病毒、木马、间谍、流氓软件的典型行为

asdolmlm

现在的世界是病毒、木马、间谍、流氓软件横行，为了更好地防范、拯救，现在对它们的典型行为作一个分析：
4 I3 [# `% ^+ q  |; l
一、将自己添加到开机启动项中

主要采取这几种办法：

: T3 x1 N" X5 U& Z1、添加到开始菜单的“启动”文件夹中（所有用户、当前用户、默认用户）
; ^8 v/ }) H0 O  R; M2 @* {' U
' {7 z6 K8 U9 N2 \5 V2、添加到注册表的启动项里（所有用户、当前用户、默认用户），包括：
% ~0 o! {/ Z) f/ _' v
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”

# P! Z# j8 k" D) Q( D. A- N9 h“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”
3 J6 |: ?" g( ?& ~+ F
/ z1 T' n  \0 W. K* n+ C7 N“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx”

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”

2 _/ Y: A; B* C3 `9 I“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce”
$ A( v7 G4 J0 z, ]- \; m1 a8 L
“HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”
' w( {1 Q# `1 k7 x/ q4 Q% y7 }! |
9 G/ ~/ _6 I' _$ g3、添加到win.ini、system.ini文件
* k. S/ V8 w6 ~
8 G- @$ i4 v5 ^; i3 l& ^, ?以上各种均可以实现程序在开机时就启动运行。

1 R' x# ]" R  T" k8 {/ z+ W: F二、添加至服务

程序将自身注册成为服务，也是同样的目的，实现在开机时程序就运行。

三、添加至批处理文件

  N# ~5 q; k9 m0 ~6 D系统根目录下的AUTOEXEC.BAT和windows目录下的WinStart.bat文件，系统开机时会默认加载。
7 u; {* W" ]; A# }: k2 L) L
四、更改文件的关联程序
. V' I% S* s$ W9 J# X# E$ @
2 C' D/ j' k- C# e2 X一般每个文件都有它自己的默认打开程序，打开方式都注册在注册表里。如果一个病毒、木马、间谍、流氓软件把自己注册为txt文件的打开方式，那么每次用户打开txt文件时就等于运行了病毒、木马、间谍、流氓软件。
& y, c1 u# V- @0 g  j/ x' [$ t7 p
通过这样的方式，程序也实现了自身的启动。
* c) u( W) C$ t
五、进程伪装
6 O1 v8 p. Z) B8 R* K4 w
先了解三个相关的概念：进程，线程和服务。
% @, B( f3 z+ z( ~. _  |% O
" o! P* Z. a) s: G+ Q进程：一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程 ，同时，每个进程，分别对应了一个不同的PID（Progress ID, 进程标识符）这个进程会被系统分配一个虚拟的内存空间地址段，一切相关的程序操作，都会在这个虚拟的空间中进行。
5 V) W  t5 N8 a+ Q
5 y# b; T7 C" k& A2 B1 ^- A线程：一个进程，可以存在一个或多个线程，线程之间同步执行多种操作，一般地，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。

7 `& h+ ^, Y% W' [! O4 i服务：一个进程当以服务的方式工作的时候，它将会在后台工作，不会出现在任务列表中，但是，在Windows NT/2000下，你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。

进程伪装，可以伪隐藏，也可以是真隐藏。伪隐藏，就是指程序的进程仍然存在，只不过是让他消失在进程列表里。真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作。

伪隐藏，目的就是使通过程序进程不在任务管理器里显示，它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

4 ]3 w( ]( V5 D& a7 Z; C, x( C: C真隐藏，其基本原理是将自已的木马以线程方式嫁接于远程进程之中，远程进程则是合法的用户程序，这样用户管理者看到的只是合法进程，而无法发现木马线程的存在，从而达到隐藏的目的，方法有窗口Hook、挂接API、远程线程等。

- H+ F% q$ i$ }  [; ^如果病毒、木马、间谍、流氓软件将自己插入至系统的重要进程里，那么可实现开机就启动，且无法通过杀进程来停止它。
! b3 Z, Y5 c0 Y- k9 I0 y
六、删除自身，或更改自身文件名
* s9 N1 c# W4 Z3 f! b
有的病毒、木马、间谍、流氓软件一旦运行后就将自身删除，或者随机更改文件名，使用户无法发现。

七、替换系统重要文件

) S9 m0 S5 O9 E/ x5 B# m有的病毒、木马、间谍、流氓软件会将系统的重要或必需的文件替换成自己的，这样运行时启动的就是病毒、木马、间谍、流氓软件，同时也把原有的被替换的程序启动，使用户很难发现或受到欺骗。

; x( h) M$ u0 Z八、更改系统的设置，增加自己被发现的难度
8 m# v0 y& s) X  p
比如禁用注册表、禁用任务管理器、禁用文件夹选面、禁用系统或隐藏文件的显示开关等。

九、复制、更改用户文件，截获用户的屏幕显示、摄像头图像、接收或发送的信息、键盘输入（用户名、银行帐号、密码等）
  y, A5 H& G/ q) x* U
9 @4 d. E$ b; ~4 t. e- s% Y十、控制用户的电脑设备，打开、关闭或重启用户的电脑，打开摄像头等设备，等。
3 _3 y( V1 c/ \% B: u3 A
十一、对外发送信息，打开网络端口
( P, J- _! I" O3 [) Z
通过病毒、木马、间谍、流氓软件的运行，它们会对外进行连接，打开网络端口，对外发送信息，或者监听某个端口，等待黑客的外部控制连接。所以也要注意监视网络端口。


+ `) {4 k4 T, s: o
0 j  Q. I5 u% I( C1 d( C4 ~综合以上的种种典型行为，你可以看出，它们有几个基本特征：

7 b  u; {6 i3 P  q$ a一、运行自己，任何的病毒、木马、间谍、流氓软件不被运行的话是不具有危害的能力的。
3 d% H8 S5 y$ r: J* y. B7 V
. S, A3 ?2 c9 I. p! h" ]  k二、隐藏自己，防止被用户发现、查杀。

0 l. A8 T; I5 ]+ ?, `: o三、收集信息。
. b0 r6 O5 L7 [
; ?% D( h5 I' G" c' ?" i, P2 G3 f四、破坏系统文件的完整性，占用系统资源或破坏系统正常运行。
3 X9 M- h) s8 J" _
. y+ ?1 h, ?! u0 M, U; s0 N7 H+ ~五、打开网络端口或监听网络端口，对外传输信息。