***病毒的隐藏方式
生活随笔
收集整理的這篇文章主要介紹了
***病毒的隐藏方式
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
***病毒的隱藏方式 ***病毒的危害在于它對計算機系統具有強大的控制和破壞能力。功能強大的***一旦被植入用戶的計算機,***的制造者就可以像操作自己的計算機一樣控制服務端計算機,甚至可以遠程監控用戶的所有操作。在每年爆發的眾多網絡安全事件中,大部分網絡***都是通過***病毒進行的。著名的微軟公司也曾經遭到過蠕蟲***的***,導致部分產品源碼的泄露,造成了很大的損失。 ***病毒之所以會造成很大損失,其根本原因就是其隱蔽性非常強。***病毒的隱藏性也是病毒的最大特點。***病毒的發作必須借助于服務端的支持。下面我們就對***病毒的隱藏方式進行詳細分析。 (1)將自己偽裝成系統文件。 ***病毒會想方設法將自己偽裝成“不起眼”的文件或“正規”的系統文件,并把自己隱藏在系統文件夾中,與系統文件混在一起。例如,把服務端的文件命名為Mircosoft.sys,病毒會故意將幾個字母的順序顛倒或寫錯,使一般用戶很難發現,即便發現也會認為是微軟自帶的系統程序,從而喪失警惕性。還有一些***病毒將自己隱藏在任務欄里并隱藏自己的圖標(如圖6-1所示),伺機發作,一般用戶很難注意到。 (2)將***病毒的服務端偽裝成系統服務。 當用戶的計算機被***病毒***并被遠程***或控制的時候,往往會出現系統運行變慢或某些應用程序無法正常運行等情況。這種情況的發生很容易被用戶察覺。通常情況下,用戶會按下Ctrl+Alt+Del調用任務管理器查看進程。***病毒會將自己偽裝成“系統服務”,從而逃過用戶的檢查。目前,大多數***病毒的服務端運行時都不會從任務管理器中被輕易查到。 圖6-1 ***病毒將自己隱藏在任務欄里并隱藏自己的圖標 (3)將***程序加載到系統文件中。 win.ini和system.ini是兩個比較重要的系統文件。在win.ini有兩個重要的加載項——“run=”和“load=”,它們分別擔負著系統啟動時自動運行和加載程序的功能。在默認情況下,這兩項的值都應該為空。有一些***病毒會隱藏在win.ini中,以便在系統啟動時自動運行,如果發現在“run=”和“load=”后面有陌生的啟動程序,例如,run=c:windows abc.exe load=c:windows abc.exe,那么這個可疑的abc.exe很可能是***程序。 還有的***病毒會隱藏在system.ini內[BOOT]子項中的“Shell”啟動項中,將“Explorer”變成病毒自己的程序名,從而在啟動時伺機發作。用戶可以通過“開始”→“運行”→“msconfig”來查看自己的系統文件是否正常。 類似的經常被***加載的可以自動被Windows加載運行的文件還有Winstart.bat。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此***完全可以像在Autoexec.bat中那樣被加載運行,所以危險性也非常大。 (4)充分利用端口隱藏。 每一臺計算機都默認有256?256 ? 65 536個端口,我們常用的端口不到默認值的1/3。由于占用常規端口會造成系統異常而引起用戶警覺,因此病毒通常將自己隱藏在一些不常用的端口中,一般是1024以上的高端口。一些比較“高級”的***程序具有端口修改功能,這就使用戶的端口掃描變得像大海撈針一樣困難。更有甚者,有些***病毒能夠做到在與正常程序共用端口(如80端口)的同時不影響程序的運行,這就更使得用戶防不勝防。 (5)隱藏在注冊表中。 注冊表中含有“run”的啟動項也是***病毒經常隱藏的地方。如,HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion下以“run”開頭的鍵值,如圖6-2所示。 圖6-2 注冊表中含有“run”的啟動項也是***病毒經常隱藏的地方 此外,還有其他位置的鍵值也需要引起注意。例如,HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下以“run”開頭的鍵值;HKEY-USERS.\Default\Software\ Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;等等。 (6)自動備份。 為了避免在被發現之后清除,有些***會自動進行備份。這些備份的文件在***被清除之后激活,并再次感染系統。 (7)***程序與其他程序綁定。 現在,很多***利用了一種稱為文件捆綁機的工具,如exe-binder,這種工具可以把任意兩個文件捆綁在一起,在運行時兩個文件可以同時運行,但前臺只能看見一個程序。例如,一些***程序能夠把它自身的exe文件和服務器端的圖片文件綁定,在用戶看圖片的時候,***也不知不覺地侵入了用戶的系統。如果***程序綁定到系統文件,那么每一次Windows啟動都會啟動***。 (8)“穿墻術”。 病毒啟動后會釋放一個動態庫文件,然后將這個動態庫文件插入系統的進程體內運行,而病毒的絕大部分功能全部包括在這個動態庫中,之后病毒的進程退出。這樣在系統中就找不到病毒進程了,但是實際上很多的系統進程內部都有病毒模塊在運行。這種病毒連防火墻都無法防范,這就是俗稱的“穿墻術”。 如圖6-3所示就是“灰鴿子”將自己的病毒體注入系統進程中的截圖。 ? 圖6-3 “灰鴿子”將自己的病毒體注入系統進程中的截圖 可以看到,病毒將自己的DLL部分注入了IE的進程中。在WINNT目錄下也可以看到這幾個文件。 (9)利用遠程線程的方式隱藏。 遠程線程是Windows為程序開發人員提供的一種系統功能,這種功能允許一個進程(進程A)在其他的進程(B)空間中分配內存,并且將自己的數據復制到其中,然后將復制的數據作為一個線程啟動,這樣進程B中就多出了一個新的線程——病毒線程,而且操作系統會認為這個病毒線程就是進程B的線程,線程所作的任何操作都會被記錄為進程B的操作,這也是穿墻術的一種實現方法。我們可以通過比較圖6-4和圖6-5來說明。 圖6-4所示是正常進程空間的內存情況,圖6-5中IE進程的內存中多了一個EXE文件部分(矩形標注處),這部分就是病毒體。 圖6-4 正常進程空間的內存情況 圖6-5 IE進程的內存中多了一個EXE文件部分 (10)通過攔截系統功能調用的方式來隱藏自己。 系統功能調用是系統給應用程序提供的程序接口。例如,文件讀寫,文件搜索,進程遍歷,包括殺毒軟件的查殺毒功能等都需要系統調用的支持。病毒為了防止被發現就會設法接管這些系統調用,比如,病毒如果接管了文件打開操作,當殺毒軟件調用打開文件操作時就會啟動病毒代碼,此時病毒判斷當前打開的是否是病毒文件本身,如果不是,就去調用正確的系統調用;如果是病毒,病毒代碼就會返回“文件不存在”的信息。這樣殺毒軟件就無法在系統中找到病毒文件,也就無法查殺病毒了。例如,灰鴿子病毒就是使用了這種方式來隱藏自己的,一旦病毒啟動,病毒建立的注冊表啟動項、注冊的系統服務、病毒的進程、病毒的文件都無法被正常發現,這就給病毒的排查帶來很大困難。 (11)通過先發制人的方法***殺毒軟件。 還有的病毒不是使用隱藏的方式,而是使用先發制人方法***殺毒軟件。病毒啟動后在進程中搜索國內外著名的反病毒軟件的進程,找到后就將其殺死,然后將相應的文件刪除,將反病毒軟件注冊的系統服務刪除,等等,儼然成了反病毒軟件的卸載程序,從而防止被反病毒軟件發現并清除。 綜上所述,由于沒有服務端的支持,***病毒就無法達到遠程控制和破壞的目的,所以***病毒除了傳播以外的首要目的就是想方設法將自己偽裝隱藏起來,以便在運行時不被用戶發現。因此,隱藏性是***病毒的最大特點。 本文節選自電子工業出版社2008年11月出版的《計算機病毒分析與防范大全(第2版)》。 到當當網購買 到卓越網購買 到china-pub購買
轉載于:https://blog.51cto.com/broadviewsec/152500
總結
以上是生活随笔為你收集整理的***病毒的隐藏方式的全部內容,希望文章能夠幫你解決所遇到的問題。
