病毒木马入侵招数专题

  网络时代可不太平，谁没有遭遇过病毒或木马？从CIH、I Love You到红色代码、Nimda，从BO到冰河，无一不是网友经常懈逅的对象。怎么制止这些“艳遇”是广大用户孜孜以求的目标，不过，“道高一尺，魔高一丈”，“防”永久是落伍的，主动清除它们才是积极主动的。
  要清除它们，起首就要掌握病毒及木马是怎么入侵我们的"爱机"的。有关病毒及木马的入侵招数的文章许多，但都不太全面，编者无意偶尔间发现了一篇作者不详，但内容颇为全面的文章，特地整理出来，希望对各人有所帮助。
  一、修正批处置惩罚
  很陈腐的要领，但仍有人利用。一样平常通过修正下列三个文件来作案：
  Autoexec.bat(主动批处置惩罚，在引导体系时实行)
  Winstart.bat(在启动GUI图形界面情况时实行)
  Dosstart.bat(在进入MS-DOS方式时实行)
  例如：编辑C:\windows\Dosstart.bat，加入：start Notepad，当你进入“MS-DOS方式”时，就可以看到记事本被启动了。
  二、修正体系配置
  常利用的要领，通过修正体系配置文件System.ini、Win.ini来到达主动运转的目的，涉及范围有：
  在Win.ini文件中：
  [windows]
  load=步伐名
  run=步伐名
  在System.ini文件中：
  [boot]
  shell=Explorer.exe
  其中修正System.ini中Shell值的情况要多一些，病毒木马通过修正这里使本身成为Shell，然后加载Explorer.exe，从而到达控制用户电脑的目的。
  这是黑客最新研发结果，之前该要领不过被发烧的朋侪用来修正硬盘的图标而已，如今它被赋予了新的意义，黑客甚至宣称这是Windows的新BUG。
  Windows的主动运转功能的确很烂，从前许多朋侪因为主动运转的光盘中带有CIH病毒而中招，如今不少软件可以方便地克制光盘的主动运转，但硬盘呢？其实硬盘也支持主动运转，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容：
  [autorun]
  open=Notepad.exe
  保存落伍入“我的电脑”，按F5键刷新一下，然后双击D盘盘符，怎么样？记事本打开了，而D盘却没有打开。
  固然，以上只是一个简单的实例，黑客做得要精密许多，他们会把步伐改名为“　.exe”(不是空格，而是中文的全角空格，如许在Autorun.inf中只会看到“open=　”而被纰漏，此种行径在修正体系配置时也常利用，如“run=　”；为了更好地隐藏本身，其步伐运转后，还会替你打开硬盘，让你难以查觉。
  由此可以推测，如果你打开了D盘的共享，黑客就可以将木马和一个Autorun.inf存入该分区，当Windows主动刷新时，你也就“中奖”了，因此，各人千万不要共享任何根目录，固然更不能共享体系分区（一样平常为C:）。
  四、通过注册表中的Run来启动
  很老套的要领，但80%的黑客仍在利用，通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值，可以比较容易地实现步伐的加载，黑客尤其方便在带”Once”的主键中作手脚，因此带“Once”的主键中的键值，在步伐运转后将被删除，因此当用户利用注册表修正步伐检察时，不会发现异常。别的，还有如许的步伐：在启动时删除Run中的键值，而在退出时（或封闭体系时）又添加键值，到达潜伏本身的目的。(这种要领的缺点是：畏惧恶意关机或停电，呵呵！)
  五、通过文件关联启动
  很受黑客喜爱的方式，通过EXE文件的关联(主键为：exefile)，让体系在实行任何步伐之前都运转木马，真的好毒！通常修正的还有txtfile(文本文件的关联，谁不用用记事本呢？)、regfile(注册表文件关联，一样平常用来防备用户规复注册表，例如让用户双击.reg文件就封闭盘算机)、unkown(未知文件关联)。为了防备用户规复注册表，用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等步伐，阻碍用户修复。
  六、通过API HOOK启动
  这种要领较为初级，通过替换体系的DLL文件，让体系启动指定的步伐。例如：拨号上彀的用户必需利用Rasapi32.dll中的API函数来举行毗连，那么黑客就会替换这个DLL，当用户的使用步伐挪用这个API函数，黑客的步伐就会先启动，然后挪用真正的函数完成这个功能（特别提示：木马可纷歧定是EXE，还可以是DLL、VXD），如许既方便又潜伏（不上彀时基础不运转）。中此绝毒的虫子，只有两种选择：Ghost或重装体系，幸好此毒廖廖无几，实属万虫之幸！
  API的英文全称为：Application Programming Interface，也就是使用步伐编程接口。在Windows步伐设计范畴生长初期，Windows步伐员所能利用的编程工具唯有API函数，这些函数是Windows提提供使用步伐与操纵体系的接口，他们犹如“积木块”一样，可以搭建出种种界面丰富，功能机动的使用步伐。所以可以以为API函数是构筑整个Windows框架的基石，在它的上面是Windows的操纵体系核心，而它的上面则是所有华丽的Windows使用步伐。
  七、通过VXD启动
  此法也是妙手公用版，通过把木马写成VXD形式加载，直接控制体系底层，极为罕见。它们一样平常在注册表[HKEY_ LOCAL_MACHINE\System\CurrentControlSet\Services\VxD]主键中启动，很难发觉，办理要领最好也是用Ghost规复或重新干净安装。
  八、通过欣赏网页启动
  通过此种途径有两种要领：
  利用MIME毛病：这是2001年黑客中最盛行的伎俩，因为它简单有用，加上宽带网的盛行，令用户防不胜防，想一想，仅仅是鼠标变一下“沙漏”，木马就安装妥当，Internet真是太“方便”了！不过本年有所淘汰，一方面许多人都改用IE6.0；另一方面，大部门小我私家主页空间都不容许上传.eml文件了。
  MIME被称为多用途Internet邮件扩展（Multipurpose Internet Mail Extensions），是一种技能规范，原用于电子邮件，如今也可以用于欣赏器。MIME对邮件体系的扩展是宏大的，在它呈现前，邮件内容如果包罗声响和动画，就必需把它变为ASCII码或把二进制的信息变成可以传送的编码标准，而接收方必需颠末解码才可以得到声响和图画信息。MIME提供了一种可以在邮件中附加多种差别编码文件的要领，这与原来的邮件是大大差别的。而如今MIME已经成为了HTTP协议标准的一个部门。
  九、利用Java applet
  划时代的Java更高效、更方便——不过是悄悄地修正你的注册表，让你千百次地访问黄(黑)色网站，让你关不了机，让你……，还可以让你中木马。这种要领其实很简单，先利用HTML把木马下载到你的缓存中，然后修正注册表，指向其步伐。
  十、利用体系主动运转的步伐
  这一条重要利用用户的麻木粗心和体系的运转机制举行，掷中率很高。在体系运转历程中，有许多步伐是主动运转的，好比：磁盘空间满时，体系主动运转“磁盘清理”步伐(cleanmgr.exe)；启动资源管理器失败时，双击桌面将主动运转“使命管理器”步伐(Taskman.exe)；格式化磁盘完成后，体系将提示利用“磁盘扫描”步伐(scandskw.exe)；点击帮助或按F1时，体系将运转Winhelp.exe或Hh.exe打开帮助文件；启动时，体系将主动启动“体系栏”步伐(SysTray.exe)、“输入法”步伐(internat.exe)、“注册表检查” 步伐(scanregw.exe)、“筹划使命”步伐(Mstask.exe)、“电源管理”步伐等。
  这为恶意步伐提供了机会，通过笼罩这些文件，不必修正任何设置体系就会主动实行它们！而用户在检查注册表和体系配置时不会引起任何猜疑，例如“注册表检查” 步伐的作用是启动时检查和备份注册表，正常情况不会有任何提示，那么它被笼罩后真可谓是“神不知、鬼不觉”。固然，这也许会被“体系文件检查器”检查（但勤快的人未几）出来。
  黑客还有一高着“偷天换日”！不笼罩步伐也可到达这个目的，要领是：利用System目录比Windows目录优先的特点，以相同的文件名，将步伐放到System目录中。你可以尝尝，将Notepad.exe(记事本)复制到System目录中，并改名为Regedit.exe(注册表编辑器)，然后从“开始”→“运转”中，输入“Regedit”回车，你会发现运转的竟然是那个冒充的Notepad.exe！同样，如果黑客将步伐放到System中，然后在运转时挪用真正的Regedit，谁知道呢？(这种要领由于大部门目标步伐不是经常被体系挪用，因此常被黑客用来作为被删除后的规复要领，如果某个东东被删除了又呈现，没关系检查检查这些文件。)
  十一、还有什么“高着”
  黑客还每每利用名字诱骗技能和运转假象与之共同。名字诱骗技能如上述的全角空格主文件名“　.exe”就是一例，别的罕见的有在修正文件关联时，利用“ ”（ASCII值255，输入时先按下Alt键，然后在小键盘上输入255）作为文件名，当这个字符出如今注册表中时，人们往往很难发现它的存在。别的还有利用字符类似性的，如：“Systray.exe”和“5ystray”(5与大写S类似)；长度类似性的，如：“Explorer.exe”和“Explore.exe”(后者比前者少一个字母，生理学实验证明，人的第一觉得只辨认前四个字母，并对长度不敏感)；运转假象则是指运转某些木马时，步伐给出一个虚伪的提示来诱骗用户。一个运转后什么都没有的步伐，地球人都知道不是什么好东西；但对付一个提示“内存不敷的步伐，恐怕还在埋怨本身的内存太少哩！
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：