我是壹名黑客愛好者,精通無病毒查殺(即如何讓病毒和木馬逃過殺毒軟件的查殺)。對於殺毒軟件,我首先推薦卡巴斯基。
原因:卡巴的文件查殺能力和內存查殺能力都是郵政類中的佼佼者!除了使用壹般殺毒軟件使用的特征碼,還使用了虛擬機技術,文件查殺能力在同類軟件中無與倫比。
二、什麽是計算機病毒和木馬?
計算機病毒是壹種程序,壹種可執行代碼。它和我們常用的播放器、QQ聊天軟件等各種軟件壹樣,屬於應用程序。計算機病毒與普通應用程序的區別在於,壹般具有傳染性、隱蔽性和破壞性。計算機病毒是壹組程序或指令,它們可以以某種方式潛伏在計算機存儲介質(或程序)中,在滿足壹定條件時被激活,可以破壞計算機資源。
特洛伊馬(以下簡稱特洛伊馬)英文叫“特洛伊之家”,名字是rhyme @吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆並且僅恢復?凍炭怎麽了?幸運嗎?旋渦院的頭鞘有什麽問題?Client)和Server(服務器),服務器種植在遠程計算機上,客戶端由黑客在自己的主機上運行,客戶端可以向服務器發送各種指令,控制服務器的計算機。
計算機病毒和特洛伊馬都是應用程序。病毒的主要特征是傳染性和破壞性。特洛伊馬的主要特點是遙控。特洛伊馬比病毒更具潛在危險。
三、什麽是計算機漏洞?
顧名思義,計算機漏洞是指計算機軟件在編程時存在缺陷,留下隱患。黑客可能會利用計算機漏洞完全控制您的計算機。微軟的操作系統本身就存在大量的漏洞(微軟的主要操作系統有:MS-DOS、Windows 98/Me、Windows NT、Windows 2000、Windows XP、Windows 2003等。).眾所周知的漏洞有MS05039溢出漏洞、MS0601圖形渲染引擎、幫助控制跨域代碼執行漏洞等。黑客利用這些漏洞。
第四,詳細解釋了流行的特洛伊馬的工作過程
1.密碼竊取特洛伊。以QQ盜特洛伊“阿拉QQ賊”為例:
Ala QQ大盜在網上很流行。經過初步配置的木馬程序,它可以自動生成壹個木馬程序。如果您的電腦不幸運行了此程序,您的QQ將在指定時間內被強制關閉。當您再次登錄QQ時,您的號碼和密碼會被這個木馬程序悄悄發送到特洛伊木馬廠商指定的接收程序中,您的QQ號碼將不再屬於您。
2.遠程控制木馬,以令人望而生畏的“灰鴿子”為例:
灰鴿子是壹款知名的遠程控制軟件,由服務器和控件兩部分組成。屬於反彈端口型木馬程序。當妳的電腦不幸被灰鴿服務器擊中,服務器會自動向特洛伊造馬商設定的地址發送連接請求。當服務器與客戶端建立網絡連接後,特洛伊造馬者就會完全控制妳的電腦,包括竊取密碼(比如竊取妳的寬帶上網賬號進行網上消費)、屏幕監控(特洛伊造馬者可以遠程看到妳的桌面,妳在做什麽他壹清二楚)、下載數據(妳所有的數據都可以被他竊取)、格式化硬盤(讓妳所有的數據消失)、遠程打開視頻(如果妳安裝了攝像頭 對方可以悄悄打開妳的視頻而不被妳察覺,真實的妳也會出現在黑客面前)。
動詞 (verb的縮寫)木馬和病毒的傳播途徑
通過上面的介紹,相信大家對木馬和病毒的危害有了感官上的認識。妳可能會問:木馬和病毒是怎麽進入我的電腦的?下面我就來簡單介紹壹下木馬和病毒的幾種主要傳播手段。
1.通過硬件存儲介質傳播
如前所述,電腦病毒具有自動復制和感染的特性,所以如果u盤、MP3、SD卡、軟盤、移動硬盤等移動存儲設備連接到感染了病毒的電腦上,也有可能被感染,如果連接到未感染病毒的電腦上,也有可能感染病毒。
2.通過局域網享受交流* * *
如前所述,微軟的IPC***享存在計算機漏洞,很多病毒可以通過IPC默認***享自動感染局域網內的所有計算機。(我們利用IPC實現了局域網內* * *共享打印機和* * *共享文件。)
3.通過捆綁應用軟件進行傳播
這個方法很巧妙。特洛伊馬制作者將特洛伊馬程序與壹個常用的應用軟件綁定,如Photoshop、QQ、Realplayer、Word等。,然後把這些捆綁的應用軟件放到網上供用戶下載。當妳下載並安裝這些軟件時,被綁的特洛伊馬也同時安裝在妳自己的電腦裏,而妳並沒有察覺。
4.通過電子郵件附件傳播
特洛伊木馬制作者可以直接將木馬程序作為附件發送給妳,利用社會工程學的知識誘騙妳打開附件。比如,妳的同學會給妳發壹張新照片。如果妳相信了,妳可能會被困住。直接發特洛伊馬,對於稍微有點網絡安全意識的人來說還是可以防止的,因為既然特洛伊馬是應用,那麽它的後綴肯定是。EXE。更高級的附件發送木馬相當巧妙,比如把木馬程序的圖標改成圖片文件的圖標或者Word文檔的圖標來迷惑眼睛,還可以用Word的宏命令直接把木馬程序寫成Word文檔,更難被察覺。
5.通過網絡木馬傳播
什麽是網絡特洛伊?答:網頁特洛伊是壹種具有特殊功能的網頁,是利用計算機漏洞構建的。當妳打開這個網頁,妳的電腦在這個網頁中有漏洞,妳的電腦會自動從指定的網址下載木馬程序到妳的電腦,並自動運行。這壹切都是在隱藏狀態下完成的。對於妳來說,妳只是打開了壹個網頁,沒有做別的,但是妳的電腦已經中毒了。與其他溝通方式相比,這種溝通方式的溝通效率最高!大約90%的特洛伊木馬程序都是通過網頁木馬傳播的。妳可能會說妳沒上過什麽不正規的網站,怎麽會中毒呢?事實上,目前很多網站都存在各種各樣的漏洞,黑客可以利用這些漏洞入侵網站,包括網易、搜狐、新浪等著名的大型知名網站都被黑過,主頁被篡改過。如果黑客入侵了壹個網站,並在這些網站的主頁中添加了壹個調用特洛伊馬的代碼,那麽當妳瀏覽這個網站時,妳可能會被特洛伊馬擊中。
6.通過電子郵件網頁傳播特洛伊馬
如上所述,什麽是網頁特洛伊?顧名思義,網絡特洛伊是通過郵件傳播的網絡特洛伊。通過編輯電子郵件的源代碼,特洛伊制作者可以用web格式給妳發送電子郵件。如果調用Web特洛伊的代碼被添加到源代碼中,這種格式的電子郵件就稱為Web特洛伊。這封郵件沒有附件,所以只要妳打開這封郵件,不需要任何其他操作,妳就贏了!與網頁木馬相比,它的優勢在於可以發送到指定郵箱,有針對性地進行攻擊。
7.通過特洛伊馬傳播的視聽文件和網頁
不知道大家有沒有下載了喜歡的電影,在看的時候突然彈出壹個網頁。這個網頁可能是壹匹特洛伊馬(也可能只是壹個廣告)。視頻文件可以添加事件,允許它在指定時間播放時打開網頁。如果打開的網頁是特洛伊木馬,那麽妳的電腦將從此中毒。這種特洛伊馬常見於壹些不正規小網站提供的電影下載或者BT欣賞的視頻中。
六、殺毒軟件和防火墻的工作原理
殺毒軟件查殺病毒的壹個重要依據是在自己的病毒庫中定義特征碼。所謂特征碼,就是壹個程序特有的代碼段,病毒特征碼是指壹個病毒特有的代碼。殺毒軟件殺毒時,會逐個檢查文件中的內碼。壹旦它發現該文件包含病毒的特征碼,它就被認為是病毒,而不管該文件是否是病毒。高級殺毒軟件對同壹病毒通常有兩種特征碼定義:文件特征碼和內存特征碼。程序在內存中運行,內存中的代碼與文件本身的代碼不同。有些文件如果被殺毒軟件直接查殺是沒有病毒的,但是壹旦運行就會發現有病毒,就是這個原因。
“黑客會得到我的想法嗎?”這樣想是對的。黑客就像鉆過雞蛋縫隙的蒼蠅。當他們從系統漏洞中看到壹絲曙光時,他們就會準備行動!好的,如何保護妳的網絡?計算機專家可能壹開口就建議妳在網絡上安裝防火墻,那麽第壹個問題來了:什麽是防火墻?防火墻是壹種過濾塞(目前妳理解的沒錯)。妳可以讓妳喜歡的東西通過這個塞子,把其他的都過濾掉。在網絡世界裏,被防火墻過濾掉的是攜帶通信數據的通信包。世界上的防火墻至少會說兩個字:是或否。大多數防火墻使用多種技術和標準。這些防火墻有多種形式:有些取代了系統上已經配備的TCP/IP協議棧;有些在現有的協議棧上構建自己的軟件模塊;有些只是壹個獨立的操作系統。還有壹些面向應用程序的防火墻只為特定類型的網絡連接(如SMTP或HTTP協議)提供保護。還有壹些基於硬件的防火墻產品,其實應該歸類為安全路由器。以上這些產品都可以稱之為防火墻,因為它們的工作方式都是壹樣的:分析進出防火墻的數據包,決定是讓其通過還是扔到壹邊。值得壹提的是,只要妳想上網,妳的防火墻肯定會對壹些程序和端口說“是”予以放行。
七、道高壹尺魔高十丈。特洛伊病毒如何逃過防火墻和殺毒軟件的攔截和查殺?
如前所述,殺毒軟件查殺病毒的壹個重要依據就是特征碼,所以如果壹個程序不包含病毒庫中定義的所有特征碼,殺毒軟件自然不會認為這個程序是病毒!黑客通常會制作壹個特洛伊馬和病毒程序,然後用各種殺毒軟件將其查殺,再由各種殺毒軟件獲取該程序特征碼的定義,然後修改特征碼,將特征碼的代碼改為其他程序代碼,達到同樣的功能。經過大多數殺毒軟件的壹輪輪攻擊和修改,這種病毒可以成功逃脫各種殺毒軟件的查殺!如前所述,只要妳想上網,防火墻就會釋放壹些程序(如IE瀏覽器)和端口,所以病毒特洛伊可以通過在系統進程中插入線程的方式把自己放入系統進程中,而特洛伊通常使用端口80進行遠程連接(WEB service的默認端口),所以只要妳的電腦能上網,特洛伊也會被防火墻釋放!對於黑客來說,普通的殺毒軟件和防火墻(普通用戶用的)無異於花邊,對用戶毫無作用!所以當妳用殺毒軟件掃描了妳所有的硬盤沒有發現病毒的時候,不要沾沾自喜。很有可能妳已經感染了免殺的病毒,所以即使中毒,妳的殺毒軟件也會視而不見。-
八、特洛伊木馬隱藏技術,木馬程序藏在哪裏?
木馬反正很神秘,但歸根結底還是Win32平臺下的壹個程序。Win32應用程序通常有應用程序接口。例如,系統自帶的“計算器”有壹個提供各種數字按鈕的應用程序界面。特洛伊雖然屬於Win32應用程序,但壹般不包含窗體或者隱藏窗體,特洛伊的file屬性設置為“hide”,這是最基本的隱藏方法。稍有經驗的用戶,打開任務管理器,勾選文件夾選項中的“顯示所有文件”,就能輕松找到特洛伊,於是出現了下面要介紹的“進程隱藏”技術。
第壹代進程隱藏技術:Windows 98的後門
在Windows 98中,微軟提供了壹種將進程註冊為服務進程的方法。雖然微軟沒有公開提供這種方法的技術實現細節(因為Windows後續版本中沒有提供這種機制),但還是有專家發現了這個秘密,這種技術被稱為RegisterServiceProcess。只要使用這種方法,任何程序的進程都可以將自己註冊為服務進程,而服務進程恰好不在Windows 98的任務管理器中顯示,所以被特洛伊木馬利用了。
第二代進程隱藏技術:進程插入
壹個進程可以包含幾個線程,可以幫助應用程序同時做幾件事(比如壹個線程向磁盤寫文件,另壹個線程接收用戶的按鍵操作及時反應,互不幹擾)。程序運行後,系統首先要做的是為程序進程建立壹個默認線程,然後程序可以根據需要添加或刪除相關線程。
壹旦特洛伊的DLL被插入到另壹個進程的地址空間中,這個進程就可以為所欲為了。在這裏,特洛伊竊取QQ密碼將簡要說明。
壹般情況下,壹個應用程序接收鍵盤鼠標操作,其他應用無權“過問”。但是盜號木馬是怎麽偷偷記錄我的密碼的呢?特洛伊首先將1 DLL文件插入QQ進程,成為QQ進程中的壹個線程,於是特洛伊DLL成為QQ的壹部分!然後當用戶輸入密碼時,因為此時特洛伊DLL已經進入QQ進程,所以也可以接收用戶輸入到QQ的密碼。真是“防家賊難”!
不要相信自己的眼睛:恐怖的過程“蒸發”了
嚴格來說,這應該算是第二代進程隱藏技術,但比之前的技術可怕多了。這項技術可以讓特洛伊直接消失,而不會插入到其他進程中!
它通過Hook技術監聽系統中所有程序的進程檢測相關API的調用。任務管理器之所以能顯示系統中的所有進程,是因為它調用了EnumProcesses等與進程相關的API函數,進程信息包含在該函數的返回結果中,由發出調用請求的程序接收並處理(例如任務管理器接收後在進程列表中顯示結果)。
但特洛伊馬提前掛接了API函數,所以當任務管理器(或者其他調用枚舉進程函數的程序)調用EnumProcesses函數(此時API函數扮演了“內部人”的角色)時,特洛伊馬得到通知,在函數向程序返回結果(列出所有進程)之前,它從返回的結果中抹去了自己的進程信息。就像看電視節目,有人不知不覺把電視連上了DVD,妳不知不覺就被騙了。
所以,無論是“任務管理器”還是殺毒軟件,檢測這個特洛伊木馬的進度都是徒勞的。目前,沒有非常有效的手段殺死這個特洛伊。只有在它運行之前,反病毒軟件檢測特洛伊文件,並防止其病毒運行。當時還有壹種技術是木馬程序從Windows系統用來記錄進程信息的“進程鏈表”中刪除自己的進程信息,使進程管理工具無法從“進程鏈表”中獲取特洛伊木馬的進程信息。但由於缺乏平臺通用性和程序運行中的壹些問題,壹直沒有得到廣泛應用。
鉤子是什麽?Hook是Windows提供的替代DOS中“中斷”的系統機制,中文翻譯為“鉤子”或“鉤子”。在掛接了壹個特定的系統事件(包括上述文章中特定API函數的call事件)之後,壹旦被掛接的事件發生,掛接該事件的程序(比如特洛伊馬)就會收到系統的通知,然後程序就可以在第壹時間響應事件(特洛伊馬會在函數返回之前修改結果)。
無痕:全方位立體隱藏
利用剛剛介紹的鉤子隱藏過程,特洛伊可以輕松隱藏文件,只需將鉤子技術應用到與文件相關的API函數中,無論是資源管理器還是殺毒軟件都無法發現特洛伊在哪裏。更令人驚訝的是,特洛伊馬(如灰鴿子)已經使用這種技術來隱藏文件和進程。防止這種特洛伊的最好方法仍然是在它運行之前用反病毒軟件攔截它。
對抗殺毒軟件:殺毒軟件外殼
木馬很狡猾,但壹旦被殺毒軟件定義,就會在運行前被攔截。為了避免被殺毒軟件追殺,很多木馬都是帶殼的,相當於給它們穿上了壹件外衣,讓殺毒軟件無法識別,但是有些殺毒軟件會嘗試把常見的殼給剝掉,然後殺掉(樣本,不要以為穿上馬甲我就不認識妳了)。除了被動隱藏,最近還發現了壹種可以主動對抗殺毒軟件的外殼。特洛伊馬壹旦被加上這個外殼,壹旦運行,這個外殼首先會獲得程序控制權,通過各種手段破壞系統中安裝的殺毒軟件。最後,在確認安全(殺毒軟件的保護已經瓦解)後,外殼會釋放包裹在自己體內的特洛伊體並執行。對付這種特洛伊馬的辦法就是使用具有脫殼能力的殺毒軟件來保護系統。
什麽是貝殼?顧名思義,妳很容易猜到這是外面包裹的東西。是的,shell可以包裝壹個文件(比如EXE),然後在文件運行的時候,shell先獲得控制權,然後釋放並運行包裝好的文件體。很多外殼都可以對其封裝的文件體進行加密,可以防止殺毒軟件查殺。例如,最初的殺毒軟件將特洛伊定義為“12345”。如果壹個文件包含這個特征,就被認為是特洛伊,具有加密功能的外殼會對文件體進行加密(比如原來的特征是“12345”,加密後變成了“54321”,殺毒軟件就不行了。脫殼是指去掉文件外部的外殼,恢復文件脫殼前的狀態。
九、普通用戶網絡安全的出路:防勝於殺。
綜上所述,依靠防火墻和殺毒軟件是不可能做到壹切的!可以說,只要上網就有可能中毒,而且中毒後也不壹定能查出是什麽毒。那麽沒有專業網絡安全知識的普通用戶如何保證自己的網絡安全呢?
1.制作系統補丁,修復系統漏洞。
如前所述,病毒的最大來源是網頁木馬,網頁木馬必須依靠系統漏洞才能生存。如果妳的系統沒有被網頁木馬利用的漏洞,自然起不到任何作用!所以,防止特洛伊病毒進入電腦最好的辦法就是及時給系統打補丁,然後用漏洞掃描工具檢查系統是否有漏洞,直到沒有公布的漏洞為止。
2.及時更新殺毒軟件的病毒庫。
雖然殺毒軟件不是萬能的,但是安裝壹個好的殺毒軟件還是很有必要的。微軟每年都會公布大量的系統漏洞,然後在官網上提供漏洞補丁供用戶下載。但是還有很多未被發現的漏洞可能被黑客利用,所以安裝壹個更好的殺毒軟件是很有必要的。推薦卡巴斯基和瑞星。除了使用特征碼殺毒,卡巴斯基還啟用了虛擬機技術和行為追蹤技術,文件查殺和內存查殺能力出眾。與其他殺毒軟件相比,瑞星最好的地方在於強大的內存查殺能力。缺點是很多病毒木馬專門針對瑞星做了反殺處理。
3.做好系統備份,做好容災準備。
既然打補丁安裝殺毒軟件不是萬能的,就要做好中毒的準備,及時做好系統備份,在災難性故障的情況下快速恢復操作系統,避免數據丟失的風險和重裝系統的麻煩。