好友
阅读权限10
听众
最后登录1970-1-1
|
听海
发表于 2010-8-15 11:21
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
作者:安全阁阁主
当今一个流行计算机病毒,从诞生到全面爆发通常要经过如下步骤:
1.想尽办法欺骗用户使自己运行起来。因为再强大的病毒,如果不能运行便是只纸老虎,没有一点危害。所以计算机病毒通常会欺骗用户当它成为正常的东西或者好奇的东西而使它运行。常见的欺骗如:文件病毒会把自己的图标伪装图片或者文件夹等。邮件病毒则是内嵌在邮件中,随着用户打开邮件它便运行起来。再如QQ尾巴病毒会给QQ用户发一些欺骗性的链接图片诱使用户触发它。
2.病毒运行起来肯定是悄无声息,不让用户有一点察觉,所以肯定不会有任何见面的。运行以后接下来要考虑的就是如何让自己再次运行。因为再强大的病毒,待用户关闭计算机后病毒也一并被关掉。所以下一次最好能够使病毒伴随计算机的运行而运行。这就是计算机病毒的自启动特性。实现自启动的方法很多,利用注册表、开始菜单项,SPI,BHO,服务等等。
3.计算机病毒再次启动利用的方法是自启动,那么自启动的时候究竟启动谁呢?当然是让自身处于一个比较安全,比较隐蔽的地方。然后就启动这个地方的病毒程序。所以这时计算机病毒通常会将自身自我复制到系统目录下,那里最安全。
4.计算机病毒已经把自身复制到了系统目录下,那么原始的那个病毒程序就没什么用途了,所以要把它删掉,也就是自我删除。
5.计算机病毒为自己的再次运行做好准备后,然后将对系统的各种设置进行更改,以免暴露自己。比如将拷贝到系统目录下的那个病毒设为隐藏文件,然后更改系统设置,让系统无法显示隐藏文件。这样用户就没办法发现病毒程序了。接下来将把对病毒的生存具有威胁的程序如杀毒软件,安全卫士,防火墙等安全工具统统禁用,通常利用修改注册表的方法来完成。再把所有的安全网站屏蔽掉,让用户无法登录这些网站进行在线杀毒或者求救等。屏蔽安全网站通常利用host文件实现。
6.为了更加保险,计算机病毒还会释放一些内核驱动程序用来保护自己不被杀掉,保护病毒程序不被删除,保护病毒对系统所做的设置不被恢复。这通常使用Rootkit技术。
7.查杀病毒最好的地方是安全模式下,因为在安全模式下一切自启动的方式都将失效。所以为了阻止用户在安全模式下进行查杀自己,病毒还会将系统的安全模式完全破坏。这通常利用删除指定注册表项完成。
8.计算机为了自己能够更稳定,更长期的生存下去,做了一系列工作。完事儿以后将疯狂的传播自己。如感染系统中的正常程序、利用网络传播感染其他计算机、感染优盘等移动设备从而利用移动设备传播。
9.完成自己真正的目的,如盗号、控制、监控等等。 |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
