计算机病毒研究资料.ppt

;;黑客/病毒产业链分析;常见病毒介绍~熊猫烧香;;熊猫烧香病毒它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 ;被感染的电脑发生异常;流行病毒介绍～熊猫烧香;流行病毒介绍～熊猫烧香;“熊猫烧香”病毒分析与处理;在各分区根目录生成副本： X:\setup.exe X:\autorun.inf autorun.inf内容： [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 尝试关闭下列窗口： QQKav QQAV VirusScan Symantec AntiVirus Duba Windows esteem procs System Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword;遍历感染除以下系统目录外的exe、com、scr、pif文件： X:\WINDOWS X:\Winnt X:\System Volume Information X:\Recycled %ProgramFiles%\Windows NT %ProgramFiles%\WindowsUpdate %ProgramFiles%\Windows Media Player %ProgramFiles%\Outlook Express %ProgramFiles%\Internet Explorer %ProgramFiles%\NetMeeting %ProgramFiles%\Common Files %ProgramFiles%\ComPlus Applications %ProgramFiles%\Messenger %ProgramFiles%\InstallShield Installation Information %ProgramFiles%\MSN %ProgramFiles%\Microsoft Frontpage %ProgramFiles%\Movie Maker %ProgramFiles%\MSN Gamin Zone 将自身捆绑在被感染文件前端，并在尾部添加标记信息： .WhBoy{原文件名}.exe.{原文件大小}. ;“熊猫烧香”病毒分析与处理;熊猫烧香——李俊;;;熊猫烧香的内容：;;;;;计算机病毒的分类（1）;计算机病毒的分类（2）;计算机病毒的分类（3）;计算机病毒特征; 1．移动存储设备 包括硬盘、移动硬盘、光盘等。硬盘是数据的主要存储介质，因此也是计算机病毒感染的主要目标。 2．网络 目前大多数病毒都是通过网络进行传播的。;网页病毒是利用网页来进行破坏的病毒，它使用一些SCRIPT语言编写的一些恶意代码利用浏览器的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。 用户浏览一个外部网页，该网页代码就将下载到本地的IE浏览器的临时目录 ..\Temporary Internet Files，然后由浏览器根据页面代码进行解释执行。;与病毒相关的几个名词;木马（Trojan） ;蠕虫Worm;垃圾邮件/垃圾短信;流氓软件hooligan software ;流氓软件的特点:;流氓软件之父：;;;病毒特征代码; 免杀技术之一：加花指令 加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句），从而干扰杀毒软件正常的检测。这是“免杀”技术中最初级的阶段。 免杀技术之二：加壳 加壳，就是一种通过一些列数学运算，将可执行程序文件或动态链 接库文件的编码进行改变达到缩小文件体积或加密程序编码的目的 常见的壳容易被识别，所以病毒加壳往往会使用到生僻壳、强壳、新壳、伪装壳、或者加多重壳等，干扰杀毒软件正常的检测。 免杀技术之三：修改特征码 要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这有一定难度，但是现在有很多工具可以定位出特征码，只需简单修改就可完成“免杀病毒”的制作了。 ;计算机病毒制作技术 ; 2．采用自加密技术; 当某些计算机病毒编制者通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，称这种新出现的计算机病毒是