• 首頁 > 歡迎訪問金鍵盤網絡
    病毒常用的伎倆【轉貼】
    發布時間:2-24
    殺毒軟件能都查殺已知的病毒,但是對于未知的病毒有點無能為例,具有一定的滯后性。雖然殺軟不斷的改進和增強對注冊表的監控和hips技術,通過了解常見病毒的常采用的伎倆對于大家手動查殺病毒非常的有幫助。下面重點介紹病毒常見的破壞形式。

    1.自啟動

    木馬病毒為了達到不可告人的目的,經常會采用隨著windows操作系統系統而自動加載病毒程序,常見的在注冊表中的自啟動位置:

    HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\Run

    HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunOnce

    HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunOnceEx

    HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunOnceEx

    HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunServices

    HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunServicesOnce

    HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Runonce

    HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\WindowsNT\CurrentVersion\Winlogon\Notify,

    此外還有 開始啟動菜單:X:\Documents and Settings\用戶名\「開始」菜單\程序\啟動 (X為系統盤所在位置)對應的注冊表鍵值:HKEY_CURRENT_USER\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\Shell Folders

    病毒都利用這些暗地里隱藏有些進程甚至直接提升為系統程序。

    2. 系統還原

    系統還原技術為恢復以前的系統數據提供了便利,同時也成了病毒的溫床,備份系統文件的同時,收到感染的文件也有可能被作為備份文件存儲起來,破壞系統還原點對于這類是一個非常有效的途徑。病毒位于X:\SYSTEm VOLUmE iNFORmATiON路徑下(X代表驅動器盤符)通過禁用系統還原功能,右鍵"我的電腦"—>屬性—>系統還原—>"在所有驅動器上關閉系統還原" 打勾。

    3. 映像劫持

    全稱image FileExecution Options簡稱iFEO

    常見的主要癥狀有

    a、殺毒軟件的監控無法開啟;

    b、殺毒軟件點擊升級沒有反應;;

    c、殺毒軟件無法安裝;

    d、殺毒軟件無法運行;

    e、多種安全輔助工具無法正常運行

    對應的注冊表項HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows NT\CurrentVersion\image File Execution Options

    通過導入相對應的注冊表項,或者通過光盤修復可以實現。

    4. 破壞安全模式和隱藏文件

    安全模式提供了一個相對封閉的環境,對于查殺病毒比較的徹底,使得病毒或者木馬缺少了依附的土壤,在該環境下通過殺軟可以絞殺病毒。

    病毒、木馬為了達到目的,采用隱藏的方式,病毒運行時修改注冊表,會將自身注入到系統正常的進程中。

    病毒為了逃避查殺,經常采用該方法 。

    5. ShellExecuteHook

    ShellExecuteHook中文含義是執行掛鉤,其本身是操作系統的一個正常的功能,它采用掛鉤系統的Explorer的ShellExecute函數,這項功能現在被越來越多的病毒、木馬所采用,實現隨系統啟動。

    6. Appinit_Dlls

    Appinit_Dlls是一種系統全局性的Hook(system-widehook),Appinit_Dlls的鍵值是一個非常危險的鍵值,Appinit_Dlls鍵值位于注冊表 HKLm\microsoft \WindowsNT\CurrentVersion\Windows下面,相對于其他的注冊表啟動項來說,這個鍵值的特殊之處在于任何使用到 User32.dll的EXE、DLL、OCX等類型的PE文件都會讀取這個地方,并且根據約定的規范將這個鍵值下指向的DLL文件進行加載,加載的方式是調用LoadLibrary。使用了User32.DLL,都會對Appinit_Dlls鍵值指向的DLL進行加 載。這個是日志的一部分

    [HKEY_LOCAL_mACHiNE\Software\microsoft\Windows NT\CurrentVersion\Windows]

    <> [N/A]默認是這一個

    但是有例外 而ieprot.dll是瑞星卡卡助手的,這個是正常的,

    還有這個如果安裝了Comodo的話Appinit_dll也會有個C:\Windows\system32\guard32.dll同樣也是正常的項目,

    其他的一般加載都是病毒

    7. Services

    Services 中文含義是 服務,操作系統(os)要正常的運行,就少不了一些服務,一些木馬通過加載服務來達到隨系統啟動的目的, 所有服務在注冊表中都有相對應的位置,這些位置有如下幾個

    HKEY_LOCAL_mACHiNE\SYSTEm\ControlSet001\Services

    HKEY_LOCAL_mACHiNE\SYSTEm\ControlSet002\Services

    HKEY_LOCAL_mACHiNE\SYSTEm\ControlSet003\Services

    HKEY_LOCAL_mACHiNE\SYSTEm\CurrentControlSet\Services

    現在的病毒越來越狡猾了,了解常見的服務項,檢查可疑服務項,對于查殺病毒有一定的幫助 。

    8.文件關聯

    可能被病毒修改用于啟動病毒的 .比較常見的是.exe關聯方式被破壞 ,其他的也有可能被病毒利用.對應的注冊表項主要有一下幾項:

    HKEY_CLASSES_Root\.exe

    HKEY_CLASSES_Root\.com

    HKEY_CLASSES_Root\.bat

    HKEY_CLASSES_Root\.VBS

    HKEY_CLASSES_Root\.JS

    HKEY_CLASSES_Root\.JSE

    HKEY_CLASSES_Root\.WSF

    HKEY_CLASSES_Root\.WSH

    HKEY_CLASSES_Root\.Pif

    HKEY_CLASSES_Root\.iNk

    HKEY_CLASSES_Root\.scr

    HKEY_CLASSES_Root\.txt

    HKEY_CLASSES_Root\.ini

    有許多優秀工具比如HijackThis,SREng,iceSword,autoruns,wsyscheck??梢宰鳛檩o助查殺的工具,這些工具需要對系統有一定的熟悉程度,熟悉注冊表,不建議入門者使用.

    對于廣大的網民,平時養成一個良好的習慣,了解病毒常采用的伎倆,對于預防和防治病毒工作非常的有幫助,對于病毒的防治采用預防為主,防治結合的原則,加強日常的管理和維護,非常的關鍵。

    荊門市金鍵盤網絡技術有限公司
    地址:泉口一路63號(電話:135-9793-6729)

    ICP備案號:jmjjp.com:鄂ICP備15021394號-2 hbjjp.com:鄂ICP備15021394號-1 鄂公網安備 42080202000135號

    荊門市金鍵盤網絡技術有限公司
    地址:泉口一路63號(電話:135-9793-6729)

    ICP備案號:jmjjp.com:鄂ICP備15021394號-2 hbjjp.com:鄂ICP備15021394號-1 鄂公網安備 42080202000135號

    電話:135-9793-6729

    服務
    電話

    金鍵盤網絡真誠為您服務電話:135-9793-6729

    關注
    微信

    暫未提供
    頂部
    中文字幕无码字幕有码字幕_天堂永久av免费网站_精品亚洲成AV人片在线观看ww_手机看先锋资源AV在线_亚洲精品多人P群无码_狠狠久久亚洲欧美专区