让病毒或木马自动运行的多种技术
木马的生存技术
福建电脑2010年第4期(下转第74页)木马的生存技术王勇刚(孝感学院计算机与信息科学学院湖北孝感432000)【摘要】:本文先介绍木马技术,然后从更名换姓、文件捆绑、冒充图片、修改图标四个方面分析了木马的伪装技术,最后从加壳、修改特征码、加花等方面,分析和介绍了木马的生存技术。
【关键词】:木马;伪装;免杀1、木马技术木马以其隐蔽性强,变化迅速以及窃取文件等手段成为当前网络信息系统面临的安全威胁中危害最为严重的攻击手段之一。
木马其实就是一个网络客户/服务程序。
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听,如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。
就我们前面所讲的木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
木马之间传递信息主要是通过端口来进行的。
端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
我们这里所说的端口,不是计算机硬件的I/O 端口,而是软件形式上的概念。
例如,大家浏览网站时就是通过访问服务器的80端口来实现的。
2、木马的伪装技术作为病毒中利用率最高的木马,它的伪装技术也是一流的。
主要有下列几种方式。
伪装方法一:给木马服务端程序更名,木马服务端程序的命名有很大的学问。
木马的命名千奇百怪。
不过大多是改为和系统文件名差不多的名字,如果对系统文件不够了解,那可就危险了。
例如有的木马把名字改为window.exe ,如果不告诉用户这是木马的话,谁也不敢删除。
还有的就是更改一些后缀名,比如把dll 改为d11等(注意看是数字"11"而非英文字母"ll"),不仔细看的话,就不会发现。
伪装方法二:把自己和其它文件捆绑在一起,这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。
四招快速清除系统中的木马病毒
四招快速清除系统中的木马病毒黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发觉,他们会想尽种.种方法对其进行伪装。
而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢!一、文件捆绑检测将木马捆绑在正常程序中,始终是木马伪装攻击的一种常用手段。
下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码肯定会表现出肯定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来推断的。
程序运行后,我们只要单击“扫瞄”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。
此时,我们只要查看分析结果中可执行的头部数,假如有两个或更多的可执行文件头部,那么说明此文件肯定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必需请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。
因此清除的步骤也相对简单一点。
1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成详细的项目,对此我们假如发觉自己系统消失特别时,则需要推断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择“模块信息”,在弹出的窗口中即可查看全部DLL模块,这时假如发觉有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。
对于一些比较顽固的进程,我们还将其中,单击“强行解除”按钮,然后再通过“模块文件名”栏中的地址,直接到其文件夹中将其删除。
计算机病毒与木马技术深度剖析
特性
—功能的特殊性 通常的木马功能都是十分特殊的,除了普通的 文件操作以外,还有些木马具有搜索cache中的口令、
设置口令、扫描目标机器人的IP地址、进行键盘记
录、远程注册表的操作以及锁定鼠标等功能。远程 控制软件当然不会有这些功能,毕竟远程控制软件 是用来控制远程机器,方便自己操作而已,而不是 用来黑对方的机器的。
Presentation Identifier Goes Here 11
伪装方法
木马更名 木马服务端程序的命名也有很大的学问。如果 不做任何修改,就使用原来的名字,谁不知道这是
个木马程序呢?所以木马的命名也是千奇百怪,不过
大多是改为和系统文件名差不多的名字,如果你对 系统文件不够了解,那可就危险了。例如有的木马
3
程序
程序就是一组指令执行序列
如:“原材料获取初步加工精细加零配件组装验收合格检 验(入库)不合格(销毁)” 不同季度、不同情况时采用不同的执行的程序
程序就是一张计划书,记载着先做什么后做 什么,木马其实就是具有破坏后果的程序
如:收集火药买雷管制成炸弹放置到公共场合引爆”
15
4、Ntldr又将系统由原来的16位实模式切换到32位保护模式 或64位长模式。它的工作是读取根目录下的Boot.ini文件, 显示引导菜单。它首先会加载Ntoskrnl.exe、Hal.dll,接
着读入注册表的SYSTEM键文件,从中找出自动启动的各
类驱动程序。 5、Ntoskrnl.exe(或Ntkrnlpa.exe)是内核程序,xp启动 时的LOGO动画,它做的工作实在是太多了,它的最后一 步工作就是创建会话管理子系统,也就是由System进程创
14
系统引导过程
9种电脑中毒的方法
9种电脑中毒的方法小菜鸟电脑中毒情景重现,不在同一个地方摔倒两次怎么样用最少的精力做好网络安全?我的理解是:最好的办法是防患于未然!因为你一旦中毒或者感染木马,查不查的出来先不说,就算查出来了,理论上没有任何杀毒软件敢说一定能杀掉。
为什么这么说呢?因为病毒和杀毒软件都运行在操作系统上,完全是平级的,杀软能中止病毒的进程,病毒当然也能中止杀软的进程(最近的杀软也都是这样做的),杀软能干掉病毒的启动项,病毒当然也能干掉杀软的启动项。
而且病毒出现在前,杀软跟进在后,永远都是被动的。
系统已经中毒之后,再说如何做好系统安全是没有意义的,这时候最好最节省时间精力的办法是重装或者恢复系统。
所以我说:最好的办法是防患于未然!!当一个电脑格盘重装或者ghost恢复之后,电脑一定是干净的,后来是如何中毒的呢?今天我就来给大家一个情景重现:假设一个菜鸟用户群众演员叫小A,假设我是导演,当小A 的日常操作引起中毒的时候,我就喊“CUT”,然后给大家讲讲原因和教训。
一重装系统篇重现:被病毒折磨的死去活来,不得不又重装系统了,小A心想,先下一个QQ再说,下着下着,CUT原因:系统刚刚重装的时候有很多漏洞,在你下载QQ的时候,网络上的各种病毒和黑客就已经攻破系统的脆弱防线了。
教训:切记切记装机后第一件事,下载安装360安全卫士,修补系统漏洞。
也许有朋友会问,下载QQ的时候系统会中毒,难道下载360的时候系统就不会中毒吗?答案是也会,但是360比较小,4MB而已,中毒概率小很多。
当然如果有条件的话最好把360做好的漏洞补丁备份下来,装好系统后第一时间拔网线(最好干脆别插)打补丁。
二下载篇重现:小A终于给系统打上了补丁,打开百度要下载一些常用软件,看到一个什么网站很靠谱,点击,CUT原因:现在很多流氓下载站,本身甚至不提供任何好软件下载,只是通过SEO得到比较好的百度排名,当用户点击下载的时候,其实是在下载木马!还有一些正常的下载站把广告位卖给木马,广告的样子就是“下载按钮”,很可能眼花了一不小心就点上去了。
USB连接器设备安全技术措施
USB连接器设备安全技术措施USB连接器设备已经成为现代数码产品中不可或缺的一部分,无论是在移动电话,笔记本电脑,还是是在影音播放器等各种电子产品中都用到了USB接口。
然而,随着科技的发展,USB也变得越来越复杂,除了用于数据传输之外,还内置了电源,更新程序,网络接口等多种功能。
这就使得USB连接器设备同时存在了一些安全漏洞,因而在使用上也需要采取相应的安全技术措施。
USB设备的风险在使用USB设备的过程中,会存在各种风险,其中主要包括以下几种:病毒感染当插入未知的USB设备时,它可能会携带病毒,并通过USB接口将其传播到您的计算机系统和其他连接的设备中。
这种病毒主要有两种途径进行传播:•USB设备在制造或流通的时候就被感染;•USB设备在被某个恶意程序感染之后开始传播病毒。
恶意软件攻击除了病毒之外,还有一些种类的恶意软件,例如蠕虫病毒或者木马程序,可以很容易地通过USB接口传播。
这些恶意程序可以被安装到您的计算机或其他设备中,并悄悄地参与到您的计算机系统中,盗取您的个人信息,或者破坏您的计算机系统等。
僵尸网络当您的计算机系统被感染后,它可能会加入到一个被称为“僵尸网络”的恶意网络中。
这种网络通常由一些恶意程序发起,可以通过一个控制中心来操纵多个充当攻击者的计算机。
这些攻击者可以利用僵尸网络发动各种针对个人和组织网站的攻击行为。
防范措施考虑到USB连接器设备存在的各种风险,采取以下防范措施可以有效减轻设备存在的各种风险。
使用杀毒软件使用杀毒软件是防范USB风险的一个基本措施。
如果您经常使用USB接口来传输数据文件,那么就需要使用杀毒软件对即将导入的文件进行扫描和检测。
杀毒软件可以及时发现并移除潜藏在USB设备中的病毒或其他恶意程序。
禁用自动运行禁用自动运行是防范病毒和木马攻击的另一个有效措施。
自动运行功能可以使计算机系统在插入USB设备时将其中的程序自动运行,改为手动运行可以让您有机会检查插入USB设备的内容,避免电脑病毒或木马的感染。
比较常见的木马病毒在XP系统中的几种启动方
木马病毒,提起来都让人害怕,因为他们的破坏性很大,能窃取你的数据如密码,银行帐号,游戏帐号,破坏你的硬盘,等等。旧的木马杀毒软件可以杀了,但是如果你的电脑中一种新型的木马病毒你能怎么办?特别是一些未知类型的木马病毒,使用一般的杀毒软件或防木马软件是很难将其根除的,这时候我们就需要手动来清除这些病毒文件了。
小提示:
*在Windows 98中,Autoexec.bat还有一个哥们——Winstart.bat文件,winstart.bat位于Windows文件夹,也会在启动时自动执行。
*在Windows Me/2000/XP中,上述两个批处理文件默认都不会被执行。
四、常用的启动——系统配置文件
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
3.wininit.ini
wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。
注册表是启动程序藏身之处最多的地方,主要有以下几项:
1.Run键
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]
和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
木马最新植入五方法揭密
木马最新植入五种方法揭密木马是大家网上安全的一大隐患,说是大家心中永远的痛也不为过。
对于木马采用敬而远之的态度并不是最好的方法,我们必须更多地了解其“习性”和特点,只有这样才能做到“知己知彼,百战不殆”!随着时间的推移,木马的植入方式也悄悄地发生了一定的变化,较之以往更加的隐蔽,对大家的威胁也更大,以下是笔者总结的五种最新的木马植入方式,以便大家及时防范。
方法一:利用共享和Autorun文件为了学习和工作方便,有许多学校或公司的局域网中会将硬盘共享出来。
更有甚者,竟将某些硬盘共享设为可写!这样非常危险,别人可以借此给您下木马!利用木马程序结合Autorun.inf文件就可以了。
方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下,这样不需对方运行木马服务端程序,只需他双击共享的磁盘图标就会使木马运行!这样作对下木马的人来说的好处显而易见,那就是大大增加了木马运行的主动性!许多人在别人给他发来可执行文件时会非常警惕,不熟悉的文件他们轻易不会运行,而这种方法就很难防范了。
下面我们简单说一下原理。
大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个Autorun.inf文件,该文件可以决定是否自动运行其中的程序。
同样,如果硬盘的根目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。
把木马文件.exe文件以及Autorun.inf放在磁盘根目录(这里假设对方的D盘共享出来且可写),对于给您下木马的人来说,他还会修改Autorun.inf文件的属性,将该文件隐藏起来。
这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人威胁最大。
更进一步,利用一个.REG文件和Autorun.inf结合,还可以让你所有的硬盘都共享出去!方法二:把木马文件转换为BMP格式这是一种相对比较新颖的方式,把EXE转化成为BMP来欺骗大家。
2021网络安全知识应知应会测试100题(含答案)34
2021网络安全知识应知应会测试100题单选题70道1. (中等)假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于()A、 对称加密技术B、 分组密码技术C、 公钥加密技术D、 单向函数密码技术答案:A2. (容易) 你的QQ好友给你在QQ留言,说他最近通过网络兼职赚了不少钱,让你也去一个网站注册申请兼职。
但你打开该网站后发现注册需要提交手机号码并发送验证短信。
以下做法中最合理的是()A、 提交手机号码并且发送验证短信B、 在QQ上询问朋友事情的具体情况C、 不予理会,提交手机号码泄露个人隐私,发送验证短信可能会被诈骗高额话费D、 多手段核实事情真实性之后,再决定是否提交手机号码和发送验证码答案:D3. (容易)家明使用安装了Windows操作系统的电脑,同学建议他电脑中重要的资料最好不要保存在C盘中。
下列哪个观点最合理A、 这种说法没有根据B、 文件存储在C盘容易被系统文件覆盖C、C盘是默认系统盘,不能存储其他文件D、C盘最容易遭到木马病毒的攻击,而且重装系统时会删除C盘上的所有文件,如果备份不及时会造成严重影响答案:D4. (中等)王同学喜欢在不同的购物和社交网站进行登录和注册,但他习惯于在不同的网站使用相同的用户名和密码进行注册登录,某天,他突然发现,自己在微博和很多网站的账号同时都不能登录了,这些网站使用了同样的用户名和密码,请问,王同学可能遭遇了以下哪类行为攻击:( )。
A、 拖库B、 撞库C、 建库D、 洗库答案: B5. (中等)《电子签名法》既注意与国际接轨,又兼顾我国国情,下列不属于《电子签名法》所采用的原则或制度是()。
A:技术中立原则B:无过错责任原则C:当事人意思自治原则D:举证责任倒置原则答案:B6. (容易)个人用户之间利用互联网进行交易的电子商务模式是()A:B2BB:P2PC:C2CD:O2O答案:C7. (容易)网络安全领域,把已经被发现,但相关软件厂商还没有进行修复的漏洞叫什么漏洞A、0day漏洞B、DDAY漏洞C、 无痕漏洞D、 黑客漏洞答案:A8. (中等)释放计算机当前获得的IP地址,使用的命令是:_________A、ipconfigB、ipconfig /allC、ipconfig /renewD、ipconfig /release答案:D9. (中等)对称密钥密码体制的主要缺点是;A、 加、解密速度慢;B、 密钥的分配和管理问题;C、 应用局限性;D、 加密密钥与解密密钥不同答案:B10. (容易)文件型病毒传染的对象主要是____.A、.DOE和.EXEB、.DBFC、.WPSD、.EXE和.DOC答案:A11. (困难)信息安全的主要目的是为了保证信息的( )A、 完整性、机密性、可用性B、 安全性、可用性、机密性C、 完整性、安全性、机密性D、 可用性、传播性、整体性答案:A12. (中等)设置复杂的口令,并安全管理和使用口令,其最终目的是:A、 攻击者不能非法获得口令B、 规范用户操作行为C、 增加攻击者破解口令的难度D、 防止攻击者非法获得访问和操作权限答案:D13. (容易)下面哪一是基于一个大的整数很难分解成两个素数因数A、ECCB、RSAC、DESD、Diffie-Hellman答案:B14. (中等)下面选项属于社会工程学攻击选项的是( )A、 逻辑炸弹B、 木马C、 包重放D、 网络钓鱼答案:D15. (困难)命令注入的危害不包括下列哪项A、 获取服务器信息B、构造一句话木马C、 盗取当前用户cookieD、更改网站主页答案:D16. (容易)在使用网络中,正确的行为是______。
电脑木马病毒查杀方法技巧菜鸟级
电脑木马病毒查杀方法技巧菜鸟级这篇电脑木马病毒查杀方法技巧菜鸟级是店铺特地为大家整理的,希望对大家有所帮助!1、请升级你的杀毒软件到最新版本,保证病毒库是最新的。
2、对于局域网内部用户,在杀毒之前请断掉网络。
3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中,不要选中“染毒文件清除失败后删除此文件”选项。
因为经验证明,很多病毒都是内存驻留型,备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。
(对于国内的杀毒软件)4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的,因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。
因此,如果碰到杀软在此文件夹中查到病毒,请在系统属性中的系统还原中取消对磁盘的监视,删除还原点即可。
(以前我老是强调关闭系统还原的原因,还有就是有的网友问有时杀毒软件走到百分之多少时走不动了,原因也在此。
)5、对于一些正在使用中的文件,系统是不允许删除的,碰到这种情况,请在任务管理器中结束该进程,然后按杀软提示的病毒文件路径进行手动删除,或重新杀毒。
(删除文件时删不了有时也因为此)6、碰到病毒已经清除,但系统重新启动又出现中毒情况的,请确认你所在网络无毒,然后制作dos杀毒盘在dos下查杀。
如果网络中毒,请联系网络管理员,断网杀毒。
(补充此点:有时系统重新启动又出现中毒是因为你的系统还原是在监视状态,或者是杀毒没有把文件和注册表删除了(朋友用江民是遇到过这样的)7、在dos下使用dos杀毒伴侣,硬盘修复王时,请备份你的敏感数据和个人文件,并在有经验的人的指导下进行。
使用不当,可能造成硬盘数据全部丢失。
(此方法用的较少)中阶:中鸟看——杀毒技巧集锦有人认为杀毒是一件简单的事情,不就是点击杀毒软件的“杀毒”按钮就行了吗?不错,杀毒的确要借助杀毒软件,但是不是说一点击杀毒就万事大吉的。
认识木马启动的六种方式
添 加 一 次 不 就 行 了 吗 ? 在 De h l i p
这 不 过 3、 5行 程 序 。 虽 说 这 些 项 目 不 会 出 现 在 mso f 中 , 但 是 在 cn g i
d wsx这 是 经 常 的 ) 木 马 也 就 失 效 o 9 ,
的 【 id w 】 中 的 la W n o s域 o d和 rn 项 会 u
破 解 方 法 : 先 , 安 全 模 式 启 首 以
了 。
在 W id ws 动 时 运 行 , 这 两 个 项 no 启
目 也 会 出 现 在 ms n g中 。 而 且 , c f oi 在 W id ws8安 装 完 成 后 这 两 项 就 会 no 9
被 W id ws的 程 序 使 用 了 , 也 不 很 no 适 合木马使用 。
动 W id ws 这 时 , id w no , W n o s不 会 加
载 注 册 表 中 的 项 目 , 因 此 木 马 不 会 被 启 动 , 相 互 保 护 的 状 况 也 就 不 攻
自 破 了 ; 后 , 就 可 以 删 除 注 册 表 然 你 中 的键 值 和 相 应 的 木 马 程 序 了 。
通 常 木 马 会 使 用 最 后 一 个 。 使 用 W id ws自 带 的 程 序 : c n g或 注 no mso f i
这 种 方 法 好 像 用 的 人 不 是 很 多 , 隐 蔽 性 比 上 一 种 方 法 好 , 的 但 它 内 容 不 会 出 现 在 ms n g中 。 这 个 c f oi 在 键 值 下 的 项 目 和 上 一 种 相 似 ,会 在 W id ws 动 时 启 动 , W id ws no 启 但 n o 启 动 届 , 键 值 下 的项 目会 被 清 空 , 该 因
让病毒木马丧失自启动本领
1
权限都设置为“拒绝”,确认后返回。
同样地,将其他用户账号的访问权限也设置为“拒绝”。
值得注意的是,不同版本的操作系统,其启动文件夹所处位置
2
3
文件关联。
例如,要限制他人修改C H M类型文件的关联时,可以先打开系统注册表编辑界面,依次跳转到“H K E Y_C L A S S E S_
4
5
6
P系统有效,在V i s t a之后版本系统中,必须将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、w s组件”、“自动播放策略”节点上,才能找到“关闭自动播放”组策略(如图5所示),并将其启用起来。
利用组策略编辑方式,来限制优盘自动播放外,对注册表编辑操作。
木马程序开发技术:病毒源代码详解
⽊马程序开发技术:病毒源代码详解近年来,⿊客技术不断成熟起来,对⽹络安全造成了极⼤的威胁,⿊客的主要攻击⼿段之⼀,就是使⽤⽊马技术,渗透到对⽅的主机系统⾥,从⽽实现对远程操作⽬标主机。
其破坏⼒之⼤,是绝不容忽视的,⿊客到底是如何制造了这种种具有破坏⼒的⽊马程序呢,下⾯我对⽊马进⾏源代码级的详细的分析,让我们对⽊马的开发技术做⼀次彻底的透视,从了解⽊马技术开始,更加安全的管理好⾃⼰的计算机。
1、⽊马程序的分类 ⽊马程序技术发展⾄今,已经经历了4代,第⼀代,即是简单的密码窃取,发送等,没有什么特别之处。
第⼆代⽊马,在技术上有了很⼤的进步,冰河可以说为是国内⽊马的典型代表之⼀。
第三代⽊马在数据传递技术上,⼜做了不⼩的改进,出现了ICMP等类型的⽊马,利⽤畸形报⽂传递数据,增加了查杀的难度。
第四代⽊马在进程隐藏⽅⾯,做了⼤的改动,采⽤了内核插⼊式的嵌⼊⽅式,利⽤远程插⼊线程技术,嵌⼊DLL线程。
或者挂接PSAPI,实现⽊马程序的隐藏,甚⾄在Windows NT/2000下,都达到了良好的隐藏效果。
相信,第五代⽊马很快也会被编制出来。
关于更详细的说明,可以参考ShotGun的⽂章《揭开⽊马的神秘⾯纱》。
2.⽊马程序的隐藏技术 ⽊马程序的服务器端,为了避免被发现,多数都要进⾏隐藏处理,下⾯让我们来看看⽊马是如何实现隐藏的。
说到隐藏,⾸先得先了解三个相关的概念:进程,线程和服务。
我简单的解释⼀下。
进程:⼀个正常的Windows应⽤程序,在运⾏之后,都会在系统之中产⽣⼀个进程,同时,每个进程,分别对应了⼀个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配⼀个虚拟的内存空间地址段,⼀切相关的程序操作,都会在这个虚拟的空间中进⾏。
线程:⼀个进程,可以存在⼀个或多个线程,线程之间同步执⾏多种操作,⼀般地,线程之间是相互独⽴的,当⼀个线程发⽣错误的时候,并不⼀定会导致整个进程的崩溃。
木马病毒简介
⽊马病毒简介病毒的分类: 很多时候⼤家已经⽤杀毒软件查出了⾃⼰的机⼦中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些⼀串英⽂还带数字的病毒名。
只要掌握⼀些病毒的命名规则,就能通过杀毒软件的报告中出现的病毒名来判断该病毒的⼀些公有的特性。
世界上那么多的病毒,反病毒公司为了⽅便管理,他们会按照病毒的特性,将病毒进⾏分类命名。
虽然每个反病毒公司的命名规则都不太⼀样,但⼤体都是采⽤⼀个统⼀的命名⽅法来命名的。
⼀般格式为:<病毒前缀>.<病毒名>.<病毒后缀> 。
病毒前缀是指⼀个病毒的种类,他是⽤来区别病毒的种族分类的。
不同种类的病毒,其前缀也是不同的。
⽐如我们常见的⽊马病毒的前缀 Trojan ,蠕⾍病毒的前缀是 Worm 等等还有其他的。
病毒名是指⼀个病毒的家族特征,是⽤来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统⼀的“ CIH ”,振荡波蠕⾍病毒的家族名是“ Sasser ”。
病毒后缀是指⼀个病毒的变种特征,是⽤来区别具体某个家族病毒的某个变种的。
⼀般都采⽤26个英⽂字母来表⽰,如 Worm.Sasser.b 就是指振荡波蠕⾍病毒的变种B,因此⼀般称为 “振荡波B变种”或者“振荡波变种B”。
如果该病毒变种⾮常多(也表明该病毒⽣命⼒顽强^_^),可以采⽤数字与字母混合表⽰变种标识。
综上所述,⼀个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有⾮常⼤的帮助的。
通过判断病毒的类型,就可以对这个病毒有个⼤概的评估。
⽽通过病毒名我们可以利⽤查找资料等⽅式进⼀步了解该病毒的详细特征。
病毒后缀能让我们知道现在在你机⼦⾥呆着的病毒是哪个变种。
下⾯附带⼀些常见的病毒前缀的解释(针对我们⽤得最多的Windows操作系统):1、系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
木马的种类及其技术特征
木马的种类及其技术特征常见的木马病毒,按照其功能划分,有以下几类:●网络游戏木马●网银木马●即时通讯软件木马●网页点击类木马●下载类木马●代理类木马下面一一详细介绍。
1.网络游戏木马随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。
网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。
与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。
窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。
流行的网络游戏无一不受网游木马的威胁。
一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。
大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2.网银木马网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。
此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。
如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3.即时通讯软件木马现在,国内即时通讯软件百花齐放。
QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。
常见的即时通讯类木马一般有3种:一、发送消息型。
通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。
木马病毒的植入
木马病毒的植入木马病毒大家应该并不陌生,但往往最容易遇到的问题就是木马怎么植入,这里为大家详解一下,希望大家对症用药,保证自己计算机的安全。
(1)通过网上邻居(即共享入侵)要求:对方打开139端口并有可写的共享目录。
用法:直接将木马病毒上传即可。
(2)通过IPC$要求:双方均须打开IPC$,且我方有对方一个普通用户账号(具有写权限)。
用法:先用net use\\IP\IPC$"密码"/user:用户名”命令连接到对方电脑,再用“copy 本地木马路径远程木马路径、木马名字”将木马病毒复制到目标机。
(3)通过网页植入要求:对方IE未打补丁用法1:利用IE的IFRAME漏洞入侵。
用法2:利用IE的DEBUG代码入侵。
用法3:通过JS.VBS代码入侵。
用法4:通过AstiveX或Java程序入侵。
(4)通过OE入侵要求:对方OE未打补丁。
用法:与(3)中的1.3.4用法相同。
(5)通过Word.Excel.Access入侵要求:对方未对宏进行限制。
用法1:编写恶意的宏夹杂木马,一旦运行Office文档编植入主机中。
用法2:通过Office的帮助文件漏洞入侵。
(6)通过Unicode漏洞入侵要求:对方有Unicode漏洞。
用法:“http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?+COPY+本地木马路径+远程路径+木马名”。
(7)通过FIP入侵要求:对方的FIP可以无名登陆而且可以写入。
用法:直接将木马上传即可。
(8)通过TELNET入侵要求:具有对方一个具有写权限的账号。
用法:用TELNET命令将木马传上去。
(9)EXE合并木马要求:无。
用法:用EXE文件合并器将两个EXE文件合并即可。
(10)WinRAR木马入侵要求:对方安装了WinRAR。
用法:将压缩包设为自解压格式,并设置自动运行的选项,将RAR图标更改。
(11)文件夹惯性点击法要求:无。
网络中的木马病毒泄密事件解析
网络中的木马病毒泄密事件解析网络间谍案调查中,有关部门从政府某部门的内部电脑网络发行了非法外联的情况,并在许多内部电脑中检测出了不少特制的木马程序,检测结果表明,所有入侵木马的连接都指向境外的特定间谍机构。
案例某政府网络包括涉密网、内部网(业务网)、外部网(公开网站等)三个部分。
其中,政务内网、外网承载着财政、审计等功能。
总的节点有数千台,院内网段有40 多个。
而涉密网中存储着政务中的各种机要文件,如全省的核心经济数据、省重要干部信息、中央下发的涉密工作文件等。
出于安全的考虑,该政务网络中的涉密网与政务内、外网进行了物理隔离。
两个网络的数据不能相互通信。
而涉密网也与因特网隔离,保证了涉密数据不外泄。
然而在日常工作中,涉密网中的的某个职员想在因特网上进行数据查询,考虑到去政务外网中查询不太方便,该职员就在涉密网终端上通过连接政务外网网线的方式,访问了因特网。
该职员在因特网上浏览网页时,访问了某个论坛,而这个论坛正好被黑客攻击了,网页上被挂了利用“网页木马生成器”打包进去的灰鸽子变种病毒。
黑客利用“自动下载程序技术”,让该职员在未察觉的情况下被种植了木马。
“灰鸽子”是反弹型木马,能绕过天网等大多数防火墙的拦截,中木马后,一旦中毒的电脑连接到Internet,远程攻击者就可以完全控制中马后的电脑,可以轻易地复制、删除、上传、下载被控电脑上的文件。
机密文件在该涉密网职员毫不知情的情况下被窃取,最终造成了重大泄密事件。
随着政府上网工程的不断开展,我国计算机及网络泄密案件也在逐年增加。
据报道,在上年的一起网络间谍案调查中,有关部门从政府某部门的内部电脑网络发行了非法外联的情况,并在许多内部电脑中检测出了不少特制的木马程序,检测结果表明,所有入侵木马的连接都指向境外的特定间谍机构。
专业部门进行检测时,测出的木马很多还正在下载、外传资料,专业人员当即采取措施,制止了进一步的危害。
非法外联的威胁现在,一些安全性较高的内部网络(如政府部门、军事部门的网络)常常与外部网络(如Internet)实施物理隔离,以确保其网络的安全性。
计算机网络安全与防火墙技术分析
计算机网络安全与防火墙技术分析摘要:目前我国信息技术和科技水平的快速发展,现阶段计算机网络技术得到了社会各个领域的普及应用。
我国进入信息时代,计算机网络在生产生活中发挥着重要作用,同时也存在数据信息丢失等安全问题。
在信息技术发展过程中,必须要重视网络完全,提高网络运行的安全性。
防火墙技术是计算机网络应用中的重要技术,可以提高计算机网络运行的安全性,为网络环境安全提供技术保障。
将防火墙技术应用到计算机网络安全中,能够更好地满足网络安全需求,从而规避网络安全风险。
因此,防火墙技术是目前一种可靠的网络安全技术,具有安全防护作用,在计算机网络安全中应用该技术具有重要的现实意义。
关键词:防火墙技术;计算机;网络信息技术;安全引言近年来,随着计算机网络技术被应用到各个行业,计算机网络安全受到高度关注,而防火墙技术能够对计算机网络中的安全隐患进行拦截,减少计算机网络安全问题的发生,使用户的信息安全得到保障。
为发挥防火墙技术具有的整体功能,本文主要针对防火墙技术在计算机网络安全中的应用进行分析探究,期望能为计算机网络安全管理提供一些可靠的参考依据。
1计算机网络安全中防火墙技术的概念分析防火墙技术顾名思义就是指在计算机网络运行过程中,通过信息技术建立起一道如同阻挡火灾泛滥的墙壁,用于防止垃圾信息以及黑客侵入,可以有效将外界不明信息数据进行拦截登记,让其形成病毒原始数据库进而提高防护效率,确保用户在使用计算机网络过程中实现安全稳定,为用户提供一个可靠的上网环境。
防火墙技术主要有两个特别明显的作用,首先防火墙技术可以对计算机系统在使用过程中流动的信息数据进行监控筛选,然后能够及时发现异常信息数据并告诉使用者,避免一些垃圾数据或者无用数据的存在导致网络运行不流畅出现拥堵问题,因此有效使用防火墙技术可以加快计算机的运行效率,避免计算机在运行过程中被外界病毒入侵,为用户提供安全稳定的计算机网络服务。
其次,防火墙技术可以将计算机网络运行过程中所产生的数据信息自动进行备份管理,避免因为突然发生网络事故导致经济损失,防火墙技术的存在可以有效降低计算机内部信息破损以及错误等问题的发生概率。
360隔离沙箱使用方法
360隔离沙箱使用方法【实用版5篇】目录(篇1)1.360 隔离沙箱简介2.360 隔离沙箱功能特点3.360 隔离沙箱使用方法a.打开 360 安全卫士b.点击更多应用c.找到并打开隔离沙箱d.设置隔离沙箱e.将可疑文件或程序拖入隔离沙箱f.运行软件或查看文件正文(篇1)360 隔离沙箱是一款由 360 公司推出的安全工具,它具有完全隔离并轻量的虚拟化技术,可以自动识别特定有风险软件隔离运行。
使用 360 隔离沙箱可以保障电脑的安全,避免病毒和木马对电脑的侵害。
360 隔离沙箱的功能特点主要体现在以下几点:1.完全隔离并轻量的虚拟化技术:360 隔离沙箱使用虚拟化技术,将运行在沙箱中的程序与系统隔离,保证电脑的安全。
2.自动识别特定有风险软件隔离运行:当运行的程序或文件被 360 隔离沙箱识别为有风险时,它会自动将这些程序或文件隔离运行,防止病毒和木马对电脑的侵害。
3.安全不留痕迹,用的省心更安心:360 隔离沙箱在保护电脑安全的同时,不会对用户产生任何影响,使用起来非常方便。
要使用 360 隔离沙箱,可以按照以下步骤进行操作:1.打开 360 安全卫士:在电脑上打开 360 安全卫士,进入主界面。
2.点击更多应用:在 360 安全卫士主界面的右侧,点击“更多”按钮,打开功能大全。
3.找到并打开隔离沙箱:在功能大全中找到“隔离沙箱”,点击打开。
4.设置隔离沙箱:在隔离沙箱界面,根据需要进行设置,如选择文件列表、程序列表等。
5.将可疑文件或程序拖入隔离沙箱:将需要检测的文件或程序拖入隔离沙箱中,360 隔离沙箱会自动进行检测。
6.运行软件或查看文件:在隔离沙箱中可以运行软件或查看文件,对电脑的安全没有任何影响。
通过以上步骤,用户可以方便地使用 360 隔离沙箱,保障电脑的安全。
目录(篇2)1.360 隔离沙箱的概述2.360 隔离沙箱的功能特点3.360 隔离沙箱的使用方法4.360 隔离沙箱的应用场景5.360 隔离沙箱的优点正文(篇2)一、360 隔离沙箱的概述360 隔离沙箱是一款由 360 公司推出的安全工具,它采用虚拟化技术,能够将运行在沙箱内的程序与系统隔离,从而保护用户电脑免受病毒、木马等恶意软件的侵害。
木马病毒的六种启动方式
木马病毒的六种启动方式一、通过"开始\程序\启动"隐蔽性:2星应用程度:较低这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。
因为启动组的每人会会出现在“系统配置实用程序”msconfig.exe,以下简称msconfig中。
事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
二、通过Win.ini文件隐蔽性:3星应用程度:较低同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。
在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中。
而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
三、通过注册表启动1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices隐蔽性:3.5星应用程度:极高应用案例:BO2000,GOP,NetSpy,IEthief,冰河……这是很多Windows程序都采用的方法,也是木马最常用的。
使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。
使用Windows自带的程序:msconfig或注册表编辑器regedit.exe,以下简称regedit都可以将它轻易的删除,所以这种方法并不十分可靠。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络时代可不太平,谁没有遭遇过病毒或木马?从CIH、I Love You到红色代码、Nimda,从BO到冰河,无一不是网友经常懈逅的对象。
怎么避免这些“艳遇”是广大用户孜孜以求的目标,不过,“道高一尺,魔高一丈”,“防”永远是落后的,主动消灭它们才是积极主动的。
要消灭它们,首先就要掌握病毒及木马是怎么入侵我们的"爱机"的。
有关病毒及木马的入侵招数的文章很多,但都不太全面,编者偶然间发现了一篇作者不详,但内容颇为全面的文章,特意整理出来,希望对大家有所帮助。
一、修改批处理很古老的方法,但仍有人使用。
一般通过修改下列三个文件来作案:Autoexec.bat(自动批处理,在引导系统时执行)Winstart.bat(在启动GUI图形界面环境时执行)Dosstart.bat(在进入MS-DOS方式时执行)例如:编辑C:\windows\Dosstart.bat,加入:start Notepad,当你进入“MS-DOS方式”时,就可以看到记事本被启动了。
二、修改系统配置常使用的方法,通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的,涉及范围有:在Win.ini文件中:[windows]load=程序名run=程序名在System.ini文件中:[boot]shell=Explorer.exe其中修改System.ini中Shell值的情况要多一些,病毒木马通过修改这里使自己成为Shell,然后加载Explorer.exe,从而达到控制用户电脑的目的。
三、借助自动运行功能这是黑客最新研发成果,之前该方法不过被发烧的朋友用来修改硬盘的图标而已,如今它被赋予了新的意义,黑客甚至声称这是Windows的新BUG。
Windows的自动运行功能确实很烂,早年许多朋友因为自动运行的光盘中带有CIH病毒而中招,现在不少软件可以方便地禁止光盘的自动运行,但硬盘呢?其实硬盘也支持自动运行,你可尝试在D盘根目录下新建一个Autorun.inf,用记事本打开它,输入如下内容:[autorun]open=Notepad.exe保存后进入“我的电脑”,按F5键刷新一下,然后双击D盘盘符,怎么样?记事本打开了,而D盘却没有打开。
当然,以上只是一个简单的实例,黑客做得要精密很多,他们会把程序改名为“.exe”(不是空格,而是中文的全角空格,这样在Autorun.inf中只会看到“open=”而被忽略,此种行径在修改系统配置时也常使用,如“run=”;为了更好地隐藏自己,其程序运行后,还会替你打开硬盘,让你难以查觉。
由此可以推想,如果你打开了D盘的共享,黑客就可以将木马和一个Autorun.inf存入该分区,当Windows自动刷新时,你也就“中奖”了,因此,大家千万不要共享任何根目录,当然更不能共享系统分区(一般为C:)。
四、通过注册表中的Run来启动很老套的方法,但80%的黑客仍在使用,通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值,可以比较容易地实现程序的加载,黑客尤其方便在带”Once”的主键中作手脚,因此带“Once”的主键中的键值,在程序运行后将被删除,因此当用户使用注册表修改程序查看时,不会发现异样。
另外,还有这样的程序:在启动时删除Run中的键值,而在退出时(或关闭系统时)又添加键值,达到隐蔽自己的目的。
(这种方法的缺点是:害怕恶意关机或停电,呵呵!)五、通过文件关联启动很受黑客喜爱的方式,通过EXE文件的关联(主键为:exefile),让系统在执行任何程序之前都运行木马,真的好毒!通常修改的还有txtfile(文本文件的关联,谁不用用记事本呢?)、regfile(注册表文件关联,一般用来防止用户恢复注册表,例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。
为了防止用户恢复注册表,用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序,阻碍用户修复。
六、通过API HOOK启动这种方法较为高级,通过替换系统的DLL文件,让系统启动指定的程序。
例如:拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接,那么黑客就会替换这个DLL,当用户的应用程序调用这个API 函数,黑客的程序就会先启动,然后调用真正的函数完成这个功能(特别提示:木马可不一定是EXE,还可以是DLL、VXD),这样既方便又隐蔽(不上网时根本不运行)。
中此绝毒的虫子,只有两种选择:Ghost 或重装系统,幸好此毒廖廖无几,实属万虫之幸!API的英文全称为:Application Programming Interface,也就是应用程序编程接口。
在Windows程序设计领域发展初期,Windows程序员所能使用的编程工具唯有API函数,这些函数是Windows提供给应用程序与操作系统的接口,他们犹如“积木块”一样,可以搭建出各种界面丰富,功能灵活的应用程序。
所以可以认为API函数是构筑整个Windows框架的基石,在它的下面是Windows的操作系统核心,而它的上面则是所有华丽的Windows应用程序。
七、通过VXD启动此法也是高手专用版,通过把木马写成VXD形式加载,直接控制系统底层,极为罕见。
它们一般在注册表[HKEY_ LOCAL_MACHINE\System\CurrentControlSet\Services\VxD]主键中启动,很难发觉,解决方法最好也是用Ghost恢复或重新干净安装。
八、通过浏览网页启动通过此种途径有两种方法:利用MIME漏洞:这是2001年黑客中最流行的手法,因为它简单有效,加上宽带网的流行,令用户防不胜防,想一想,仅仅是鼠标变一下“沙漏”,木马就安装妥当,Internet真是太“方便”了!不过今年有所减少,一方面许多人都改用IE6.0;另一方面,大部分个人主页空间都不允许上传.eml文件了。
MIME被称为多用途Internet邮件扩展(Multipurpose Internet Mail Extensions),是一种技术规范,原用于电子邮件,现在也可以用于浏览器。
MIME对邮件系统的扩展是巨大的,在它出现前,邮件内容如果包含声音和动画,就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准,而接收方必须经过解码才可以获得声音和图画信息。
MIME提供了一种可以在邮件中附加多种不同编码文件的方法,这与原来的邮件是大大不同的。
而现在MIME已经成为了HTTP协议标准的一个部分。
九、利用Java applet划时代的Java更高效、更方便——不过是悄悄地修改你的注册表,让你千百次地访问黄(黑)色网站,让你关不了机,让你……,还可以让你中木马。
这种方法其实很简单,先利用HTML把木马下载到你的缓存中,然后修改注册表,指向其程序。
十、利用系统自动运行的程序这一条主要利用用户的麻痹大意和系统的运行机制进行,命中率很高。
在系统运行过程中,有许多程序是自动运行的,比如:磁盘空间满时,系统自动运行“磁盘清理”程序(cleanmgr.exe);启动资源管理器失败时,双击桌面将自动运行“任务管理器”程序(Taskman.exe);格式化磁盘完成后,系统将提示使用“磁盘扫描”程序(scandskw.exe);点击帮助或按F1时,系统将运行Winhelp.exe或Hh.exe打开帮助文件;启动时,系统将自动启动“系统栏”程序(SysTray.exe)、“输入法”程序(internat.exe)、“注册表检查” 程序(scanregw.exe)、“计划任务”程序(Mstask.exe)、“电源管理”程序等。
这为恶意程序提供了机会,通过覆盖这些文件,不必修改任何设置系统就会自动执行它们!而用户在检查注册表和系统配置时不会引起任何怀疑,例如“注册表检查” 程序的作用是启动时检查和备份注册表,正常情况不会有任何提示,那么它被覆盖后真可谓是“神不知、鬼不觉”。
当然,这也许会被“系统文件检查器”检查(但勤快的人不多)出来。
黑客还有一高招“偷天换日”!不覆盖程序也可达到这个目的,方法是:利用System目录比Windows 目录优先的特点,以相同的文件名,将程序放到System目录中。
你可以试试,将Notepad.exe(记事本)复制到System目录中,并改名为Regedit.exe(注册表编辑器),然后从“开始”→“运行”中,输入“Regedit”回车,你会发现运行的竟然是那个假冒的Notepad.exe!同样,如果黑客将程序放到System中,然后在运行时调用真正的Regedit,谁知道呢?(这种方法由于大部分目标程序不是经常被系统调用,因此常被黑客用来作为被删除后的恢复方法,如果某个东东被删除了又出现,不妨检查检查这些文件。
)十一、还有什么“高招”黑客还常常使用名字欺骗技术和运行假象与之配合。
名字欺骗技术如上述的全角空格主文件名“.exe”就是一例,另外常见的有在修改文件关联时,使用“ ”(ASCII值255,输入时先按下Alt键,然后在小键盘上输入255)作为文件名,当这个字符出现在注册表中时,人们往往很难发现它的存在。
此外还有利用字符相似性的,如:“Systray.exe”和“5ystray”(5与大写S相似);长度相似性的,如:“Explorer.exe”和“Explore.exe”(后者比前者少一个字母,心理学实验证明,人的第一感觉只识别前四个字母,并对长度不敏感);运行假象则是指运行某些木马时,程序给出一个虚假的提示来欺骗用户。
一个运行后什么都没有的程序,地球人都知道不是什么好东西;但对于一个提示“内存不足的程序,恐怕还在埋怨自己的内存太少哩!。