木马程序隐藏病毒命令_木马程序隐藏病毒

hacker|
232

手机中的隐藏病毒木马,怎么发现?并且清除呢?

病毒一般解决方案(原创) 首先建议使用最新的专业杀毒软件和木马专杀工具Ewido 4.0和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况:(如果是IE上网浏览的问题及其他与IE有关问题,先阅读步骤4 !!)1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。 2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块。(慎用) 3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般 *** :开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中 *** 。 4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。 5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效。还是要按步骤1、2办。 6.说了这么多,不过有时还是不能解决。只好请教高人或格式化重做系统了,当然不推荐后者!

手机中了木马病毒了怎么办

由于现在短信诈骗的形式层出不穷,令人防不胜防,收到短信时,更好不要点开短信当中的链接。越是惹眼的短信,越要留个心眼,谨防手机中毒。那么,手机中木马病毒了怎么办呢?下面我为大家收集整理了手机中了木马病毒了怎么办,欢迎大家阅读!

中木马病毒详解过程

1、当点击链接以后手机看上去没有任何反应,但是后台已经开始下载木马程序并自动安装,在这个过程中,用户可能会误认为链接无效,继而不会去注意它。

2、木马病毒装上去以后,卸载比较难的,有些安装的路径隐藏比较地比较深,让用户找不到,有些就干脆让你无法卸载,除非重新刷机。

3、木马安装好以后,会将用户手机的root权限并将用户的收取短信功能屏蔽,也就是说用户的手机收不到银行发来的短信,木马病毒会自动将用户收到的短信发到嫌疑人的手机上。

5、木马程序会探测用户的支付宝、银行卡等账户信息和密码,并将这些重要信息发到嫌疑人手机上。

6、嫌疑人拿到这些账户和密码以后开始登陆对应的平台进行转账或者消费,他们通过银行卡快捷支付的方式进行转账消费,而银行快捷支付是会发送一条验证码到用户手机的,但这个时候用户的手机短信收取功能已经被屏蔽掉了,用户是察觉不到的,短信自动转发到嫌疑人的手机上,于是嫌疑人就成功的完成支付。

怎么才能知道手机是否安装了恶意的木马程序?

最简单的 *** 就是手机用户可以登陆运营商的网上营业厅,查看自己手机的短信详单,看是否有短信批量自动发送了陌生的号码。

手滑点击链接怎么办?

1、一旦点击链接后,要立即关机,拿下手机卡,将手机重装系统,恢复出厂设置或用杀毒软件查杀病毒。

2、在之一时间向通讯录内亲朋好友告知,及时删除短信,不要点击链接。

3、通过其他途径及时修改银行卡、支付宝等账号

4、解除银行卡绑定手机号,注销银行卡,转出银行卡内余额。

怎么预防手机中木马病毒?

手机安装杀毒软件,不点击陌生的链接,不安装陌生人发来的不明软件。另外,建议银行卡绑定的手机号码更好不要与使用的手机号码一样,这样即便是使用的手机中病毒了,骗子也接收不到银行发来的快捷支付密码。

手机中病毒有哪些症状

一般说来,常见的手机中毒症状有自动重启、自动关机、自动发彩信短信、耗电、反映慢,有的还会有文件丢失、软件和系统运行速度变慢等等。

手机如果中毒,请立即下载手机杀毒软件进行查杀。你可以安装一个网秦手机杀毒软件,一定要去官网下载,安装杀毒软件后先把病毒库更新到最新的,然后进行全盘扫描,如果有病毒会提示删除。全部扫描完成后,请重启手机,再全盘扫描一遍,彻底清除手机上的病毒。

手机中毒的解决 ***

防范措施有:

1、隐藏或关闭手机的蓝牙功能,以防手机自动接收病毒;

2、不要往手机上下载来路不明的软件;

3、不要安装通过彩信和蓝牙发送过来的可安装文件;

4、更好给手机安装杀毒软件;

5、使用sd卡、t-flash等内存卡交换数据时注意防止病毒感染;

6、下载信息时保证信息源可靠;

7、平时对于手机内的 *** 本及重要信息要经常性备份,以防感染病毒后造成丢失;

8、关注最新手机病毒的新闻报告及防范措施,对于已经感染的手机,建议重新刷机并安装杀毒软件。

手机维修的一般过程

1.正确拆机。用户拿来维修的手机不要盲目乱拆,要仔细观察小心拆卸。拆下的各种配件要统一放在一个盒子里面,千万不要随手放在维修桌上,以防配件丢失。

2.要能正确操作手机的菜单。对维修人员来说必须掌握怎样调整手机振 *** 音的种类、大小、听筒音量的大小;怎样设置手机来电无声;怎样限制手机的呼入、呼出;怎样控制背光灯的亮与熄灭;怎样存储 *** 号码等等手机的各项功能。

3.先简后繁,先易后难。即先考虑故障是由于手机接触不良造成的或由菜单设置不当等最简单的原因引起。排除这些简单原因,再考虑维修电路板上的故障。

4.先电源,后整机。

5.仔细观察电路板元器件,并用镊子触动一些比较容易出现虚焊的地方。观察是否有元器件脱落、烧坏、虚焊。

6.加直流稳压电源,进行检查维修。

如何避免手机中病毒

*** 一:找一个绿色的下载平台

业内人士表示,正规的软件下载平台如安卓市场会在发布第三方开发的手机软件前,进行病毒扫描,从而有效阻断病毒传播。但在雨后春笋般的国内各类安卓下载平台中,这类平台并不占很高的比例。

安卓市场是中国更大的android安卓应用市场,安卓市场官网打造成最全面、快捷的安卓软件、游戏等电子应用下载市场。用安卓手机,装安卓市场

另外,手机用户在下载时可细心留意一下上传者的名称,一些下载平台的应用上传者并非官方开发者,而是一些个人的名字,此类应用慎用。

*** 二:为自己的手机设置权限

一些用户在下载软件时,从来不仔细查看授予该软件的权限,而是直接点同意。事实上,发短信、查通讯录、连接互联网、GPS定位等权限是否与这款软件的主要功能有关,值得留意一下,因为这些功能是极容易暴露个人隐私的`。发短信的权限,更是不少软件偷发短信、订购付费服务等吸费行为的根本原因。另一些用户为了更改一些关键的设置,使手机更炫,选择root(获得超级管理员权限)以使系统文件也可以随意更改,但这样让手机的安全性更低。如无必要,更好不要做这类选择。

*** 三:不要点开陌生链接或热点

在所有已报告的病毒感染事件中,17%是通过短消息扩散的。一些手机恶意软件会自动给通讯录上的好友发送含有恶意代码的彩信,或是恶意链接。如果你收到这类短信,千万不要点开其中的链接。

另外一些恶意程序被隐藏在WiFi热点背后,通过截取数据流,登录受害者的邮箱和社交 *** ,所以如果无意发现附近有一个没有密码的WiFi热点,可不要觉得可以占便宜就欣喜地登录。

*** 四:用杀毒软件查杀

给智能手机装一个杀毒软件,定期提示和查杀也是不错 *** 。不过也有人认为其中的设置较为复杂,那么有没有傻瓜式的杀毒软件呢?

如何预防手机中病毒

1.乱码短信、彩信,删。

乱码短信、彩信可能带有病毒,收到此类短信后立即删除,以免感染手机病毒。

2.不要接受陌生请求。

利用无线传送功能比如蓝牙、红外接收信息时,一定要选择安全可靠的传送对象,如果有陌生设备请求连接更好不要接受。因为前面说过,手机病毒会自动搜索无线范围内的设备进行病毒的传播。

3.保证下载的安全性。

现在网上有许多资源提供手机下载,然而很多病毒就隐藏在这些资源中,这就要求用户在使用手机下载各种资源的时候确保下载站点是否安全可靠,尽量避免去个人网站下载。

4.选择手机自带背景。

漂亮的背景图片与屏保固然让人赏心悦目,但图片中带有病毒就不爽了,所以用户更好使用手机自带的图片进行背景设置。

5.不要浏览危险网站。

比如一些黑客,本身就是很危险的,其中隐匿着许多病毒与木马,用手机浏览此类网站是非常危险的。

如何防、治病毒

防毒根源在谨慎

当看到非官方网站,来路不明的网站需要谨慎打开,打开前可以先在百度中搜索网站相关信息!并且打开杀毒软件进行防护!

手机权限要留意,root风险不可估

部分软件安装时要注意该软件获取的手机权限,允许访问通讯录的软件要格外留意!不要将手机随意root,root后系统处于全开放状态,很容易让病毒有可乘之机!

杀毒软件选主流

现在的主流手机杀毒软件:360安全卫士、 *** 安全管家等都是结合防毒、治毒的手机防护软件,一旦手机异常立即打开杀毒软件进行查杀病毒可以很大程度防止手机损害,保证安全!

木马一般隐藏在哪里?

您好:

各种木马病毒的隐藏位置都是不一样的,有些木马病毒在生成的时候更是可是手动设置隐藏位置的,例如一般的木马病毒会默认安装隐藏到C盘中,但是有一些木马病毒就会隐藏到C盘以外的逻辑分区或者是内存中,如果您的电脑中毒的话,建议您使用腾讯电脑管家的杀毒功能对您的电脑杀毒并保护您的电脑吧,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载

腾讯电脑管家企业平台:

如何查处隐藏在电脑里的病毒和木马?

申明:以下内容全部转载!原作者标在最后

做了几年的网管.遇到问题最多的就是电脑病毒,多数人通病就是遇到厉害的病毒,杀毒软件解决不了的,干脆就重装系统.确实这是个好 *** ,但你想过没有,如果多学点这方面的技术,5分钟就能搞定的问题,为什么要重装系统呢?

在WINDOW系统下,任何一个程序一定,肯定会有一个进程,病毒也不例外.在进程管理器中看不见,并不代表没得哦.灰鸽子就是靠隐藏进程出名的.先来给大家讲一下病毒的几种表现形式:

之一种.DLL动态链接库注入型木马:

什么是DLL呢?扩展名为.DLL是动态链接库,当某一进程需要实现某一功能时,此功能可能是放在某一动态链接库文件中的,所以,当进程需要使用时就要将动态库文件加载到自己的进程中.一个无进程的木马很有可能就是DLL注入型的,注入的 *** 可以通过注册表.还可以通过另一个进程,来打开现有的进程,来将DLL注入到被打开的正常进程中,然后,执行注入的进程退出,这样,在进程列表中仍然看不到木马的进程。

查杀 *** :

使用工具查看每一个进程加载的模块,发现可疑或者名字特别奇怪的就是病毒注入到正常进程中的DLL,这种DLL注入型病毒通常会通过服务加载到每一个正常的进程中,注入的DLL都是一个文件,删除病毒的DLL文件后,重启电脑就OK了.

第二种.无进程,线程注入型木马

相对于进程,线程就是一个进程中的一个个执行单位。线程注入又是咋回事呢?线程注入,就是木马程序将一个恶意线程放到了正常进程的线程序列中去执行,就像在工厂中多增加了一组自己的工人,这一组工人与其它的正常的几组工人没有什么关系,但却借用了人家的工厂去从事着非法的勾档.

线程注入与DLL注入的区别是,线程注入只是增加了一组工人,这组工人是在以工厂的名义在工作,对外的名义也是工厂的名字,出了问题是由工厂负责的。而DLL注入呢,是外包,可能会增加一组工人也可能会增加多组,是以DLL自己的名义在工厂内工作的,出了问题是由DLL来负责的。当然了,如果问题大了,工厂也会受牵连的.

查杀 *** :

相比较起来,查杀线程注入型的木马,就比较困难了,我们上面说了,线程注入的没有自己的文件,只是一段注入的代码。也就是说他只是混入工厂内的一组工人,并没有自己的工厂也没有自己招牌,想把他与正常的工人区分开,是很困难的。同样,也要借助于专门工具,进程占用CPU高的是首先查看的目标,查看线程的时候,基址越大的,就是启动越晚的线程,通常对付线程注入型病毒,要从它的启动源来着手,关键在于阻止病毒向进程中写入代码.

第三种.驱动型木马.

什么是驱动型木马呢?就是全部功能放到了驱动程序中去完成.什么又叫驱动程序呢?驱动程序顾名思义就是驱使设备动起来的程序。其作用是让特殊的硬件和Windows操作系统可以交换数据,比如我们按下了键盘的A键,那键盘驱动就要告诉Windows系统“这家伙按下了A键,你看咋办吧”,它只是告诉一声,后面的工作就由系统来处理了,系统会根据不同的情况进行不同的处理,如果你是在打字,那就把A这个字符显示在你的输入页面中,如果你用的是五笔,显然直接显示个A是不行的,Windows系统就会把你输入A的这个信息转给了输入法程序……最终实现你按A的目的。

为什么要用驱动来完成木马的功能呢?因为在WINDOW中驱动程序是以更高权限在运行,相当于公司的股东或董事的权力,而且进程中是不会显示驱动程序的进程.国产吹得厉害的瑞星和金山等,它们的权力就像公司内部的审记部门,你可以审查和开除公司其它员工,但就是没权力审查或开除公司的股东或董事吧.HEHE.可想而知,病毒一但获得这种权力,就算你知道它是病毒,你也无法清除它了.何况病毒并不傻,有了这种权力我为什么要让你发现呢?我可以利用这种特权悄悄的做我自己想做的事.WINDOW系统下,你装了驱动程序,哪么你就要多一个设备出来吧.HEHE.我们进入设备管理器中可以看到系统所有已经安装的驱动程序,当然也包括木马驱动了,通常木马驱动程序都是安装在"非即插即用驱动程序"这项里面.数目太多判断难度大.

查杀 *** :

还是要利用专门的工具,驱动程序都会加载.SYS文件,哪么正常的驱动文件是微软认证或是第三方认证的,排除了这些正常的驱动,剩下的就是可疑驱动程序了,为什么这里不说剩下的就是木马驱动了呢?因为有一些正常的驱动程序,比如说TCPIP.SYS文件,WINXP默认是10个连接数.你修改了系统连接数.哪么这个驱动文件就会有所改变,当然不能通过认证了.

第四种.利用技术手段隐藏进程的木马

上面介绍的都是无进程,只是利用其它进程实现病毒自己的功能.而这种技术型隐藏进程的木马,你无法破解它的隐身 *** ,看不到它的进程.查杀无从谈起.

WINDOW系统给软件开发人员提供了几种列出系统中所有进程.模块和驱动的 *** .最常见的也是最常用的 *** 就是调用系统API:CreateToolHelp32Snapshot、EnumProcess、EnumProcessModules等,我们调用这几个函数其实就是在告诉系统,我们需要进程列表,然后系统就会按照我们的要求,把列表返回给我们.这几个API接到请求后,调用ZwQuerySystemInformation,接着ZwQuerySystemInformation会调用KiSystemService切入内核进入R0权限,然后自SSDT表中查取得NtQuerySystemInformation的地址,并调用其指向的实际代码,而NtQuerySystemInformation的作用则是自系统的数据结构中取相应的数据,再顺原路返回去,在中间任何一个环节进行拦截进行修改都可以实现隐藏进程的目的.这种 *** 被称为"HOOK".

正常调用API的时候,系统会根据SSDT表正确的指向系统的API函数,但是病毒修改了SSDT表后,当你调用结束进程NtTerminateProcess函数时,SSDT表指向的地址就不是这个真正NtTerminateProcess函数的地址了,而是指向病毒自己的函数,用户想结束病毒的进程,使用的函数却是病毒的函数,你认为它会听你的话吗?这只是一种,还有一种更厉害的就是"LINEHOOK",这种类型的病毒修改的不是SSDT表,而是修改的函数代码.从原理上可知,修改SSDT表导致函数地址被HOOK的病毒,只要恢复SSDT表,然后清除病毒主程序就完了.而这种LINEHOOK修改代码的技术,更是难以防范.因为它并没有修改SSDT表,而是修改系统中正常的API函数,添加自己想要的功能进去,举个例子,用户查向系统发出查询系统进程的命令,系统按照要求在SSDT表中找到对应函数的地址,对函数进行调用,比如这个函数名为A.接着函数A把返回的结果传回系统中显示出来,这是正常的情况下.非正常的情况下,病毒并不是修改SSDT表,而是修改函数A中的内容,加上自己的功能,比哪说隐藏自己.在返回系统进程的信息中,把病毒自己的进程名给删除了,用户最终在进程管理器中看到的进程,理所当然的不包括病毒进程了.明白了吧.

以上这些都是我多年杀毒总结出来的经验,当然引用了一些专业名词,能看懂的尽量看懂吧,将会对你有很大的帮助.我平常都把一些常用的辅助工具软件用U盘存放起来,方便随时使用,武林高手在怎么说手上总得有把利剑吧...

原作者:漫步云端

0条大神的评论

发表评论