电脑常见特洛伊病毒详细介绍及杀毒方法。
特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可
爱的游戏,这会诱使用户将其安装在PC或者服务器上。“特洛伊
木马”(trojan horse)简称“木马”,木马和病毒都是一种人为的程序,都属于电脑病毒,据说这个名称来源于希腊神话《木马屠城记》。古希
腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈
的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤
退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”
作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽
入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城
外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特
洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制
器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被
安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序以及在你电脑上使用的
帐号、密码就无安全可言了。木马程序不能算是一种病毒,程序本身在无人操控的情况下不会像蠕虫病毒复制感染,不会破坏操作系统及
硬件。但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所
以也有不少人称木马程序为黑客病毒。它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性和迅速感染系统文件的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往
只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,
控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马
程序窃取的。
木马的启动方式:
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其
启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不
殆嘛。
通过“开始\程序\启动”
隐蔽性:2星
应用程度:较低
这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ
就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人
会会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
通过Win.ini文件
隐蔽性:3星
应用程度:较低
同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中,Win.ini就相当于
Windows9x中的注册表,在该文件中的[Windows]域中的load和run项
会在Windows启动时运行,这两个项目也会出现在msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很
适合木马使用。
通过注册表启动
1、通过
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ru
n和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ru nServices
隐蔽性:3.5星
应用程度:极高
应用案例:BO2000,GOP,NetSpy,IEthief,冰河……
这是很多Windows程序都采用的方法,也是木马最常用的。使用非
常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就
会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称regedit)都可以将它轻易的删除,所以这种方法并不十分可靠。但
可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动
键值是否存在,一旦发现被删除,则立即重新写入,以保证下次
Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之
间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使
在没有任何工具软件的情况下也能轻易解除这种互相保护。
破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自
破了;然后,你就可以删除注册表中的键值和相应的木马程序了。
2、通过
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ru nOnce,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Once和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ru nServicesOnce
隐蔽性:4星
应用程度:较低
应用案例:Happy99月
这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内
容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下的项目会被清空,
因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?
其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添
加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不
会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。
还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样
用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦Windows异常中止(对于Windows9x这是经常的),木马也就失效了。
破解他们的方法也可以用安全模式。
另外使用这三个键值并不完全一样,通常木马会选择第一个,因为
在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束
会才继续启动Windows。
通过Autoexec.bat文件
winstart.bat,config.sys文件
隐蔽性:3.5星
应用程度:较低
其实这种方法并不适合木马使用,因为该文件会在Windows启动前
运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的
32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是
说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见
过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。
另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类
似“Deltree C:\*.*”和“Format C:/u”的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。
通过System.ini文件
隐蔽性:5星
应用程度:一般
事实上,System.ini文件并没有给用户可用的启动项目,然而通过
它启动却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是“Explorer.exe”,这是Windows的外壳程序,换一个
程序就可以彻底改变Windows的面貌(如改为Progman.exe就可以让
Win9x变成Windows3.2)。我们可以在“Explorer.exe”后加上木马程
序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模
式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也
具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我
想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件
外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell
这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木
马可能会使前一个无法启动,呵呵以毒攻毒啊。
通过某特定程序或文件启动
1、寄生于特定程序之中
隐蔽性:5星
应用程度:一般
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程
序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木
马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
2、将特定的程序改名
隐蔽性:5星
应用程度:常见
这种方式常见于针对QQ的木马,例如将QQ的启动文件
QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将
木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。
3、文件关联
隐蔽性:5星
应用程度:常见
通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开
一个文本文件或运行一个程序时,木马也就神不知鬼不觉的启动了。
这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文件和注册表键值即可。
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户
毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般
而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些
游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情
况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称
为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行
合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫
无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是
可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还
可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成
功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,
攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的
目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广
播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者
向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预
先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或
者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到网络要被异乎寻常的通信量淹没,试图找出
攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆
调制解调器用户,真正的攻击者早就溜之大吉。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以
及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普
通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正
确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害.
1. Trojan Remover Update 6.4.7 Date 01.27
一个专门用来清除特洛伊木马和自动修复系统文件的工具。
https://www.360docs.net/doc/b012491824.html,/trojan/1070.html
2. ZoneAlarm Free 6.1.737.000
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也
是一种极为可怕的程
https://www.360docs.net/doc/b012491824.html,/soft/1017.htm
3. Trojan Remover 6.
4.7 Date 01.27
专门用来清除特洛伊木马和自动修复系统文件的工具
https://www.360docs.net/doc/b012491824.html,/trojan/7704.html
4. Trojan Remover 6.46(Database 6461)
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查
系统登录文件、扫描
https://www.360docs.net/doc/b012491824.html,/soft/2902.htm
5. 木马终结者 V3.5
特洛伊木马病毒一种破坏力十分强的黑客病毒,你只要中
https://www.360docs.net/doc/b012491824.html,/soft/2519.html
6. LDM木马检测程序 2003钻石版
LDM木马检测程序是大部分流行特洛伊木马病毒的克星,是一个专门防制特洛伊木马病毒的
https://www.360docs.net/doc/b012491824.html,/soft/11555.htm
7. The Cleaner Database V3887
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
https://www.360docs.net/doc/b012491824.html,/soft/3760.html
8. Trojan Remover V6.4.6(Database 6461) Update
Trojan Remover 是一个专门用来清除特洛伊木马和自动修
https://www.360docs.net/doc/b012491824.html,/soft/3217.html
9. 木马终结者 3.33
所有特洛伊木马病毒的克星,专门防制特洛伊木马病毒的防毒软件
https://www.360docs.net/doc/b012491824.html,/trojan/8238.html
10. 木马杀手 Trojan System Cleaner 3.5.1117
木马杀手会检测现存的特洛伊木马程序的活动、复原被特洛伊木马修改的系统文件,杀除特
https://www.360docs.net/doc/b012491824.html,/soft/17193.htm
11. Trojan Remover Database Update 6461
Trojan Remover 是一个专门用来清除特洛伊木马和自动修
https://www.360docs.net/doc/b012491824.html,/soft/3219.html
12. ZoneAlarm Pro 6.1.737.000
保护你的电脑,防止Trojan(特洛伊木马)程序
https://www.360docs.net/doc/b012491824.html,/others/8104.html
13. Trojan Remover 6.4.6 Database 6461 Update
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查
系统登录文件、扫描
https://www.360docs.net/doc/b012491824.html,/soft/2903.htm
14. ZoneAlarm Security Suite V6.1.737.000
ZoneAlarm 保护你的电脑,防止Trojan(特洛伊木马)程序
https://www.360docs.net/doc/b012491824.html,/soft/3769.html
15. 熊猫卫士钛金版2.05.00
*基于极速“UltraFast”引擎,快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java
https://www.360docs.net/doc/b012491824.html,/soft/9066.htm
16. Trojan Remover Database 6461
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查
系统登录文件、扫描
https://www.360docs.net/doc/b012491824.html,/soft/2905.htm
17. ZoneAlarm Pro 6.1.737.000
ZoneAlarm来保护擦擦啊擦擦擦你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程
https://www.360docs.net/doc/b012491824.html,/soft/1019.htm
18. Antiy Ghostbusters Pro 5.05
一个专业级别的特洛伊木马检测和系统安全工具
https://www.360docs.net/doc/b012491824.html,/internet/safe/15974.html
19. The Cleaner Pro V4.1 Build 4252
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
https://www.360docs.net/doc/b012491824.html,/soft/3758.html
20. ZoneAlarm Free V6.1.737.000
ZoneAlarm 来保护你的电脑,防止Trojan(特洛伊木马)程
https://www.360docs.net/doc/b012491824.html,/soft/9443.html
21. ZoneAlarm Pro V6.1.737.000
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序
https://www.360docs.net/doc/b012491824.html,/soft/3770.html
22. ZoneAlarm Pro V6.1.737.000 Beta
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也
是一种极为可怕?
https://www.360docs.net/doc/b012491824.html,/list.php?id=3458
23. Antiy Ghostbusters Advanced Edition 5.04
AntiyLabs出品的专业级特洛伊木马检测工具,被网友称为“捉鬼队”。该软件可以对驱动
https://www.360docs.net/doc/b012491824.html,/soft/7660.htm
24. Trojan Remover 木马病毒库 6072
一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系
统登录文件、扫
https://www.360docs.net/doc/b012491824.html,/list.php?id=5317
25. The Cleaner Pro 4 updates Database 3860
一个专门检测和清除侵入您系统中的特洛伊木马的专业程序,内置3093
个木马标识。可在线
https://www.360docs.net/doc/b012491824.html,/soft/1445.htm
26. Digital Patrol 5.00.31
专门检测系统中特洛伊木马程序的扫毒软件
https://www.360docs.net/doc/b012491824.html,/trojan/12504.html
27. 熊猫卫士 7.0铂金版中文测试版
*基于极速“UltraFast”引擎,快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java
https://www.360docs.net/doc/b012491824.html,/soft/9065.htm
28. Trojan Remover V6.4.6(Database 6457)
Trojan Remover 是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检?
https://www.360docs.net/doc/b012491824.html,/list.php?id=7335
29. Trojan Remover V6.3.3 Date 12.20
Trojan Remover是一个专门用来清除特洛伊木马和自动修复系统文件的
工具。能够检查
https://www.360docs.net/doc/b012491824.html,/list.php?id=3692
30. The Cleaner V3.5.4.3519(DataBase 3359) 汉化版
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
https://www.360docs.net/doc/b012491824.html,/soft/3759.html
31. Anti-Trojan 5.5.421
Anti-Trojan扫描隐藏在你的系统里的具有破坏性的特洛依木马程序。
它利用三重扫描来检
https://www.360docs.net/doc/b012491824.html,/soft/1318.htm
32. TDS-3: Trojan Defence Suite 3.2.0
防特洛伊木马的软件,可以检测到360种以上的特洛伊木马和电脑蠕虫
https://www.360docs.net/doc/b012491824.html,/trojan/10170.html
33. ZoneAlarm Pro 4.5.594
保护你的电脑,防止Trojan(特洛伊木马)程序
https://www.360docs.net/doc/b012491824.html,/others/10678.html
34. 木马终结者 V3.37
特洛伊木马病毒一种破坏力十分强的黑客病毒。你只要中了毒,你的计算机将被黑客控
https://www.360docs.net/doc/b012491824.html,/list.php?id=10681
35. The Cleaner (executable only) 3.54 Build 3528
一个专门检测和清除侵入您系统中的特洛伊木马的专业程序
https://www.360docs.net/doc/b012491824.html,/cleaner/8957.html
36. BoDetect 3.5
一个专门用来监测和删除特洛依木马之类的小工具
https://www.360docs.net/doc/b012491824.html,/trojan/10171.html
37. ZoneAlarm Anti-Spyware V6.1.737.000
ZoneAlarm 来保护你的电脑,防止Trojan(特洛伊木马)程
https://www.360docs.net/doc/b012491824.html,/soft/9442.html
38. ZoneAlarm Free 6.0.629.000 Beta
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程序
https://www.360docs.net/doc/b012491824.html,/soft/20642.htm
39. LDM木马检测程序 Power XP Build 688C
特洛伊木马病毒一种破坏力十分强的黑客病毒,你只要中
https://www.360docs.net/doc/b012491824.html,/soft/8731.html
40. Advanced Registry Tracer 2.03
具有侦测出特洛伊木马病毒功能
https://www.360docs.net/doc/b012491824.html,/system/treak/10607.html
41. 木马杀手(Trojan System Cleaner) V3.5.1117
木马杀手会检测现存的特洛伊木马程序的活动、复原被特木马病毒
令人心烦的excel宏病毒终于清除了-推荐下载
令人心烦的excel宏病毒终于清除了!我如释重负地吁了口气,脑子一下子轻松了许多。你可能不知道,为了清除这个excel宏病毒,几天来,搞得我头昏脑胀。 大约两三个星期前,同事罗某告诉我,下面报上来的excel表,打开后出现了奇怪的现象:会自动打开一个book1的电子表格。他让我帮忙解决一下。我初步判断是宏病毒,默认打开的book1可能是excel的模板。我先“另存为”文件,找到book1的位置,删掉。同时把excel的宏安全性设置为高,禁止运行来历不明的宏,问题即解决了。 恰巧到下面去检查工作,某单位反映,电脑中病毒了,所以没有及时交表格。一问情况,与罗某讲的情况一样。我主动表示去“搞搞看”。但是情况并非如我猜想的那样。情况是:如果将宏的安全性设为非常高,禁用宏,会弹出一个警告:“出现了一个不能被禁止、又无法签署的Microsoft Excel 4.0 宏”,该表打不开;如果要打开这个表,必须降低excel宏安全性等级,将它设为中或低,即运行宏病毒,但又多出了一个book1表。即使将book1删除,仍然不行。面对这个新病毒,当时我不知该怎么办。 没过两天,罗某又来找我,说又出现了一种现象。我去看了,正与上次在下面检查时看到了excel 4.0 宏病毒一模一样。而且,下面有几个单位都说出现了宏病毒,上报来的表格中都有上面讲的问题。而且办公室有三台电脑都感染了excel 4.0 宏病毒。这么多的电脑感染了,引起了我的兴趣。
以前,我的电脑也多次中过病毒。我一般的做法就是上网查找 资料,把几篇文章介绍的方法结合起来,多试几次,几乎都能解决。可是这一次,情况完全不同。上网查了多次,讲宏病毒的文章特别多,但是介绍杀除方法的极少,而专门针对Microsoft Excel 4.0 宏病毒的只有一两篇提问的贴子,所介绍的方法就两样,一是在Excel 2003中禁止宏,二是用杀毒软件。第一种禁止是不行的,第二种杀毒软件我用了小红伞、360安全卫士,没查出病毒。 除此之外,还有一种临时救急的方法是:打开病毒表格,复制,再新建一个表格,选择性粘贴,只选值,最后保存。这个办法虽然行,但是面对那么多有宏病毒的表格,一个一个打开、复制、选择 性粘贴是不现实的。怎么办呢? 接下来,我的思路是选择一种不支持excel宏的电子表格软件,这 样也许就把宏病毒过滤了。我试验过的软件有:wps office 2003 到最新的2010版,Ashampoo Office 2010,OpenOffice 3.2,永中Office 2009。它们都提示发现了宏,有的说不支持,有的说可以禁用,重新保存后宏病毒仍然存在,要么再打开时软件死机。 但是试验中发现微软Office 2007 / 2010 Beta 可以打开表格,只是在菜单栏提示“禁止了宏”,不影响操作。然而,现在基层单 位的电脑配置都比较低,安装不了Office 2007 / 2010 Beta,再说Office 2007 / 2010 Beta的菜单怪怪的,很多人不习惯。最重要的是,这并没有从根本上解决问题,宏病毒依然在表格文件里。 有个单位的人对我说,他们请来了电脑公司人员,几个小青年,把
电脑中病毒后处理方法大全
中病毒后,盘符内文件夹都成了快捷方式的解决方法 前些天一客户的电脑拿过来,说电脑坏了,里面的文件夹都成了快捷方式了, 网上找了下教程,摸索了一下,总结出两种方法,希望对大家有帮助。 两种处理方法。 第一种解决方式如下: 1、在安全模式下启动,删除有关“smss”及“vba”的启动项! 2、用WINDOWS PE启动(没有PE就用安全模式似乎也可以,未做仔细测试), 将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除,有的在资源管理器中看不到到winrar 中删除即可! 3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹) 4、有的变种修改了“c:\windows\explorer.exe”及“c:\windows\system32\smss.exe”文件, 最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。 5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹,见附件! 6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符! 第二种,其实就是中了WSCRIPT.EXE这样伪病毒。 WSCRIPT.EXE本身并不是病毒 一些.VBS病毒、autorun.inf利用WSCRIPT.EXE传播。看你的情况像是.VBS的。 方法1: 1、重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份) 2、关闭所有驱动器的自动运行功能,这步非常重要,如果不会,百度一下吧。 3、显示出所有系统文件(不会的朋友先百度下),用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些可以全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了) 方法2 1 运行→gpedit.msc→计算机配置→windows设置→安全设置→软件限制策略→其他规则→点“操作”→新路径规则→点“浏览”找到在 c:\windows\system32\WSCRIPT.EXE→“安全级别”设为不允许的 2 用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。 3 然后设置把隐藏文件放出来,把所有盘(C:D:E:F:......)下的.vbs文件和快捷方式、autorun.inf都删掉 4 修改注册表,显示被隐藏的正常文件夹。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL "CheckedValue"=dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\NOHIDDEN "CheckedValue"=dword:00000002 5 删除病毒加载项: 展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
EXCEL宏病毒处理方法
Excel宏病毒(BOOK1病毒)处理方法 症状:第一次打开带病毒的EXCEL文档时,会提示“是否启用宏”对话框,以后每次打开EXCEL 文档时就会自动弹出一个Book1文档。 传播途径:主要以发送邮件或使用U盘时,接收了带病毒的EXCEL 文档。 处理步骤: 1、首先进行病毒查杀:使用360杀毒软件或瑞星杀毒软件查杀; 2然后将病毒源进删除: 在C:\Program Files\Microsoft Office\OFFICE11\xlstart\下,然后将book1文件删除。 查毒方式: 主要有360杀毒软件和瑞星杀毒软件两种,这里详细介绍瑞星杀毒软件的安装和使用方法。 StartUp.xls宏病毒清除方法及步骤 StartUp.xls宏病毒的现象: 1.打开excel文件时提示有宏 2.文件不能直接保存,只能另存 3.打开excel文件时,点击"窗口"->"取消隐藏",会打开一个Startup.xls 文件
StartUp.xls宏病毒清除方法及步骤:(excel宏病毒) 第一步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下的StartUp.xls; (注意:其中有些事隐藏文件,你看不到,按照下面说的做就可以看到那些隐藏文件:打开我的电脑》》工具》》文件夹选项》》“隐藏受保护的操作系统文件(推荐)”前面的勾打掉》》选中“显示隐藏的文件、文件夹和驱动器”》》去掉“隐藏已知文件类型的扩展名”的勾。) 第二步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\的Excel11.exe(约236K)及Excel11.xlb等名字中带有Excel11的文件。(删除后Excel程序会自动创建部分文件) 第三步:下载startup.xls并放入“C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART\”。 注:各大杀毒软件多数不能发现此病毒,仅有少数几款,如nod32可以发现,但清除时会直接删除文件,因此在发现此类病毒时,使用上述方法解决,或联系信息中心协助处理。
计算机的病毒案例
《缉拿真凶──计算机病毒》教学案例 随着信息时代的到来,计算机已经走入千家万户,在我们使用的过程中,肯定出现过许多异常现象。到底是什么原因引起计算机工作异常呢?相信大部分学生都比较感兴趣。因此以此为切入点,引入新课。 但本课的容理论性较强,对于五年级的学生来说,如果用常规教学的模式来讲,就会显得枯燥无味。而且小学生一堂课上的注意力时间很短,所以本节课采取了角色扮演的形式,小组分工协作的方法,利用网络平台自主获取信息,处理信息的学习方式贯穿本节课。 【教学目标】 ·计算机病毒的定义。 ·了解计算机病毒的特点和危害。 ·当前计算机病毒传播的途径。 ·掌握预防计算机病毒的方法。 【教学重点】 ·了解计算机病毒的特点 ·知道计算机病毒的传播算途径 【教学难点】
掌握预防计算机病毒的方法 【课外延伸】 了解病毒、木马、黑客的关系。 【教学方法】 1.角色扮演 2.利用网络进行自主学习。 3.小组合作、互助。 【教学模式】 引课──小组分工──上网自主学习──小组获取信息、加工处理信息──各组汇报结果──师评、生评──归纳总结──德育渗透 【情感目标】 ·培养学生的信息安全意识。 ·培养学生正确的网络道德观。 ·培养学生团队合作精神。 【能力目标】 ·培养学生获取信息的能力、处理信息的能力。
·培养学生利用网络自主学习的能力。 【教学课时】 1课时 课前:在课间准备活动时,学生按顺序走进教室,播放杜娟唱歌的音乐,给学生制造轻松的气氛,并且预示大家准备上课了。 一、引课 师:同学们好 生:老师好 师:我有一个愿望,想与你们做朋友,因为你们的眼神告诉我你们很会学习,会捕获知识,而且你们是一个团结的集体,这让我非常喜欢们。 师:我呢,平时,喜欢在网上学习,下载软件,欣赏动漫。昨天我下载了一首我儿时最喜欢的歌曲,今天要与你们一起欣赏。 (播放课件,蓝精灵MV)----(播放到一半,突然计算机报错,提示需重新启动)(冲击波病毒症状) 师:嗯?怎么回事?谁的眼睛最亮,能不能告诉我们大家,刚才发生了什么奇怪的现象? 生:回答刚才看到的奇怪现象。
关于计算机病毒论文
关于计算机病毒论文 摘要:计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行 破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等。 关键词:计算机;防范;病毒 1病毒的起源 2计算机病毒的特点 2.1计算机病毒的程序性(可执行性):计算机病毒与其他合法程 序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生 在其他可执行程序上,因此它享有—切程序所能得到的权力。 2.3计算机病毒的潜伏性:一个编制精巧的计算机病毒程序,进 入系统之后一般不会马上发作,潜伏期长,可以在几周或者几个月 甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。有的可以长期潜伏在计算机系统而不发作,等达到激发条件后,就发作并破坏系统。 2.4计算机病毒的可触发性:病毒因某个事件或数值的出现,诱 使病毒实施感染或进行攻击的特性。 2.5计算机病毒的破坏性:计算机病毒破坏力大。系统被病毒感 染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后, 便会发作,计算机病毒一旦发作,轻则干扰系统的正常运行,重则 破坏磁盘数据、删除文件,甚至导致整个计算机系统的瘫痪。 2.6攻击的主动性:病毒对系统的攻击是主动的,计算机系统无 论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施仅是一种预防的手段而已。
2.8隐蔽性:病毒可以在毫无察觉的情况下感染计算机而不被人 察觉,等到发现时,就已经造成了严重后果。 3计算机病毒的技术分析 长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则不够重视。计算机系统的 各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏 洞和薄弱环节。硬件设计缺乏整体安全性考虑,软件方面也更易存 在隐患和潜在威胁。对计算机系统的测试,目前尚缺乏自动化检测 工具和系统软件的完整检验手段,计算机系统的脆弱性,为计算机 病毒的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,为计算机病毒创造了实施的空间;新的计算机技术在电子系统 中不断应用,为计算机病毒的实现提供了客观条件。国外专家认为,分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算 机病毒侵入成为可能。实施计算机病毒入侵的核心技术是解决病毒 的有效注入。其攻击目标是对方的各种系统,以及从计算机主机到 各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱 骗或崩溃,无法发挥作用。从国外技术研究现状来看,病毒注入方 法主要有以下几种: 3.1无线电方式:主要是通过无线电把病毒码发射到对方电子系 统中,此方式是计算机病毒注入的最佳方式,同时技术难度也最大。可能的途径有:①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。②冒充合法无线 传输数据。根据得到的或使用标准的无线电传输协议和数据格式, 发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进 入信息网络。③寻找对方信息系统保护最差的地方进行病毒注放。 通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。 3.2“固化”式方法:即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染 给对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方 法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他
木马病毒的行为分析
西安翻译学院 XI’AN FANYI UNIVERSITY 毕业论文 题 目: 网络木马病毒的行为分析 专 业: 计算机网络技术 班 级: 103120601 姓 名: 彭蕊蕊 指 导 教 师: 朱滨忠 2013年5月 学号:10312060108 院系: 诒华学院 成绩:
目录 1 论文研究的背景及意义...................................................................................... - 3 - 2 木马病毒的概况 .................................................................................................. - 4 - 2.1 木马病毒的定义......................................................................................... - 4 - 2.2 木马病毒的概述......................................................................................... - 4 - 2.3 木马病毒的结构......................................................................................... - 4 - 2.4 木马病毒的基本特征................................................................................. - 5 - 2.5木马病毒的分类.......................................................................................... - 5 - 2.6木马病毒的危害.......................................................................................... - 6 - 3 木马程序病毒的工作机制.................................................................................. - 6 - 3.1 木马程序的工作原理................................................................................. - 6 - 3.2 木马程序的工作方式................................................................................. - 7 - 4 木马病毒的传播技术.......................................................................................... - 7 - 4.1 木马病的毒植入传播技术......................................................................... - 8 - 4.2 木马病毒的加载技术................................................................................. - 9 - 4.3 木马病毒的隐藏技术................................................................................ - 11 - 5 木马病毒的防范技术......................................................................................... - 11 - 5.1防范木马攻击............................................................................................. - 11 - 5.2 木马病毒的信息获取技术...................................................................... - 12 - 5.3 木马病毒的查杀...................................................................................... - 12 - 5.4 反木马软件............................................................................................... - 12 - 6 总结 .................................................................................................................... - 13 -
剖析特洛伊木马报告
目录 一木马的概述 (1) 二基础知识 (3) 三木马的运行 (4) 四信息泄露 (5) 五建立连接 (5) 六远程控制 (6) 七木马的防御 (7) 八参考文献 (7)
一 .木马的概述 特洛伊木马,英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,对此无可奈何;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段,最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。而后随着Windows平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练地操作木马,相应的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 木马的种类繁多,但是限于种种原因,真正广泛使用的也只有少数几种,如BO,Subseven,冰河等。 1、BO2000有一个相当有用的功能,即隐藏木马进程,一旦将这项功能设备为enable,用ATM察看进程时,BO的木马进程将不会被发现。 2、在版本较高的Subseven中除常规的触发条件外,还提供有less know method和not know method两种触发方法。选择前者,运行木马后将SYSTEM.INI 中的Shell改为Shell=explorer.exe msrexe.exe,即用SYSTEM.INI触发木马,选择后者则会在c:\Windows\目录下创建一个名为Windows.exe程序,通过这个程序来触发木马,并将\HKEY-ROOT\exefile\shell\open\command\的键值“%1”、“%X”改为“Windows.exe”%1”、“%X,也就是说,即使我们把木马删除了,只要一运行EXE文件,Windows.exe马上又将木马安装上去,对于这种触发条件,我们只要将键值改回原值,并删除Windows.exe即可。 3、冰河的特殊触发条件和Subseven极为相似,它将\
计算机中病毒的处理办法
计算机病毒处理常用办法 1、预防病毒的好习惯 1)建立良好的安全习惯。 对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从Internet 下载后未经杀毒处理的软件,不要共享有读写权限的文件夹或磁盘,机器间文件的拷贝要先进行病毒查杀; 2)经常升级安全补丁。 一部分病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、SQL Slamer、冲击波、震荡波等病毒,我们应密切关注病毒、漏洞预警,即使修补系统漏洞补丁; 3)使用复杂的用户口令。 有许多病毒是通过猜测用户口令的方式攻击系统的。因此使用复杂的口令,会提高计算机的病毒防范能力;一般来讲,复杂的口令须具备:长度8位或8位以上,口令中必须含字母、数字而且字母分大小写; 4)迅速隔离受感染的计算机。 当计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源; 5)了解一些病毒知识。 这样可以及时发现新病毒并采取相应措施,使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 6)安装专业的防毒软件进行全面监控。 在病毒日益增多的今天,应该使用防病毒软件进行病毒防范,在安装了防病毒软件之后,还要经常进行病毒库的升级,并打开实时监控(如文件双向监控)器进行监控。 2、怎样区别计算机病毒与故障 在清除计算机病毒的过程中,有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起,同时有些病毒发作现象又与硬件或软件的故障现象相类似,如引导型病毒等。这给用户造成了了困惑,许多用户往往在用各种病毒软件查不出病毒时就去格式化硬盘,不仅影响了工作、减少了硬盘的寿命,而且还不能从根本上解决问题。所以,有必要正确区分计算机的病毒与故障,下面的经验供用户参考: 1)计算机病毒的现象 在一般情况下,计算机病毒总是依附某一系统软件或用户程序中进行繁殖和扩散,病毒发作时危及计算机的正常工作,破坏数据与程序,侵犯计算机资源。计算机在感染病毒后,往往有一定规律性地出现一些异常现象,比如: A. 屏幕显示异常。屏幕显示出不是由正常程序产生的画面或字符串, 出现显示混乱现象; B. 程序装载时间明显增长, 文件运行速度显著下降; C. 用户没有访问的设备出现异常工作信号; D. 磁盘出现莫名其妙的文件和坏块, 卷标发生变化; E. 系统自行引导; F. 丢失数据或程序, 文件字节数发生变化; G. 内存空间、磁盘空间异常减小; H. 异常死机或自动重启; I. 磁盘访问时间比平时明显增长; J. 系统引导时间明显增长。 2)与病毒现象类似的硬件故障 硬件的故障范围不太广泛,比较容易确认,但在处理计算机异常现象时易被忽略。排除硬件故障是解决问题的第一步。
特洛伊木马原理介绍
1. 特洛伊木馬程式原理7n 一、引言otnpy 特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。iagavi ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt 特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。e2/ 基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。DJ ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請 G5 iCf 三、特洛伊木馬隱身方法= 木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。/x$l_ 在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe 檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。g(hmry 在system.ini檔案中,在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名」,那麼後面跟著的那個程式就是「木馬」程式,就是說已經中「木馬」了。H 在註冊表中的情況最複雜,使用regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE \Software \Microsoft \Windows \Current Version \Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程式產生的檔案很像系統自身檔案,想使用偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE \SOFTWARE
office宏病毒的解决方法
最近公司内宏病毒泛滥,尤其是WORD、EXCEL文件中的宏病毒在公司办公电脑上互相感染,影响了办公效率,给我们的日常办公造成了困扰。 经过测试,现在找到了一个比较有效的远离宏病毒的方法,即“删除OFFICE中的VBA”,操作步骤如下: 1、点开始—>控制面板->打开“添加删除程序“并找到“Microsoft office professional Edition2003” 2、单击按钮,出现OFFICE安装界面。
3、选择“添加或删除功能”,然后单击“下一步”。 4、在“选择应用程序的高级自定义”前打上勾,并单击“下一步”。
5、选择office共享功能下的“Visual Basic for Applications”项,下拉它前面的三角,选择“不安装”。此时它的前面就变成了一个红叉号,然后单击“更新”按钮。 7、显示出“Microsoft office 2003已被成功地更新”,单击“确定”
8、提示“重新启动计算机后,生效……”,单击按钮“是”,重新启动计算机,Office中的VBA已删除。 9、分别打开WORD、EXCEL,选择菜单栏中的“工具”-->宏-->安全性 选择安全级为“非常高”。
可靠发行商下面的“信任所有安装的加载项和模板”、“信任对于Visual Basic 项目的访问”这两项都不要选中。 (备注:第9项有的电脑不需要设置。) 删除了VBA后新建的文件,不会含有宏病毒了,但是原来的文件中有可能含有宏病毒。原文件的除毒方法: 1、打开文件时,如果提示“此工作簿已丢失了其VBA项目……”并且文件的标题上方显示着“只读” 2、点文件“另存为”
计算机病毒的传播方式以及应对方法
计算机病毒的传播方式以及应对方法 摘要:目前计算机的应用遍及到社会各个领域,同时计算机病毒也给我们带来了巨大的破坏力和潜在威胁,为了确保计算机系统能够稳定运行以及信息的安全性,了解计算机病毒的一些特征、传播方式及防范措施十分必要。 关键词:计算机病毒分类传播方式预防查杀 一、计算机病毒的定义: 一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括软件和硬件)的代码,统称为计算机病毒。它通常隐藏在一些看起来无害的程序中,能生成自身的拷贝并将其插入其他的程序中,执行恶意的行动,其具有以下几个特点: 1、传染性。计算机病毒会通过各种渠道从被感染的计算机扩散到未被感染的计 算机,在某些情况下造成被感染计算机工作失常甚至瘫痪。 2、潜伏性。有些计算机病毒并不是一侵入机器就对机器造成破坏,它可能隐藏 在合法的文件中,静静的呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。 3、隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如 不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序很难区分开来。 4、破坏性。任何计算机病毒侵入到机器中,都会对系统造成不同程度的影响, 轻者占有系统资源,降低工作效率,重者数据丢失,机器瘫痪。 除了上述四个特点,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机具有这些特点,给计算机病毒的预防、检测和清除工作带来了很大的麻烦。 二、计算机病毒的分类: 1、系统病毒。系统病毒的前缀为: Win32 、PE、Win95 、W3 2、W95 等。这种 病毒的公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。 2、蠕虫病毒。蠕虫病毒的前缀是:Worm 。这种病毒的公有特性是通过网络或者 系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。 3、木马病毒。木马病毒其前缀是:Trojan,它是一种会在主机上未经授权就自 动执行的恶意程序。木马病毒通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,对用户的电脑进行远程控制。 4、Arp病毒。Arp病毒也是一种木马病毒,它是对利用Arp协议漏洞进行传播的 一类病毒的总称。由于其在局域网中威胁比较大,所以单独列举一下。此病毒通过路由欺骗或网关欺骗的方式来攻击局域网,使用户电脑无法找到正确的网关而不能上网。 5、后门病毒。后门病毒的前缀是:backdoor。该类病毒的公有特性是通过网络 传播,给系统开后门,给用户电脑带来安全隐患。
实验6 特洛伊木马
实验6 特洛伊木马 6.1 实验类型 综合型,2学时 6.2 实验目的 理解木马工作的原理;掌握典型的木马清除方法。 6.3 实验要求与内容 (1)利用灰鸽子木马模拟木马的工作流程,要求能够完成以下任务: ●生成木马服务端,尽可能的生成能诱惑用户的服务端,比如修改安装路径, 修改图标,修改服务端名称,修改服务名称等。 ●控制对方电脑,要求能够浏览对方的文件,修改对方的注册表,终止对方的 进程,捕获对方的屏幕等操作 (2)清除木马,受害者根据灰鸽子木马的原理清除掉本机上的木马,包括程序,服务等 6.4 实验设备 ●两人合作完成,其中一人为控制端,另一人为服务器端 ●灰鸽子远程控制2007VIP疯狂魔鬼破解版 ●Windows XP Professional作为客户操作系统(Guest OS),要求关闭防火墙功能 6.5 相关知识 1.什么是木马(Trojan)? ?基于远程控制的黑客工具 ?恶意程序,非法获取授权权限,肆意篡改用户电脑中的文件,注册表,控制鼠标,截取用户信息 ?木马一般是C/S(客户/服务器)结构,控制程序处于客户端,被控制程序处于服务器端。 2.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。 配置程序 木马程序 控制程序
3.木马实施入侵的基本步骤 4.特洛伊木马具有如下特性: 隐蔽性,主要体现在意下几个方面: (1)启动的隐蔽性 (2)运行的隐蔽性 (3)通信的隐蔽性 开机自动运行 欺骗性,比如JPEG 木马 自动恢复,多重备份,相互恢复 非授权 5. 木马按照传输方式进行分类: 主动型 反弹端口型:木马服务器主动连接控制端端口,一般去连接80端口 嵌入式木马 6. 6.6 实验指导 特别注意:本次实验需要分析的病毒具有破坏性,仅限于信息安全实验室内使用。请严格遵守《信息安全实验室操作规程》,切勿拷贝、传播等,否则后果自负。 6.6.1 特洛伊木马的配置步骤 1)生成服务端 点击“配置服务程序”,在“IP 通知HTTP 地址”那一栏填入控制端的IP 地址(这里一定要填正确,否则木马不能上线,IP 地址是以10开头的),通过设置“安装选项”,“启动项设置”等可以构造出迷惑用户的木马服务端程序。 木马信息控制端Internet 服务端 ①配置木马②传播木马 ③运行木马④信息反馈⑤建立连接 ⑥远程控制
StartUp.xls宏病毒清除方法及步骤
StartUp.xls宏病毒清除方法及步骤 StartUp.xls宏病毒的现象: 1.打开excel文件时提示有宏 2.文件不能直接保存,只能另存 3.打开excel文件时,点击"窗口"->"取消隐藏",会打开一个Startup.xls文件 StartUp.xls宏病毒清除方法及步骤:(excel宏病毒) 第一步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下的StartUp.xls; (注意:其中有些事隐藏文件,你看不到,按照下面说的做就可以看到那些隐藏文件:打开我的电脑》》工具》》文件夹选项》》“隐藏受保护的操作系统文件(推荐)”前面的勾打掉》》选中“显示隐藏的文件、文件夹和驱动器”》》去掉“隐藏已知文件类型的扩展名”的勾。)第二步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\的Excel11.exe(约236K)及Excel11.xlb等名字中带有Excel11的文件。(删除后Excel程序会自动创建部分文件) 第三步:下载startup.xls并放入“C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART\”。 注:各大杀毒软件多数不能发现此病毒,仅有少数几款,如nod32可以发现,但清除时会直接删除文件,因此在发现此类病毒时,使用上述方法解决,或联系信息中心协助处理。
计算机病毒防护办法
计算机病毒防护办法 计算机病毒防护方法一: 预防病毒的八点注意事项 1、备好启动软盘,并贴上写保护。检查电脑的问题,最好应在没有病毒干扰的环境下进行,才能测出真正的原因,或解决病毒的侵入。因此,在安装系统之后,应该及时做一张启动盘,以备不时之需。 2、重要资料,必须备份。资料是最重要的,程序损坏了可重新拷贝或再买一份,但是自己键入的资料,可能是三年的会计资料或画了三个月的图纸,结果某一天 硬盘坏了或者因为病毒而损坏了资料,会让人欲哭无泪,所以对于重要资料经常备份是绝对必要的。 3、尽量避免在无防毒软件的机器上使用可移动储存介质。一般人都以为不要使用别人的磁盘,即可防毒,但是不要随便用别人的电脑也是非常重要的,否则有可能带一大堆病毒回家。 4、使用新软件时,先用扫毒程序检查,可减少中毒机会。 5、准备一份具有杀毒及保护功能的软件,将有助于杜绝病毒。 6、重建硬盘是有可能的,救回的机率相当高。若硬盘资料已遭破坏,不必急着格式化,因病毒不可能在短时间内将全部硬盘资料破坏,故可利用杀毒软件加以分析,恢复至受损前状态。 7、不要在互联网上随意下载软件。病毒的一大传播途径,就
是internet。潜伏在网络上的各种可下载程序中,如果你随意下载、随意打开,对于制造病毒者来说,可真是再好不过了。 因此,不要贪图免费软件,如果实在需要,请在下载后执行杀毒软件彻底检查。 8、不要轻易打开电子邮件的附件。近年来造成大规模破坏的许多病毒,都是通过电子邮件传播的。不要以为只打开熟人发送的附件就一定保险 有的病毒会自动检查受害人电脑上的通讯录并向其中的所有地址自动发送带毒文件。最妥当的做法,是先将附件保存下来,不要打开,先用查毒软件彻底检查。 计算机病毒防护方法二: 1、下载软件一定到大网站去,下载后先杀毒在安装,能减少病毒的侵袭和杀掉病毒。 2、安装360杀毒软件和防火墙,上网时可阻断病毒侵入。 3、不浏览不知名网站,,减少接触病毒风险。 4、用杀毒软件经常杀毒,防止隐藏病毒发作。 计算机病毒防护方法三: 预防计算机病毒常用方法有 1安装杀毒软件 2安装防火墙软件 3不打开来历不明的电子邮箱 4不使用网络 看了“计算机病毒防护办法”文章的
特洛伊木马分析
特洛伊木马分析 摘要在计算机如此普及的网络时代,病毒对于我们来说早已不是一个新鲜的名词,而通常被称为木马病毒的特洛伊木马也被广为所知,为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。本文对该病毒原理、预防和清除进行了详细的阐述,并对此发表了一些个人的看法。 关键词特洛伊木马病毒木马 特洛伊木马是一种特殊的程序,它们不感染其他文件,不破坏系统,不自身复制和传播。在它们身上找不到病毒的特点,但它们们仍然被列为计算机病毒的行列。它们的名声不如计算机病毒广,但它们的作用却远比病毒大。利用特洛伊木马,远程用户可以对你的计算机进行任意操作(当然物理的除外),可以利用它们传播病毒,盗取密码,删除文件,破坏系统。于是这个在网络安全界扮演重要角色,课进行超强功能远程管理的“功臣”,自然而然也被列为受打击的行列。 在网络上,各种各样的特洛伊木马已经多如牛毛,它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法,以及我自己对木马病毒及其防护方法的一些见解。 一.什么是特洛伊木马 特洛伊木马简称木马,英文名为Trojan。它是一种不同于病毒,但仍有破坏性的程序,普通木马最明显的一个特征就是本身可以被执行,所以一般情况下它们是由.exe文件组成的,某些特殊木马也许还有其他部分,或者只有一个.dll文件。 木马常被用来做远程控制、偷盗密码等活动。惯用伎俩是想办法让远程主机执行木马程序,或者主动入侵到远程主机,上传木马后再远程执行。当木马在远程主机被执行后,就等待可控制程序连接,一旦连接成功,就可以对远程主机实施各种木马功能限定内的操作。功能强大的木马可以在远程主机中做任何事情,就如同在自己的机器上操作一样方便。 可见,木马实际上就是一个具有特定功能的可以里应外合的后门程序,将其与其他的病毒程序结合起来造成的危害将会是相当大的。 二.木马的工作原理
特洛伊木马工作原理分析及清除方法
特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13 312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。 2.2 建立连接,进行控制 建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序:客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。