『壹』 什麼病毒可以穿透影子還原系統
沒有
名叫影子,因為運行的不是本體,任何改動都不被接受
如果真的有,那一定是底層的一些東西
可以直接讀寫硬碟跳過系統的
那樣就把系統改了
下次啟動影子就是帶毒的
『貳』 Trojan/Win32.AntiAV.ctn是什麼木馬
Trojan.Win32.AntiAV.n 木馬病毒,通過網路傳播
依賴系統:WINNT/2000/XP/2003。
這是一個木馬病毒。病毒運行後會在系統目錄下建立一個以當前系統時間為名稱的OCX文件,然後修改注冊表實現隨系統自啟動。病毒會將自身注入到系統正常進程中,修改系統時間,並且試圖關閉多種安全防護軟體。病毒還會修改系統的共享目錄,將用戶的信息泄露出去。
詳細說明:
1、病毒運行後,會在system32目錄下釋放一個OCX文件,文件名隨機。
病毒生成文件名的方法:用GetLocalTime得到當前系統時間,以月份跟得到的秒數為文件名,擴展名為.OCX。
我們在分析的時候得到的是12月7秒,文件名為:127.OCX。
2、利用rundll32.exe來載入自己釋放的文件。並把rundll32.exe %system32%127.ocx加入到啟動項。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Load = rundll32.exe %sysetm32%127.ocx
3、等1.5秒後把自己刪除。
病毒自刪除方法比較特別,先用DeleteFileA去檢查病毒本身是否已被刪除,然後用MoetFile把自己移動到回收站,在用MoveFile把回收站中的病毒文件加入到重啟後刪除列表中。
4、OCX文件載入成功後,病毒利用全局鉤子,在每一個進程中插入一個127.ocx。
A:HOOK個每個進程中的API來隱藏自己
HOOK的API有
RegOpenKeyExA
CreateFileA
CreateFileW
RegEnumValueA
RegEnumValueW
從HOOK的API可以看出,用戶是無法在正常方式下,查看到病毒的文件,和在注冊表中加入的內容。
B:對AVP殺軟的情況,病毒使用的手法:
當檢查到系統中是否AVP的進程時,把當前系統的時間修改為:現在的時間減去10年
如:現在是2007 被病毒改後,就會是1997年,這樣會使AVP失效。
C:對於一些反流氓軟體的情況,病毒使用的手法:
當有程序要運行時,病毒會檢查當前運行的文件名含有以下列表中的文件時,會把當前運行文件的進程結束,並且把文件移動到Windwos的TEMP目錄下改名__.%s.tmp。
病毒會查找下面文件,當查找到文件後,會把文件移動到TEMP目錄下改名為__%s.tmp.
病毒查找的文件有:
mmskskin.dll
KKClean.dll
VirUnk.def
ntiActi.dll
Rsaupd.exe
Iereset.dll
KASearch.DLL
KAVBootC.sys
Ras. exe
iehelp.exe
trojandetector.exe
KAConfig.DLL
KAVPassp.DLL
hsfw.dll
ollydbg.ini
Libclsid.dat
KNetWch.SYS
CleanHis.dll
WoptiClean.sys
kakalib.def
libdll.dat
kkinst.ini
wopticlean
360safe
D:對於其它殺軟體的處理
遍歷文件時,同時獲得文件的版本信息,當發現下列住處時,會把文件刪除
Kingsoft Antivirus
Kingsoft Antispyware
TrojanDetector
Micropoint
Kingsoft
Duba
E:修改文件的訪問根權。
病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式,把磁碟上文件設置為共享,讓所有人可以使用文件。
安全建議:
1 安裝正版殺毒軟體、個人防火牆和卡卡上網安全助手,並及時升級,瑞星殺毒軟體每天至少升級三次。
2 使用「瑞星系統安全漏洞掃描」,打好補丁,彌補系統漏洞。
3 不瀏覽不良網站,不隨意下載安裝可疑插件。
4 不接收QQ、MSN、Emial等傳來的可疑文件。
5 上網時打開殺毒軟體實時監控功能。
6 把網銀、網游、QQ等重要軟體加入到「瑞星帳號保險櫃」中,可以有效保護密碼安全。
清除辦法:
瑞星殺毒軟體清除辦法:
安裝瑞星殺毒軟體,升級到20.20.30版以上,對電腦進行全盤掃描,按照軟體提示進行操作,即可徹底查殺
『叄』 Virus.Win32.Agent.D是什麼病毒
您好
Virus.Win32.Agent是一種蠕蟲病毒,會感染您電腦中所有後綴為.exe的文件
如果中了該病毒您可以到騰訊電腦管家官網下載電腦管家
然後使用電腦管家——殺毒——全盤查殺
電腦管家擁有管家系統修復引擎,可以修復因木馬病毒導致的系統異常,維護電腦安全穩定運行。
如果還有其他疑問和問題,歡迎再次來電腦管家企業平台進行提問,我們將盡全力為您解答疑難
騰訊電腦管家企業平台:http://..com/c/guanjia/
『肆』 可以破壞電腦硬體的那種病毒叫什麼來
CIH病毒
CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。這個病毒產自台灣,原集嘉通訊公司(技嘉子公司)手機研發中心主任工程師陳盈豪在其於台灣大同工學院念書期間製作。
最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播,隨後進一步通過網路傳播到全世界各個角落。
(4)可以倒退系統版本的病毒叫什麼擴展閱讀:
防範措施
1、安裝最新的殺毒軟體,每天升級殺毒軟體病毒庫,定時對計算機進行病毒查殺,上網時要開啟殺毒軟體的全部監控。培養良好的上網習慣,例如:對不明郵件及附件慎重打開,可能帶有病毒的網站盡量別上,盡可能使用較為復雜的密碼,猜測簡單密碼是許多網路病毒攻擊系統的一種新方式。
2、不要執行從網路下載後未經殺毒處理的軟體等;不要隨便瀏覽或登錄陌生的網站,加強自我保護現在有很多非法網站,而被潛入惡意的代碼,一旦被用戶打開,即會被植入木馬或其他病毒。
3、培養自覺的信息安全意識,在使用移動存儲設備時,盡可能不要共享這些設備,因為移動存儲也是計算機進行傳播的主要途徑,也是計算機病毒攻擊的主要目標,在對信息安全要求比較高的場所,應將電腦上面的USB介面封閉,同時,有條件的情況下應該做到專機專用。
『伍』 我發現.現在有個新病毒叫Win32/NSAnti.suspicious有許多人都中了這病毒.有高手可以解決嗎
它利用了微軟公布的MS04-028安全公告里提到的GDI+漏洞。如果經過病毒編寫者改寫,該程序可能會成為破壞力巨大的惡性病毒。
安裝補丁
安裝殺毒軟體
更新到最新能殺掉的
建議進入安全模式查殺:
開機時,待系統自檢完成後,連續不停的按F8,直到出現「啟動菜單」,使用游標選擇,選擇第一項,按回車鍵進入。
進入後,點擊「是」在安全模式下工作
嘗試一下
『陸』 安卓手機上的riskware是什麼病毒
您好:
這是Win32.RISKWARE.Shutdown.y.2560病毒,如果您的手機感染了這種病毒的話,建議您使用最新版的騰訊手機管家的殺毒功能對您的手機進行全面的殺毒吧,殺完毒後重啟下手機就可以恢復正常了。
您可以點擊這里下載最新版的騰訊手機管家:騰訊手機管家下載
騰訊電腦管家企業平台:http://..com/c/guanjia/
『柒』 VIRUS.WIN32.PARITE.A是什麼病毒還是木馬
Virus.Win32.Parite.A是「網頁殺手」病毒的變種A版本。該病毒能夠自動修改系統注冊表,並注入到系統關鍵程序Explorer.exe,在Temp文件夾(臨時文件夾)下釋放病毒文件,導致計算機安全受到破壞。
如果遇到了此類病毒,則可以嘗試使用BitDefender等軟體提供的專殺工具進行徹底查殺,防止病毒造成破壞。如果仍不能夠解決問題,則可以嘗試聯系殺毒軟體客服人員解決問題。
『捌』 在C盤中發現了一個叫TrojanDownLoaderDelf.sn是什麼病毒
安全模式:開機按F8,有界面後再選擇.
DOS(Disk Operating System)是一個使用得十分廣泛的磁碟操作系統,就連眼下流行的Windows9x/ME系統都是以它為基礎。
常見的DOS有兩種:IBM公司的PC-DOS和微軟公司的MS-DOS,它們的功能、命令用途格式都相同,我們常用的是MS-DOS。
自從DOS在1981年問世以來,版本就不斷更新,從最初的DOS1.0升級到了最新的DOS8.0(Windows ME系統),純DOS 的最高版本為DOS6.22,這以後的新版本DOS都是由Windows系統所提供的,並不單獨存在。下面的講解所使用的DOS為Windows98 4.10.2222A的DOS7.0系統。
DOS的基礎知識
(1)DOS的組成
DOS分為核心啟動程序和命令程序兩個部分。
DOS的核心啟動程序有Boot系統引導程序、IO.SYS、MSDOS.SYS和COMMAND.COM。它們是構成DOS系統最基礎的幾個部分,有了它們系統就可以啟動。
但光有啟動程序還不行,DOS作為一個字元型的操作系統,一般的操作都是通過命令來完成。DOS命令分為內部命令和外部命令。內部命令是一些常用而所佔空間不大的命令程序,如dir、cd等,它們存在於COMMAND.COM文件中,會在系統啟動時載入到內存中,以方便調用。而其它的一些外部命令則以單獨的可執行文件存在,在使用時才被調入內存。
(小知識:可執行的程序文件有*.COM和*.EXE兩種,一般來講,*.EXE文件為軟體執行程序,而*.COM文件則為命令程序)
2)DOS的啟動
如果你安裝了WIN98,在電腦啟動時按住Ctrl不放,出現啟動選擇菜單,選擇5Command Prompt Only即可進入DOS方式。
目前我們常用的操作系統有windows 9x/Me,NT,2000等,都是可視化的界面。在這些系統之前的人們使用的操作系統是DOS系統。DOS系統目前已經沒有什麼人使用了,但是dos命令卻依然存在於我們使用的windows系統之中。大部分的DOS命令都已經在Windows里變成了可視化的界面,但是有一些高級的DOS命令還是要在DOS環境下來執行。所以學習命令行對於我們熟練操作Windows系統是很有必要的。
不同的操作系統要用不同的命令進入命令行界面。
在Win9x/Me的開始菜單中的運行程序中鍵入command命令,可進入命令行界面。
在Win2000/NT的開始菜單中的運行程序中鍵?quot;cmd命令,可進入命令行界面。
下面我用講到的DOS命令都可以在Windows Me操作系統中執行。
那麼,我們如何進入命令行窗口?
開始——〉運行——〉鍵入command命令——〉回車
進入了命令行操作界面(DOS窗口),在DOS窗口中只能用鍵盤來操作。
在DOS中通過輸入英文命令加回車鍵這種方式來執行程序。
3)DOS的系統提示符
DOS啟動後,會顯示C:>以及一個閃動的游標,這及是DOS的系統提示符,它表示了當前所在的盤符和目錄,我們可以輸入[盤符] :來進行轉換,如A:、E:。這里要注意輸入的盤符一定要是存在的。
(小知識:盤符從A到Z,通常A、B盤為軟碟機,硬碟的盤符從C開始,而光碟機的盤符為最後一個)
(4)文件及目錄
電腦中的數據主要都是以文件形式存儲的,也可以說DOS以文件的形式來管理數據。
文件是相關數據的集合,若干數據聚集在一起組成一個文件。每個文件都有文件名,文件名由主文件名和後綴名兩部分組成,中間有小圓點隔開。DOS6.22及其以前版本最多僅支持8個字元的主文件名和3個字元的後綴名,而從Windows 95的DOS7.0開始就可支持128個字元的主文件名和後綴名。字母、漢字、數字和一些特殊符號如!、@、#都可以作為文件名,但不能有/、\、|、:、?等符號。
通常我們可以通過文件的後綴名看出該文件的類型,比如:
後綴名 文件類型
EXE 可執行程序文件
COM 可執行命令文件
BAT 可執行批處理文件
TXT 文本文件
DAT 數據文件
BAK 備份文件
為了方便用戶進行操作,DOS還允許使用通配符。所謂通配符,就是?與*這兩個符號,它們可以用來代替文件名中的某些字元。?代表一個合法的字元或空字元,比如AB?D.EXE文件就可以表示ABCD.EXE、ABDD.EXE、ABZD.EXE等。
而*則代表若干個字元,如*.BAT就代表當前目錄下所有後綴名為BAT的文件。
DOS以目錄樹的形式管理磁碟,這里的目錄就相當於Windows中的文件夾。和文件夾一樣,目錄也是一層一層的,構成一個樹的形式。在一個盤符中最底層的目錄為根目錄,根目錄下的目錄都稱為它的子目錄,根目錄用\表示,一個目錄的上一層目錄用..表示。我們可以通過路徑來查找某一個文件或目錄,路徑就如同地址一樣,可以使用戶方便、准確地進行查找。比如C:\Windows\Command\deltree.exe就是一個文件的路徑。
在同一個目錄下,不允許存在相同名稱的文件或目錄。
『玖』 什麼叫啊「PE病毒類」病毒中這個病毒後系統有什麼症狀
PE病毒是指所有感染Windows下PE文件格式文件的病毒.
PE病毒大多數採用Win32匯編編寫.
PE病毒對於一個熱衷於病毒技術的人來說,是必須掌握的.
只有在PE病毒中,我們才能真正感受到高超的病毒技術.
編寫Win32病毒的幾個關鍵
Api函數的獲取
不能直接引用動態鏈接庫
需要自己尋找api函數的地址,然後直接調用該地址
一點背景:在PE Loader裝入我們的程序啟動後堆棧頂的地址是是程序的返回地址,肯定在Kernel中! 因此我們可以得到這個地址,然後向低地址縮減驗證一直到找到模塊的起始地址,驗證條件為PE頭不能大於4096bytes,PE header的ImageBase值應該和當前指針相等.
病毒沒有.data段,變數和數據全部放在.code段
編寫Win32病毒的幾個關鍵
偏移地址的重定位
Call delta
delta: pop ebp
sub ebp,offset delta
那麼變數var1的真正偏移地址為:var1+ebp
對PE文件格式的了解
編寫Win32病毒的幾個關鍵
病毒如何感染其他文件
在文件中添加一個新節
該新節中添加病毒代碼和病毒執行後的返回Host程序的代嗎
修改文件頭中代碼開始執行位置(AddressOfEntryPoint)指向新添加的節,以便程序運行後先執行病毒代碼.
PE病毒感染其他文件的方法還有很多,譬如PE病毒還可以將自己分散插入到每個節的空隙中等等,這里不在一一敘述.
PE文件格式一覽
Section n
Section ...
Section 2
Section 1
Section table
PE header
DOS stub
DOS MZ header
PE header
Pe header 由三部分組成
字串 "PE\0\0"(Signature)
映像文件頭(FileHeader)
可選映像頭(OptionalHeader)
字串 "PE\0\0"
Signature 一dword類型,值為50h, 45h, 00h, 00h(PE\0\0). 本域為PE標記,我們可以此識別給定文件是否為有效PE文件.
這個字串在文件中的位置(e_lfanew),可以在DOS程序頭中找到它的指針,它佔用四個位元組,位於文件開始偏移3CH位元組中.
映像文件頭
該結構域包含了關於PE文件物理分布的信息, 比如節數目,文件執行機器等.
它實際上是結構IMAGE_FILE_HEADER的簡稱.
映像文件頭結構
IMAGE_FILE_HEADER STRUCT
___ Machine WORD
___ NumberOfSections WORD
___ TimeDateStamp dd
___ PointerToSymbolTable dd
___ NumberOfSymbols dd
___ SizeOfOptionalHeader WORD
___ Characteristics WORD
IMAGE_FILE_HEADER ENDS
映像文件頭的基本信息
關於文件信息的標記,比如文件是exe還是dll
2
Characteristics *
7
可選頭的大小
2
SizeOfOptionalHeader
6
符號數目
4
NumberOfSymbols
5
COFF符號表的偏移
4
PointerToSymbleTable
4
生成該文件的時間
4
TimeDataStamp
3
文件中節的個數
2
NumberOfSection **
2
機器類型,x86為14ch
2
Machine *
1
描述
大小(位元組)
名字
順序
可選映像頭
optional header 結構是 IMAGE_NT_HEADERS 中的最後成員.包含了PE文件的邏輯分布信息.該結構共有31個域,一些是很關鍵,另一些不太常用.這里只介紹那些真正有用的域.
這兒有個關於PE文件格式的常用術語: RVA
RVA 代表相對虛擬地址.它是相對虛擬空間里的一個地址 .
舉例說明,如果PE文件裝入虛擬地址(VA)空間的400000h處,且進程從虛址401000h開始執行,我們可以說進程執行起始地址在RVA 1000h.每個RVA都是相對於模塊的起始VA的.
可選映像頭
文件中節對齊的粒度.
FileAlignment
內存中節對齊的粒度.
SectionAlignment
PE文件的優先裝載地址.比如,如果該值是400000h,PE裝載器將嘗試把文件裝到虛擬地址空間的400000h處.若該地址區域已被其他模塊佔用,那PE裝載器會選用其他空閑地址.
ImageBase
PE裝載器准備運行的PE文件的第一個指令的RVA.若要改變整個執行的流程,可以將該值指定到新的RVA,這樣新RVA處的指令首先被執行.
AddressOfEntryPoint *
描述
名字
可選映像頭
NT用來識別PE文件屬於哪個子系統.
Subsystem
一IMAGE_DATA_DIRECTORY 結構數組.每個結構給出一個重要數據結構的RVA,比如引入地址表等.
DataDirectory
所有頭+節表的大小,也就等於文件尺寸減去文件中所有節的尺寸.可以以此值作為PE文件第一節的文件偏移量.
SizeOfHeaders
內存中整個PE映像體的尺寸.
SizeOfImage
win32子系統版本.若PE文件是專門為Win32設計的,該子系統版本必定是4.0否則對話框不會有3維立體感.
MajorSubsystemVersion
MinorSubsystemVersion
描述
名字
DataDirectory數據目錄
一個IMAGE_DATA_DIRECTORY數組,裡面放的是這個可執行文件的一些重要部分的RVA和尺寸,目的是使可執行文件的裝入更快,數組的項數由上一個域給出.IMAGE_DATA_DIRECTORY包含有兩個域,如下:
IMAGE_DATA_DIRECTORY
VitualAddress DD
Size DD
IMAGE_DATA_DIRECTORY ENDS
節表
節表其實就是緊挨著 PE header 的一結構數組.該數組成員的數目由 file header (IMAGE_FILE_HEADER) 結構中 NumberOfSections 域的域值來決定.節表結構又命名為 IMAGE_SECTION_HEADER.
結構中放的是一個節的信息,如名字,地址,長度,屬性等.
IMAGE_SECTION_HEADER
本節原始數據在文件中的位置
4
PointerToRawData *
5
本節的原始尺寸
4
SizeOfRawData *
4
這個值+映像基地址=本節在內存中的真正地址.OBJ中無意義.
4
Virtual *
3
OBJ文件用作表示本節物理地址EXE文件中表示節的真實尺寸
4
PhysicalAddress或VirtualSize
2
節名
8
Name *
1
描述
大小(位元組)
名字
順序
IMAGE_SECTION_HEADER
節屬性
4
Characteristics *
10
本節在行號表中的行號數目
2
NumberOfLinenumbers
9
本節要重定位的數目
2
NumberOfRelocations
8
行號偏移
4
PointerToLinenumbers
7
OBJ中表示該節重定位信息的偏移EXE文件中無意義
4
PointerToRelocations
6
描述
大小(位元組)
名字
順序
節
"節(Section)"跟在節表之後,一般PE文件都有幾個"節".比較常見的有:
代碼節
已初始化的數據節
未初始化的數據節
資源節
引入函數節
引出函數節
代碼節
代碼節一般名為.text或CODE,該節含有程序的可執行代碼.
每個PE文件都有代碼節
在代碼節中,還有一些特別的數據,是作為調用映入函數之用.如:
Call MessageBoxA的調用,反匯編後該指令被換為call 0040101A,而地址0040101A仍在.text中,它放有一個跳轉指令jmp dword ptr[0040304c],即這條跳轉指令的目的地址處於.idata節中的0040304C處,其中放的才是MessageBoxA的真正地址,如下圖:
已初始化的數據節
這個節一般取名為.data或DATA
已初始化的數據節中放的是在編譯時刻就已確定的數據.如Hello World 中的字元串"Hello World!".
未初始化的數據節
這個節的名稱一般叫.bbs.
這個節里放有未初始化的全局變數和靜態變數.
資源節
資源節一般名為.rsrc
這個節放有如圖標,對話框等程序要用到的資源.
資源節是樹形結構的,它有一個主目錄,主目錄下又有子目錄,子目錄下可以是子目錄或數據.
都是一個IMAGE_RESOURCE_DIRECTORY結構.結構如下:
IMAGE_RESOURCE_DIRECTORY 結構
以ID標識的資源數
2
NumberOfldEntries
6
以名字標識的資源數
2
NumberOfNamedEntries
5
次版本號
2
MinorVersion
4
主版本號
2
MajorVersion
3
資源生成時間
4
TimeDateStamp
2
通常為0
4
Characteritics
1
描述
大小(位元組)
名字
順序
引入函數節
一個引入函數是被某模塊調用的但又不在調用者模塊中的函數
這個節一般名為.idata,也叫引入表.
它包含從其它(系統或第三方寫的)DLL中引入的函數,例如user32.dll,gdi32.dll等.
它的開始是一個IMAGE_IMPORT_DESCRIPTOR數組.這個數組的長度不定,但他的最後一項是全0,可以以此判斷數組的結束.
引出函數節
什麼是引出函數節
引出函數節是用來向系統提供導出函數的名稱,序號和入口地址等信息,以便Windows裝載器通過這些信息來完成動態鏈接的過程.
了解引出函數節對於學習病毒來說,是極為重要的.
Api函數地址的獲取與引出函數節息息相關.
引出函數節
通過Api函數名查找其地址
(1)定位到PE文件頭
(2)從PE文件頭中的課選文件頭中取出數劇目錄表的第一個數據目錄,得到導出表的地址.
(3)從導出表的NumberOfNames欄位得到以命名函數的總數,並以這個數字做微循環的次數來構造一個循環.
(4)從AddressOfNames欄位指向的函數名稱地址表的第一項開始,在循環中將每一項定義的函數名與要查找的函數名比較,如果沒有任何一個函數名符合,說明文件中沒有指定名稱的函數.
(5)如果某一項定義的函數名與要查找的函數名符合,那麼記住這個函數名在字元串地址表中的索引值,然後在AddressOfNameOrdinals指向的數組中以同樣的索引值去除數組項的值,假如該值為m.
(6)以m值作為索引值,在AddressOfFunctions欄位指向的函數入口地址表中獲取的RVA就是函數的入口地址,當函數被裝入內存後,這個RVA值加上模塊實際裝入的基址(ImageBase),就得到了函數真正的入口地址.
參考資料:中國毒客公社
『拾』 手機里有個名叫系統更新服務的病毒卸載了馬上又會裝回去
主要是下面的原因造成的:
1、手機沒有ROOT,軟體安裝到了系統內存。
2、廣告或病毒干擾,自動安裝。
建議用下面的方法正理:
1、ROOT,或者安裝免ROOT許可權管理類的軟體。
2、打開LBE安全大師,選擇軟體管理,然後卸載就可以了