韩剧《幽灵》第13集里黑金炳锡的中国黑客,很可爱的那个是谁扮演的
你好!
名叫李源根,百度一搜索就有了,我很喜欢他的,虽然演的是坏蛋。呵呵。
我的回答你还满意吗~~
我的回答你还满意吗~~
电脑病毒是什么东西
破坏计算机的功能或数据,影响计算机使用的程序代码被称为计算机病毒。计算机病毒的主要特征。01、计算机病毒的程序性。计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上, 因此它享有一切程序所能得到的权力。在病毒运行时,与合法程序争夺系统的控制权。计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。02、计算机病毒的传染性。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它会大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。03、计算机病毒的潜伏性。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。04、攻击的主动性。病毒对系统的攻击是主动的,不以人的意志为转移的。也就是说,从一定的程度上讲,计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击。根据病毒特有的算法,病毒可以划分为:1、伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。蠕虫”型病毒,通过计算机 *** 传播,不改变文件和资料信息,利用 *** 从一台机器的内存传播到其它机器的内存,计算 *** 地址,将自身的病毒通过 *** 发送。有时它们在系统存在,一般除了内存不占用其它资源。2. 寄生型病毒 除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。3. 诡秘型病毒 它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。4. 变型病毒(又称幽灵病毒) 这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。按照计算机病毒存在的媒体进行分类:(1)根据病毒存在的媒体,病毒可以划分为 *** 病毒,文件病毒,引导型病毒。 *** 病毒通过计算机 *** 传播感染 *** 中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。(2)根据病毒传染的 *** 可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。(3) 根据病毒破坏的能力可划分为以下几种:无害型,除了传染时减少磁盘的可用空间外,对系统没有其它影响。无危险型,这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型,这类病毒在计算机系统操作中造成严重的错误。非常危险型,这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
计算机病毒历史事件有哪些
计算机病毒历史事件1、 机器狗系列病毒
关键词:底层穿磁盘 感染系统文件
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗",该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给广大网民的 *** 虚拟财产造成巨大威胁。
机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT、映像挟持、进程操作等 *** 使得大量的安全软件失去作用;联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响 *** 安全。
计算机病毒历史事件2、AV终结者病毒系列
关键词:杀毒软件无法打开 反复感染
AV终结者更大特点是禁用所有杀毒软件以及大量的安全辅助工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入"病毒"相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过 *** 寻求解决办法;在磁盘根目录下释放autorun.Inf,利用系统自播放功能,如果不加以清理,重装系统以后也可能反复感染。
2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun病毒的特点,是金山毒霸"云安全"中心捕获的新型计算机病毒。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。
计算机病毒历史事件3、onlinegames系列
关键词:网游 盗号
这是一类盗号木马系列的统称,这类木马更大的特点就是通过ShellExecuteHooks启动,盗取流行的各大 *** 游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着超级Av终结者、机器狗等病毒出现。
计算机病毒历史事件4 、HB蝗虫系列木马
关键词:网游盗号
HB蝗虫病毒新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马病毒。该系列盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
该类木马主要通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。
计算机病毒历史事件5 、扫荡波病毒
关键词:新型蠕虫 漏洞
这是一个新型蠕虫病毒。是微软"黑屏"事件后,出现的更具攻击性的病毒之一。"扫荡波"运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载"扫荡波",同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反病毒工程师确认为新型蠕虫。
微软宣布"黑屏"后的第3天,紧急发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,"扫荡波"病毒正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实"扫荡波"实为一个新型蠕虫病毒,并发布周末红色病毒预警。
计算机病毒历史事件6、 *** 盗圣
关键词: *** 盗号
这是 *** 盗号木马系列病毒,病毒通常释放病毒体(类似于UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安装目录(C:Program FilesInternet Explore),通过注册表Browser Helper Objects实现开机自启动。当它成功运行后,就把之前生成的文件注入进程,查找 *** 登陆窗口,监视用户输入盗取的帐号和密码,并发送到木马种植者指定的网址。
计算机病毒历史事件7、RPC盗号者
关键词:不能复制粘贴
该系列木马采用替换系统文件,达到开机启动的目的,由于替换的是RPC服务文件rpcss.dll ,修复不当,会影响系统的剪切板、上网等功能。部分版本加入了反调试功能,导致开机的时候系统加载缓慢。
计算机病毒历史事件8、伪 *** 系统消息
关键词: *** 系统消息,杀毒软件不能使用
经金山毒霸"云安全"检测为钓鱼程序,病毒更大的特点是伪装 *** 系统消息,用户一旦点击,钱财及电脑安全将面临巨大威胁。
该病毒的综合破坏能力比较强,它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。病毒还带有下载器的功能,可下载其它木马到电脑中运行。
计算机病毒历史事件9、 *** 幽灵
关键词: *** 木马下载器
此病毒查找 *** 安装目录,并在其目录释放一个精心修改psapi.dll,当 *** 启动的时候将会将这个dll文件加载(程序加载dll文件的顺序1:应用程序的安装目录2:当前的工作目录3:系统目录4:路径变量),从而执行恶意代码下载大量病毒到用户电脑。
计算机病毒历史事件10、磁碟机
关键词:无法彻底清除 隐蔽
磁碟机与AV终结者、机器狗极为相似。更大特点是导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;而且更为严重的是,由于Exe文件被感染,重装系统仍无法彻底清除。
磁碟机病毒主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播,而且非常隐蔽,病毒在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,盗取用户虚拟资产和其他机密信息;同时该病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳,导致用户很难彻底清除。
这个木马奇怪了
这个木马替换了C:\WINDOWS\system32\notepad.exe
并切不让恢复,木马(特洛伊木马),也称为后门,英文叫做“Trojan house”,其名称取自希腊神话的《特洛伊木马记》,它是一种基于远程控制的黑客工具,木马的特性一般有:①包含于正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性②具有自动运行性③具有自动恢复功能。④能自动打开特别的端口。⑤包含具有未公开且可能产生危险后果的功能和程序。木马一般有两个程序组成:一个是服务器程序,一个是控制器程序。当你的计算机运行了服务器后,恶意攻击者可以使用控制器程序进入你的计算机,通过指挥服务器程序达到控制你的计算机的目的。黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能。
木马的种类:①远程控制木马。例如冰河②密码发送木马。例如 *** 木马③键盘记录木马。一般的木马都具有这功能④破坏性质的木马。⑤ *** 木马。在肉鸡上作跳板的木马。⑥FTP 木马⑦反弹端口型木马。简单来说就是反防火墙的木马,例如 *** 神偷⑧dll 木马。这是现在最新出来的采用进程插入技术的木马,是最难对付的木马之一。⑨综合型。
想不中木马,先要了解木马植入的惯用伎俩(很多病毒的传播也是利用同样的手段,因为木马也算是病毒的一种):
1. 邮件传播:木马很可能会被放在邮箱的附件里发给你,当你在没采取任何措施的情况下下载运行了它,即便中了木马。因此对于带有附件的邮件,你更好不要下载运行,尤其是附件名为*.exe的,并且请养成用杀毒软件扫描附件的习惯。
2. *** 传播:因为 *** 有文件传输功能,所以现在也有很多木马通过 *** 传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起,然后骗你说是一个好玩的东东或者是PLMM的照片,你接受后运行的话,你就成了木马的牺牲品了。
3. 下载传播:在一些个人网站或论坛下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话更好去比较知名的网站。在解压缩安装之前也请养成对下好的软件进行病毒扫描的习惯。
在这里提醒一下,若被杀毒软件扫描到有病毒请立即清除。不要以为不运行这些带木马的文件就可以了,下面这种木马植入 *** 专门用来对付有此想法的人。
4. 修改文件关联。这是木马最常用的手段之一,比方说正常情况下txt文件的打开方式为Notepad.exe(记事本),攻击者可以把txt文件打开方式修改为用木马程序打开,这样一旦你双击一个txt文件,原本应用记事本打开的,现在却变成启动木马程序了!当然,不仅仅是txt文件,其它诸如htm、exe、zip、com等都是木马的目标。对付文件关联木马,只能检查“HKEY_CLASSES_ROOT\文件类型\shell\open\command”这个子键,查看其键值是否正常。
5. 直接运行植入。一般是利用系统漏洞把配置好的木马在目标主机上运行就完成了。有关系统安全策略后文会作进一步的讲解。
6. 网页植入。现在比较流行的种植木马 *** ,也是黑客们惯用的无形杀手,即所谓的网页木马。经常上网的朋友是不是发现在浏览网页的时候,浏览器动不动就会弹出几个提示窗口,其中看见最多的就数3721的提示窗口了。这些窗口的源代码中包含了ActiveX控件,如果不安装里面的控件,以后仍然会出现这种窗口,并且网页的功能就不能实现了。利用这一点,可以 *** 一个ActiveX控件,放在网页里面,只要用户选择了安装,就会自动从服务器上下载一个木马程序并运行,这样就达到植入木马的目的了。按此 *** *** 的木马对任何版本的IE都有效,但是在打开网页的时候弹出对话框要用户确定是否安装,只要用户不安装,黑客们就以点办法也没有了。所以当上网的时候弹出对话框询问是否安装某软件或插件,请务必看清楚此消息的来源站点。若是知名网站根据实际需要选择是否安装,若是比较少见或没见过的网址甚至根本看不到网址请毫不犹豫的点击“否”并关闭该窗口。另一类木马主要是利用微软的HTML Object标签的一个漏洞,Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质,因此Web页面里面的木马会悄悄地运行。对于DATA所标记的URL,IE会根据服务器返回HTTP头中的Content-Type来处理数据,也就是说如果HTTP头中返回的是appication/hta等,那么该文件就能够执行,而不管IE的安全级别有多高。如果恶意攻击者把该文件换成木马,并修改其中ftp服务器的地址和文件名,将其改为他们的ftp服务器地址和服务器上木马程序的路径。那么当别人浏览该网页时,会出现“Internet Explorer脚本错误”的错误信息,询问是否继续在该页面上运行脚本错误,当点击“是”便会自动下载并运行木马。以上两种网页木马都会弹出安全提示框,因此不够隐蔽,遇到此情况只要看清消息来源的站点,再视情况判断有没必要点击“是”。还有一种网页木马是直接在网页的源代码中插入木马代码,只要对方打开这个网页就会中上木马,而他对此还是一无所知。在这里提醒各位网民,对于从未见过的URL(通常都是个人网站/论坛),更好不要访问。
那么怎样判断自己的电脑是否中了木马,中了木马时有什幺现象?很难说,因为它们发作时的情况多种多样。
但是如果你的计算器有以下表现,就很可能染上黑客病毒了。
计算器有时死机,有时又重新激活;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多。(可是,有一些程序是不会出现在这个列表里的。懂得编程的朋友应该知道这不难做到,借助PVIEW95就可以看到)。特别是在连入Internet网或是局域网后,如果你的机器有这些现象,就应小心了,当然也有可能是一些其它的病毒在作怪。由于木马程序的破坏通常需要里应外合,大多数的木马不如病毒般可怕。即使运行了,也不一定会对你的机器造成危害。不过,潜在的危害还是有的。比如,你的上网密码有可能已经跑到别人的收件箱里了!
我们也可以利用查看本机开放端口的 *** 来检查自己是否被种了木马或其它黑客程序。你在 *** 上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何 *** 软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256*256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客也是通过端口进入你的电脑。因此,我们可以利用查看本机开放端口的 *** 来检查自己是否被种了木马或其它黑客程序。以下是详细 *** 介绍:
①Windows本身自带的netstat命令
此命令是显示协议统计和当前的 TCP/IP *** 连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
-a显示所有连接和侦听端口。服务器连接通常不显示。
-e显示以太网统计。该参数可以与 -s 选项结合使用。
-n以数字格式显示地址和端口号(而不是尝试查找名称)。
-s显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
-p protocol显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
-r显示路由表的内容。
interval重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。
如果发现有异常的端口出现,就有可能是木马常用的端口被占用。立即断开 *** ,用病毒库升级到最新的杀毒软件查杀病毒。
②工作在windows2000下的命令行工具fport
Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子:
D:\fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
Pid Process Port Proto Path
748 tcpsvcs - 7 TCP C:\WINNT\System32\ tcpsvcs.exe
748 tcpsvcs - 9 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs - 19 TCP C:\WINNT\System32\tcpsvcs.exe
416 svchost - 135 TCP C:\WINNT\system32\svchost.exe
利用此命令,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意,也许那就是一只狡猾的木马!
③与Fport功能类似的图形化界面工具Active Ports
Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动,而且它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。
利用查看本机开放端口,以及端口和进程对应关系的 *** ,可以轻松的发现基于TCP/UDP协议的木马。一般中了木马程序最简单的办法就是用杀毒软件清除,如金山毒霸等。现在的杀毒程序能查杀大部分木马,当然也有一部分查杀不了的木马。这时就需要手动清除。要想手工清除,首先需要了解一下木马通常喜欢隐藏在哪里,并自动加载。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动。木马会在计算机启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,木马都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
①win.ini 中启动 :在 win.ini 文件中,在 [WINDOWS] 下面, “run=” 和 “load=” 是可能加载 “ 木马 ” 程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上 “ 木马 ” 了。当然你也得看清楚,因为好多 “ 木马 ” ,如 “AOL Trojan 木马 ” ,它把自身伪装成 command.exe 文件,如果不注意可能不会发现它不是真正的系统启动文件。
②system.ini 中启动 :在 system.ini 文件中,在 [BOOT] 下面有个 “shell= 文件名 ” 。正确的文件名应该是 “explorer.exe” ,如果不是 “explorer.exe” ,而是 “shell= explorer.exe 程序名 ” ,那么后面跟着的那个程序就是 “ 木马 ” 程序,就是说你已经中 “ 木马 ” 了。
③利用注册表加载运行 :在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
④隐形于启动组中 : C:\windows\start menu\programs\startup ,在注册表中的位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"( 一般来说机率比较少 )
⑤隐蔽在 Winstart.bat 中 :按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不, Winstart.bat 也是一个能自动被 Windows 加载运行的文件,它多数情况下为应用程序及 Windows 自动生成,在执行了 Win.com 并加载了多数驱动程序之后开始执行(这一点可通过启动时按 F8 键再选逐步跟踪启动过程的启动方式可得知)。由于 Autoexec.bat 的功能可以由 Winstart.bat 代替完成,因此木马完全可以像在 Autoexec.bat 中那样被加载运行,危险由此而来。
⑥在 Autoexec.bat 和 Config.sys 中加载运行
⑦通过文件关联启动 :此类木马上文已讲,在这里不再
⑧比较新的木马启动技术就是利用 dll 嵌入技术,把木马嵌进正常使用程序进程里,手工很难清理。这种木马不使用进程,而使用Windows系统中的另一种“可执行程序”——dll(应用程序扩展),这样我们就不能通过Windows的进程管理器来发现这种木马了,但是我们可以借助第三方软件(Windows优化大师的进程管理)来找到木马使用的dll文件,找到后到DOS下删除。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的 *** 就是马上将计算机与 *** 断开,防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
(五)病毒防杀
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。
计算机病毒可根据感染形态进行分类,大致可分为以下几种:
① 引导型病毒:引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。由于现代计算机的启动机制,使得病毒可以在每次开机,操作系统还没有引导之前就被加载到内存中,这个特性使得病毒可以对计算机进行完全的控制,并拥有更大的能力进行传染和破坏。绝大多数引导型病毒有极强的传染性和破坏性,通常会格式化硬盘、修改文件分配表(FAT表)等,一旦发作,计算机的数据通常会全部丢失。这种类型病毒的清除也很简单,不管是什么名字的病毒,只要是引导型的,用干净的软盘(即不含病毒的启动软盘,注意:一定要关闭软盘的写保护,不允许对软盘进行写入操作)启动系统,然后重写硬盘的引导扇区即可清除。由于该类病毒的清除和发现很容易,所以这类病毒都属于很老的了,现在基本上已经灭绝。
② 文件型病毒:文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件(如:*.COM、*.EXE、*.DLL等)中。当这些文件被执行时,病毒的程序就跟着被执行。文件型病毒依传染方式的不同,又分为非常驻型以及常驻内存型两种。非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是*.SYS的文件中,当这些中毒的程序被执行时,就会尝试把病毒程序传染给另一个或多个文件。该类病毒只在感染病毒的程序被调用执行时,传染给其它程序,病毒本身并不常驻内存;常驻内存型病毒躲在内存中,一旦常驻内存型病毒进入了内存,只要有可执行文件被执行,就可以对其进行感染。由于病毒一直常驻内存,所以此时用杀毒软件进行杀毒,存在“带毒杀毒”的问题,通常不易杀干净。一般需要用干净的系统引导盘启动系统后,再进行杀毒才彻底。
③ 复合型病毒:复合型病毒具备引导型病毒和文件型病毒的特性,可以传染*.COM、*.EXE、*.DLL文件,也可以感染磁盘的引导扇区。由于这个特性,使得这种病毒具有很强的传染力,一旦发病,破坏程度也会非常强。
④ 变型病毒:又称幽灵病毒,这一类病毒使用一个复杂的算法,使自己每传播一次都具有不同的内容和长度。一般的做法是:病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。病毒之所以费尽心机进行自身代码的变化,主要原因是为了躲避杀毒软件对其病毒特征代码的扫描,以避免被杀毒软件清除。
⑤ 宏病毒:宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。所谓的宏,就是一段脚本程序,由于Word、Excel等软件在处理文档时,为了使程序更智能化地按人的意愿工作,允许在Word中加一些VBS程序,这给宏病毒提供了滋生的土壤,宏病毒就是用这些VBS程序书写的程序。
⑥ 网页病毒:网页病毒主要利用系统软件的安全漏洞,通过执行嵌入在网页HTML语言内的Jave Applet程序、JavaScript脚本程序、VBS脚本程序和ActiveX部件等可自动执行的程序,强行修改操作系统的注册表和系统配置,或非法控制系统资源,盗取用户文件。这种非法恶意程序能够自动执行,它完全不受用户的控制。你一旦浏览含有该病毒的网页,便可以在不知不觉的情况下中招,给系统带来不同程度的破坏。轻则消耗系统资源,使系统运行速度缓慢,直至重启;重则删除硬盘数据,甚至格式化硬盘。网页病毒发作通常有两种表现形式:一种是修改浏览器和注册表的各种设置,比如:IE的默认首页被修改,标题栏被添加非法信息,注册表被禁止打开等。另一种则是恶性结果,比如:开机出现对话框,格式化硬盘,全方位侵害封杀系统,最后导致瘫痪崩溃,非法读取或盗取用户文件等。网页病毒的预防通常是先打上IE补丁。接下来有两种 *** :一是利用IE自身的设置进行预防,使浏览器自身不执行网页上的脚本程序,或屏蔽某些恶性网站。在IE6的internet选项的“常规”选项卡中,先选中某一网站区域,再点击“自定义级别”即可对IE6浏览器能执行的脚本程序进行限制。要注意的是:禁用IE的 *** 、VBS等脚本程序的运行后,很多网页特效就没办法显示了;另一种办法,就是使用病毒防火墙,或者直接用第三方IE保护软件来保护。
⑦ “蠕虫”型病毒:顾名思义,计算机蠕虫指的是某些恶性程序代码,会像蠕虫般在计算机 *** 中爬行,从一台计算机爬到另外一台计算机进行感染。一般来说蠕虫能感染文件,对自身进行复制,消耗系统资源。在互联网环境下,蠕虫病毒变得非常猖獗,它靠复制自己来传播,如果你不对蠕虫的传播渠道进行控制(如操作系统的漏洞、文件共享的权限等),即使你不执行任何外来文件,也会被感染。现在的病毒一般都是既能够感染文件,又可以像蠕虫那样到处爬动(无非就是通过E-mail、共享文件夹、感染HTML代码,然后就是寻找漏洞获得写权限等等),因此,未来能够给 *** 带来重大灾难的,必定将是 *** 蠕虫病毒。
⑧ 木马病毒。木马和蠕虫之间,有某种程度上的依附关系,越来越多的病毒同时具有木马和蠕虫两者的特点。
在病毒日益猖獗的今天,安装杀毒软件和防火墙是最基本的措施。同时建议至少每周更新一次病毒库。
从目前发现的病毒来看,计算机感染病毒后的主要症状有:
1:由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来,磁盘坏簇莫名其妙地增多。
2:由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量加大。
3:由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。
4:由于病毒程序本身或其复制品不断入侵占系统空间,使可用系统空间变小。
5:由于病毒程序的异常活动,造成异常的磁盘访问。
6:由于病毒程序附加或占用引导部分,使系统引导变慢。
7:丢失数据和程序。
8:中断向量发生变化。
9:打印出现问题。
10:死机现象增多。
11:生成不可见的表格文件或特定文件。
12:系统出现异常活动。
13:出现一些无意义的画面问候语等。
14:程序运行出现异常现象或不合理的结果。
15:磁盘卷标名发生变化。
16:系统不认识磁盘或硬盘,不能引导系统等。
17:在系统内装有汉字库正常的情况下不能调用汉字库或不能打印汉字。
18:在使用没有写保护的软件的软盘时屏幕上出现软盘写保护的提示。
19:异常要求用户输入口令。
你想尝试一下中病毒的滋味的话可去下载病毒感染模拟器。
若你的计算机发生以上状况,千万不要迟疑,遵循以下步骤处理:
1:立刻断开 *** 。
2:找“决对干净”的DOS系统磁盘启动计算机。这时,记得要关上这张磁盘个写保护。
3:用杀毒软件开始扫描病毒。
4:若侦测到是文件中毒时,则有三种方试处理:删除文件、重命名文件或是请除病毒。记住:千万不要对中毒文件置之不理,特别是不能让其停留在可执行文件中。
5:若侦测到的是硬盘分区或引导区的病毒时,则你可以用干净的DOS磁盘中的FDISK指令,执行FDISK/MBR命令,以恢复硬盘的引导信息;或是在A驱中执行A:/SYS C:(C:为中毒磁盘),以救回硬盘引导区的资料。
6:现在,可以重新建文件、重新安装软件或 ,准备备份资料,请切记,备份资料在重新导入系统前,应先进行扫描,以防万一。
7:千万记住,重新建文档到开始运行之前。应再次扫描整个系统,以免中毒文件不小心又被存入系统中。
8:现在可以安心的开始操作计算机了。
(六)Windows系统安全隐患
许多系统都会有这样那样的安全漏洞(Bugs),其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击、Windows98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;另一些是利用协议漏洞进行攻击,如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏根目录,从而获得超级用户的权限;还有一些漏洞是由于系统管理员配置错误或疏忽引起的,如在 *** 文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码以明码方式存放在某一目录下,这都会给黑客带来可乘之机。
防范措施:①个人用户推荐使用Windows XP Professional。这个号称Windows家族最稳定的操作系统,基于NT内核的融合,与以前的各版本相比具有更加安全和更加保密的安全特性,它对系统安全性所做的改善,大大加强了用户建立安全、保密的系统环境的系数。②及时给系统打补丁。可以使用Windows自带的“Windows update”,建议至少每周更新一次,并多留意下官方网站的安全公告。③安装杀毒软件和防火墙。强烈建议至少每周对其更新一次。
另外我们也应充分利用Windows XP的安全特性进行一些必要的安全配置:①使用XP自带的免费Internet连接防火墙。②利用Windows XP内置的IE6.0来保护个人隐私。我们可以在IE6.0中定义透露个人信息的具体参数选项,浏览器会在用户上网时,自动判断所访问的站点的安全、可信等级,根据预先设定的隐私参数,来限制信息方面的流通。③利用加密文件系统(EFS)加密。在Windows XP中EFS使用扩展数据加密标准作为加密算法,EFS自动地为用户生成一对密钥和证书,并在利用了CryptoAPI结构的情况下以公钥加密为基础。加密后的文件夹将限制、识别用户是否属于非法访问,只有对这个文件进行加密的用户可以打开这个文件并使用它。要对文件进行加密,首先你得有NTFS分区,然后右击要加密的文件夹,在弹出的文件夹属性的“常规”栏里依次选择“高级”→“加密内容以便保护数据”→“确定”→“将更改应用于该文件夹、子文件夹和文件”→“确定”,这样,该文件夹、子文件夹及文件都已加密。需要注意的是当对文件夹进行了加密后,一定要 *** 备份密钥,以防万一。④屏蔽不需要的服务组件。XP众多的服务使用户享受到了前所未有的服务,但是出于种种原因,用户能真正在日常用到的组件还是为数不多,这就造成了很到的系统资源浪费和一定的安全隐患,甚至黑客们还会据此尝试一些入侵,所以屏蔽一些暂时还不需要的服务组件是安全设置中的一个重要部分。⑤管理好
0条大神的评论