通過(guò)進(jìn)程管理器查看，記錄并終止運(yùn)行可疑程序(不光是注冊(cè)表/配置文件里的木馬啟動(dòng)項(xiàng)，有時(shí)候木馬程序本身會(huì)運(yùn)行一個(gè)附帶的獨(dú)立監(jiān)視程序來(lái)防止自己被改寫

　　因此需要非常熟悉自己的機(jī)器上的固定正常運(yùn)行程序才能準(zhǔn)確判斷，當(dāng)然還有一個(gè)做法是非關(guān)鍵進(jìn)程都?xì)?mdash;—天緣在給朋友機(jī)器手工殺木馬的時(shí)候常這樣)，之后再到啟動(dòng)項(xiàng)目里去殺除掉相關(guān)的啟動(dòng)項(xiàng)目，重新啟動(dòng)機(jī)器后再把剛才記錄下的進(jìn)程進(jìn)行仔細(xì)查看，把確認(rèn)為木馬的文件刪除掉。這個(gè)方法好處當(dāng)然就是比較容易殺掉一些定期檢查/回寫啟動(dòng)項(xiàng)目的疑難木馬，不過(guò)對(duì)用戶的操作要求比較高一些。

　　以上2種方法如果掌握了，基本上就能把目前的木馬全部手工殺除掉，但遇到木馬使用2個(gè)程序互相關(guān)聯(lián)/檢查啟動(dòng)，或者是在加載基本驅(qū)動(dòng)階段時(shí)以驅(qū)動(dòng)程序方式嵌入的木馬程序時(shí)候用上面提到的2種方法都無(wú)效。在Win2000/xp中，啟動(dòng)機(jī)器的時(shí)候會(huì)加載system32/drivers目錄下的驅(qū)動(dòng)，而如果這些驅(qū)動(dòng)中含有惡意程序，那么它可以做到改寫i/o，讓W(xué)indows修改某些文件無(wú)效，或讓操作某一注冊(cè)表無(wú)效，目前這一技術(shù)在病毒中尚未看到先例，但頗有爭(zhēng)議的3721已經(jīng)成功地運(yùn)用了該技術(shù)，相信在不久的將來(lái)一些功力深厚的病毒作者也會(huì)運(yùn)用到此技術(shù)。天緣在這里預(yù)先提一下對(duì)該類病毒的刪除方法——由于病毒已改寫i/o，故最好的做法是在非windows環(huán)境中將其刪除，具體的做法是用軟盤/光驅(qū)引導(dǎo)啟動(dòng)，或者利用vFloppy等工具配合boot引導(dǎo)程序制作一個(gè)小型虛擬引導(dǎo)盤，進(jìn)行殺除工作。

　　殺毒遺留：由于木馬程序并不一定只有一個(gè)可執(zhí)行文件，因此如果利用手工查殺的方法，或許會(huì)有一些木馬留下的dll，ocx等資源文件留下，副作用沒(méi)什么，但是會(huì)殘留在硬盤上。殺毒軟件嚴(yán)格意義上來(lái)說(shuō)只是殺除了一些比較流行的主流木馬，對(duì)待一些不太流行的木馬是視而不見的，專業(yè)的木馬查殺工具能殺除90%左右的木馬，但剩下的10%高技術(shù)的木馬也無(wú)法查殺——如上文提到采用3721那種加載到system32/drivers下的木馬在windows上改寫文件/注冊(cè)表的讀寫，則無(wú)法在windows環(huán)境下查殺。

　　病毒防御：對(duì)待木馬，防止感染遠(yuǎn)比事后殺除更為重要——重要的文件/資料/帳號(hào)已經(jīng)被獲取了，即使把木馬殺了也無(wú)事于補(bǔ)。木馬的進(jìn)駐，除了利用系統(tǒng)漏洞，大多采用欺騙方式——記得一句古話：“便宜莫貪”。網(wǎng)絡(luò)上初認(rèn)識(shí)的朋友熱情地給你發(fā)他的照片，四處標(biāo)榜著的免費(fèi)游戲外掛，一些小站點(diǎn)吹噓的精品軟件，一些情色站點(diǎn)的專用播放器，一些所謂“安全站點(diǎn)”的所謂黑客工具。

　　世界上沒(méi)有絕對(duì)免費(fèi)的事，以上提到的這些事情中的確有一些是免費(fèi)的，當(dāng)更多的是木馬程序，或者利用程序捆綁技術(shù)，將正常程序和木馬程序捆綁在一起的。如非必要盡量不要在這些地方進(jìn)行下載?？傁胴潏D便宜，會(huì)吃大虧的——生活中如此，網(wǎng)絡(luò)上同樣是!網(wǎng)絡(luò)上喜歡你6位qq號(hào)的人遠(yuǎn)比覺得你帥的人多;網(wǎng)絡(luò)上喜歡你40級(jí)帳號(hào)的人遠(yuǎn)比喜歡你在游戲中造型的人多;網(wǎng)絡(luò)上希望你作他肉機(jī)的人遠(yuǎn)比他做你肉機(jī)的人多。總之一句話，無(wú)事獻(xiàn)殷勤——大多非奸即盜!對(duì)待漏洞或權(quán)限設(shè)置不當(dāng)?shù)?，在后面蠕蟲病毒部分一并介紹。
看過(guò)“ 詳細(xì)的電腦病毒介紹怎么樣”人還看了：

1.電腦病毒分類介紹怎么樣

2.詳細(xì)的十大電腦病毒介紹

3.史上最強(qiáng)十大電腦病毒介紹

4.電腦病毒詳細(xì)介紹

5.電腦病毒報(bào)告介紹