①破壞型:純粹搞破壞的,現在很少啦,沒有多少黑客願意做這種病毒了。
②流量型:屬於這個類型的有百度插件、3712插件等各類插件,其主要目的就是獲取流量。由於開發這個類型的壹般都是大公司,財大氣粗,有強大的研發隊伍,進程插入、進程守護、hook技術、bho、sys驅動級等壹堆技術都用上了,清除較難。
③資料竊取型:灰鴿子、密碼解霸、上興、阿拉QQ大盜等都是這個類型。以竊取來的資料賣錢。 此產業鏈的頂端是黑客,他們竊取資料,批量打包,稱其信封,以低價賣給下家,下家買來信封,將其拿到淘寶等交易平臺來散賣。
現在病毒技術主要有:
1.低級:病毒制造者沒有什麽技術,采用的無非是:將病毒名字改成與系統進程類似,寫入註冊表自運行,寫入開始菜單中的啟動項中。惡毒點的就感染系統的文件,這個雖然技術低級,但殺傷力高。去年的熊貓燒香就是最好的例子。技術是很低級的,網絡上有很多關於編寫這低級病毒的教程,就連我都不用半天就可以編寫出比它強大的毒來。由於濫用感染文件的技術,破壞了別人大量數據,最後連公安叔叔都驚動咯,他只能去監獄裏面待者了。
2.中級:制造者有壹定技術,采用的方法:替換系統文件、註冊成系統服務、進程守護等技術。典型的例子就是灰鴿子了,它采用了將自身註冊成系統服務,運行的時候插入IE,隱藏插入的IE進程,以保證防火墻不對其數據進行攔截。它的制作者很聰明,請了律師,發表申明說其開發的是遠程控制軟件而非病毒。在適當的時機功成身退,既賺了鈔票又賺了名聲。
3.高級:此類制作者技術很好,熟悉windows底層的開發,會vc++和匯編,編寫出來的程序體積小巧、功能強悍。 他們靈活運用hook、bho,有些人還會編寫驅動級別的病毒。此類人絕頂聰明,很少會暴露自己,他們用假證據、租用國外服務器、用肉雞管理自己的病毒,所以要逮到他們是很困難的哦。
二.廢話說了壹籮筐,現在切入正題啦~~
首先,我們來了解壹些系統進程,主要的有壹下幾個
svchost.exe csrss.exe explorer.exe lsass.exe mstask.exe regsvc.exe services.exe
smss.exe spoolsv.exe winlogon.exe
其中svchost.exe很多服務需要啟動它,所以在進程中可以看到多個此進程
但不要被任務管理器給騙了哦,較低級的病毒程序會通過改程序名字來躲過被關閉。
我建議使用IceSword這個更強大的進程管理工具,可以看到程序所在的路徑,而且可以看到隱藏的進程,這樣灰鴿子等病毒就逃不過妳的眼睛咯。
三.手動查殺的壹般流程
當妳發現電腦中毒了,用殺毒軟件也解決不了的話,就應該試試用手動查殺了。
1.打開任務管理器,查找是否有可疑的進程(所謂可疑進程,就是非系統進程也非妳自己打開的進程),如果有的話,記下其名字。
2.重新啟動,開機時候按F8進入安全模式
3. 查找可疑程序,辨別其是否是病毒:妳可以通過查看文件的創建時間及版權信息來判斷。
4.斷絕程序啟動的必經之路:壹般有進程的病毒都會通過註冊表來讓自己自動啟動,寫入的地方很多,如
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,如果用手動查看的方式很累的,我推薦壹個軟件autoruns,它把程序自啟動應該會寫入的地方都羅列出來,妳可以刪除可疑的註冊表項目,判斷可疑的文件的方法也是通過查看文件時間。
5.最後打開我的電腦——工具——文件夾選項,去掉“隱藏受保護的系統文件”前面的勾,選中“顯示全部文件”,然後點擊確定,最後搜索“autorun”,刪除搜索出來的文件,防止盤符中的自啟動,最後重啟。
四.結束語
由於時間倉促,以上僅介紹了簡單的病毒查殺。關於hook、bho、驅動級別等無進程的病毒的查殺,留待日後有空再介紹。
最後,廣告壹下:
由於我已經不玩黑咯,以前寫的幾段代碼出售:
1.模擬鼠標點擊代碼:完美模擬了鼠標移動、點擊、彈起、回到原位的過程,是編寫廣告插件的必備好模塊。 我已經寫了vb 和delphi兩個版本,合買700,單買400。
2.成品廣告插件:是用delphi編寫的,程序無進程,由IE調用,非bho,是直接駕馭在text/html 接口上的,對接收到的網頁代碼進行修改,可用於廣告替換。程序使用授權300,程序源代碼5000。