Board logo

标题: 病毒常用的伎俩 [打印本页]

作者: hilarylove    时间: 2008-12-28 16:57     标题: 病毒常用的伎俩

杀毒软件能都查杀已知的病毒,但是对于未知的病毒有点无能为例,具有一定的滞后性。虽然杀软不断的改进和增强对注册表的监控和hips技术,通过了解常见病毒的常采用的伎俩对于大家手动查杀病毒非常的有帮助。下面重点介绍病毒常见的破坏形式。   1.自启动   木马病毒为了达到不可告人的目的,经常会采用随着windows操作系统系统而自动加载病毒程序,常见的在注册表中的自启动位置:   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify,   此外还有开始启动菜单:X:\DocumentsandSettings\用户名\「开始」菜单\程序\启动(X为系统盘所在位置)对应的注册表键值:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders   病毒都利用这些暗地里隐藏有些进程甚至直接提升为系统程序。   2.系统还原   系统还原技术为恢复以前的系统数据提供了便利,同时也成了病毒的温床,备份系统文件的同时,收到感染的文件也有可能被作为备份文件存储起来,破坏系统还原点对于这类是一个非常有效的途径。病毒位于X:\SYSTEMVOLUMEINFORMATION路径下(X代表驱动器盘符)通过禁用系统还原功能,右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原"打勾。   3.映像劫持   全称ImageFileExecutionOptions简称IFEO   常见的主要症状有   a、杀毒软件的监控无法开启;   b、杀毒软件点击升级没有反应;;   c、杀毒软件无法安装;   d、杀毒软件无法运行;   e、多种安全辅助工具无法正常运行   对应的注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions   通过导入相对应的注册表项,或者通过光盘修复可以实现。   4.破坏安全模式和隐藏文件   安全模式提供了一个相对封闭的环境,对于查杀病毒比较的彻底,使得病毒或者木马缺少了依附的土壤,在该环境下通过杀软可以绞杀病毒。   病毒、木马为了达到目的,采用隐藏的方式,病毒运行时修改注册表,会将自身注入到系统正常的进程中。   病毒为了逃避查杀,经常采用该方法。   5.ShellExecuteHook   ShellExecuteHook中文含义是执行挂钩,其本身是操作系统的一个正常的功能,它采用挂钩系统的Explorer的ShellExecute函数,这项功能现在被越来越多的病毒、木马所采用,实现随系统启动。   6.AppInit_Dlls   AppInit_Dlls是一种系统全局性的Hook(system-widehook),AppInit_Dlls的键值是一个非常危险的键值,AppInit_Dlls键值位于注册表HKLM\Microsoft\WindowsNT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll的EXE、DLL、OCX等类型的PE文件都会读取这个地方,并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的方式是调用LoadLibrary。使用了User32.DLL,都会对AppInit_Dlls键值指向的DLL进行加载。这个是日志的一部分   [HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]   <>[N/A]默认是这一个   但是有例外而ieprot.dll是瑞星卡卡助手的,这个是正常的,   还有这个如果安装了Comodo的话Appinit_dll也会有个C:\Windows\system32\guard32.dll同样也是正常的项目,   其他的一般加载都是病毒   7.Services   Services中文含义是服务,操作系统(os)要正常的运行,就少不了一些服务,一些木马通过加载服务来达到随系统启动的目的,所有服务在注册表中都有相对应的位置,这些位置有如下几个   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services   现在的病毒越来越狡猾了,了解常见的服务项,检查可疑服务项,对于查杀病毒有一定的帮助。   8.文件关联   可能被病毒修改用于启动病毒的.比较常见的是.exe关联方式被破坏,其他的也有可能被病毒利用.对应的注册表项主要有一下几项:   HKEY_CLASSES_Root\.exe   HKEY_CLASSES_Root\.com   HKEY_CLASSES_Root\.bat   HKEY_CLASSES_Root\.VBS   HKEY_CLASSES_Root\.JS   HKEY_CLASSES_Root\.JSE   HKEY_CLASSES_Root\.WSF   HKEY_CLASSES_Root\.WSH   HKEY_CLASSES_Root\.Pif   HKEY_CLASSES_Root\.INk   HKEY_CLASSES_Root\.scr   HKEY_CLASSES_Root\.txt   HKEY_CLASSES_Root\.ini   有许多优秀工具比如HijackThis,SREng,IceSword,autoruns,wsyscheck。可以作为辅助查杀的工具,这些工具需要对系统有一定的熟悉程度,熟悉注册表,不建议入门者使用.   对于广大的网民,平时养成一个良好的习惯,了解病毒常采用的伎俩,对于预防和防治病毒工作非常的有帮助,对于病毒的防治采用预防为主,防治结合的原则,加强日常的管理和维护,非常的关键。
作者: 流淚╮鮭鮭    时间: 2008-12-28 17:04

  太乱了!》。。!!!!!
作者: zhuyahui    时间: 2008-12-28 18:07

整理下。。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2