病毒檔案之后臺(tái)運(yùn)行進(jìn)行惡意控制和破壞病毒

帳號(hào)被偷，密碼被盜，機(jī)器被人遠(yuǎn)程控制著放歌/開(kāi)關(guān)機(jī)/屏幕倒轉(zhuǎn)過(guò)來(lái)，硬盤不住地轉(zhuǎn)動(dòng)將關(guān)鍵資料向外發(fā)出，就是進(jìn)行惡意控制和破壞病毒的杰作了。這類病毒和可執(zhí)行文件病毒最本質(zhì)的區(qū)別是——惡意控制和破壞病毒本身是獨(dú)立的程序，而不是寄生于另一個(gè)程序中。這類病毒的編寫主要在于對(duì)操作系統(tǒng)本身接口的熟悉，網(wǎng)絡(luò)傳輸?shù)氖煜ぃ�以及�?duì)隱蔽性的要求，此類病毒的編寫可使用多種語(yǔ)言，對(duì)病毒寫作者本身的實(shí)力也是一種考驗(yàn)。這個(gè)病毒中，最出名的莫過(guò)于BO了，可以說(shuō)，它指引了這種病毒在windows平臺(tái)的發(fā)展理念。這類病毒就是統(tǒng)稱的“木馬”病毒，通過(guò)系統(tǒng)漏洞/用戶操作疏忽進(jìn)入系統(tǒng)并駐留，通過(guò)改寫啟動(dòng)設(shè)置來(lái)達(dá)到每次啟機(jī)運(yùn)行或關(guān)聯(lián)到某程序的目的。在windows系統(tǒng)中，表現(xiàn)為修改注冊(cè)表啟動(dòng)項(xiàng)、關(guān)聯(lián)Explorer、關(guān)聯(lián)notepad等方式。

進(jìn)行惡意控制和破壞病毒淺析：

惡意控制和破壞病毒編寫者的功力就有高有低了。高手所編寫的遠(yuǎn)程控制系統(tǒng)可以和最優(yōu)秀的遠(yuǎn)程管理工具相媲美，例如開(kāi)山鼻主BO，國(guó)產(chǎn)的冰河，著名的黃金木馬sub7都屬于這一類，這類程序分為2個(gè)部分，控制端和被控制端；而在unix類平臺(tái)下的木馬經(jīng)常是一個(gè)簡(jiǎn)單外部命令的重新實(shí)現(xiàn)——例如將原本的ls命令替換掉，用自己寫的一個(gè)程序代替，在執(zhí)行正常文件列表的同時(shí)隱含執(zhí)行特殊命令，這類木馬的編寫水平也相當(dāng)高，但在windows下極少出現(xiàn)類似程序替代的木馬，惡意控制和破壞病毒的聯(lián)系一般是單向進(jìn)行的；還有一類木馬就是網(wǎng)絡(luò)盜竊性質(zhì)的，以im軟件，網(wǎng)絡(luò)游戲盜號(hào)居多，近來(lái)發(fā)展為對(duì)金融業(yè)有所染指，這類一般就是通過(guò)程序監(jiān)視當(dāng)前窗口，并獲得當(dāng)前窗口特定控件的值（用戶名/密碼框里的值），然后通過(guò)email，遠(yuǎn)程登陸web數(shù)據(jù)庫(kù)等方式把獲得的密碼發(fā)出去，這類程序具有一定編程基礎(chǔ)的各位朋友都能做到；第4類是惟恐天下不亂的純搗亂程序，原理跟可執(zhí)行文件病毒似，不過(guò)是朝文本框?qū)懶畔�，例如著名的qq尾巴病毒，惡意控制和破壞病毒由于病毒作者將源代碼放出，改寫起來(lái)相當(dāng)容易，智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO、冰河、Sub 7等。

進(jìn)行惡意控制和破壞病毒感染途徑：

利用系統(tǒng)漏洞——造成溢出——獲取一定權(quán)限——利用其他漏洞或用戶設(shè)置不當(dāng)提升權(quán)限——上傳惡意程序/修改系統(tǒng)設(shè)置——啟動(dòng)惡意程序。是這類病毒感染的慣用方式。在后期，出現(xiàn)了以誘騙用戶執(zhí)行為主要感染方式的新木馬，充分利用了社會(huì)工程學(xué)，例如在im類軟件上給你發(fā)送一個(gè)名為“我的照片.exe”這樣的文件給你，引誘你打開(kāi)執(zhí)行。由于木馬的用途主要是將病毒編寫者感興趣的資料回發(fā)——因此感染途徑99%來(lái)源于網(wǎng)絡(luò)，在完全無(wú)網(wǎng)絡(luò)單機(jī)狀態(tài)下的木馬等于是沒(méi)用的死馬。

進(jìn)行惡意控制和破壞病毒自查：

由于木馬發(fā)送者的企圖都是通過(guò)控制你的機(jī)器操作來(lái)獲得一定利益，因此都會(huì)設(shè)置啟動(dòng)時(shí)加載該程序。控制類的木馬需要占用相當(dāng)一部分系統(tǒng)資源——用戶直接能感覺(jué)到的就是啟動(dòng)速度變慢，系統(tǒng)運(yùn)行速度變慢；而帳號(hào)盜取類的木馬由于需要獲得特定窗口的窗口句柄，因此會(huì)在當(dāng)前窗口切換的時(shí)候進(jìn)行讀取判斷——在機(jī)器配置不高的機(jī)器上，如果快速輪循窗口，則感覺(jué)到窗口出現(xiàn)速度明顯下降；惡作劇類的木馬就不用提了，大家都知道不對(duì)勁。

木馬病毒在編制不夠完美的時(shí)候，會(huì)導(dǎo)致程序溢出——例如運(yùn)行ie的時(shí)候多次出現(xiàn)“非法操作”、打開(kāi)資源瀏覽器速度狂慢等現(xiàn)象，也可能是系統(tǒng)中了木馬后的蛛絲馬跡。在現(xiàn)象判斷上，確實(shí)沒(méi)有切實(shí)的客觀規(guī)則可循，主要是依據(jù)主觀經(jīng)驗(yàn)判斷。總之——如果您沒(méi)有安裝任何軟件/修改任何設(shè)置，原本昨天速度飛快的機(jī)器今天要么總是非法操作，要么速度延遲——那么您被感染了病毒或木馬的可能性相當(dāng)大了。當(dāng)然，如果您的qq帳號(hào)，傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬干的。另外，相當(dāng)多的木馬程序由于帶了hook鉤子，常常導(dǎo)致調(diào)試類程序出錯(cuò)，如果您使用softice調(diào)試某些程序時(shí)經(jīng)常無(wú)故報(bào)錯(cuò)，那或許也是系統(tǒng)中掛接了異常的hook程序——木馬。

進(jìn)行惡意控制和破壞病毒查殺：

木馬病毒的繁衍也是相當(dāng)快速的，特別是行為上難以判斷——合法遠(yuǎn)程控制軟件和木馬在本質(zhì)上基本上無(wú)區(qū)別，在執(zhí)行行為上也相當(dāng)類似。而木馬的控制協(xié)議一般是走tcp/ip協(xié)議，理論上是可以在65535個(gè)端口中隨意選擇（當(dāng)然實(shí)際中會(huì)避開(kāi)一些保留端口，防止系統(tǒng)沖突——木馬最必要的生存條件就是其隱蔽性），因此也無(wú)法利用端口方式準(zhǔn)確判斷出病毒種類；通過(guò)特征碼方式，如果木馬作者沒(méi)有留下版本信息或說(shuō)明文字，則也相當(dāng)難以判斷；特別是木馬的源代碼公開(kāi)后，想在其中加入一段獨(dú)特的功能代碼不是什么難事，因而衍生的版本特別快也特別多，這更加大了殺毒軟件查殺的的難度。

事實(shí)上現(xiàn)在世面上的殺毒軟件對(duì)待木馬的查殺能力并不夠強(qiáng)大，如果有可能，可以選擇專用的木馬查殺軟件，如木馬克星等。當(dāng)然，木馬也有手工解決的辦法，而且對(duì)待層出不窮的木馬也只有手工查殺才能以不變應(yīng)萬(wàn)變——感染/修改設(shè)置/啟動(dòng)加載/運(yùn)行獲取密碼 是木馬必經(jīng)過(guò)的4個(gè)步驟，讓我們看看怎么找出藏在機(jī)器中的馬來(lái)——由于木馬需要啟動(dòng)加載執(zhí)行，因此大多采取修改啟動(dòng)項(xiàng)目來(lái)加載的方式進(jìn)行——那么，我們就到啟動(dòng)項(xiàng)目里去牽馬吧；

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]