本文目录一览:
【电脑病毒木马】病毒木马通过释放Rootkit驱动程序,达到隐藏自身的目的
1、首先升级你的杀毒软件,把病毒库更新至最新
2、打开腾讯电脑管家——病毒查杀
3、选择闪电杀毒、全盘杀毒或指定位置杀毒(3种查杀模式,根据自己需要)杀毒过程中会滚动进程说明并显示进度条。其传统界面中,则以图标形式显示杀毒引擎的开启状态,并显示可疑行为鉴定次数、安全扫描的文件个数等信息
4、耐心等待扫描结束,如果有异常,可点击处理,清理掉病毒
5、如果遇到顽固或杀毒不掉的病毒,也可以选择在安全模式下打开腾讯电脑管家按上述步骤进行杀毒。
关机,断网,选择进入模式(开机按F8键,选择第一项就可以进入了,这个模式只启动基本的驱动不会加载其它的软件,然后把你的病毒软件打开进行清理就可
找出手机隐藏木马怎么找?
可以通过安装安全软件来排查手机中的木马病毒。
一般来说,手机木马是否存在于你的周围,源于你平时对于网络安全的重视和警惕。
1.木马病毒具有一定的隐蔽性,因此一般来说需要使用杀毒软件或者手机自带的安全中心进行扫描。
2.任何一款杀毒软件都会因为查杀引擎,病毒库样本数量影响对未知病毒的判断,因此扫描结果只是相对的。
3.日常上网遇到陌生链接不要随便点击,下载app尽可能前往官网。
4.手机权限不要随便提供给软件,例如imei,gps定位,这些可能会影响到使用的隐私安全,特别是root,root权限相当于手机令牌,软件一旦恶意使用,手机会变得非常危险。
木马防范。
1、检测和寻找木马隐藏的位置。
木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。
2、防范端口。
检查计算机用到什么样的端口,正常运用的是哪些端口,而哪些端口不是正常开启的;了解计算机端口状态,哪些端口目前是连接的,特别注意这种开放是否是正常;查看当前的数据交换情况,重点注意哪些数据交换比较频繁的,是否属于正常数据交换。关闭一些不必要的端口。
电脑被设置了木马病毒了,怎么办?
木马小常识
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。
一、木马的危害
相信木马对于众多网民来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!
木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!
广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。
二、木马原理
特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏方法主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
三、木马防范工具
防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会安全许多。
网上防火墙软件很多,推荐使用“天网防火墙个人版”。它是一款完全的免费的软件,安装成功后,它就变成一面盾牌图表缩小到任务来的系统托盘里,并时刻监视黑客的一举一动,当有黑客入侵时,它就会自动报警,并显示入侵者的IP地址。
用鼠标双击盾牌图标,就会弹出天网的控制台,控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签,会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵,它阻挡了几乎所有的蓝屏攻击和信息泄漏问题,并且不会影响普通网络软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑,天网防火墙会将其自动拦截,并告警提示,同时在控制台的“安全纪录”里会将连接者的IP,协议,来源端口,防火墙采取的操作,时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明,防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络,点一下控制台上的“停”就可以了。
四、木马的查杀
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
怎样让木马隐藏的更好?
一.躲过杀毒软件,悄无声息进入系统
木马要进入用户系统,首先要过杀毒软件这一关。否则一旦杀毒软件报警,木马就无隐蔽性可言了,立马被杀毒软件赶出系统。因此,面对杀毒软件,木马使尽浑身解数,通过各种手段隐藏自己,比较常见的方法有:寄宿于正常文件,木马加壳加密,修改木马特征码。
寄宿于正常文件
这个方法就是将木马程序与正常的文件捆绑在一起,捆绑后会生成一个可执行文件,当运行这个可执行文件时,正常文件和木马程序都会同时运行,这样木马就可以隐藏自己,悄悄进入用户的系统。要让木马实现这样的效果比较简单,只需要下载一个文件捆绑器即可,这里我们以木马老大“灰鸽子”出口的文件捆绑器为例。单击“文件捆绑器”上的“增加文件”按钮,选择一个正常的可执行文件,例如Flash小游戏等。再次单击该按钮将我们的木马程序也添加进来。需要捆绑的文件添加完成后,我们可以在“捆绑器”下方为捆绑后生成的文件指定一个文件图标。最后单击“捆绑文件”,即可将两个文件捆绑成一个可执行文件。
虽然这种方法比较简单,但是效果不佳,碰上杀毒能力强劲的杀毒软件,木马还是会被逮个正着。
二.木马加壳加密
“壳”是一种专门保护软件的程序,当运行一款加过壳的软件时,首先会运行这个软件的壳,壳会将包含在其中的程序进行还原,给予使用。当使用完毕后,壳又会将程序进行加密,整个过程都是在壳的保护过程中进行的。
正因为壳的性质,木马会进行加壳操作以使自身得到加密,这样就给杀毒软件的查杀带来了难度。不过目前主流的杀毒软件都改进了其杀毒引擎,增强了加壳程序的检测,对于加过壳的程序,杀毒软件会先将其脱壳,再进行查杀。因此如果木马使用的是类似ASP、UPX这样的热门加壳软件,那么还是很难逃过杀毒软件的查杀的,除非使用一些冷门的加壳软件。
修改木马特征码
这应该是最为有效的躲避杀毒软件的方法。我们都知道,杀毒软件判定这个程序是否是病毒是通过特征码来决定的,如果在这个程序中有一段代码与杀毒软件中的病毒特征码对上号,那么就判定它是病毒。根据这个原理,我们是否只要让木马的代码与杀毒软件的特征对不上号,就可以躲过杀毒软件的查杀呢?答案是肯定的,修改木马的特征码需要使用16进制编辑器,例如UltraEdit、Winhex等。修改特征码可以采用两种方法:1、直接修改特征码:用16进制编辑器打开木马后,将其中的特征码都替换为0;2、增加跳转指令:在木马特征码处增加一条跳转指令,让程序运行到该处时跳到下一段代码,这样做的目的是使杀毒软件检测时跳过这段代码的检测。
防范:在这一部分,木马的隐藏手段对我们的威胁还是比较小的。只要有足够的安全意识,就可以将木马拒之门外。
首先我们来看看如何对付经过捆绑的木马文件。由于捆绑文件是由两个文件合并生成的,虽然我们只能看到一个文件,但是可以在这个文件的内部找到捆绑的蛛丝马迹。这里我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。单击程序界面上的“扫描”按钮,浏览选择可疑文件,如果程序下方的“包含多个可执行文件”选项被打上钩,这就表示文件被捆绑了。
至于对木马程序进行加壳,曾经是很流行的一种木马隐藏手段,但是随着杀毒软件的升级,木马已经很难再有效地利用这种手段。根据壳的原理我们可以得知,加壳木马运行后,会将其中的木马程序在内存中还原。还原后的木马是不受壳的保护的,因此大部分的杀毒软件都会抓住这个机会,将木马铲除。
如果唯一能对杀毒软件造成一点危害的,就只剩下修改木马特征码这种隐藏手段了。不过不同的杀毒软件提取同一木马程序的特征码是不同的。这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀,如果要躲避多款杀毒软件,就需要修改多处特征码。这会对木马隐藏自己造成一定的困难。因此如果有条件,安装两款杀毒也是一个不错的办法。
三.隐藏窗口、设置文件属性、自我删除
隐藏窗口
木马的服务端程序是一个可执行程序,和我们在Windows上使用的绝大多数的软件相同,都是标准的Win32程序。不同的是,我们运行普通的可执行程序时,会出现软件窗口,我们可以在这个软件窗口中进行操作。而木马的服务端运行后,却没有出现窗口,这是因为木马服务端程序在编写的过程中将其窗口属性设置为隐藏,也就是说,木马服务端运行后的窗口是存在的,只是我们无法看到而已。
设置文件属性
木马为了隐藏在用户系统中生成的文件,通常会设置文件的属性为“隐藏”和“系统”,这样我们就无法在普通模式下看到木马的文件。
自我删除
自我删除是木马最初就具有的一种功能,当运行木马服务端程序后,服务端程序会将自身删除。这样做的目的是清除留下的痕迹,达到隐藏自身的效果。
防范:隐藏窗口和删除自身是木马服务端最常用的功能,虽然可以在一定程度上隐藏自己,但是也会因此而暴露自己。当我们双击一个可执行程序,结果没有出现任何窗口,或者运行后这个可执行文件消失了。那么我们很有可能中了木马,因为这是运行木马服务端最基本的两个特征。
设置文件属性是木马和病毒乐此不疲的隐藏手段,虽然手法简单,但效果不错。破解的方法也比较简单,点击资源管理器的“工具”菜单→“文件夹选项”,切换到“查看”标签,将“隐藏受保护的操作系统文件”前面的钩去掉,同时选择“显示所有文件和文件夹”选项,即可让隐藏的木马文件现形。
四.进程隐藏,遁地于无形
稍懂得安全保护知识的朋友都会通过任务管理器查看是否有可疑进程,以此确定木马的存在。不过随着木马编写技术的提高,在任务管理器中查找木马的方法不再是100%的有效。通过Hook技术编写的木马可以实现进程的隐藏和进程的插入。即使木马在系统中运行,我们在任务管理器中也只能看到正常的进程,而无法看到木马的进程。在了解这种隐藏技术之前,我们有必要先了解一下什么是Hook。
什么是Hook
Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制,中文译名为“挂钩”或“钩子”。在对特定的系统事件进行Hook后,一旦发生已Hook的事件,对该事件进行Hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应,木马程序便抢在函数返回前对结果进行了修改。
传统的进程隐藏技术
在Windows98系统中有一种能将进程注册为服务进程的技术。这种技术称为RegisterServiceProcess。通过这种技术,任何程序的进程都能将自己注册为服务进程,也就是说木马可以将自己的进程注册为服务进程。而服务进程在Windows98中的任务管理器中是不显示的。这样我们就无法通过任务管理器找到木马的进程。
通过Hook的进程隐藏
传统的进程隐藏技术到了Windows2000以后就毫无用武之地,因为在Windows2000以后的系统中,服务进程也是在任务管理器中显示的,例如svchost.exe进程,该进程是一个服务进程,我们可以在Windows2000的任务管理器中看到,而在Windows98下则不可以。此路不通,另寻他路。传统进程隐藏技术落后后,木马又转而使用Hook技术的进程隐藏。
新型的进程隐藏技术基本都是通过Hook来实现的。例如我们熟悉的灰鸽子木马,其通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数。由于灰鸽子事先对该API函数进行了Hook,因此“任务管理器”返回给我们的信息是不真实的,是被Hook过的信息,而有关木马的进程信息已经被悄悄的处理掉了。
防范:使用“Windows优化大师”集成的“进程管理”工具。运行“Windows优化大师”→“系统性能优化”→“系统安全优化”→“进程管理”。在其中选择一个进程,然后将下方的进程状态切换到“模块列表”标签,一般的隐藏进程都会在这里现形。
至于采用Hook技术的进程隐藏,我们无法使用一般的工具来检查,不过有一款被喻为“反黑之刃”的软件──Icesword,可以将通过Hook技术隐藏的木马进程统统挖掘出来。Icesword我们曾经做过专门的介绍,在此不在阐述。用Icesword查看隐藏进程方法:运行Icesword,单击“进程”按钮即可。隐藏进程将会以红色字体显示。
怎么才能防御木马病毒攻击?
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL
Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=
explorer.exe
程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid
Battery
v1.0木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的
Explorer
键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了