病毒、木马、间谍、流氓软件的典型行为

asdolmlm

现在的世界是病毒、木马、间谍、流氓软件横行，为了更好地防范、拯救，现在对它们的典型行为作一个分析：

% b: T2 q" l, H. l一、将自己添加到开机启动项中

$ Y) L) s7 @  X1 I主要采取这几种办法：
8 L. U4 j$ H" p! f7 \2 ~9 i
; r& ^# p- H9 J( v, A- h1、添加到开始菜单的“启动”文件夹中（所有用户、当前用户、默认用户）
, ~4 o$ H7 t' [. C# m& C" y
2、添加到注册表的启动项里（所有用户、当前用户、默认用户），包括：

1 J; ^+ e3 p2 D8 d, D% Y9 }, C6 e, M“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
" I& d0 u4 w1 M3 I
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”

# Y* J" F7 [" s" B/ G' s" [“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx”

* }, `8 c8 g7 N, Q“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce”

$ o9 P9 ~/ B: \; w6 h: Z, E" M$ w“HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”
, ?$ Y5 a( _/ P. F) `
3、添加到win.ini、system.ini文件
6 l+ o# `/ E0 B3 Y  t# k. I
以上各种均可以实现程序在开机时就启动运行。
+ y* ?4 s2 e8 |  R) r! n4 B
' o  A) Z" e. G4 C' H& R8 r% V/ S二、添加至服务
: v' @4 ~: I: N  z. W3 l9 ?
程序将自身注册成为服务，也是同样的目的，实现在开机时程序就运行。
. f* }. X" t8 W
三、添加至批处理文件

0 g" T2 j5 n* O& J系统根目录下的AUTOEXEC.BAT和windows目录下的WinStart.bat文件，系统开机时会默认加载。
$ r/ n+ b6 ^5 A# g
+ c  d2 E& K4 ?; Q! O6 c: D3 t四、更改文件的关联程序

, r, }* L; N# _- i( J8 v一般每个文件都有它自己的默认打开程序，打开方式都注册在注册表里。如果一个病毒、木马、间谍、流氓软件把自己注册为txt文件的打开方式，那么每次用户打开txt文件时就等于运行了病毒、木马、间谍、流氓软件。

通过这样的方式，程序也实现了自身的启动。
) m+ @* d& ^  t
6 x% K+ [5 `! u0 H/ M五、进程伪装
+ ~: W" E5 W" J+ d
先了解三个相关的概念：进程，线程和服务。
) b& c( B) Y' u. |2 j9 {. [6 }
, x7 f3 e# L* o; K进程：一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程 ，同时，每个进程，分别对应了一个不同的PID（Progress ID, 进程标识符）这个进程会被系统分配一个虚拟的内存空间地址段，一切相关的程序操作，都会在这个虚拟的空间中进行。
3 v8 }  D" w; ?2 E! f
线程：一个进程，可以存在一个或多个线程，线程之间同步执行多种操作，一般地，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。
8 N  V. A. n* }9 j
服务：一个进程当以服务的方式工作的时候，它将会在后台工作，不会出现在任务列表中，但是，在Windows NT/2000下，你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。
, c, }" ^& F0 y  q( s/ m
进程伪装，可以伪隐藏，也可以是真隐藏。伪隐藏，就是指程序的进程仍然存在，只不过是让他消失在进程列表里。真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作。
- j# z& \/ I, C, D  [
% l6 {! K- u( E+ r& V' [) }# G伪隐藏，目的就是使通过程序进程不在任务管理器里显示，它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

: H6 Q: o5 V& [- T" d真隐藏，其基本原理是将自已的木马以线程方式嫁接于远程进程之中，远程进程则是合法的用户程序，这样用户管理者看到的只是合法进程，而无法发现木马线程的存在，从而达到隐藏的目的，方法有窗口Hook、挂接API、远程线程等。

如果病毒、木马、间谍、流氓软件将自己插入至系统的重要进程里，那么可实现开机就启动，且无法通过杀进程来停止它。
# w) e% X, U/ T6 Q1 ^
- c0 J' [; U8 z0 k* a+ C六、删除自身，或更改自身文件名

有的病毒、木马、间谍、流氓软件一旦运行后就将自身删除，或者随机更改文件名，使用户无法发现。

9 r/ U) ~( S1 S$ e3 ^七、替换系统重要文件
# P# \- m8 x+ R* L, O
有的病毒、木马、间谍、流氓软件会将系统的重要或必需的文件替换成自己的，这样运行时启动的就是病毒、木马、间谍、流氓软件，同时也把原有的被替换的程序启动，使用户很难发现或受到欺骗。

$ C' i7 z8 z! x- R八、更改系统的设置，增加自己被发现的难度

比如禁用注册表、禁用任务管理器、禁用文件夹选面、禁用系统或隐藏文件的显示开关等。

九、复制、更改用户文件，截获用户的屏幕显示、摄像头图像、接收或发送的信息、键盘输入（用户名、银行帐号、密码等）

/ a+ L. I8 C( L+ d. o3 I2 s十、控制用户的电脑设备，打开、关闭或重启用户的电脑，打开摄像头等设备，等。
( d+ L# p; B7 o( w( a6 h% N: D! W* y
$ A2 J6 k( q, H3 f! K0 l十一、对外发送信息，打开网络端口

通过病毒、木马、间谍、流氓软件的运行，它们会对外进行连接，打开网络端口，对外发送信息，或者监听某个端口，等待黑客的外部控制连接。所以也要注意监视网络端口。


2 R# r3 m  o. P' b
/ @# o  q7 p* B# P综合以上的种种典型行为，你可以看出，它们有几个基本特征：

一、运行自己，任何的病毒、木马、间谍、流氓软件不被运行的话是不具有危害的能力的。

二、隐藏自己，防止被用户发现、查杀。

三、收集信息。
3 t2 m6 {: X6 H
四、破坏系统文件的完整性，占用系统资源或破坏系统正常运行。
& M0 B; j: u+ Q/ M; T
五、打开网络端口或监听网络端口，对外传输信息。