找出隐藏在图片背后的木马病毒
文件异常检测方法
文件异常检测方法
文件异常检测方法主要包括以下几种:
1. 通过文件名判断:这是最简单快捷的方法,但只能对伪装为正常文件的病毒木马有效。
例如,文件名为“照片.”或者是“货物”,这类文件可能有
问题。
2. 查看文件属性:如果一个文件的扩展名被隐藏,用户可能会误认为它是一个不同类型的文件,例如一个可执行文件被误认为是图片文件。
因此,取消“隐藏已知文件扩展名”是一个有效的预防措施。
3. 使用异常检测工具:市场上有许多异常检测工具,例如杀毒软件等,它们能够检测和清除病毒、木马等恶意程序。
4. 定期备份重要文件:为了防止文件被恶意程序破坏或篡改,建议定期备份重要文件。
5. 文件完整性检查:通过对比文件的校验和,可以检测文件是否被篡改。
6. 监控系统日志:通过监控系统日志,可以发现异常的文件操作行为。
7. 基于人工智能的异常检测:利用人工智能技术,通过对大量历史数据的训练和学习,实现对异常行为的智能检测和预警。
这些方法各有优缺点,建议根据实际情况选择合适的方法进行文件异常检测。
木马隐藏的10处位置
木马隐藏的10处位置木马是一种基于远程控制的病毒程序,该程序具有很强的隐藏性和危害性,它可以在不知不觉的状态下控制你或者监视你。
那我们怎么才能知道木马在哪里呢?下面就介绍木马潜伏的诡招。
1.集成到程序中其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
如绑定到系统下载文件中,那么每一次Windows启动均会启动木马。
2.隐藏在配置文件中木马实在是太狡猾,知道有些人平时使用的是系统之家图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问,这正好给木马提供一个藏身之处。
而且利用配置文件的特殊作用,木马很容易就能在众多的计算机中运行、发作,从而偷窃或者监视受害者。
不过,现在这种方式不是很隐藏,容易被发现,所以在Autoexec.bat和Config.sys 中加载木马程序的并不多见,但也不能因此而掉以轻心。
3.潜伏在Win.ini中木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到在自己的计算机中运行木马。
当然,木马也早有心理准备,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini 来看看,在它的[Windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:“run=c: \Windows\file.exe load=c :\Windows\file.exe”,这时你就要小心了,这个“file.exe”很可能是木马。
4.伪装在普通文件中这个方法出现是比较晚,不过现在很流行ghost xp,对于不熟练的Windows操作者,很容易上当。
电脑中病毒或木马后的表现
电脑中病毒或木马后的表现目前计算机病毒的种类很多,计算机感染病毐后所表现出来的症状也各不相同。
下面是店铺跟大家分享的是电脑中病毒或木马后的表现,欢迎大家来阅读学习。
电脑中病毒或木马后的表现方法/步骤1.计算机操作系统运行速度减慢或经常死机win7系统运行缓慢通常是计莽机的资源被大量消耗。
有些病毒可以通过运行自己,强行占用大量内存资源,导致正常的系统程序无资源可用,进而操作系统运行速度减慢或死机。
2.系统无法启动系统无法启动具体症状表现为开机有启动文件丢失错误信息提示或直接黑屏。
主要原因是病毐修改r硬盘的引导信总1或删除了某些启动文件。
以“系统启动文件丟失错误提示”为例介绍,计算机圮动之后会出现以下提示信息。
3.文件打不开或被更改图标很多病毐可以直接感染文件,修改文件格式或文件链接位置,让文件无法正常使用一时的“熊猫烧香”病毒就属于这一类,它可以让所有的程序文件图标变成一只烧香的熊猫阁标。
4. 提示硬盘空间不足在硬盘空间很充足的情况下,如果还弹出提示硬盘空间不足,很可能是中了相关的病毒。
但是打开硬盘查看并没有多少数据。
这一般是病毒复制了大址的病毒文件在磁盘中,而且很多病毒可以将这些复制的病莓文件隐藏。
5. 数据丢失有时候用户杳看A d刚保存的文件时,会突然发现文件找不到了。
这一般是被病毐强行删除或隐藏。
这类病毒中,最近儿年最常见的是“U盘文件央病毒”。
感染这种病毐后,U盘中的所有文件夹会被隐藏,并会內动创建出一个新的同名文件夹,新文件夹的名字后而会多一个“.exe”的后缀。
当用户双击新出现的病毒文件央时,用户的数据会被删除掉,所以在没有还原用户的文件前,不要单击病毒文件夹。
6. 计算机屏幕上出现异常显示计算机屏幕会出现的异常显示有很多,包括悬浮广告、异常图片等。
以中奖广告为例进行介绍,计算机屏幕上会出现如下广告对话框。
电脑感染木马病毒查找和清除的方法
电脑感染木马病毒查找和清除的方法电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
这篇文章主要介绍了电脑病毒:的相关资料,需要的朋友可以参考下电脑病毒:电脑感染病毒木马后如何查找和清除1 普通病毒诊断与排除笔记本电脑病毒会破坏文件或数据,造成用户数据丢失或毁损;抢占系统网络资源,造成网络阻塞或系统瘫痪;破坏操作系统等软件或计算机主板等硬件,造成计算机无法启动,因此必须及时发现并杀掉病毒。
当笔记本电脑感染病毒后通常会出现异常死机,或程序装入时间增长,文仵运行速度下降,或屏幕显示异常,屏幕显示出不是由正常程序产生的界面或字符串,屏幕显示混乱,或系统自行引导,或用户并没有访问的设备出现“忙”信号,或磁盘出现莫名其妙的文件和坏块,卷标发生变化,或丢失数据或程序,文件字节数发生变化,或打印出现问题,打印速度变慢或打印异常字符.或内存空间、磁盘空间减小,或磁盘访问时间比平时增长,或出现莫明其妙的隐蔽文件,或程序或数据神秘丢失了,或系统引导时间增长,或可执行文件的大小发生变化等现象。
当笔记本电脑出现上述故障现象后,可以采用下面的方法进行检修。
安装最新版的杀毒软件如瑞星等,然后查杀病毒;杀毒时杀毒软件会自动检查有无病毒,如有病毒,杀毒软件会自动将病毒清除。
2 黑客、木马病毒诊断与排除电脑病毒:电脑感染病毒木马后如何查找和清除黑客、木马病毒的目的一般是为了盗取笔记本电脑用户的个人秘密、银行密码、公司机密等,而不是为了破坏用户的笔记本电脑,因此笔记本电脑感染黑客、木马病毒后,系统一般不会出现损坏。
只是由于黑客、木马病毒在笔记本电脑中运行需要占用笔记本电脑的资源,因此笔记本电脑的速度可能变得比较慢,另外,在不使用笔记本电脑的时候,笔记本电脑看起来还是很忙。
如果笔记本电脑感染黑客、木马病毒可以采用下面方法进行检修。
① 安装最新版杀毒软件和防火墙如瑞星,然后运行杀毒软件杀毒即可。
② 手动查找黑客、木马病毒,具体的操作方法如下。
巧用技巧揪出图片背后的木马病毒
巧用技巧揪出图片背后的木马病毒导读:木马病毒属于病毒的一类,主要是进行盗取账号密码信息、远程控制用户电脑、破坏操作系统等操作。
并且,为了防止杀毒软件对它的查杀,通常具有很强的隐蔽性和反侦察性。
多数木马病毒感染后,首先试图强行关闭杀毒软件,然后才开始盗取账号,有的木马病毒甚至会将国内外主流杀毒软件先各个击破。
最近一段时间,从各大杀毒软件厂商发布的病毒报告中可以看到,木马病毒目前在互联网上泛滥情况十分严重,并且已经形成完整的病毒产业链。
它是如何入侵电脑?作为普通网民又应如何防范?有许多的用户发现自己的电脑有问题,但却找不出原因,是中了木马不假,但就是找不出是哪的问题,后来监测到有数据在上传时,在图片中找到了藏于其中的木马病毒,也终于把它揪出来了。
看一下具体内容:攻击者利用微软GDIplus安全漏洞将木马藏于图片中,注意是藏而不是捆绑,这个不同于以前把木马伪装成图片,引诱网民去点击,而是实实在在的图片变成了木马。
受微软GDIplus安全漏洞影响,几乎所有浏览器、即时聊天工具、Office 程序以及看图软件等都可能成为木马传播的渠道。
只要通过浏览器浏览、看图软件打开、甚至是QQ、MSN、电子邮件、Office文档里查看这些图片,就会中招!管你是一个QQ表情还是一个有着上万个层的PNG图片,看了就木马你!这个安全漏洞就是微软GDIplus图片漏洞,堪称是微软有史以来最大的安全漏洞。
GDIplus是一种图形设备接口,能够为应用程序和程序员提供二维矢量图形、映像和版式。
GdiPlus.dll通过基于类的API提供对各种图形方式的访问。
它在解析特制的BMP文件时存在整数溢出漏洞,利用此漏洞的攻击者可完全控制系统,可通过这个漏洞安装更多的木马程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
这个GDIplus漏洞非常严重,类似以前的光标漏洞和wmf 漏洞,但是涉及范围广,几乎涵盖了所有的图形格式。
了解了以上的问题,电脑用户就要慎重对待自己收到的图片了,一定要先杀一杀病毒再打开,以防中招,但这个问题也是可以解决的,因为微软GDIplus安全漏洞的专门补丁也已出现了,只要下载运行就把问题化险为夷了。
特洛伊木马
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
分辨木马病毒文件的4个方法
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:/windows和c:/windows/system32,有时还有c:/windows/system32/drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。
六招教你检查电脑是否有病毒和木马
六招教你检查电脑是否有病毒和木马一、进程首先排查的就是进程了,方法简单,开机后,什么都不要启动!第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。
PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
二、自启动项目进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft 服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
PS:这个需要有一定的经验。
三、网络连接ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到相关网站查询,对应的进程和端口等信息可以到Google或百度查询。
如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
找出隐藏在图片背后的木马病毒
木马病毒属于病毒的一类,主要是进行盗取账号密码信息、远程控制用户电脑、破坏操作系统等操作。
并且,为了防止杀毒软件对它的查杀,通常具有很强的隐蔽性和反侦察性。
多数木马病毒感染后,首先试图强行关闭杀毒软件,然后才开始盗取账号,有的木马病毒甚至会将国内外主流杀毒软件先各个击破。
最近一段时间,从各大杀毒软件厂商发布的病毒报告中可以看到,木马病毒目前在互联网上泛滥情况十分严重,并且已经形成完整的病毒产业链。
它是如何入侵电脑?作为普通网民又应如何防范?
有许多的用户发现自己的电脑有问题,但却找不出原因,是中了木马不假,但就是找不出是哪的问题,后来监测到有数据在上传时,在图片中找到了藏于其中的木马病毒,也终于把它揪出来了。
看一下具体内容:攻击者利用微软GDIplus安全漏洞将木马藏于图片中,注意是藏而不是捆绑,这个不同于以前把木马伪装成图片,引诱网民去点击,而是实实在在的图片变成了木马。
受微软GDIplus安全漏洞影响,几乎所有浏览器、即时聊天工具、Office程序以及看图软件等都可能成为木马传播的渠道。
只要通过浏览器浏览、看图软件打开、甚至是QQ、MSN、电子邮件、Office文档里查看这些图片,就会中招!管你是一个QQ表情还是一个有着上万个层的PNG图片,看了就木马你!这个安全漏洞就是微软GDIplus图片漏洞,堪称是微软有史以来最大的安全漏洞。
GDIplus是一种图形设备接口,能够为应用程序和程序员提供二维矢量图形、映像和版式。
GdiPlus.dll通过基于类的API提供对各种图形方式的访问。
它在解
析特制的BMP文件时存在整数溢出漏洞,利用此漏洞的攻击者可完全控制系统,可通过这个漏洞安装更多的木马程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
这个GDIplus漏洞非常严重,类似以前的光标漏洞和wmf漏洞,但是涉及范围广,几乎涵盖了所有的图形格式。
了解了以上的问题,电脑用户就要慎重对待自己收到的图片了,一定要先杀一杀病毒再打开,以防中招,但这个问题也是可以解决的,因为微软GDIplus安全漏洞的专门补丁也已出现了,只要下载运行就把问题化险为夷了。
养成良好的上网习惯。
大量的木马都是通过非法网站等进行传播。
提高个人安全意识。
如收到陌生邮件不要打开附件,带有链接的QQ或者MSN 留言时不要点击,插入U盘后先杀毒再拷贝文件等。
如果电脑已经感染木马病毒,首先要升级杀毒软件到最新版本后再进行全盘杀毒。
还可以向瑞星等这样的专业反病毒厂商寻求帮助。
木马病毒确实危害巨大,但相信随着国家对电脑病毒、网络犯罪打击力度的不断加大和相关法律出台,地下木马产业链会逐步被消除。
养成以上好的习惯,可以防范自己的电脑感染木马,赶紧哦。
文章来自:/a/zjzs/1904.html。