病毒、木马、间谍、流氓软件的典型行为

asdolmlm

现在的世界是病毒、木马、间谍、流氓软件横行，为了更好地防范、拯救，现在对它们的典型行为作一个分析：

9 `* f& O4 O' K, T) @一、将自己添加到开机启动项中
* q) `) X1 G* P2 F+ L" x
7 _- P# v2 ~- f8 u主要采取这几种办法：
- f/ q$ p/ t4 j
1、添加到开始菜单的“启动”文件夹中（所有用户、当前用户、默认用户）
  z1 D5 S0 w7 S2 ?( b; B. z
! G" J$ N6 j. a; D2、添加到注册表的启动项里（所有用户、当前用户、默认用户），包括：

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
* a3 h% Y' J8 z4 a. s
/ H" `' Z' ]+ ~1 I" `“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx”
% L0 }1 K- W/ X$ S3 @4 f
, y' V3 _6 n7 q5 N2 s; Q4 s“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”
7 D4 a3 p6 l: T6 ]9 d# E3 B
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce”
: w# O2 w# N& J; m, i$ ~" Q4 @
“HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”

3、添加到win.ini、system.ini文件

以上各种均可以实现程序在开机时就启动运行。
2 q, ?3 A: f* E2 B+ G4 c
) U2 O! \. y  m二、添加至服务
- j. }4 I  P* H% N0 M1 y
程序将自身注册成为服务，也是同样的目的，实现在开机时程序就运行。
) E" `7 @+ A* x
" M' s: F& Y! |4 t, v0 H* x三、添加至批处理文件
  [9 E, u' U) A% `) D: H
系统根目录下的AUTOEXEC.BAT和windows目录下的WinStart.bat文件，系统开机时会默认加载。
1 M4 Z7 X0 a% V/ V' h9 @/ i$ H
" D: r0 T# t+ ~9 N- m四、更改文件的关联程序

一般每个文件都有它自己的默认打开程序，打开方式都注册在注册表里。如果一个病毒、木马、间谍、流氓软件把自己注册为txt文件的打开方式，那么每次用户打开txt文件时就等于运行了病毒、木马、间谍、流氓软件。

: N1 e" C8 E* d通过这样的方式，程序也实现了自身的启动。

% e: o3 \/ w1 e+ n3 [五、进程伪装

先了解三个相关的概念：进程，线程和服务。
3 J; u4 m  Q. o) J: x
* i9 R" P6 ^9 X8 {# L进程：一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程 ，同时，每个进程，分别对应了一个不同的PID（Progress ID, 进程标识符）这个进程会被系统分配一个虚拟的内存空间地址段，一切相关的程序操作，都会在这个虚拟的空间中进行。
+ ^8 c: c& T  V# L! d$ @
% P! Z9 W: @7 z% }3 ?9 s; u线程：一个进程，可以存在一个或多个线程，线程之间同步执行多种操作，一般地，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。

服务：一个进程当以服务的方式工作的时候，它将会在后台工作，不会出现在任务列表中，但是，在Windows NT/2000下，你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。

' f* b* k' d9 C8 d进程伪装，可以伪隐藏，也可以是真隐藏。伪隐藏，就是指程序的进程仍然存在，只不过是让他消失在进程列表里。真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作。
( `3 e+ Q" B4 P0 e
6 l4 e4 c: M" d( ^; t4 e% U伪隐藏，目的就是使通过程序进程不在任务管理器里显示，它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。
& P. ]5 U" b6 D$ U4 c4 l+ F! G
真隐藏，其基本原理是将自已的木马以线程方式嫁接于远程进程之中，远程进程则是合法的用户程序，这样用户管理者看到的只是合法进程，而无法发现木马线程的存在，从而达到隐藏的目的，方法有窗口Hook、挂接API、远程线程等。
# T" m) D6 b. t& A2 T, E7 f
如果病毒、木马、间谍、流氓软件将自己插入至系统的重要进程里，那么可实现开机就启动，且无法通过杀进程来停止它。
* ]+ _5 y* C' T0 e% t* p' n
六、删除自身，或更改自身文件名
6 G% Q0 @- O1 z# ~; M9 u
7 R: K& `  v. e7 t  K6 I有的病毒、木马、间谍、流氓软件一旦运行后就将自身删除，或者随机更改文件名，使用户无法发现。

七、替换系统重要文件
# P# [( l, t' T4 X, g( X' Y
有的病毒、木马、间谍、流氓软件会将系统的重要或必需的文件替换成自己的，这样运行时启动的就是病毒、木马、间谍、流氓软件，同时也把原有的被替换的程序启动，使用户很难发现或受到欺骗。
3 H% L  N3 k( a% _9 A
* }$ y0 b( K0 _$ x3 O* J八、更改系统的设置，增加自己被发现的难度
& x* P  w  X4 `3 r
& o5 G; v8 e2 d/ k0 i比如禁用注册表、禁用任务管理器、禁用文件夹选面、禁用系统或隐藏文件的显示开关等。

# \# s! j6 R6 U九、复制、更改用户文件，截获用户的屏幕显示、摄像头图像、接收或发送的信息、键盘输入（用户名、银行帐号、密码等）

十、控制用户的电脑设备，打开、关闭或重启用户的电脑，打开摄像头等设备，等。

9 a# H  z; a, M7 [十一、对外发送信息，打开网络端口
, ?0 m$ V  j  Y7 ?* s( p
9 C5 v8 N+ b: J( V$ C) o. E% n通过病毒、木马、间谍、流氓软件的运行，它们会对外进行连接，打开网络端口，对外发送信息，或者监听某个端口，等待黑客的外部控制连接。所以也要注意监视网络端口。
5 C* g- n1 C1 K
, J! p7 v9 e9 q: L5 T1 E

7 m  N7 T3 @  l: D! R综合以上的种种典型行为，你可以看出，它们有几个基本特征：

一、运行自己，任何的病毒、木马、间谍、流氓软件不被运行的话是不具有危害的能力的。

二、隐藏自己，防止被用户发现、查杀。

三、收集信息。
/ W0 x% W5 c9 f- C7 l( R
四、破坏系统文件的完整性，占用系统资源或破坏系统正常运行。
7 ?& q, C( |( N- R) G
五、打开网络端口或监听网络端口，对外传输信息。