本文目录一览:
- 1、请问爱好者。如何提取木马病毒文件
- 2、杀软是根据什么查出木马病毒的,求答案,请详细一点
- 3、如何查找木马或者病毒的病毒文件
- 4、怎样查看木马及病毒文件
- 5、电脑中了木马病毒,怎么把重要文件复制出来?
- 6、电脑中木马了病毒了。我保留了病毒样本。谁能帮我看看?
请问爱好者。如何提取木马病毒文件
死了这条心吧,木马文件不失活的,所以你提取的话就会被感染。如果该木马文件可以被提取的话最关键的壳程序就是被破了,这个程序也就不再是木马了,提取了也没有意义。建议找一些成熟的木马的源码(网上有的)研究它的壳程序,木马程序都是那几个源码改的。
杀软是根据什么查出木马病毒的,求答案,请详细一点
病毒检测的方法 在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。 特征代码法 特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 特征代码法的实现步骤如下: 采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。 在病毒样本中,抽取特征代码。依据如下原则: 抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。 在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。 打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。 采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。 特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。 其特点: A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。 B.误报警率低。 非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。 D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。 校验和法 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。 这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。 病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。 这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。 校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。 运用校验和法查病毒采用三种方式: ①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。 ②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。 ③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。 校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。 行为监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。 这些做为监测病毒的行为特征如下: A.占有INT 13H 所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。 B.改DOS系统为数据区的内存总量 病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。 C.对COM、EXE文件做写入动作 病毒要感染,必须写COM、EXE文件。 D.病毒程序与宿主程序的切换 染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。 行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。 软件模拟法 多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。 计算机病毒的防治策略 计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。 “防毒”是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。“解毒”是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。 防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。 查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病 毒的能力应由查毒率和误报率来评判。 解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。 摘自百度
采纳哦
如何查找木马或者病毒的病毒文件
木马病毒危及我们的电脑安全,那么如何清除木马病毒就成了一个很重要的问题。想删除木马病毒就首先要查找到木马病毒。那么如何查找木马病毒呢?下面我们来看看如何查找木马病毒。 查找木马病毒可以使用软件查找也可以使用手工查找。 使用软件查杀就是我们通常所说的使用杀毒软件进行查杀。常用的防木马病毒的软件有诺顿,瑞星,金山毒霸等。如果只是针对木马的话,也可以使用木马克星之类的软件。使用软件进行查找比较简单,只要升级杀软的病毒库然后点击查杀就可以了。我们这里不再多说。 下面我们来看一下手工查找木马病毒的方法。 启动组、Win.ini、System.ini、注册表等是木马比较爱潜伏的地方。 在win.ini文件中,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,如:run=c:\windows\GAME.exe load=c:\windows\GAME.exe 那么这个GAME.exe 文件就很可疑了。而system.ini文件中,在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 我们还可以查看一下我们电脑中的启动组,发现可疑的程序的话也很有可能是木马病毒。然后我们清除相应的项就可以了。
希望采纳
怎样查看木马及病毒文件
木马病毒危及我们的电脑安全,那么如何清除木马病毒就成了一个很重要的问题。想删除木马病毒就首先要查找到木马病毒。那么如何查找木马病毒呢?下面我们来看看如何查找木马病毒。 查找木马病毒可以使用软件查找也可以使用手工查找。 使用软件查杀就是我们通常所说的使用杀毒软件进行查杀。常用的防木马病毒的软件有诺顿,瑞星,金山毒霸等。如果只是针对木马的话,也可以使用木马克星之类的软件。使用软件进行查找比较简单,只要升级杀软的病毒库然后点击查杀就可以了。我们这里不再多说。 下面我们来看一下手工查找木马病毒的方法。 启动组、Win.ini、System.ini、注册表等是木马比较爱潜伏的地方。 在win.ini文件中,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,如:run=c:\windows\GAME.exe load=c:\windows\GAME.exe 那么这个GAME.exe 文件就很可疑了。而system.ini文件中,在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 我们还可以查看一下我们电脑中的启动组,发现可疑的程序的话也很有可能是木马病毒。然后我们清除相应的项就可以了。
电脑中了木马病毒,怎么把重要文件复制出来?
可以直接复制文件,一般木马不会感染文件,只会盗取个人信息。
查看自己的电脑中是否有木马病毒
1、集成到程序中
其实木马病毒也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马病毒程序,那么木马病毒文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马病毒被删除了,只要运行捆绑了木马病毒的应用程序,木马病毒又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马病毒。
2、隐藏在配置文件中
木马病毒实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马病毒提供了一个藏身之处。而且利用配置文件的特殊作用,木马病毒很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马病毒程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马病毒要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马病毒。当然,木马病毒也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马病毒感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\\windows\\file.exeload=c:\\windows\\file.exe
这时你就要小心了,这个file.exe很可能是木马病毒哦。
4、伪装在普通文件中
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于默认设置是\"不显示已知的文件后缀名\",文件将会显示为*.jpg,不注意的人一点这个图标就中木马病毒了。
5、内置到注册表中
上面的方法让木马病毒着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马病毒常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马病毒哦:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值。
6、在System.ini中藏身
木马病毒真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马病毒喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exefile.exe,如果确实有这样的内容,那就不幸了,因为这里的file.exe就是木马病毒服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\\程序名”,这里也有可能被木马病毒所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马病毒程序的好场所,现在该知道也要注意这里喽。
7、隐形于启动组中
有时木马病毒并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马病毒加载到系统中,任用什么方法都无法将它赶跑(哎,这木马病毒脸皮也真是太厚),因此按照这个逻辑,启动组也是木马病毒可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\\windows\\startmenu\\programs\\startup,在注册表中的位置:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\ShellFoldersStartup=\"C:\\windows\\startmenu\\programs\\startup\"。要注意经常检查启动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马病毒能自动加载的地方,木马病毒都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马病毒完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马病毒启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马病毒的目的了。
10、设置在超级连接中
木马病毒的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非了解它,信任它,为它死了也愿意等等。
下面再看木马病毒的清除方法
1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
2、删除上述可疑键在硬盘中的执行文件。
3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\InternetExplorer\\Main中的几项(如LocalPage),如果被修改了,改回来就可以。
5、检查HKEY_CLASSES_ROOT\\inifile\\shell\\open\\command和HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
电脑中木马了病毒了。我保留了病毒样本。谁能帮我看看?
您好!电脑中毒可以安装杀毒软件进行升级杀毒操作;
如果存在劫持类病毒导致杀毒软件不能正常打开或安装,可下载一些去掉劫持的工具或软件,如“瑞星安全助手”等进行处理后在升级杀毒;
如果依然不能解决问题,建议联系瑞星工程师寻求帮助,电话:4006608866。