本文目录一览:
杀软是根据什么查出木马病毒的,求答案,请详细一点
病毒检测的方法 在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。 特征代码法 特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 特征代码法的实现步骤如下: 采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。 在病毒样本中,抽取特征代码。依据如下原则: 抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。 在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。 打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。 采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。 特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。 其特点: A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。 B.误报警率低。 非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。 D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。 校验和法 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。 这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。 病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。 这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。 校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。 运用校验和法查病毒采用三种方式: ①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。 ②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。 ③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。 校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。 行为监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。 这些做为监测病毒的行为特征如下: A.占有INT 13H 所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。 B.改DOS系统为数据区的内存总量 病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。 C.对COM、EXE文件做写入动作 病毒要感染,必须写COM、EXE文件。 D.病毒程序与宿主程序的切换 染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。 行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。 软件模拟法 多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。 计算机病毒的防治策略 计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。 “防毒”是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。“解毒”是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。 防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。 查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病 毒的能力应由查毒率和误报率来评判。 解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。 摘自百度
采纳哦
如何监测手机里有没有木马病毒
不论中了什么病毒,都可以用杀毒软件来查杀
可以安装电脑管家或者手机管家,来给电脑和手机进行病毒查杀检测
根据安全报告来看,电脑管家和手机管家每月都查杀7千多万个病毒,保护了很多电脑的安全。
如何判断电脑是否感染木马病毒
电脑一旦感染病毒是比较难判断的,有些病毒会潜伏在电脑了,过一段时间才回发作,但一般电脑要是中了病毒,就会使电脑的速度减慢,占有大量系统资源,还有,就是主机箱上的硬盘指示灯,在没有操作的情况下,会长时间的闪动,那就基本上可以肯定是有了病毒,在就是网络木马,只要检查一下你对外连接的端口就可以查出来,木马进入电脑后,会开放一个端口,与外界进行连接,一般情况下,接入网络开放的端口是137、138和139端口,在就是一些软件的端口,比如,讯雷默认端口是3077,其余的端口在不使用的时候是不开放的,如果你发现有长时间开放的端口,那就是中了木马。
木马简介前言
在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马,当初怎么就想不通它与病毒扯上关系了。经过一番了解,原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市,从而一举占领敌方城市的故事,因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟:它就是通过潜入你的电脑系统,通过种种隐蔽的方式在系统启动时自动在后台执行的程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,达到当你上网时控制你的电脑,以窃取你的密码、游览你的硬盘资源,修改你的文件或注册表、偷看你的邮件等等。
一旦你的电脑被它控制,则通常表现为蓝屏然死机;CD-ROM莫名其妙地自己弹出;鼠标左右键功能颠倒或者失灵或文件被删除;时而死机,时而又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用 CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多等等。
不过要知道,即使发现了你的机器染上木马病毒,也不必那么害怕,因为木马病毒与一般病毒在目的上有很大的区别,即使木马运行了,也不一定会对你的机器造成危害。但肯定有坏处,你的上网密码有可能已经跑到别人的收件箱里了,这样黑客们就可以盗用你的上网账号上网了!木马程序也是病毒程序的一类,但更具体的被认为黑客程序,因为它入侵的目的是为发布这些木马程序的人,即所谓的黑客服务的。
本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。
木马的基本特征
木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、 BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征:
1、隐蔽性是其首要的特征
如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。它的隐蔽性主要体现在以下两个方面:
a、不产生图标
它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可;
b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。
2、它具有自动运行性
它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys \explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能
现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开特别的端口
木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。
6、 功能的特殊性
通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
7、黑客组织趋于公开化
以往还从未发现有什么公开化的病毒组织(也许是我孤陋寡闻),多数病毒是由个别人出于好奇(当然也有专门从事这一职业的),想试一下自己的病毒程序开发水平而做的,但他(她)绝对不敢公开,因为一旦发现是有可能被判坐牢或罚款的,这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织,但应绝对是属于“地下”的。现在倒好,什么专门开发木马程序的组织到处都是,不光存在,而且还公开在网上大肆招兵买马,似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷,黑的手段也越来越高明。我不知道为什么,但据讲其理由是“为了自卫、为了爱国” 。
木马入侵的常用手法及清除方法
虽然木马程序千变万化,但正如一位木马组织的负责人所讲,大多数木马程序没有特别的功能,入侵的手法也差不多,只是以前有关木马程序的重复,只是改了个名而已,现在他们都要讲究效率,据说他们要杜绝重复开发,浪费资源。当然我们也只能讲讲以前的一些通用入侵手法,因为我们毕竟不是木马的开发者,不可能有先知先觉。
1、在win.ini文件中加载
一般在win.ini文件中的[windwos]段中有如下加载项:
run= load= ,一般此两项为空,如图1所示。
图1
如果你发现你的系统中的此两项加载了任何可疑的程序时,应特别当心,这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中之后,那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序,但你要知道这更是木马利用的好机会,它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数,这个文件名也往往用你常见的文件,如command.exe、sys.com等来伪装。
2、在System.ini文件中加载
我们知道在系统信息文件system.ini中也有一个启动加载项,那就是在[BOOT]子项中的“Shell”项,如图2所示。
图2
在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名,名称伪装成几乎与原来的一样,只需稍稍改"Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细留意是很难被人发现的,这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的,而是直接把“Explorer”改为别的什么名字,因为他知道还是有很多朋友不知道这里就一定是“Explorer”,或者在 “Explorer”加上点什么东东,加上的那些东东肯定就是木马程序了。
3、修改注册表
如果经常研究注册表的朋友一定知道,在注册表中我们也可以设置一些启动加载项目的,编制木马程序的高手们当然不会放过这样的机会的,况且他们知道注册表中更安全,因为会看注册表的人更少。事实上,只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],如图3所示;
图3
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run -或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce],如图4所示。
图4
你只要按照其指定的源文件路径一路查过去,并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了,不过同样要注意木马的欺骗性,它可是最善于伪装自己呵!同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名,如有则立即删除。
4、修改文件打开关联
木马程序发展到了今天,他们发现以上的那些老招式不灵了,为了更加隐蔽自己,他们所采用隐蔽的手段也是越来越高明了(不过这也是万物的生存之道,你说呢?),它们采用修改文件打开关联来达到加载的目的,当你打开了一个已修改了打开关联的文件时,木马也就开始了它的运作,如冰河木马就是利用文本文件(.txt)这个最常见,但又最不引人注目的文件格式关联来加载自己,当有人打开文本文件时就自动加载了冰河木马。
修改关联的途经还是选择了注册表的修改,它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目,如冰河木马修改的对象如图5所示,
图5
如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”,而是改为“sy***plr.exe %1”。
以上所介绍的几种木马入侵方式,如果发现了我们当然是立即对其删除,并要立即与网络断开,切断黑客通讯的途径,在以上各种途径中查找,如果是在注册表发现的,则要利用注册表的查找功能全部查找一篇,清除所有的木马隐藏的窝点,做到彻底清除。如果作了注册表备份,最好全部删除注册表后再导入原来的备份注册表。
在清除木马前一定要注意,如果木马正在运行,则你无法删除其程序,这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项,如果你是在木马处于活动时删除该项的话它能自动恢复,这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。
木马病毒怎么检测
首先进行全盘杀毒操作,确认是否有病毒。可以尝试网络在线杀毒。
如果无法杀毒,建议使用PE系统盘启动电脑,备份重要的数据后,对硬盘进行快速分区,重建主引导记录,彻底清除可能的病毒隐患,然后重新安装系统。
系统安装完成,记得安装杀毒软件,并升级病毒库,再对备份数据杀毒。
如何检测网站有没有木马病毒
一、在线监测
从事SEO优化工作的站长应该都清楚,如果在搜索引擎框框内输入site:+网站,就能看到我们网站网页被收录的情况,不仅如此,通过此种方式同样可以看大我们网站的安全情况。另外,现在很多的企业使用的服务器内大多数都会安装杀毒软件,而这些安全软件中大多都有在线木马监测功能,一旦有木马入侵我们的网站,这些安全软件都会进行提示以及清理。当然,企业自己要要自己定期的对网站做全面监测,只有这样才能更好的守护网站的安全。
二、访问网站时提示网站有病毒
随着互联网的发展,目前在互联网中存在很多的杀毒软件,当自己访问网站时,如果杀毒软件提示存在风险或者是网站有病毒,这时就应该认真的检测一下网站了。如果被人挂马了,自然说明网站的控制权在别人的手里,一旦对方是有所图的,改掉网站的内容或者信息,那这这对于企业而言将会造成不可弥补的损失,所以在此,天津网站建设-文率科技提醒大家,也不要访问一些有病毒的网站,以免受感染了。
三、网站源代码
大部分企业网站被挂木马都是挂在首页的位置,当企业打开自己的网站显示的并非是自己的所添加的内容,那么可以肯定这些内容一定是网站黑客挂上去的,并且有些黑链还会隐藏到网站的源代码中,网站首页是看不到的,这时候就需要我们一行一行的检查网站源代码了,一般的木马都是放在头部或者尾部,企业在检查的时候可以着重的检查这两个部分,不过,其他部分也不能放过哦,尽量做到万无一失。
四、FTP
一般情况,检查网站是不是通过FTP或者登陆服务器查看文件的修改时间,因为键入是黑客的话要是他修改了网站文件,那么改文件的修改的时间就会跟改变,如果某些文件的修改时间明显比其他文件要晚,而我们自己并没有改动过,那么说明这个文件已经被黑客修改过了,这时就说明你的网站可能已经中毒或挂上了木马,而这通过查看源文件的方式就可以看到。
五、死链接
众所周知,网站死链接对于网站排名的影响力,一旦您的网站出现过多的死链,那么您的网站一定不会在搜索引擎中占有好的排名,而一般情况下黑客会在您网站的内页中挂上木马,因为内页被挂木马的话一般是很难察觉的,建议大家一定要利用专业的查死链工具进行查找,会出现一些链接,然后找到这些代码,从网站后台进行删除。
网站被挂木马并不可怕,可怕的是不知道如何处理木马,相信看过小编为您分享的文章,聪明的您心中一定会有自己的对对策,在此还需要提醒大家,如果不想您的网站经常被挂木马,在进行网站建设时,一定要选择与专业的建站服务商合作,一般情况下,专业建站服务商的技术都是非常出色。