本文目录一览:
- 1、怎样知道电脑中了免杀木马病毒
- 2、杀毒软件是如何判断病毒(木马)?
- 3、杀毒软件是怎么识别木马和病毒的
- 4、木马病毒的主要特征是
- 5、木马名称:Trojan.Generic的是什么病毒
- 6、木马病毒的特征
怎样知道电脑中了免杀木马病毒
可以参考下面:
一直以来,检测电脑是否被病毒或木马感染可以依赖于杀毒软件。当一些病毒或木马经过伪装可以摆脱杀毒软件的查杀之后,杀毒软件对一些善于伪装的病毒失去了检测能力。对于这部分通过伪装而摆脱杀毒软件查杀的病毒,我们称为“免杀病毒”。由于经过伪装的病毒比其他病毒更具破坏力,如何查杀伪装的病毒或木马成为困扰普通用户的一大难题,因为一些电脑知识丰富的电脑高手不用杀毒软件都可以查杀伪装的病毒或木马。其实,伪装再巧妙的病毒也会有漏洞,只要方法得当,一样可以检测精心化装的病毒或木马。 病毒常用的伪装技术病毒或木马伪装的目的,就是为了摆脱杀毒软件的监控,避免病毒或木马程序被查杀。目前,99%的杀毒软件都是基于特征码匹配的查杀模式,通过分析病毒的特征码来判断病毒。病毒的伪装技术,就是想尽一切办法摆脱杀毒软件的查杀,常用的方法有以下几种:1、加花指令:加花是病毒常用的伪装手段,加花的原理就是通过添加加花指令让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。而加花指令,就是一些无用的垃圾代码,类型加1减1之类的无用语句。添加了加花指令并不影响病毒或木马软件的正常工作,只是让杀毒软件无法查杀病毒或木马程序而已,这也就是通常所说的免杀技术。2、加壳:加壳是目前最流行的病毒伪装手段,也是一种非常有效的病毒伪装技术。举个例子来说,如果说病毒程序是肉馅,而壳是水饺皮,加了壳的病毒如同包好的水饺一样,很难知道里面是什么馅的。对病毒程序加壳之后,杀毒软件很难判断壳里面的程序是否合法,这样就达到了干扰杀毒软件检测的目的。为了将病毒程序隐蔽的更好,一些病毒作者通常会将病毒程序进行多次加壳,最外面的一层壳,通常是一个诸如“千千静听”这样的合法程序。披上了合法的外衣之后,病毒程序就可以堂而皇之的进入用户的电脑并伺机破坏。要想找到病毒源程序,需要脱壳,而脱壳技术是很多用户并不了解的,为此,加壳是躲避杀毒软件查杀的最有效手段之一。3、修改特征码:杀毒软件之所以能够查杀病毒,是因为病毒库中已经搜集了病毒的特征码。在病毒程序中,特征码的位置是固定的,不同的病毒,其特征码的位置也是不同的,杀毒软件的病毒库中,记录了每款病毒特征码的位置。为此,一些病毒程序作者通常会修改特征码来躲避杀毒软件的查杀。这就是目前最流行的病毒伪装技术,有些病毒可能同时使用多种病毒伪装技术,以干扰杀毒软件对病毒的查杀。了解了病毒的常用伪装技术,我们就可以在电脑中查找免杀病毒的踪迹。 查找免杀病毒的踪迹病毒程序经过伪装之后虽然可以摆脱杀毒软件的查杀,但这并不意味着病毒程序不会在电脑中也隐藏起来。伪装之后的病毒仍然是一个程序,只要运行就会留下踪迹。免杀病毒通常会在以下几个地方留下活动的踪迹:1、进程:任何一款软件只要在电脑中运行,一定会占用一个系统进程。既便病毒程序经过了伪装,只要细心查找,仍旧可以找到病毒的蛛丝马迹。2、启动项:经过精心伪装的病毒在杀毒软件的严密监控之下进入了用户的电脑,要想搞破坏,必须运行,而且要随操作系统的启动而自动运行。为此,启动项中肯定会留下免杀病毒的足迹。以Windows操作系统为例,注册表中有启动项,开始菜单的“启动”程序组中也有启动,开机的autoexec.bat中也包括启动程序选项。3、网络端口占用:目前所有的免杀病毒或木马都是网络型病毒,这些病毒程序一旦工作,就会通过网络与外界联系,自然会占用一个网络端口 4、生成文件:免杀病毒是一个程序,要想工作,如同其他应用软件一样需要安装。为此,只要用户的计算机感染了免杀病毒,一定会在硬盘中生成文件。不难看出,免杀病毒的精心伪装可以骗过杀毒软件的监控,但会在电脑中留下多处痕迹。在查杀时,我们只要根据病毒在电脑中留下的踪迹,可以非常容易的找到病毒。 追寻踪迹揪出免杀病毒找到了免杀病毒的踪迹,相当于揪住了病毒的小尾巴,这样,我们可以非常顺利的揪出隐藏在系统中的免杀病毒,然后将其删除就可以了。由于免杀病毒也有一定的隐蔽性,要想准确的找到免杀病毒的踪迹,还有一定的技巧。 1、准确分析系统进程:很多免杀病毒除了躲避杀毒软件的查杀之外,还有防范人工查杀的“绝技”。由于病毒运行需要产生一个系统进程,很多免杀病毒会使用一些隐藏方法。一些免杀病毒会生成explore.exe进程,与正常的系统进程explorer.exe进程仅有一字之差;也有一些病毒将诸如svchost.exe文件删除,自己生成名字为svchost.exe文件,病毒的进程在任务管理器中自然是svchost.exe系统进程,事实上这个进程是病毒程序。为了准确的分析系统当前的进程,建议用户不要通过任务管理器查看进程,而是使用第三方软件查看系统进程, “瑞星卡卡安全助手”是一款不错的软件。通过“瑞星卡卡安全助手”查看系统进程,可以看到进程对应的文件,更重要的是该软件还具备查看每一进程调用了哪些文件的功能。一旦发现可疑程序,有可能是免杀病毒的源文件,点击该程序,如果卡卡安全助手没有对该程序的解释,则证明该程序是病毒源程序。 2、查看各项启动选项:由于启动项在操作系统中有多处位置,普通用户很难一一找到,为此,我们可以借助“瑞星卡卡安全助手”软件查看各项启动选项。在“系统启动项管理”中,我们可以一一查看,卡卡安全助手可以发现可疑的程序,帮助用户寻找免杀病毒的源文件。3、查看网络端口占用:尽管netstat –an命令可以查看当前开放了多少个端口,可是无法判断哪个程序占用了哪一端口。借助“瑞星卡卡安全助手”或“奇虎360安全卫士”这样的第三方工具软件,可以非常容易的查看到每个应用程序占用的网络端口。可疑的程序,既可以初步判断为病毒源文件。在怀疑机器已经被免杀型病毒感染时,最好对进程、网络端口占用情况和启动选项做详细的对比,而不是单一的查看某一个选项。对三个选项进行综合查看后,就可以轻松揪出电脑中的免杀病毒。 总结:免杀型的病毒虽然经过了精心且迷惑性非常强的伪装,但只要运行就会在电脑中留下蛛丝马迹。了解了免杀病毒的常用伪装手法和特点之后,层层剖析,仍旧可以揪出隐蔽在电脑中的免杀病毒
杀毒软件是如何判断病毒(木马)?
杀毒软件是如何判断一个程序是病毒?
杀毒软件是根据提取一个程序的一部分特征码与杀毒软件中的病毒库中的代码来进行比较来判断一个程序是否是病毒/或木马的、
杀毒软件常见的查杀方法、
(1)文件查杀
是我们的病毒特征码与杀毒软件中的病毒库中的代码来进行比较,如果病毒库中有相同的特征码,就会认为这个是病毒特征码--通俗一点讲,比如你身上一个特征 它就会认识到这个特征就是你了 。所以,对于这样的查杀模式。但是只要改变特征码杀毒软件就会不认识了。
(2)内存查杀
其实内存查杀也是通过特征码的,和文件查杀基本上一样,一个区别就是它是通过内存特征码来查杀的。
(3)行为查杀
是通过判断程序的动作来进行定义,如果程序对某个地方进行动作就会被认为是病毒了,
特征码定义以及分类、
杀毒软件在对文件进行查杀的时候。会挑选文件内部的一句或者几句代码来作为它识别病毒的方式。这种代码就叫做病毒的特征码。
特征码可分为:
1:文件特征码
2:内存特征码
3:单一特征码
4:复合特征码 等、
当然还有许多其他知识是你现在还不懂的、
杀毒软件是怎么识别木马和病毒的
目前大部分是通过特征码识别
即在木马样本里找出几段和待检测的程序样本进行匹配
匹配成功就说明它是XX木马或病毒
现在还有一个技术叫行为检测
监控系统的可疑行为来判断
比如同一一个木马
在运行时
它的行为是固定的流程
如果符合条件即为该木马/病毒
另外如果检测到和木马病毒相似行为的可疑操作
就报告给用户或杀软公司
再进行详细的判断.
以上是主流的两种方法
其它每个杀软都有自己的特点和新技术
这在该杀软的介绍中有详细的说明
木马病毒的主要特征是
计算机木马的主要特征包括隐蔽性、自动运行性、欺骗性、自动恢复、自动打开端口五种木马程序。
隐蔽性:隐蔽性是指木马必须隐藏在目标计算机中,以免被用户发现。
自动运行性:木马的自动运行性是指木马会随着计算机系统的启动而自动启动,所以木马必须潜入计算机的启动配置文件中,如启动组或者系统进程。
欺骗性:木马之所以具有欺骗性,是为了防止一眼就被计算机用户认出。
自动恢复:木马的自动恢复是指当木马的某一功能模块丢失时,它能够自动恢复成丢失之前的状态。
自动打开端口:木马潜入目标计算机的目的不是为了破坏文件,即使为了获取目标计算机中的有用信息,因此就需要保证能与目标计算机进行通信。
木马名称:Trojan.Generic的是什么病毒
trojan.generic病毒是启动后会从体内资源部分释放出病毒文件,会将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。
Trojan.Generic木马病毒对抗安全软件能力非常强大,不仅能结束安全软件并删除部分杀毒软件服务,还能够关闭系统的安全中心,病毒在把安全软件关闭后,这样安全中心也就不会对用户进行提示了。
扩展资料
1、Trojan.Generic病毒原理
Trojan.Generic病毒是通过联网下载病毒列表,而且数量较多,修改HOST文件,屏蔽其他病毒网页地址。该病毒为了阻止用户使用还原类软件重启清楚该病毒,对系统的USERINIT.EXE进行修改。
2、杀毒方法
可以使用专业杀毒软件和木马专杀工具AVG和卡巴斯基等进行处理。用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。
然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件。
参考资料来源:百度百科—trojan.generic
木马病毒的特征
木马的基本特征
木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征:
1、隐蔽性是其首要的特征
如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面:
a、不产生图标
它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可;
b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。
2、它具有自动运行性
它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能
现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开特别的端口
木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。
6、 功能的特殊性
通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
7、黑客组织趋于公开化
以往还从未发现有什么公开化的病毒组织(也许是我孤陋寡闻),多数病毒是由个别人出于好奇(当然也有专门从事这一职业的),想试一下自己的病毒程序开发水平而做的,但他(她)绝对不敢公开,因为一旦发现是有可能被判坐牢或罚款的,这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织,但应绝对是属于“地下”的。现在倒好,什么专门开发木马程序的组织到处都是,不光存在,而且还公开在网上大肆招兵买马,似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷,黑的手段也越来越高明。我不知道为什么,但据讲其理由是“为了自卫、为了爱国” 。
木马入侵的常用手法及清除方法