< >

      病毒常用的伎倆【轉(zhuǎn)貼】

      殺毒軟件能都查殺已知的病毒,但是對(duì)于未知的病毒有點(diǎn)無(wú)能為例,具有一定的滯后性。雖然殺軟不斷的改進(jìn)和增強(qiáng)對(duì)注冊(cè)表的監(jiān)控和hips技術(shù),通過(guò)了解常見(jiàn)病毒的常采用的伎倆對(duì)于大家手動(dòng)查殺病毒非常的有幫助。下面重點(diǎn)介紹病毒常見(jiàn)的破壞形式。

      1.自啟動(dòng)

      木馬病毒為了達(dá)到不可告人的目的,經(jīng)常會(huì)采用隨著windows操作系統(tǒng)系統(tǒng)而自動(dòng)加載病毒程序,常見(jiàn)的在注冊(cè)表中的自啟動(dòng)位置:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify,

      此外還有 開(kāi)始啟動(dòng)菜單:X:\Documents and Settings\用戶名\「開(kāi)始」菜單\程序\啟動(dòng) (X為系統(tǒng)盤(pán)所在位置)對(duì)應(yīng)的注冊(cè)表鍵值:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

      病毒都利用這些暗地里隱藏有些進(jìn)程甚至直接提升為系統(tǒng)程序。

      2. 系統(tǒng)還原

      系統(tǒng)還原技術(shù)為恢復(fù)以前的系統(tǒng)數(shù)據(jù)提供了便利,同時(shí)也成了病毒的溫床,備份系統(tǒng)文件的同時(shí),收到感染的文件也有可能被作為備份文件存儲(chǔ)起來(lái),破壞系統(tǒng)還原點(diǎn)對(duì)于這類是一個(gè)非常有效的途徑。病毒位于X:\SYSTEM VOLUME INFORMATION路徑下(X代表驅(qū)動(dòng)器盤(pán)符)通過(guò)禁用系統(tǒng)還原功能,右鍵"我的電腦"—&gt;屬性—&gt;系統(tǒng)還原—&gt;"在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原" 打勾。

      3. 映像劫持

      全稱Image FileExecution Options簡(jiǎn)稱IFEO

      常見(jiàn)的主要癥狀有

      a、殺毒軟件的監(jiān)控?zé)o法開(kāi)啟;

      b、殺毒軟件點(diǎn)擊升級(jí)沒(méi)有反應(yīng);;

      c、殺毒軟件無(wú)法安裝;

      d、殺毒軟件無(wú)法運(yùn)行;

      e、多種安全輔助工具無(wú)法正常運(yùn)行

      對(duì)應(yīng)的注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

      通過(guò)導(dǎo)入相對(duì)應(yīng)的注冊(cè)表項(xiàng),或者通過(guò)光盤(pán)修復(fù)可以實(shí)現(xiàn)。

      4. 破壞安全模式和隱藏文件

      安全模式提供了一個(gè)相對(duì)封閉的環(huán)境,對(duì)于查殺病毒比較的徹底,使得病毒或者木馬缺少了依附的土壤,在該環(huán)境下通過(guò)殺軟可以絞殺病毒。

      病毒、木馬為了達(dá)到目的,采用隱藏的方式,病毒運(yùn)行時(shí)修改注冊(cè)表,會(huì)將自身注入到系統(tǒng)正常的進(jìn)程中。

      病毒為了逃避查殺,經(jīng)常采用該方法 。

      5. ShellExecuteHook

      ShellExecuteHook中文含義是執(zhí)行掛鉤,其本身是操作系統(tǒng)的一個(gè)正常的功能,它采用掛鉤系統(tǒng)的Explorer的ShellExecute函數(shù),這項(xiàng)功能現(xiàn)在被越來(lái)越多的病毒、木馬所采用,實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)。

      6. AppInit_Dlls

      AppInit_Dlls是一種系統(tǒng)全局性的Hook(system-widehook),AppInit_Dlls的鍵值是一個(gè)非常危險(xiǎn)的鍵值,AppInit_Dlls鍵值位于注冊(cè)表 HKLM\Microsoft \WindowsNT\CurrentVersion\Windows下面,相對(duì)于其他的注冊(cè)表啟動(dòng)項(xiàng)來(lái)說(shuō),這個(gè)鍵值的特殊之處在于任何使用到 User32.dll的EXE、DLL、OCX等類型的PE文件都會(huì)讀取這個(gè)地方,并且根據(jù)約定的規(guī)范將這個(gè)鍵值下指向的DLL文件進(jìn)行加載,加載的方式是調(diào)用LoadLibrary。使用了User32.DLL,都會(huì)對(duì)AppInit_Dlls鍵值指向的DLL進(jìn)行加 載。這個(gè)是日志的一部分

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

      &lt;&gt; [N/A]默認(rèn)是這一個(gè)

      但是有例外 而ieprot.dll是瑞星卡卡助手的,這個(gè)是正常的,

      還有這個(gè)如果安裝了Comodo的話Appinit_dll也會(huì)有個(gè)C:\Windows\system32\guard32.dll同樣也是正常的項(xiàng)目,

      其他的一般加載都是病毒

      7. Services

      Services 中文含義是 服務(wù),操作系統(tǒng)(os)要正常的運(yùn)行,就少不了一些服務(wù),一些木馬通過(guò)加載服務(wù)來(lái)達(dá)到隨系統(tǒng)啟動(dòng)的目的, 所有服務(wù)在注冊(cè)表中都有相對(duì)應(yīng)的位置,這些位置有如下幾個(gè)

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

      現(xiàn)在的病毒越來(lái)越狡猾了,了解常見(jiàn)的服務(wù)項(xiàng),檢查可疑服務(wù)項(xiàng),對(duì)于查殺病毒有一定的幫助 。

      8.文件關(guān)聯(lián)

      可能被病毒修改用于啟動(dòng)病毒的 .比較常見(jiàn)的是.exe關(guān)聯(lián)方式被破壞 ,其他的也有可能被病毒利用.對(duì)應(yīng)的注冊(cè)表項(xiàng)主要有一下幾項(xiàng):

      HKEY_CLASSES_Root\.exe

      HKEY_CLASSES_Root\.com

      HKEY_CLASSES_Root\.bat

      HKEY_CLASSES_Root\.VBS

      HKEY_CLASSES_Root\.JS

      HKEY_CLASSES_Root\.JSE

      HKEY_CLASSES_Root\.WSF

      HKEY_CLASSES_Root\.WSH

      HKEY_CLASSES_Root\.Pif

      HKEY_CLASSES_Root\.INk

      HKEY_CLASSES_Root\.scr

      HKEY_CLASSES_Root\.txt

      HKEY_CLASSES_Root\.ini

      有許多優(yōu)秀工具比如HijackThis,SREng,IceSword,autoruns,wsyscheck。可以作為輔助查殺的工具,這些工具需要對(duì)系統(tǒng)有一定的熟悉程度,熟悉注冊(cè)表,不建議入門者使用.

      對(duì)于廣大的網(wǎng)民,平時(shí)養(yǎng)成一個(gè)良好的習(xí)慣,了解病毒常采用的伎倆,對(duì)于預(yù)防和防治病毒工作非常的有幫助,對(duì)于病毒的防治采用預(yù)防為主,防治結(jié)合的原則,加強(qiáng)日常的管理和維護(hù),非常的關(guān)鍵。

      相關(guān)產(chǎn)品資訊

      荊門市金鍵盤(pán)網(wǎng)絡(luò)技術(shù)有限公司,地址:泉口一路63號(hào),電話:135-9793-6729
      鄂ICP備15021394號(hào) 鄂公網(wǎng)安備 42080202000135號(hào)

      这里是精品中文字幕,亚洲无码网站在线观看,漂亮人妻被强中出中文字幕,1级中文字在线观看爱,无码av一区区播放,中国国产精品无码理论片,在线不卡无码不卡视频,免费人妻中文在线视频