|
<p>作者:honxin 本文固定地址:<a href="http://blog.honxin.net/article.asp?id=1218">http://blog.honxin.net/article.asp?id=1218</a></p><p>现在的世界是病毒、木马、间谍、流氓软件横行,为了更好地防范、拯救,现在对它们的典型行为作一个分析:<br/><br/>一、将自己添加到开机启动项中<br/><br/>主要采取这几种办法:<br/><br/>1、添加到开始菜单的“启动”文件夹中(所有用户、当前用户、默认用户)<br/><br/>2、添加到注册表的启动项里(所有用户、当前用户、默认用户),包括:<br/><br/>“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”<br/><br/>“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”<br/><br/>“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx”<br/><br/>“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”<br/><br/>“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce”<br/><br/>“HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”<br/><br/>3、添加到win.ini、system.ini文件<br/><br/>以上各种均可以实现程序在开机时就启动运行。<br/><br/>二、添加至服务<br/><br/>程序将自身注册成为服务,也是同样的目的,实现在开机时程序就运行。<br/><br/>三、添加至批处理文件<br/><br/>系统根目录下的AUTOEXEC.BAT和windows目录下的WinStart.bat文件,系统开机时会默认加载。<br/><br/>四、更改文件的关联程序<br/><br/>一般每个文件都有它自己的默认打开程序,打开方式都注册在注册表里。如果一个病毒、木马、间谍、流氓软件把自己注册为txt文件的打开方式,那么每次用户打开txt文件时就等于运行了病毒、木马、间谍、流氓软件。<br/><br/>通过这样的方式,程序也实现了自身的启动。<br/><br/>五、进程伪装<br/><br/>先了解三个相关的概念:进程,线程和服务。<br/><br/>进程:一个正常的Windows应用程序,在运行之后,都会在系统之中产生一个进程 ,同时,每个进程,分别对应了一个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配一个虚拟的内存空间地址段,一切相关的程序操作,都会在这个虚拟的空间中进行。<br/><br/>线程:一个进程,可以存在一个或多个线程,线程之间同步执行多种操作,一般地,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。<br/><br/>服务:一个进程当以服务的方式工作的时候,它将会在后台工作,不会出现在任务列表中,但是,在Windows NT/2000下,你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。<br/><br/>进程伪装,可以伪隐藏,也可以是真隐藏。伪隐藏,就是指程序的进程仍然存在,只不过是让他消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作。<br/><br/>伪隐藏,目的就是使通过程序进程不在任务管理器里显示,它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数,进程信息都包含在该函数的返回结果中,由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。而木马由于事先对该API函数进行了Hook,所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色),木马便得到了通知,并且在函数将结果(列出所有进程)返回给程序前,就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目,却有人不知不觉中将电视接上了DVD,你在不知不觉中就被欺骗了。<br/><br/>真隐藏,其基本原理是将自已的木马以线程方式嫁接于远程进程之中,远程进程则是合法的用户程序,这样用户管理者看到的只是合法进程,而无法发现木马线程的存在,从而达到隐藏的目的,方法有窗口Hook、挂接API、远程线程等。<br/><br/>如果病毒、木马、间谍、流氓软件将自己插入至系统的重要进程里,那么可实现开机就启动,且无法通过杀进程来停止它。<br/><br/>六、删除自身,或更改自身文件名<br/><br/>有的病毒、木马、间谍、流氓软件一旦运行后就将自身删除,或者随机更改文件名,使用户无法发现。<br/><br/>七、替换系统重要文件<br/><br/>有的病毒、木马、间谍、流氓软件会将系统的重要或必需的文件替换成自己的,这样运行时启动的就是病毒、木马、间谍、流氓软件,同时也把原有的被替换的程序启动,使用户很难发现或受到欺骗。<br/><br/>八、更改系统的设置,增加自己被发现的难度<br/><br/>比如禁用注册表、禁用任务管理器、禁用文件夹选面、禁用系统或隐藏文件的显示开关等。<br/><br/>九、复制、更改用户文件,截获用户的屏幕显示、摄像头图像、接收或发送的信息、键盘输入(用户名、银行帐号、密码等)<br/><br/>十、控制用户的电脑设备,打开、关闭或重启用户的电脑,打开摄像头等设备,等。<br/><br/>十一、对外发送信息,打开网络端口<br/><br/>通过病毒、木马、间谍、流氓软件的运行,它们会对外进行连接,打开网络端口,对外发送信息,或者监听某个端口,等待黑客的外部控制连接。所以也要注意监视网络端口。<br/><br/><br/><br/>综合以上的种种典型行为,你可以看出,它们有几个基本特征:<br/><br/>一、运行自己,任何的病毒、木马、间谍、流氓软件不被运行的话是不具有危害的能力的。<br/><br/>二、隐藏自己,防止被用户发现、查杀。<br/><br/>三、收集信息。<br/><br/>四、破坏系统文件的完整性,占用系统资源或破坏系统正常运行。<br/><br/>五、打开网络端口或监听网络端口,对外传输信息。</p> |
|
快捷导航
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
IP卡
狗仔卡
粤ICP备05068573号