‘壹’ 什么病毒可以穿透影子还原系统
没有
名叫影子,因为运行的不是本体,任何改动都不被接受
如果真的有,那一定是底层的一些东西
可以直接读写硬盘跳过系统的
那样就把系统改了
下次启动影子就是带毒的
‘贰’ Trojan/Win32.AntiAV.ctn是什么木马
Trojan.Win32.AntiAV.n 木马病毒,通过网络传播
依赖系统:WINNT/2000/XP/2003。
这是一个木马病毒。病毒运行后会在系统目录下建立一个以当前系统时间为名称的OCX文件,然后修改注册表实现随系统自启动。病毒会将自身注入到系统正常进程中,修改系统时间,并且试图关闭多种安全防护软件。病毒还会修改系统的共享目录,将用户的信息泄露出去。
详细说明:
1、病毒运行后,会在system32目录下释放一个OCX文件,文件名随机。
病毒生成文件名的方法:用GetLocalTime得到当前系统时间,以月份跟得到的秒数为文件名,扩展名为.OCX。
我们在分析的时候得到的是12月7秒,文件名为:127.OCX。
2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exe %system32%127.ocx加入到启动项。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Load = rundll32.exe %sysetm32%127.ocx
3、等1.5秒后把自己删除。
病毒自删除方法比较特别,先用DeleteFileA去检查病毒本身是否已被删除,然后用MoetFile把自己移动到回收站,在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。
4、OCX文件加载成功后,病毒利用全局钩子,在每一个进程中插入一个127.ocx。
A:HOOK个每个进程中的API来隐藏自己
HOOK的API有
RegOpenKeyExA
CreateFileA
CreateFileW
RegEnumValueA
RegEnumValueW
从HOOK的API可以看出,用户是无法在正常方式下,查看到病毒的文件,和在注册表中加入的内容。
B:对AVP杀软的情况,病毒使用的手法:
当检查到系统中是否AVP的进程时,把当前系统的时间修改为:现在的时间减去10年
如:现在是2007 被病毒改后,就会是1997年,这样会使AVP失效。
C:对于一些反流氓软件的情况,病毒使用的手法:
当有程序要运行时,病毒会检查当前运行的文件名含有以下列表中的文件时,会把当前运行文件的进程结束,并且把文件移动到Windwos的TEMP目录下改名__.%s.tmp。
病毒会查找下面文件,当查找到文件后,会把文件移动到TEMP目录下改名为__%s.tmp.
病毒查找的文件有:
mmskskin.dll
KKClean.dll
VirUnk.def
ntiActi.dll
Rsaupd.exe
Iereset.dll
KASearch.DLL
KAVBootC.sys
Ras. exe
iehelp.exe
trojandetector.exe
KAConfig.DLL
KAVPassp.DLL
hsfw.dll
ollydbg.ini
Libclsid.dat
KNetWch.SYS
CleanHis.dll
WoptiClean.sys
kakalib.def
libdll.dat
kkinst.ini
wopticlean
360safe
D:对于其它杀软件的处理
遍历文件时,同时获得文件的版本信息,当发现下列住处时,会把文件删除
Kingsoft Antivirus
Kingsoft Antispyware
TrojanDetector
Micropoint
Kingsoft
Duba
E:修改文件的访问根权。
病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式,把磁盘上文件设置为共享,让所有人可以使用文件。
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.20.30版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀
‘叁’ Virus.Win32.Agent.D是什么病毒
您好
Virus.Win32.Agent是一种蠕虫病毒,会感染您电脑中所有后缀为.exe的文件
如果中了该病毒您可以到腾讯电脑管家官网下载电脑管家
然后使用电脑管家——杀毒——全盘查杀
电脑管家拥有管家系统修复引擎,可以修复因木马病毒导致的系统异常,维护电脑安全稳定运行。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:http://..com/c/guanjia/
‘肆’ 可以破坏电脑硬件的那种病毒叫什么来
CIH病毒
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾,原集嘉通讯公司(技嘉子公司)手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。
最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过网络传播到全世界各个角落。
(4)可以倒退系统版本的病毒叫什么扩展阅读:
防范措施
1、安装最新的杀毒软件,每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时要开启杀毒软件的全部监控。培养良好的上网习惯,例如:对不明邮件及附件慎重打开,可能带有病毒的网站尽量别上,尽可能使用较为复杂的密码,猜测简单密码是许多网络病毒攻击系统的一种新方式。
2、不要执行从网络下载后未经杀毒处理的软件等;不要随便浏览或登录陌生的网站,加强自我保护现在有很多非法网站,而被潜入恶意的代码,一旦被用户打开,即会被植入木马或其他病毒。
3、培养自觉的信息安全意识,在使用移动存储设备时,尽可能不要共享这些设备,因为移动存储也是计算机进行传播的主要途径,也是计算机病毒攻击的主要目标,在对信息安全要求比较高的场所,应将电脑上面的USB接口封闭,同时,有条件的情况下应该做到专机专用。
‘伍’ 我发现.现在有个新病毒叫Win32/NSAnti.suspicious有许多人都中了这病毒.有高手可以解决吗
它利用了微软公布的MS04-028安全公告里提到的GDI+漏洞。如果经过病毒编写者改写,该程序可能会成为破坏力巨大的恶性病毒。
安装补丁
安装杀毒软件
更新到最新能杀掉的
建议进入安全模式查杀:
开机时,待系统自检完成后,连续不停的按F8,直到出现“启动菜单”,使用光标选择,选择第一项,按回车键进入。
进入后,点击“是”在安全模式下工作
尝试一下
‘陆’ 安卓手机上的riskware是什么病毒
您好:
这是Win32.RISKWARE.Shutdown.y.2560病毒,如果您的手机感染了这种病毒的话,建议您使用最新版的腾讯手机管家的杀毒功能对您的手机进行全面的杀毒吧,杀完毒后重启下手机就可以恢复正常了。
您可以点击这里下载最新版的腾讯手机管家:腾讯手机管家下载
腾讯电脑管家企业平台:http://..com/c/guanjia/
‘柒’ VIRUS.WIN32.PARITE.A是什么病毒还是木马
Virus.Win32.Parite.A是“网页杀手”病毒的变种A版本。该病毒能够自动修改系统注册表,并注入到系统关键程序Explorer.exe,在Temp文件夹(临时文件夹)下释放病毒文件,导致计算机安全受到破坏。
如果遇到了此类病毒,则可以尝试使用BitDefender等软件提供的专杀工具进行彻底查杀,防止病毒造成破坏。如果仍不能够解决问题,则可以尝试联系杀毒软件客服人员解决问题。
‘捌’ 在C盘中发现了一个叫TrojanDownLoaderDelf.sn是什么病毒
安全模式:开机按F8,有界面后再选择.
DOS(Disk Operating System)是一个使用得十分广泛的磁盘操作系统,就连眼下流行的Windows9x/ME系统都是以它为基础。
常见的DOS有两种:IBM公司的PC-DOS和微软公司的MS-DOS,它们的功能、命令用途格式都相同,我们常用的是MS-DOS。
自从DOS在1981年问世以来,版本就不断更新,从最初的DOS1.0升级到了最新的DOS8.0(Windows ME系统),纯DOS 的最高版本为DOS6.22,这以后的新版本DOS都是由Windows系统所提供的,并不单独存在。下面的讲解所使用的DOS为Windows98 4.10.2222A的DOS7.0系统。
DOS的基础知识
(1)DOS的组成
DOS分为核心启动程序和命令程序两个部分。
DOS的核心启动程序有Boot系统引导程序、IO.SYS、MSDOS.SYS和COMMAND.COM。它们是构成DOS系统最基础的几个部分,有了它们系统就可以启动。
但光有启动程序还不行,DOS作为一个字符型的操作系统,一般的操作都是通过命令来完成。DOS命令分为内部命令和外部命令。内部命令是一些常用而所占空间不大的命令程序,如dir、cd等,它们存在于COMMAND.COM文件中,会在系统启动时加载到内存中,以方便调用。而其它的一些外部命令则以单独的可执行文件存在,在使用时才被调入内存。
(小知识:可执行的程序文件有*.COM和*.EXE两种,一般来讲,*.EXE文件为软件执行程序,而*.COM文件则为命令程序)
2)DOS的启动
如果你安装了WIN98,在电脑启动时按住Ctrl不放,出现启动选择菜单,选择5Command Prompt Only即可进入DOS方式。
目前我们常用的操作系统有windows 9x/Me,NT,2000等,都是可视化的界面。在这些系统之前的人们使用的操作系统是DOS系统。DOS系统目前已经没有什么人使用了,但是dos命令却依然存在于我们使用的windows系统之中。大部分的DOS命令都已经在Windows里变成了可视化的界面,但是有一些高级的DOS命令还是要在DOS环境下来执行。所以学习命令行对于我们熟练操作Windows系统是很有必要的。
不同的操作系统要用不同的命令进入命令行界面。
在Win9x/Me的开始菜单中的运行程序中键入command命令,可进入命令行界面。
在Win2000/NT的开始菜单中的运行程序中键?quot;cmd命令,可进入命令行界面。
下面我用讲到的DOS命令都可以在Windows Me操作系统中执行。
那么,我们如何进入命令行窗口?
开始——〉运行——〉键入command命令——〉回车
进入了命令行操作界面(DOS窗口),在DOS窗口中只能用键盘来操作。
在DOS中通过输入英文命令加回车键这种方式来执行程序。
3)DOS的系统提示符
DOS启动后,会显示C:>以及一个闪动的光标,这及是DOS的系统提示符,它表示了当前所在的盘符和目录,我们可以输入[盘符] :来进行转换,如A:、E:。这里要注意输入的盘符一定要是存在的。
(小知识:盘符从A到Z,通常A、B盘为软驱,硬盘的盘符从C开始,而光驱的盘符为最后一个)
(4)文件及目录
电脑中的数据主要都是以文件形式存储的,也可以说DOS以文件的形式来管理数据。
文件是相关数据的集合,若干数据聚集在一起组成一个文件。每个文件都有文件名,文件名由主文件名和后缀名两部分组成,中间有小圆点隔开。DOS6.22及其以前版本最多仅支持8个字符的主文件名和3个字符的后缀名,而从Windows 95的DOS7.0开始就可支持128个字符的主文件名和后缀名。字母、汉字、数字和一些特殊符号如!、@、#都可以作为文件名,但不能有/、\、|、:、?等符号。
通常我们可以通过文件的后缀名看出该文件的类型,比如:
后缀名 文件类型
EXE 可执行程序文件
COM 可执行命令文件
BAT 可执行批处理文件
TXT 文本文件
DAT 数据文件
BAK 备份文件
为了方便用户进行操作,DOS还允许使用通配符。所谓通配符,就是?与*这两个符号,它们可以用来代替文件名中的某些字符。?代表一个合法的字符或空字符,比如AB?D.EXE文件就可以表示ABCD.EXE、ABDD.EXE、ABZD.EXE等。
而*则代表若干个字符,如*.BAT就代表当前目录下所有后缀名为BAT的文件。
DOS以目录树的形式管理磁盘,这里的目录就相当于Windows中的文件夹。和文件夹一样,目录也是一层一层的,构成一个树的形式。在一个盘符中最底层的目录为根目录,根目录下的目录都称为它的子目录,根目录用\表示,一个目录的上一层目录用..表示。我们可以通过路径来查找某一个文件或目录,路径就如同地址一样,可以使用户方便、准确地进行查找。比如C:\Windows\Command\deltree.exe就是一个文件的路径。
在同一个目录下,不允许存在相同名称的文件或目录。
‘玖’ 什么叫啊“PE病毒类”病毒中这个病毒后系统有什么症状
PE病毒是指所有感染Windows下PE文件格式文件的病毒.
PE病毒大多数采用Win32汇编编写.
PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.
只有在PE病毒中,我们才能真正感受到高超的病毒技术.
编写Win32病毒的几个关键
Api函数的获取
不能直接引用动态链接库
需要自己寻找api函数的地址,然后直接调用该地址
一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.
病毒没有.data段,变量和数据全部放在.code段
编写Win32病毒的几个关键
偏移地址的重定位
Call delta
delta: pop ebp
sub ebp,offset delta
那么变量var1的真正偏移地址为:var1+ebp
对PE文件格式的了解
编写Win32病毒的几个关键
病毒如何感染其他文件
在文件中添加一个新节
该新节中添加病毒代码和病毒执行后的返回Host程序的代吗
修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的节,以便程序运行后先执行病毒代码.
PE病毒感染其他文件的方法还有很多,譬如PE病毒还可以将自己分散插入到每个节的空隙中等等,这里不在一一叙述.
PE文件格式一览
Section n
Section ...
Section 2
Section 1
Section table
PE header
DOS stub
DOS MZ header
PE header
Pe header 由三部分组成
字串 "PE\0\0"(Signature)
映像文件头(FileHeader)
可选映像头(OptionalHeader)
字串 "PE\0\0"
Signature 一dword类型,值为50h, 45h, 00h, 00h(PE\0\0). 本域为PE标记,我们可以此识别给定文件是否为有效PE文件.
这个字串在文件中的位置(e_lfanew),可以在DOS程序头中找到它的指针,它占用四个字节,位于文件开始偏移3CH字节中.
映像文件头
该结构域包含了关于PE文件物理分布的信息, 比如节数目,文件执行机器等.
它实际上是结构IMAGE_FILE_HEADER的简称.
映像文件头结构
IMAGE_FILE_HEADER STRUCT
___ Machine WORD
___ NumberOfSections WORD
___ TimeDateStamp dd
___ PointerToSymbolTable dd
___ NumberOfSymbols dd
___ SizeOfOptionalHeader WORD
___ Characteristics WORD
IMAGE_FILE_HEADER ENDS
映像文件头的基本信息
关于文件信息的标记,比如文件是exe还是dll
2
Characteristics *
7
可选头的大小
2
SizeOfOptionalHeader
6
符号数目
4
NumberOfSymbols
5
COFF符号表的偏移
4
PointerToSymbleTable
4
生成该文件的时间
4
TimeDataStamp
3
文件中节的个数
2
NumberOfSection **
2
机器类型,x86为14ch
2
Machine *
1
描述
大小(字节)
名字
顺序
可选映像头
optional header 结构是 IMAGE_NT_HEADERS 中的最后成员.包含了PE文件的逻辑分布信息.该结构共有31个域,一些是很关键,另一些不太常用.这里只介绍那些真正有用的域.
这儿有个关于PE文件格式的常用术语: RVA
RVA 代表相对虚拟地址.它是相对虚拟空间里的一个地址 .
举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h.每个RVA都是相对于模块的起始VA的.
可选映像头
文件中节对齐的粒度.
FileAlignment
内存中节对齐的粒度.
SectionAlignment
PE文件的优先装载地址.比如,如果该值是400000h,PE装载器将尝试把文件装到虚拟地址空间的400000h处.若该地址区域已被其他模块占用,那PE装载器会选用其他空闲地址.
ImageBase
PE装载器准备运行的PE文件的第一个指令的RVA.若要改变整个执行的流程,可以将该值指定到新的RVA,这样新RVA处的指令首先被执行.
AddressOfEntryPoint *
描述
名字
可选映像头
NT用来识别PE文件属于哪个子系统.
Subsystem
一IMAGE_DATA_DIRECTORY 结构数组.每个结构给出一个重要数据结构的RVA,比如引入地址表等.
DataDirectory
所有头+节表的大小,也就等于文件尺寸减去文件中所有节的尺寸.可以以此值作为PE文件第一节的文件偏移量.
SizeOfHeaders
内存中整个PE映像体的尺寸.
SizeOfImage
win32子系统版本.若PE文件是专门为Win32设计的,该子系统版本必定是4.0否则对话框不会有3维立体感.
MajorSubsystemVersion
MinorSubsystemVersion
描述
名字
DataDirectory数据目录
一个IMAGE_DATA_DIRECTORY数组,里面放的是这个可执行文件的一些重要部分的RVA和尺寸,目的是使可执行文件的装入更快,数组的项数由上一个域给出.IMAGE_DATA_DIRECTORY包含有两个域,如下:
IMAGE_DATA_DIRECTORY
VitualAddress DD
Size DD
IMAGE_DATA_DIRECTORY ENDS
节表
节表其实就是紧挨着 PE header 的一结构数组.该数组成员的数目由 file header (IMAGE_FILE_HEADER) 结构中 NumberOfSections 域的域值来决定.节表结构又命名为 IMAGE_SECTION_HEADER.
结构中放的是一个节的信息,如名字,地址,长度,属性等.
IMAGE_SECTION_HEADER
本节原始数据在文件中的位置
4
PointerToRawData *
5
本节的原始尺寸
4
SizeOfRawData *
4
这个值+映像基地址=本节在内存中的真正地址.OBJ中无意义.
4
Virtual *
3
OBJ文件用作表示本节物理地址EXE文件中表示节的真实尺寸
4
PhysicalAddress或VirtualSize
2
节名
8
Name *
1
描述
大小(字节)
名字
顺序
IMAGE_SECTION_HEADER
节属性
4
Characteristics *
10
本节在行号表中的行号数目
2
NumberOfLinenumbers
9
本节要重定位的数目
2
NumberOfRelocations
8
行号偏移
4
PointerToLinenumbers
7
OBJ中表示该节重定位信息的偏移EXE文件中无意义
4
PointerToRelocations
6
描述
大小(字节)
名字
顺序
节
"节(Section)"跟在节表之后,一般PE文件都有几个"节".比较常见的有:
代码节
已初始化的数据节
未初始化的数据节
资源节
引入函数节
引出函数节
代码节
代码节一般名为.text或CODE,该节含有程序的可执行代码.
每个PE文件都有代码节
在代码节中,还有一些特别的数据,是作为调用映入函数之用.如:
Call MessageBoxA的调用,反汇编后该指令被换为call 0040101A,而地址0040101A仍在.text中,它放有一个跳转指令jmp dword ptr[0040304c],即这条跳转指令的目的地址处于.idata节中的0040304C处,其中放的才是MessageBoxA的真正地址,如下图:
已初始化的数据节
这个节一般取名为.data或DATA
已初始化的数据节中放的是在编译时刻就已确定的数据.如Hello World 中的字符串"Hello World!".
未初始化的数据节
这个节的名称一般叫.bbs.
这个节里放有未初始化的全局变量和静态变量.
资源节
资源节一般名为.rsrc
这个节放有如图标,对话框等程序要用到的资源.
资源节是树形结构的,它有一个主目录,主目录下又有子目录,子目录下可以是子目录或数据.
都是一个IMAGE_RESOURCE_DIRECTORY结构.结构如下:
IMAGE_RESOURCE_DIRECTORY 结构
以ID标识的资源数
2
NumberOfldEntries
6
以名字标识的资源数
2
NumberOfNamedEntries
5
次版本号
2
MinorVersion
4
主版本号
2
MajorVersion
3
资源生成时间
4
TimeDateStamp
2
通常为0
4
Characteritics
1
描述
大小(字节)
名字
顺序
引入函数节
一个引入函数是被某模块调用的但又不在调用者模块中的函数
这个节一般名为.idata,也叫引入表.
它包含从其它(系统或第三方写的)DLL中引入的函数,例如user32.dll,gdi32.dll等.
它的开始是一个IMAGE_IMPORT_DESCRIPTOR数组.这个数组的长度不定,但他的最后一项是全0,可以以此判断数组的结束.
引出函数节
什么是引出函数节
引出函数节是用来向系统提供导出函数的名称,序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程.
了解引出函数节对于学习病毒来说,是极为重要的.
Api函数地址的获取与引出函数节息息相关.
引出函数节
通过Api函数名查找其地址
(1)定位到PE文件头
(2)从PE文件头中的课选文件头中取出数剧目录表的第一个数据目录,得到导出表的地址.
(3)从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环.
(4)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数.
(5)如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值,然后在AddressOfNameOrdinals指向的数组中以同样的索引值去除数组项的值,假如该值为m.
(6)以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址,当函数被装入内存后,这个RVA值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址.
参考资料:中国毒客公社
‘拾’ 手机里有个名叫系统更新服务的病毒卸载了马上又会装回去
主要是下面的原因造成的:
1、手机没有ROOT,软件安装到了系统内存。
2、广告或病毒干扰,自动安装。
建议用下面的方法正理:
1、ROOT,或者安装免ROOT权限管理类的软件。
2、打开LBE安全大师,选择软件管理,然后卸载就可以了