如何防范WOW木马
如何识别木马
识别木马有新招,希望这篇文章对你有所帮助。
一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员,还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道,不管是传奇还是任何一款程序。它都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的方法:
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
下边介绍一下木马和如何简单的检查一下是否中了木马。
木马程序一般分为服务器端程序和客户端程序两个部分,当服务器端程序安装在某台连接到网络的电脑后,就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是,木马是非法取得对对方电脑的控制权,一旦登陆成功,就可以取得管理员级的权利,对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用,因为一不小心就会引火上身,被对方反查过来就会偷鸡不成蚀把米了,一般他们都会采用只有服务器端的小木马,这类木马通常会把截取的密码发到一个免费邮箱里,不需要人为操作,有空去收趟邮件就可以了,这种木马遍布互连网的各个角落,的确防不胜防,由于木马程序众多,加之不断有新版本、新品种产生,使得软件无法完全应付,所以手动检查清除是十分必要的。
木马会想尽一切办法隐藏自己,别指望在任务管理器里看到他们的踪影,有些木马更是会和一些系统进程寄生在一起的,如著名的广外幽灵就是寄生在MsgSrv32.exe里;当然它也会悄无声息地启动,木马会在每次用户启动windows时自动装载服务端,Windows系统启动时自动加载应用程序的方法木马都会用上,如启动组、win.ini、system.ini、注册表等等都是木马藏身之地;下边简单说一下如何检查,点开始-运行,输入:
msconfig回车 就会打开系统配置实用程序,先点system.ini,看看shell=文件名,正确的文件名应该是“explorer.exe”,如果explorer.exe后边还跟有别的程序的话,就要好好检查这个程序了,然后点win.ini,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了,当然你也得看清楚,因为如“AOL木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件;最后点“启动”,检查里面的启动项是不是有不熟悉的,如果你实在不清楚的话可以把他们全部取消,然后重新运行msconfig,看一下有没有取消的启动项重新被选中的,一般木马都会存在于内存中,(就是线程插入,然后隐藏进程的木马,DLL无进程木马就不会驻留在内存里面,我们在下一次中会讲到)所以发现你取消他的启动项就会自动添加上的,然后你就可以逐步添上你的输入法,音量控制,防火墙等软件的启动项了;还有一类木马,他是关联注册表的文件打开方式的,一般木马经常关联.exe,点开始-运行,输入:regedit回车,打开注册表编辑器,点第一条,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ,如果是一个程序路径的话就一定是中木马了,另外配合两种以上的杀毒软件也是必要的,另外在windows下木马一般很难清除,最后重新启动到dos环境下再进行查杀。
防木马程序、防火墙、及杀毒软件介绍:
1、木马克星: 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
2、绿鹰PC万能精灵2.91 :专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
3、Symantec AntiVirus:这个我就不用再介绍了吧,全球最大的杀毒软件!强力推荐8.1企业版。
4、天网防火墙2.51个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想,采用最底层的网络驱动隔绝,其作用层在网络硬件与Windows网络驱动之间,在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截,保护脆弱的Windows网络驱动不会崩溃 。一.木马生成器
http://www.gqyy.com/down/梦幻西游木马生成器.exe
http://www.gqyy.com/down/小雨梦幻西游木马生成器.exe
二.木马捆绑器
http://www.gqyy.com/down/microjoiner捆绑器.exe
如果大家有什么安全方便不懂的可以加我 QQ:12709746(注"安全")
俗话说:知己知笔,百战百胜,要防范就要了解,我其码是这样认为的,不知道大家有没有和我一样的
程序员 用什么杀毒杀毒软件好?
微点主动防御软件是第三代反病毒软件,颠覆了传统杀毒软件采用病毒特征码识别病毒的反病毒理念。微点主动防御软件采用主动防御技术能够自主分析判断病毒,解决了杀毒软件无法防杀层出不穷的未知木马和新病毒的弊端。
微点主动防御软件是北京东方微点信息技术有限责任公司(以下简称微点公司)自主研发的具有完全自主知识产权的第三代反病毒产品,在国际上首次实现了主动防御技术体系,并依此确立了反病毒技术新标准。微点主动防御软件最显著的特点是,除具有特征值扫描技术查杀已知病毒的功能外,更实现了用软件技术模拟反病毒专家智能分析判定病毒的机制,自主发现并自动清除未知木马和新病毒。
微点主动防御软件功能介绍
无需扫描,不依赖升级,简单易用,安全省心。
反病毒技术的更新换代,使得反病毒软件的使用习惯也发生了翻天覆地的变化。微点主动防御软件令用户感受到前所未有的安全体验,摒弃传统使用观念,无需扫描,不依赖升级,简单易用,更安全、更省心。
主动防杀未知病毒
动态仿真反病毒专家系统,有效解决传统技术先中毒后杀毒的弊端,对未知病毒实现自主识别、明确报出、自动清除。
全面保护信息资产
严密防范黑客、病毒、木马、间谍软件和蠕虫等攻击。全面保护您的信息资产,如帐号密码、网络财产、重要文件等。
智能病毒分析技术
动态仿真反病毒专家系统分析识别出未知病毒后,能够自动提取该病毒的特征值,自动升级本地病毒特征值库,实现对未知病毒“捕获、分析、升级”的智能化。
强大的病毒清除能力
驱动级清除病毒机制,具有强大的清除病毒能力,可有效解决抗清除性病毒,克服传统杀毒软件能够发现但无法彻底清除此类病毒的问题。
强大的自我保护机制
驱动级安全保护机制,避免自身被病毒破坏而丧失对计算机系统的保护作用。
智能防火墙
集成的智能防火墙有效抵御外界的攻击。智能防火墙不同于其它的传统防火墙,并不是每个进程访问网络都要询问用户是否放行。对于正常程序和准确判定病毒的程序,智能防火墙不会询问用户,只有不可确定的进程有网络访问行为时,才请求用户协助。有效克服了传统防火墙技术频繁报警询问,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。
强大的溢出攻击防护能力
即使在windows系统漏洞未进行修复的情况下,依然能够有效检测到黑客利用系统漏洞进行的溢出攻击和入侵,实时保护计算机的安全。避免因为用户因不便安装系统补丁而带来的安全隐患。
准确定位攻击源
拦截远程攻击时,同步准确记录远程计算机的IP地址,协助用户迅速准确锁定攻击源,并能够提供攻击计算机准确的地理位置,实现攻击源的全球定位。
专业系统诊断工具
除提供便于普通用户使用的可疑程序诊断等一键式智能分析功能外,同时提供了专业的系统分析平台,记录程序生成、进程启动和退出,并动态显示网络连接、远端地址、所用协议、端口等实时信息,轻轻松松全面掌控系统的运行状态。
详尽的系统运行日志记录,提供了强大的系统分析工具
实时监控并记录进程的动作行为,提供完整的、丰富的系统信息,用户可通过分析程序生成关系、模块调用、注册表修改、进程启动情况等信息,能够直观掌握当前系统中进程的运行状况,能够自行分析判断系统的安全性。
如何防止病毒入侵啊 ??? 最好的方法是什么??
个人可以用McAfee 12合1 家庭套装 2008
12合1的安全防护:McAfee Total Protection 2008
用邮箱注册 可以免费使用一年
企业版更强
阻止病毒进入桌面计算机和服务器的根本办法。借助McAfee VirusScan Enterprise,我们可以通过将入侵防护和防火墙技术整合到一款针对PC和文件服务器的解决方案中,从而将病毒防护技术提高到一个新的水平。通过 McAfee ePolicy Orchestrator可对其进行管理,以遵从安全策略和提供企业级报告。
世界上第一款反病毒软件的由美国防御系统领导者Lockheed中的一位工程师John McAfee诞生
McAfee是全球最畅销的杀毒软件之一,McAfee防毒软件, 除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能, 除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。
McAfee 公司是世界上第八大独立软件公司,是全球最大的致力于提供网络信息安全和管理的专业厂商,也是全球最有影响力的十大网络软件公司之一。
McAfee VirusScan Enterprise 是全球第一款提供主动式入侵防护系统 (IPS) 保护能力的防病毒产品。这些 IPS 功能是由 McAfee Entercept 的"缓冲区溢出保护"功能提供的,
McAfee Entercept 是我们的主机入侵防护安全产品。
世界企业安全市场被Symantec,McAfee,Trend Micro三家瓜分,根本不是那些小公司所能比拟的。
企业安全市场没有份额,所以卡巴之流只能在个人版市场打拼。
McAfee与卡巴斯基走完全相反的路子,现在病毒曾出不穷,卡巴是充分依赖病毒库杀毒,更新频率也使相当的高。但是不管怎么更新,总是先有病毒,后有病毒库。然而McAfee却提出了防御为主的新思路,就是不管病毒什么变化,我是以不变应万变。一个规则可以永久免疫 U盘病毒,一个规则可以永久免疫镜像劫持类病毒。这是主动的,头一次站到了病毒的前面。我可以无视病毒的更新与变种,只要他还是利用某个技术的病毒,就不能在有McAfee的规则下运行。但是他对用户有较高的水平,所以一般人难以使用他。网络不是有流言:“麦咖啡就象东邪,玉树临风,俊朗潇洒,对敌招式繁多,机关重重,杀伐决断从不迟疑,为江湖第一机智聪明之人,但因其心机太深,令人难以掌握。”
他确实“令人难以掌握”。
卡巴斯基的技术水准是相当高的,单从某些方面评论,卡巴斯基的引擎代表着业界最高水准,但是并不是全部。卡巴斯基是一款相当好的杀毒软件,但他从来算不上世界第一。尽管卡巴斯基的技术的确极为优秀,但卡巴斯基连一线厂商都算不上,与赛门铁克(Symantec),迈克菲(McAfee),趋势科技(Trend Micro)等这些属于第一阵营的安全厂商相比,卡巴斯基顶多算是二线厂商中的翘楚罢了。而如果拿杀毒软件市场的大头,企业级市场来说,卡巴斯基企业版的表现则更为拙劣,市场份额几可忽略不计。在今年五月的AV-Test测试中,卡巴斯基仅获得第六名;而在卡巴斯基一向引以为豪的VB100测试中这次也不幸折戟;而在AVC测试中,卡巴斯基仅得到最低等级的Standard评级,其成绩更是惨不忍睹。卡巴斯基的世界第一,只不过是一个笑话。
就国内杀毒软件个人用户市场占有率而言,据相关统计,瑞星占据单机版60%多市场,江民和金山各占15%左右,而卡巴斯基在个人杀软市场绝对不足10%。那么为什么卡巴斯基会在国内受到如此高的推崇而几乎到达了神话般的地步呢?原因就在于卡巴斯基的用户多是一些学生,还有不少自以为精通计算机的所谓高手。这些人的人数虽然远远少于瑞星金山江民等的用户数,但是,这些人混迹于各大论坛,网站的比例却多得多。而卡巴斯基也的确算得上还是一款相当不错的杀毒软件,况且,几乎是免费的,于是口口相传,人云亦云,而且俄罗斯的编程技术水平高是人所共知的,再加上“外国的月亮比中国的圆”这种对国外技术盲目崇拜的心理,于是对卡巴斯基的推崇之风就这样散扬开来,三人成虎,何况这些人还不只三人。正是这样,口碑传播的市场传播方式使得卡巴斯基拥有了不少的用户。但是,在这一次次的宣扬传播之中,卡巴斯基的能力也逐渐被夸大,最终卡巴斯基的神话也便这样诞生。
作策略一定要动脑子,那些该作,哪些不该作,作了的后果,否则你选择McAfee就是一个最大的错误:将一个以防御为主的防病毒软件的防御功能搁置了,把他当作非常好的杀毒软件。只有防御才能走在病毒前面,过分依赖病毒库的软件只能是被动的~
McAfee包括下面几个分支 ,每个分支里面是不同的类型
Endpoint Protection, 里面是主要为杀毒软件和防火墙
Management Solutions, 是统一管理端的软件
Messaging Web Security,是邮件服务器防毒 防垃圾 过滤邮件 防病毒网关 还有其他网络安全产品
Utilities 里面主要是一些小工具 包括DOS杀毒等等。
迈克菲(McAfee)公司于1998年进入中国,不断向中国企业提供全球领先的网络安全和网络管理解决方案,得到了广大中国企业用户,特别是重点行业用户的认可和肯定。经过不懈的努力,mcafee公司产品和解决方案被广泛应用于银行、保险、证券、电信、交通等领域,获得了中国人民银行、中国银行、中国工商银行、中国建设银行、中国平安保险公司、中国网通、中国电信、中国联通等客户的大力支持。
McAfee全面保护全球300万美国国防部用户全球领先的入侵防护和风险管理解决方案供应商迈克菲(McAfee)近期宣布McAfee主机入侵防护系统和ePolicy Orchestrator(ePO)已经被美国国防部主机安全系统选作标准系统。美国国防部采用McAfee的工具为网络提供深层防护的同时,为主机安全系统提供管理,并且提高主机设备的标准配置。主机安全系统将被用于美国国防部全球的所有办公地点。 McAfee主机入侵防护系统通过把签名和行为保护与系统防火墙进行整合,能够监测和阻止入侵。该解决方案与McAfee ePO管理平台进行集成,提供准确、可扩展和简单易用的强大系统防护。通过自动化签名更新和零日攻击防护,美国国防部能够提供强大的漏洞防护功能,能够解决补丁和规则问题。采用McAfee ePO,管理员能够进行实时的防护、配置和策略增强,以及从一个集中控制平台监测安全状态。McAfee ePolicy Orchestrator 还可以管理由其它安全厂商提供的安全解决方案。
McAfee VirusScan Enterprise是一项针对 PC 和服务器的创新技术。 它可前瞻性地阻止和清除恶意软件,扩展抵御新的安全风险的范围,并降低应对病毒爆发所需的成本。企业不能坐等安全机构来识别每一种威胁并发布签名文件。 从攻击到识别之间的时间间隔至关重要,而且越短越好。 如果您的防护技术可以识别新的未知威胁,那就再好不过了。
结合先进的防病毒、防火墙以及入侵防护技术,VirusScan Enterprise 可以拦截各种威胁。 通过先进的启发式检测和常规检测,它还可以发现新的未知病毒,甚至可以发现隐藏在压缩文件中的病毒。 McAfee VirusScan Enterprise 可查找针对 Microsoft�0�3 应用程序和服务的已知漏洞的攻击,还可识别和拦截使用 JavaScript�6�4 和 VisualBasic 编写的各种威胁。
由于只有最新的更新才能提供最佳的病毒防护,McAfee VirusScan Enterprise 数据库每天都会使用来自 McAfee�0�3 Avert�0�3 Labs(世界领先的威胁研究中心)的信息进行更新。
如何预防计算机病毒?
加强自我防范意识是我们防御网络威胁的第一步,在本文中我们11个方面来介绍平时使用计算机网络过程中需加强的防范意识。
1、预防第一
保持获取信息。你是否知晓几乎每天都有病毒和安全警告出现?通过把我们的安全与修复主页加入收藏夹来获取最新爆发的病毒。
2、得到保护
如果你的机器上没有安装病毒防护软件,你最好还是安装一个。如果你是一个家庭或者个人用户,下载任何一个排名最佳的程序都相当容易,而且可以按照安装向导进行操作。如果你在一个网络中,首先咨询你的网络管理员。
3、定期扫描你的系统
如果你刚好是第一次启动防病毒软件,最好让它扫描一下你的整个系统。干净并且无病毒问题地启动你的电脑是很好的一件事情。通常,防病毒程都能够设置成在计算机每次启动时扫描系统或者在定期计划的基础上运行。一些程序还可以在你连接到互联网上时在后台扫描系统。定期扫描系统是否感染有病毒,最好成为你的习惯。
4、更新你的防病毒软件
既然你安装了病毒防护软件,就应该确保它是最新的。一些防病毒程序带有自动连接到互联网上,并且只要软件厂商发现了一种新的威胁就会添加新的病毒探测代码的功能。你还可以在此扫描系统查找最新的安全更新文件。
5、不要轻易执行附件中的EXE和COM等可执行程序
这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子函件中的可执行程序附件都必须检查,确定无异后才可使用。
6、不要轻易打开附件中的文档文件
对方发送过来的电子函件及相关附件的文档,首先要用“另存为…”命令(“Save As…”)保存到本地硬盘,待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或Excel,如有附件中有计算机病毒则会立刻传染;如有“是否启用宏”的提示,那绝对不要轻易打开,否则极有可能传染上电子函件计算机病毒。
7、不要直接运行附件
对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害。
8、邮件设置
如果是使用Outlook作为收发电子邮件软件的话,应当进行一些必要的设置。选择“工具”菜单中的“选项”命令,在“安全”中设置“附件的安全性”为“高”;在“其他”中按“高级选项”按钮,按“加载项管理器”按钮,不选中“服务器脚本运行”。最后按“确定”按钮保存设置。
9、慎用预览功能
如果是使用Outlook Express作为收发电子邮件软件的话,也应当进行一些必要的设置。选择“工具”菜单中的“选项”命令,在“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。这样可以防止有些电子函件计算机病毒利用Outlook Express的缺省设置自动运行,破坏系统。
10、警惕发送出去的邮件
对于自己往外传送的附件,也一定要仔细检查,确定无毒后,才可发送。虽然电子邮件计算机病毒相当可怕,只要防护得当,还是完全可以避免传染上计算机病毒的,仍可放心使用。
防治计算机病毒的关键是什么?为什么?
主动防御,是未来发展的趋势。主要有两个方法,一是静态防御,就是我们常说的启发式,杰出代表杀软有:NOD32(48次通过VB100),德国小红伞(单引擎扫描07年第一);第二方式是动态防御(行为分析技术),就是我们常说的“主动防御”,HIPS软件(主机入侵防御系统),就是通过人为地设置规则来达到动态防御,杰出杀软代表:微点,卡巴斯基的主动防御模块,迈克菲的规则。后者不适合新手。
当年,NOD32和红伞,能够单靠启发式来对付熊猫烧香,当许多国内杀软倒下的时候,仍然能坚持查杀到底。而动态防御方面,HIPS主要靠人为的判断,不例如表现(规则好的对付熊猫烧香是轻而易举的),微点,也是由头杀到尾,是少数坚挺的杀软之一,卡巴斯基,主防能拦截大部分,但它的主防通常被新手无视,所以卡巴用户也不少遭殃了;迈克菲,没用过,不好评论。
【启发式病毒扫描的介绍】
启发式杀毒
病毒和正常程序的区别可以体现在许多方面,比较常见的如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则没有会这样做的,通常它最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。
启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如,如果一段程序以如下序列开始:MOV AH ,5/INT,13h,即调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项,又没有要求用户交互性输入继续进行的操作指令时,就可以有把握地认为这是一个病毒或恶意破坏的程序。
启发式杀毒代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率, 而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,一次质的飞跃。在新病毒,新变种层出不穷,病毒数量不断激增的今天,这种新技术的产生和应用更具有特殊的重要意义。
【行为分析技术的介绍,以下是引用百度百科主动防御的概念,实际上只是狭义的行为分析技术】
在“主动防御”技术的的实现上,主要是通过函数来进行控制。因为一个程序如果要实现自己的功能,就必须要通过接口调用操作系统提供的功能函数。以前在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的,在Windows里一般是通过DLL里的API提供,也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为,通过看它调用了什么样的API就大概清楚了,比如它要读写文件就必然要调用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函数,要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API,如果挂接RING3层的API将有可能被绕过),就可以知道一个进程将有什么动作,如果有危害系统的动作该怎么样处理等等。例如瑞星反病毒系统,用户可以在它的安装目录里找到几个驱动文件,其实这些驱动就是挂接了ntoskrnl.exe,ndis.sys等系统关键模块里的API,从而对进程的普通行为,网络行为,注册表行为进行监视的。
在此基础上,用户可以自己设想一下一个“主动防御”型安全系统的一般操作流程:通过挂接系统建立进程的API,系统就在一个进程建立前对进程的代码进行扫描,如果发现SGDT,SIDT,自定位指令(一般正常软件不会有这些指令),就进行提示,如果用户放行,就让进程继续运行;接下来监视进程调用API的情况,如果发现以读写方式打开一个EXE文件,可能进程的线程想感染PE文件,就发出警告;如果收发数据违反了规则,发出提示;如果进程调用了CreateRemoteThread(),则发出警告(因为CreateRemoteThread()是一个非常危险的API,正常进程很少用到,倒是被病毒、木马用得最多)
怎样才不会中网页木马?
什么是木马?
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
DLL 木马揭秘
相信经常玩木马的朋友们都会知道一些木马的特性,也会有自己最喜爱的木马,不过,很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢?它与一般的木马有什么不同?
一、从DLL技术说起
要了解DLL木马,就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里。在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员们把很多常用的代码集合(通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library),在写程序的时候,把这个库文件加入编译器,就能使用这个库包含的所有功能而不必自己再去写一大堆代码,这个技术被称为“静态链接”(Static Link)。静态链接技术让劳累的程序员松了口气,一切似乎都很美好。可是事实证明,美好的事物不会存在太久,因为静态链接就像一个粗鲁的推销员,不管你想不想要宣传单,他都全部塞到你的手上来。写一个程序只想用到一个库文件包含的某个图形效果,就因为这个,你不得不把这个库文件携带的所有的图形效果都加入程序,留着它们当花瓶摆设,这倒没什么重要,可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头,因为编译器把整个库文件也算进去了。
时代在发展,静态链接技术由于天生的弊端,不能满足程序员的愿望,人们开始寻找一种更好的方法来解决代码重复的难题。后来,Windows系统出现了,时代的分水岭终于出现。Windows系统使用一种新的链接技术,这种被称为“动态链接”(Dynamic Link)的新技术同样也是使用库文件,微软称它们为“动态链接库”——Dynamic Link Library,DLL的名字就是这样来的。动态链接本身和静态链接没什么区别,也是把通用代码写进一些独立文件里,但是在编译方面,微软绕了个圈子,并没有采取把库文件加进程序的方法,而是把库文件做成已经编译好的程序文件,给它们开个交换数据的接口,程序员写程序的时候,一旦要使用某个库文件的一个功能函数,系统就把这个库文件调入内存,连接上这个程序占有的任务进程,然后执行程序要用的功能函数,并把结果返回给程序显示出来,在我们看来,就像是程序自己带有的功能一样。完成需要的功能后,这个DLL停止运行,整个调用过程结束。微软让这些库文件能被多个程序调用,实现了比较完美的共享,程序员无论要写什么程序,只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。最重要的是,DLL绝对不会让你多拿一个花瓶,你要什么它就给你什么,你不要的东西它才不会给你。这样,写出来的程序就不能再携带一大堆垃圾了——绝对不会让你把吃剩的东西带回家,否则罚款,这是自助餐。
DLL技术的诞生,使编写程序变成一件简单的事情,Windows为我们提供了几千个函数接口,足以满足大多数程序员的需要。而且,Windows系统自身就是由几千个DLL文件组成,这些DLL相互扶持,组成了强大的Windows系统。如果Windows使用静态链接技术,它的体积会有多大?我不敢想。
二、应用程序接口API
上面我们对DLL技术做了个大概分析,在里面我提到了“接口”,这又是什么呢?因为DLL不能像静态库文件那样塞进程序里,所以,如何让程序知道实现功能的代码和文件成了问题,微软就为DLL技术做了标准规范,让一个DLL文件像奶酪一样开了许多小洞,每个洞口都注明里面存放的功能的名字,程序只要根据标准规范找到相关洞口就可以取得它要的美味了,这个洞口就是“应用程序接口”(Application Programming Interface),每个DLL带的接口都不相同,尽最大可能的减少了代码的重复。用Steven的一句话:API就是一个工具箱,你根据需要取出螺丝刀、扳手,用完后再把它们放回原处。在Windows里,最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。
三、DLL与木马
DLL是编译好的代码,与一般程序没什么大差别,只是它不能独立运行,需要程序调用。那么,DLL与木马能扯上什么关系呢?如果你学过编程并且写过DLL,就会发现,其实DLL的代码和其他程序几乎没什么两样,仅仅是接口和启动模式不同,只要改动一下代码入口,DLL就变成一个独立的程序了。当然,DLL文件是没有程序逻辑的,这里并不是说DLL=EXE,不过,依然可以把DLL看做缺少了main入口的EXE,DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API,在别人看来,这只是一个普通的DLL,但是这个DLL却携带了完整的木马功能,这就是DLL木马的概念。也许有人会问,既然同样的代码就可以实现木马功能,那么直接做程序就可以,为什么还要多此一举写成DLL呢?这是为了隐藏,因为DLL运行时是直接挂在调用它的程序的进程里的,并不会另外产生进程,所以相对于传统EXE木马来说,它很难被查到。
四、DLL的运行
虽然DLL不能自己运行,可是Windows在加载DLL的时候,需要一个入口函数,就如同EXE的main一样,否则系统无法引用DLL。所以根据编写规范,Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据,这个函数不作为API导出,而是内部函数。DllMain函数使DLL得以保留在内存里,有的DLL里面没有DllMain函数,可是依然能使用,这是因为Windows在找不到DllMain的时候,会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入,并不是说DLL可以放弃DllMain函数。
五、DLL木马技术分析
到了这里,您也许会想,既然DLL木马有那么多好处,以后写木马都采用DLL方式不就好了吗?话虽然是这么说没错,但是DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马,你需要了解更多知识。
1.木马的主体
千万别把木马模块写得真的像个API库一样,这不是开发WINAPI。DLL木马可以导出几个辅助函数,但是必须有一个过程负责主要执行代码,否则这个DLL只能是一堆零碎API函数,别提工作了。
如果涉及一些通用代码,可以在DLL里写一些内部函数,供自己的代码使用,而不是把所有代码都开放成接口,这样它自己本身都难调用了,更不可能发挥作用。
DLL木马的标准执行入口为DllMain,所以必须在DllMain里写好DLL木马运行的代码,或者指向DLL木马的执行模块。
2.动态嵌入技术
Windows中,每个进程都有自己的私有内存空间,别的进程是不允许对这个私人领地进行操作的,但是,实际上我们仍然可以利用种种方法进入并操作进程的私有内存,这就是动态嵌入,它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种,最常见的是钩子、API以及远程线程技术,现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见,罗技的MouseWare驱动就挂着每一个系统进程-_-
远程线程技术就是通过在另一个进程中创建远程线程(RemoteThread)的方法进入那个进程的内存地址空间。在DLL木马的范畴里,这个技术也叫做“注入”,当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时,木马就挂上去执行了,没有新进程产生,要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是,很多时候我们只能束手无策——它和Explorer.exe挂在一起了,你确定要关闭Windows吗?
3.木马的启动
有人也许会迫不及待的说,直接把这个DLL加入系统启动项目不就可以了。答案是NO,前面说过,DLL不能独立运行,所以无法在启动项目里直接启动它。要想让木马跑起来,就需要一个EXE使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。
启动DLL木马的EXE是个重要角色,它被称为Loader,如果没有Loader,DLL木马就是破烂一堆,因此,一个算得上成熟的DLL木马会想办法保护它的Loader不会那么容易被毁灭。记得狼狈为奸的故事吗?DLL木马就是爬在狼Loader上的狈。
Loader可以是多种多样的,Windows的rundll32.exe也被一些DLL木马用来做了Loader,这种木马一般不带动态嵌入技术,它直接挂着rundll32进程运行,用rundll32的方法(rundll32.exe [DLL名],[函数] [参数])像调用API一样去引用这个DLL的启动函数激发木马模块开始执行,即使你杀了rundll32,木马本体还是在的,一个最常见的例子就是3721中文实名,虽然它不是木马。
注册表的AppInit_DLLs键也被一些木马用来启动自己,如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
有一些更复杂点的DLL木马通过svchost.exe启动,这种DLL木马必须写成NT-Service,入口函数是ServiceMain,一般很少见,但是这种木马的隐蔽性也不错,而且Loader有保障。
4.其它
到这里大家也应该对DLL木马有个了解了,是不是很想写一个?别急,不知道大家想过没有,既然DLL木马这么好,为什么到现在能找到的DLL木马寥寥无几?现在让我来泼冷水,最重要的原因只有一个:由于DLL木马挂着系统进程运行,如果它本身写得不好,例如没有防止运行错误的代码或者没有严格规范用户的输入,DLL就会出错崩溃。别紧张,一般的EXE也是这样完蛋的,但是DLL崩溃会导致它挂着的程序跟着遭殃,别忘记它挂接的是系统进程哦,结局就是……惨不忍睹。所以写一个能公布的DLL木马,在排错检查方面做的工作要比一般的EXE木马多,写得多了自己都烦躁……
六、DLL木马的发现和查杀
经常看看启动项有没有多出莫名其妙的项目,这是Loader的所在,只要杀了狼,狈就不能再狂了。而DLL木马本体比较难发现,需要你有一定编程知识和分析能力,在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL,可是对新手来说……总之就是比较难啊比较难,所以,最简单的方法:杀毒软件和防火墙(不是万能药,切忌长期服用)。
主题了. 网页木马就是加载在网页中的木马病毒,会在用户查看时侵入计算机,所以尽量不要点击一些陌生网站或网页,如发现系统变慢,请迅速用杀毒软件清除,如有毒,查清病毒文件,如发现是陌生文件夹,请尽快删除,如删不了,进入安全模式,删除文件!
网站中病毒或者有木马怎么处理
网站其实本身肯定是不会中病毒的,只能是服务器里面存储的蓝本文件里面比如说某些图片和下载文件里面会存在木马病毒,而遇到了木马病毒后最好的办法自然就是想办法给电脑杀毒了,可以用电脑管家的病毒查杀功能,在服务器里面找出病毒查杀了,就行了。
怎么查杀软件后门木马?
你好!很高兴为你解答问题。
后门木马一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。
楼主可以使用下面的方法来保护你的电脑安全。
1.下载腾讯8.5-对电脑进行体检,并且修复。
2.打开电脑管家-杀毒,打开小红伞引擎,这样可以增强查杀效果。
3.使用漏洞修复功能及时修复系统漏洞。
4.不要乱下载相关的程序,有些程序会危害你的电脑,下载后请先扫描下。
5.平时可以定期扫描系统垃圾,这样可以使你的电脑运行更快更好。
如果我的回答对你的问题有帮助,请采纳,谢谢!