- 1、本文档共59页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* 《清平乐·六盘山》 天高云淡, 望断南飞雁。 不到长城非好汉, 屈指行程二万。 六盘山上高峰, 红旗漫卷西风。 今日长缨在手, 何时缚住苍龙? * * * * * 目前的病毒一般的情况下,没有明确的恶意危害感染主机的意图。 病毒并不有意的去隐藏自己。 1.在任务栏里隐藏 这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标,傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中,只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。 2、在任务管理器里隐藏 查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行,那么这肯定不是什么好木马。所以,木马会千方百计地伪装自己,使自己不出现在任务管理器里。木马发现把自己设为 “系统服务“就可以轻松地骗过去。 3、无进程、无端口的DLL(动态链接库)木马 所谓的无进程实际上是利用Windows Socket 2 SPI技术将DLL木马,注入到其它EXE文件中,使其成为木马的合法载体。(一般黑客会选择Explorer.exe、Svchost.exe等系统关键性服务程序,这样用户就很难终止木马的运行)。而所谓的无端口,实际上是重复利用了机器已经打开的端口(如80、135,139等常用端口)来传送数据,这样就避免了开新端口,也能骗过防火墙。并且这样的端口复用是在保证端口默认服务正常工作的条件下进行复用。 1、传统木马主要通过修改启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys来实现自启动。 2、木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上 * 三线程就是指一个木马进程开启了三个线程,其中一个为主线程,负责远程控制的工作。另外两个为辅助线程,其中一个辅助线程称为监视线程,它负责检查木马程序是否被删除和是否被停止自启动,举例而言,一般木马侵入一台电脑后会创建一个备份文件,并在注册表中添加键值,以实现自启动。这个监视线程会定时检查木马程序和注册表中的键值是否存在,如果不存在则使用备份文件恢复木马,并向注册表添加自启动键值。另外一个辅助线程称为守护线程,它驻留在别的EXE文件内,与木马进程同步,一旦木马进程被停止,它就会重新启动该木马,并将自身数据赋给它,类似断点续传,这样就能保证木马程序一直运行。 * * * * * * * * * * * * * * * * 代码传播 利用系统或应用漏洞进行传播 及时下载安装相关补丁 及时更新病毒库 其他常见的防御措施 检查文件完整性 检查注册表 检查系统文件和启动项 检查端口和网络连接 检查补丁安装情况 不要轻易暴露MAIL地址及IP地址 检查文件完整性 Tripwire商用产品 md5sum/md5 查看文件的时间戳和所在路径 查看文件的版权信息 检查隐藏在文件中的数据流 Lads工具(http://www.heysoft.de/nt/lads.zip) 第一个采用ADS数据流的病毒W2K.Stream (河流3628) 感染病毒所在目录,改变原文件大小为3628字节 检查系统文件和启动项 检查启动目录 c:\Documents and Settings\All Users\「开始」菜单\程序\启动 c:\Documents and Settings\Administrator\「开始」菜单\程序\启动 c:\ Documents and Settings\其它用户\「开始」菜单\程序\启动 c:\Documents and Settings\Default User\「开始」菜单\程序\启动 检查配置文件 win.ini [windows]下面,“run=程序名” “load=程序名” system.ini文件中,在[boot]下面,“shell=文件名”。 正确的文件名应该是“explorer.exe” 检查注册表 检查注册表启动项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce 检查Explorer启动项 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
您可能关注的文档
- “光网智慧社区”服务平台介绍资料(非常全面)解读.ppt
- 《放飞中国梦,承载少年情》演讲稿-张彬彬.ppt
- 《归去来兮辞》名句默写(高考题 情景式名句).ppt
- 《积极分子考察登记表》填写范例-吉林大学白求恩第一医院.doc
- 《乌合之众》读书灯片解析.ppt
- 3C检查员模拟题方案.doc
- 2016新人教版九年级化学上册精美导学案第三单元 物质.doc
- 2017年高考语文 新材料作文审题立意.ppt
- Dreamweaver CS6网页设计案例教程 第2版 教学课件 ppt 作者 主编 王春红 王瑾瑜 模块7使用DIV CSS布局并美化网页.ppt
- PCI围手术期的抗血小板治疗解读.ppt
- 地理人教版八年级(上册)2.1地形和地势(2024版新教材).pptx
- X县交通运输局2024年上半年安全生产工作总结.docx
- 学习必须坚持自信自立心得体会研讨发言材料.docx
- 某市社区网格化管理工作情况调研报告.docx
- 地理人教版八年级(上册)3.3水资源(2024版新教材).pptx
- 党课讲稿:铸牢中华民族共同体意识,书写同心共筑中国梦的崭新篇章.docx
- 英语人教新起点版二年级(上册)Unit 2 Boys and Girls Lesson 3(2024版新教材).ppt
- 英语人教PEP版四年级(上册)Unit3MyfriendsPartB|人教PEP版(共14张PPT)(2024版新教材).pptx
- 生物人教版七年级(上册)3.5.1 光合作用吸收二氧化碳释放氧气(2024版新教材).pptx
- 回乡过节关于家乡土特产的调研分析和建议.docx
最近下载
- 2023陕西省从优秀村(社区)干部中考试录用乡镇(街道)机关公务员考生各项及笔试历年典型考题及考点剖析附答案带详解.docx VIP
- 财务报表分析 第6版 张新民 习题答案 课后案例讨论与分析提示.pdf
- 演出票务方案.pdf VIP
- 2023年威迈斯分析报告:车载电源龙头,800V及海外进展领先.pdf VIP
- 香椿规模化种植及深加工项目可行性研究报告.pdf
- (3)曲线运动和万有引力定律—2024年九省联考+2023年四省联考+2021年八省联考物理专项精编.docx VIP
- 肠内及肠外营养及并发症.pptx VIP
- 部编版语文五年级上册第三单元单元整体设计(学历案).pdf VIP
- 聚酰亚胺 化学、结构与性能的关系及材料.pdf
- TR50矿车艾利逊变速箱故障排除.doc
文档评论(0)