QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1188|回复: 0
收起左侧

[分享] 病毒、木马、间谍、流氓软件的典型行为

[复制链接]
发表于 2006-10-22 20:56:37 | 显示全部楼层 |阅读模式 来自: 中国江西九江

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
现在的世界是病毒、木马、间谍、流氓软件横行,为了更好地防范、拯救,现在对它们的典型行为作一个分析:
0 q+ t# G& C& |3 q- I6 q! L
% l0 @2 q2 D: \/ K# k, @; f2 z一、将自己添加到开机启动项中# s( C6 P1 _+ C+ A" E& q0 ~
5 U6 X9 ~; z- a  ^
主要采取这几种办法:
) g' p' B( k" G# d9 x9 S3 K  h) d3 h6 u. w7 O: _% X* ^( m
1、添加到开始菜单的“启动”文件夹中(所有用户、当前用户、默认用户)
+ ?- N# k" P& G2 {4 ~2 l4 n; H" a6 d! f
2、添加到注册表的启动项里(所有用户、当前用户、默认用户),包括:; B' A8 w" y; |& K- o/ R: k
. b3 D0 Q; X  D& X8 [9 W# O
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
8 k* H9 u7 [$ R9 j4 C
' f+ d4 ^! L# ^1 h# F“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”& v+ i  d" S+ A6 }  K
$ G2 g) H# h' n6 B% r$ x2 i
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx”
; e' |7 U9 O  e9 b7 U
; D' ]1 {0 u  M  g' p“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”
4 w, S% Q$ Z# [: d
' w( q1 c1 o; r7 \( E2 ~6 z8 t“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce”! R, u2 R, Y$ v

) o$ W, _. f- L5 Z0 p3 `“HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”+ a6 y& ~# F5 C1 [
; u. A( f  c4 x( R6 Q. M. R' g8 r
3、添加到win.ini、system.ini文件
. F! y7 u3 H, L. d6 [% d! M2 v+ x! l: o& Z6 X
以上各种均可以实现程序在开机时就启动运行。
: x/ a2 j, S; s% u* f2 p: m* R. F5 s8 D% M, @+ U
二、添加至服务
( b. p8 j, x+ W) |, s$ x" V+ @
2 ^  F8 }, G+ T' q/ r# ?2 ]程序将自身注册成为服务,也是同样的目的,实现在开机时程序就运行。& H! B( F. B0 k& z5 {! l8 N

% A: r& e$ H# V! n# t' X三、添加至批处理文件% E( l4 `1 Z& n- \1 v

6 r3 `. h8 M' ^4 e8 W系统根目录下的AUTOEXEC.BAT和windows目录下的WinStart.bat文件,系统开机时会默认加载。2 J4 ]" M2 w' e4 I

, \4 N( C+ W+ B* h) a+ \四、更改文件的关联程序
" c5 ^4 d( p2 L) T8 Q, t' t) B( _/ D, a* c- |' i( b9 O
一般每个文件都有它自己的默认打开程序,打开方式都注册在注册表里。如果一个病毒、木马、间谍、流氓软件把自己注册为txt文件的打开方式,那么每次用户打开txt文件时就等于运行了病毒、木马、间谍、流氓软件。
( U, O3 c+ f3 ]; W) x7 o5 ~+ ]! ]4 ]3 R4 ]9 |) s5 H
通过这样的方式,程序也实现了自身的启动。
; O) z0 @7 n' ]3 b
# R  P, T8 H: N/ p+ b5 l9 f" _+ O6 c五、进程伪装; S6 g: w( H* D3 \, Q3 V

5 U7 D: ?  y& q$ l# b* f% x先了解三个相关的概念:进程,线程和服务。# w0 A/ I2 k6 g. [- C
3 y. \+ M0 m" K& B6 X0 Z6 m) `0 V
进程:一个正常的Windows应用程序,在运行之后,都会在系统之中产生一个进程 ,同时,每个进程,分别对应了一个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配一个虚拟的内存空间地址段,一切相关的程序操作,都会在这个虚拟的空间中进行。
) q7 ~+ C2 }6 q" p: ~, u* s/ I3 N1 }, C6 d/ B* F+ ^
线程:一个进程,可以存在一个或多个线程,线程之间同步执行多种操作,一般地,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。& \! u7 Y% u& `1 S+ c3 V
% R" X7 S8 x8 ~& j
服务:一个进程当以服务的方式工作的时候,它将会在后台工作,不会出现在任务列表中,但是,在Windows NT/2000下,你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。: r6 ~& B3 F2 a# T( k
' d% W2 D- A- l! P$ B  Q$ t
进程伪装,可以伪隐藏,也可以是真隐藏。伪隐藏,就是指程序的进程仍然存在,只不过是让他消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作。
9 j. V; X* t: C  n, G- O8 m' Q; i8 W% r' ^
伪隐藏,目的就是使通过程序进程不在任务管理器里显示,它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数,进程信息都包含在该函数的返回结果中,由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。而木马由于事先对该API函数进行了Hook,所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色),木马便得到了通知,并且在函数将结果(列出所有进程)返回给程序前,就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目,却有人不知不觉中将电视接上了DVD,你在不知不觉中就被欺骗了。! L3 y/ r: b+ ^3 Y) O% h, G; Y5 b
$ Z) L( k, X/ ^/ G6 q
真隐藏,其基本原理是将自已的木马以线程方式嫁接于远程进程之中,远程进程则是合法的用户程序,这样用户管理者看到的只是合法进程,而无法发现木马线程的存在,从而达到隐藏的目的,方法有窗口Hook、挂接API、远程线程等。* g! q$ ?% t5 E. N% x2 q* b; f
0 W0 k, P4 T' d0 a
如果病毒、木马、间谍、流氓软件将自己插入至系统的重要进程里,那么可实现开机就启动,且无法通过杀进程来停止它。, T) \  h- W( M

# ]+ f& a' E" w! x$ o8 ?六、删除自身,或更改自身文件名' N8 K1 m$ Q( r0 A: T- \# p/ i
5 S4 X: }) z* X' W. C
有的病毒、木马、间谍、流氓软件一旦运行后就将自身删除,或者随机更改文件名,使用户无法发现。
, A" B6 o0 z; `
- T& M/ Q1 _# X9 W& [七、替换系统重要文件
$ i1 p9 T) I* j+ b- R5 I, d2 H7 H  W; G7 _. e4 d
有的病毒、木马、间谍、流氓软件会将系统的重要或必需的文件替换成自己的,这样运行时启动的就是病毒、木马、间谍、流氓软件,同时也把原有的被替换的程序启动,使用户很难发现或受到欺骗。
# C% n  J3 P6 K7 R3 d! g# p! q) |' w. c( [# l$ R
八、更改系统的设置,增加自己被发现的难度
6 C/ p' f( c/ @  J2 h, r; z3 r8 v9 o7 `3 E! }4 x" k
比如禁用注册表、禁用任务管理器、禁用文件夹选面、禁用系统或隐藏文件的显示开关等。
  t/ f% u) B7 b- Z& g7 V: o- I
" j( D: U5 x5 T$ t5 w九、复制、更改用户文件,截获用户的屏幕显示、摄像头图像、接收或发送的信息、键盘输入(用户名、银行帐号、密码等)9 S+ X8 C# n0 O  N1 H# h
. T+ t7 v& v4 R+ [
十、控制用户的电脑设备,打开、关闭或重启用户的电脑,打开摄像头等设备,等。
3 s/ R0 b, j( z; I) _# F+ C9 H; l) U( j: [% Z+ E4 d( m
十一、对外发送信息,打开网络端口
' p9 ^( i, n- ^0 H7 X+ J! a' j7 Q, l
通过病毒、木马、间谍、流氓软件的运行,它们会对外进行连接,打开网络端口,对外发送信息,或者监听某个端口,等待黑客的外部控制连接。所以也要注意监视网络端口。
( S4 i: ^9 X# J. `% ?/ \$ D! g
% y0 Z" n9 h' o: \* u
+ D" v! S* a8 Q
* ?+ S) o; P* L" m综合以上的种种典型行为,你可以看出,它们有几个基本特征:9 D8 Y' t- ]- V, ^9 P
' r/ R0 ]" I! [* s$ ?, k& I- R
一、运行自己,任何的病毒、木马、间谍、流氓软件不被运行的话是不具有危害的能力的。
  o, W5 c" y' T$ J5 R9 C5 N9 }' _- a' I
二、隐藏自己,防止被用户发现、查杀。
5 t: b% ^, O- a; m- M0 G( B
0 }1 |7 C$ F" E三、收集信息。
" H% G8 {. z* Q, }) ]7 L- o7 Y8 k8 O8 ^: \& O
四、破坏系统文件的完整性,占用系统资源或破坏系统正常运行。
! N, d$ S6 x0 |! @9 `# u9 \/ O4 g- V/ f+ }6 i: z3 p. l
五、打开网络端口或监听网络端口,对外传输信息。
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表