網(wǎng)絡(luò)時代可不太平,誰沒有遭遇過病毒或木馬?(計算機(jī)愛好者,學(xué)習(xí)計算機(jī)基礎(chǔ),電腦入門,請到本站,我站同時提供計算機(jī)基礎(chǔ)知識教程,計算機(jī)基礎(chǔ)知識試題供大家學(xué)習(xí)和使用),從CIH、I Love You到紅色代碼、Nimda,從BO到冰河,無一不是網(wǎng)友經(jīng)常懈逅的對象。怎么避免這些“艷遇”是廣大用戶孜孜以求的目標(biāo),不過,“道高一尺,魔高一丈”,“防”永遠(yuǎn)是落后的,主動消滅它們才是積極主動的。
要消滅它們,首先就要掌握病毒及木馬是怎么入侵我們的”愛機(jī)””的。有關(guān)病毒及木馬的入侵招數(shù)的文章很多,但都不太全面,編者偶然間發(fā)現(xiàn)了一篇作者不詳,但內(nèi)容頗為全面的文章,特意整理出來,希望對大家有所幫助。
一、修改批處理
很古老的方法,但仍有人使用。一般通過修改下列三個文件來作案:
Autoexec.bat(自動批處理,在引導(dǎo)系統(tǒng)時執(zhí)行)
Winstart.bat(在啟動GUI圖形界面環(huán)境時執(zhí)行)
Dosstart.bat(在進(jìn)入MS-DOS方式時執(zhí)行)
例如:編輯C:windowsDosstart.bat,加入:start Notepad,當(dāng)你進(jìn)入“MS-DOS方式”時,就可以看到記事本被啟動了。
二、修改系統(tǒng)配置
常使用的方法,通過修改系統(tǒng)配置文件System.ini、Win.ini來達(dá)到自動運行的目的,涉及范圍有:
在Win.ini文件中:
[windows]
load=程序名
run=程序名
在System.ini文件中:
[boot]
shell=Explorer.exe
其中修改System.ini中Shell值的情況要多一些,病毒木馬通過修改這里使自己成為Shell,然后加載Explorer.exe,從而達(dá)到控制用戶電腦的目的。
三、借助自動運行功能
這是黑客最新研發(fā)成果,之前該方法不過被發(fā)燒的朋友用來修改硬盤的圖標(biāo)而已,如今它被賦予了新的意義,黑客甚至聲稱這是Windows的新BUG。
Windows的自動運行功能確實很爛,早年許多朋友因為自動運行的光盤中帶有CIH病毒而中招,現(xiàn)在不少軟件可以方便地禁止光盤的自動運行,但硬盤呢?其實硬盤也支持自動運行,你可嘗試在D盤根目錄下新建一個Autorun.inf,用記事本打開它,輸入如下內(nèi)容:
[autorun]
open=Notepad.exe
保存后進(jìn)入“我的電腦”,按F5鍵刷新一下,然后雙擊D盤盤符,怎么樣?記事本打開了,而D盤卻沒有打開。
當(dāng)然,以上只是一個簡單的實例,黑客做得要精密很多,他們會把程序改名為“.exe”(不是空格,而是中文的全角空格,這樣在Autorun.inf中只會看到“open=”而被忽略,此種行徑在修改系統(tǒng)配置時也常使用,如“run=”;為了更好地隱藏自己,其程序運行后,還會替你打開硬盤,讓你難以查覺。
由此可以推想,如果你打開了D盤的共享,黑客就可以將木馬和一個Autorun.inf存入該分區(qū),當(dāng)Windows自動刷新時,你也就“中獎”了,因此,大家千萬不要共享任何根目錄,當(dāng)然更不能共享系統(tǒng)分區(qū)(一般為C:)。
四、通過注冊表中的Run來啟動
很老套的方法,但80%的黑客仍在使用,通過在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加鍵值,可以比較容易地實現(xiàn)程序的加載,黑客尤其方便在帶”O(jiān)nce”的主鍵中作手腳,因此帶“Once”的主鍵中的鍵值,在程序運行后將被刪除,因此當(dāng)用戶使用注冊表修改程序查看時,不會發(fā)現(xiàn)異樣。另外,還有這樣的程序:在啟動時刪除Run中的鍵值,而在退出時(或關(guān)閉系統(tǒng)時)又添加鍵值,達(dá)到隱蔽自己的目的。(這種方法的缺點是:害怕惡意關(guān)機(jī)或停電,呵呵!)
五、通過文件關(guān)聯(lián)啟動
很受黑客喜愛的方式,通過EXE文件的關(guān)聯(lián)(主鍵為:exefile),讓系統(tǒng)在執(zhí)行任何程序之前都運行木馬,真的好毒!通常修改的還有txtfile(文本文件的關(guān)聯(lián),誰不用用記事本呢?)、regfile(注冊表文件關(guān)聯(lián),一般用來防止用戶恢復(fù)注冊表,例如讓用戶雙擊.reg文件就關(guān)閉計算機(jī))、unkown(未知文件關(guān)聯(lián))。為了防止用戶恢復(fù)注冊表,用此法的黑客通常還連帶謀殺scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序,阻礙用戶修復(fù)。
六、通過API HOOK啟動
這種方法較為高級,通過替換系統(tǒng)的DLL文件,讓系統(tǒng)啟動指定的程序。例如:撥號上網(wǎng)的用戶必須使用Rasapi32.dll中的API函數(shù)來進(jìn)行連接,那么黑客就會替換這個DLL,當(dāng)用戶的應(yīng)用程序調(diào)用這個API函數(shù),黑客的程序就會先啟動,然后調(diào)用真正的函數(shù)完成這個功能(特別提示:木馬可不一定是EXE,還可以是DLL、VXD),這樣既方便又隱蔽(不上網(wǎng)時根本不運行)。中此絕毒的蟲子,只有兩種選擇:Ghost或重裝系統(tǒng),幸好此毒廖廖無幾,實屬萬蟲之幸!
API的英文全稱為:Application Programming Interface,也就是應(yīng)用程序編程接口。在Windows程序設(shè)計領(lǐng)域發(fā)展初期,Windows程序員所能使用的編程工具唯有API函數(shù),這些函數(shù)是Windows提供給應(yīng)用程序與操作系統(tǒng)的接口,他們猶如“積木塊”一樣,可以搭建出各種界面豐富,功能靈活的應(yīng)用程序。所以可以認(rèn)為API函數(shù)是構(gòu)筑整個Windows框架的基石,在它的下面是Windows的操作系統(tǒng)核心,而它的上面則是所有華麗的Windows應(yīng)用程序。
七、通過VXD啟動
此法也是高手專用版,通過把木馬寫成VXD形式加載,直接控制系統(tǒng)底層,極為罕見。它們一般在注冊表[HKEY_ LOCAL_MACHINESystemCurrentControlSetServicesVxD]主鍵中啟動,很難發(fā)覺,解決方法最好也是用Ghost恢復(fù)或重新干凈安裝。
八、通過瀏覽網(wǎng)頁啟動
通過此種途徑有兩種方法:
利用MIME漏洞:這是2001年黑客中最流行的手法,因為它簡單有效,加上寬帶網(wǎng)的流行,令用戶防不勝防,想一想,僅僅是鼠標(biāo)變一下“沙漏”,木馬就安裝妥當(dāng),Internet真是太“方便”了!不過今年有所減少,一方面許多人都改用IE6.0;另一方面,大部分個人主頁空間都不允許上傳.eml文件了。
MIME被稱為多用途Internet郵件擴(kuò)展(Multipurpose Internet Mail Extensions),是一種技術(shù)規(guī)范,原用于電子郵件,現(xiàn)在也可以用于瀏覽器。MIME對郵件系統(tǒng)的擴(kuò)展是巨大的,在它出現(xiàn)前,郵件內(nèi)容如果包含聲音和動畫,就必須把它變?yōu)锳SCII碼或把二進(jìn)制的信息變成可以傳送的編碼標(biāo)準(zhǔn),而接收方必須經(jīng)過解碼才可以獲得聲音和圖畫信息。MIME提供了一種可以在郵件中附加多種不同編碼文件的方法,這與原來的郵件是大大不同的。而現(xiàn)在MIME已經(jīng)成為了HTTP協(xié)議標(biāo)準(zhǔn)的一個部分。
九、利用Java applet
劃時代的Java更高效、更方便——不過是悄悄地修改你的注冊表,讓你千百次地訪問黃(黑)色網(wǎng)站,讓你關(guān)不了機(jī),讓你……,還可以讓你中木馬。這種方法其實很簡單,先利用HTML把木馬下載到你的緩存中,然后修改注冊表,指向其程序。
十、利用系統(tǒng)自動運行的程序
這一條主要利用用戶的麻痹大意和系統(tǒng)的運行機(jī)制進(jìn)行,命中率很高。在系統(tǒng)運行過程中,有許多程序是自動運行的,比如:磁盤空間滿時,系統(tǒng)自動運行“磁盤清理”程序(cleanmgr.exe);啟動資源管理器失敗時,雙擊桌面將自動運行“任務(wù)管理器”程序(Taskman.exe);格式化磁盤完成后,系統(tǒng)將提示使用“磁盤掃描”程序(scandskw.exe);點擊幫助或按F1時,系統(tǒng)將運行Winhelp.exe或Hh.exe打開幫助文件;啟動時,系統(tǒng)將自動啟動“系統(tǒng)欄”程序(SysTray.exe)、“輸入法”程序(internat.exe)、“注冊表檢查” 程序(scanregw.exe)、“計劃任務(wù)”程序(Mstask.exe)、“電源管理”程序等。
這為惡意程序提供了機(jī)會,通過覆蓋這些文件,不必修改任何設(shè)置系統(tǒng)就會自動執(zhí)行它們!而用戶在檢查注冊表和系統(tǒng)配置時不會引起任何懷疑,例如“注冊表檢查” 程序的作用是啟動時檢查和備份注冊表,正常情況不會有任何提示,那么它被覆蓋后真可謂是“神不知、鬼不覺”。當(dāng)然,這也許會被“系統(tǒng)文件檢查器”檢查(但勤快的人不多)出來。
黑客還有一高招“偷天換日”!不覆蓋程序也可達(dá)到這個目的,方法是:利用System目錄比Windows目錄優(yōu)先的特點,以相同的文件名,將程序放到System目錄中。你可以試試,將Notepad.exe(記事本)復(fù)制到System目錄中,并改名為Regedit.exe(注冊表編輯器),然后從“開始”→“運行”中,輸入“Regedit”回車,你會發(fā)現(xiàn)運行的竟然是那個假冒的Notepad.exe!同樣,如果黑客將程序放到System中,然后在運行時調(diào)用真正的Regedit,誰知道呢?(這種方法由于大部分目標(biāo)程序不是經(jīng)常被系統(tǒng)調(diào)用,因此常被黑客用來作為被刪除后的恢復(fù)方法,如果某個東東被刪除了又出現(xiàn),不妨檢查檢查這些文件。)
十一、還有什么“高招”
黑客還常常使用名字欺騙技術(shù)和運行假象與之配合。名字欺騙技術(shù)如上述的全角空格主文件名“.exe”就是一例,另外常見的有在修改文件關(guān)聯(lián)時,使用“ ”(ASCII值255,輸入時先按下Alt鍵,然后在小鍵盤上輸入255)作為文件名,當(dāng)這個字符出現(xiàn)在注冊表中時,人們往往很難發(fā)現(xiàn)它的存在。此外還有利用字符相似性的,如:“Systray.exe”和“5ystray”(5與大寫S相似);長度相似性的,如:“Explorer.exe”和“Explore.exe”(后者比前者少一個字母,心理學(xué)實驗證明,人的第一感覺只識別前四個字母,并對長度不敏感);運行假象則是指運行某些木馬時,程序給出一個虛假的提示來欺騙用戶。一個運行后什么都沒有的程序,地球人都知道不是什么好東西;但對于一個提示“內(nèi)存不足的程序,恐怕還在埋怨自己的內(nèi)存太少哩!
”
上一條:ADSL故障的因素
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號盛銀大廈E棟 13151091625
