谁能解释下面简单的电脑病毒代码?
我帮你"翻译"一下代码的意思。
这是一段vbs代码:直到(除非)1等于2,否则就一直弹出一个写有"烦死你"的窗口,因为1永远不等于2,所以不断的弹窗。
这是VB的一个简单编程,但是代码却不怀好意。这段代码的意思是说,当双击运行这个程序的时候,执行以下代码:直到(除非)1等于2,否则隐藏这个软件的窗体,然后显示这个软件的窗体,然后调用系统的"calc.exe"程序,也就是调用系统自带的"计算器",因为1永远不等于2,所以这些步骤永远循环的执行下去。以现在的计算机来看,并不会"运行后马上死机",我们的计算机还不至于这么差劲,不过cpu会高涨,根据不同计算机的配置,时间范围从很快死机到数秒后死机不等。
防治病毒和恶意代码的方法有哪些?
(一)永远断网、拒绝未知U盘接入
比较极端的方式是电脑永远不联网,用定制的Linux系操作系统或其他自制操作系统,禁止所有未知安全性的U盘插入。这是国家安全机构在某些环节会用到的方式,不适合普通家庭用户。
(二) 还原软件、影子系统
冰点、shadow defender、 PowerShadow、等,这类软件可以隔离你对保护区域的文件的改动,重启或者设置后,能恢复原样,在恢复过程中自然也能消除所有改动和新增的程序文件,包括病毒。类似的还有“虚拟机”,如vmware、等。不过这类方式也不太适合家庭用户,中木马后,密码会被毫无征兆的盗走,而没有任何警报,而且家用电脑通常每天会有很多个性化的改动微调、增删文件等,如果每天都设置一下还原软件或影子系统,会比较繁琐。
(三)杀毒软件
这是最普适的方式,首先当然要提到《百度杀毒》,然后是国内比较主流的是360杀毒、金山毒霸、等,最后是国外比较著名的(我只说欧洲的)如卡巴斯基、小红伞、eset、BitDefender、等,这些安全软件的防御力完全可以满足普通家用的需求,防御病毒和恶意代码毫无压力(只等下一个全球性的病毒被开发出来)。有的网友有一种妄想,就是黑客会来攻击他,其实这种担忧完全没必要,有能力干这事的黑客,绝对有更丰厚的收入来源等着他,绝对不会浪费在你身上,很多网友中毒仅仅是因为自己安装的杀毒软件工作状态不正常、比如服务未启、病毒库很长时间没更新等,只要你确保自己安装的靠谱的杀毒软件状态良好,就不应该担心中毒了。如果你是李嘉诚,当然有必要请网络安全砖家来保障你的电子设备、账户和隐私等的安全。
怎样防止病毒和木马
玩转电脑技巧(4)
5.个人电脑详细的安全设置方法
由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000
pro(建议还在使用98的朋友换换系统,连微软都放弃了的系统你还用它干嘛
?)所以后面我将主要讲一下基于这两个操作系统的安全防范。
个人电脑常见的被入侵方式
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我
们遇到的入侵方式大概包括了以下几种:
(1)被他人盗取密码;
(2)系统被木马攻击;
(3)浏览网页时被恶意的java scrpit程序攻击;
(4)Q被攻击或泄漏信息;
(5)病毒感染;
(6)系统存在漏洞使他人攻击自己。
(7)黑客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。
本文主要防范方法
察看本地共享资源
删除共享
删除ipc$空连接
账号密码的安全原则
关闭自己的139端口
445端口的关闭
3389的关闭
4899的防范
常见端口的介绍
如何查看本机打开的端口和过滤
禁用服务
本地策略
本地安全策略
用户权限分配策略
终端服务配置
用户和组策略
防止rpc漏洞
自己动手DIY在本地策略的安全选项
工具介绍
避免被恶意代码 木马等病毒攻击
1.察看本地共享资源
运行CMD输入net
share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开
机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制
了,或者中了病毒。
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$
/delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在注册表中找到
HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取
“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里
面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(Remote
Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二
次失败,后续失败,都设置为不操作。
XP
SP2和2000 pro
sp4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在
右面的窗口建立一个SMBDeviceEnabled
为REG_DWORD类型键值为 0这样就ok了
7.3389的关闭
XP:我的电脑上点右键选属性--远程,将里面的远程协助和远程桌面两
个选项框里的勾去掉。
Win2000server
开始--程序--管理工具--服务里找到Terminal
Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该
方法在XP同样适用)
使用2000
pro的朋友注意,网络上有很多文章说在Win2000pro 开始--设置--控制面
板--管理工具--服务里找到Terminal
Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以
关闭3389,其实在2000pro 中根本不存在Terminal
Services。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软
件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来
控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全
。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服
务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你
的。
9、禁用服务
打开控制面板,进入管理工具——服务,关闭以下服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed
File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远
程计算机无法访问共享
4.Distributed Link
Tracking Server[适用局域网分布式链接? �
5.Human Interface Device
Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD
录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,
泄露信息]
8.Kerberos Key
Distribution Center[授权协议登录网络]
9.License
Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting
Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network
DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE)
网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help
nbsp;Session Manager[管理并控制远程协助]
16.Remote
Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote
Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special
Administration Console Helper[允许管理员使用紧急管理服务远程访问命
令行提示符]
20.TCP/IPNetBIOS
Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS
名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal
Services[允许用户以交互方式连接到远程计算机]
23.Window s Image Acquisition
(WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须
马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端
请问这些代码是不是木马病毒?
这个代码属于木马病毒。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。 什么是木马 特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
用杀毒软件可以清除木马。它不是一种对自己不利的“病毒”,能够应用和奴驾它的人,就将它看为是一种资源,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 一般自己中了木马病毒,首先要认清这是个什么病毒。其实 Trojan是某些防毒软件对后门木马的一种统称,它并不代表着固定的一个,而是一类,所以即使遇到同样名字的木马可能它们也并不相同。
希望我能帮助你解疑释惑。
关于电脑病毒的代号
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等
什么是电脑病毒目码,又如何去防止?
一、关于计算机病毒:
1、计算机病毒的类型及特点
(1)计算机病毒是通过复制自身从而感染其它程序的指令代码或程序。当染毒文件运行时,病毒也随之运行并自我复制来感染其它程序。不过,良性病毒没有恶意攻击性性的代码,只占用系统的资源,让系统运行减慢。但是对大多数的恶性病毒却是携带恶意攻击性的毒码,一旦被激发,即可感染和破坏。自80年代由莫里斯编写的第一个“蠕虫”病毒程序问世以来,世界上已出现了多种不同类型的病毒。主要有以下几种主要病毒:“美丽杀手”(Melissa)病毒、“怕怕”(Papa)病毒、“疯牛”(Mad Cow)病毒和“怕怕B”病毒、 “幸福1999”宏病毒、“咻咻”(Ping)轰击病毒、冲击波病毒、熊猫烧香病毒、木马病毒等。
(2)归纳一下,计算机病毒有以下几种特点:一是隐蔽性强。病毒可以在毫无察觉的情况下感染计算机而不被人察觉,等到发现时,就已经造成了严重后果。二是繁殖能力强。电脑一旦染毒,可以很快“发病”。三是传染途径广。可通过移动设备、有线和无线网络、硬件设备等多渠道自动侵入计算机中,并不断传染。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作,等达到激发条件后,就发作破坏系统。五是破坏力大。计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,甚至导致整个计算机系统的瘫痪。
二、对计算机病毒的防范可以采用的方法可从管理上和技术上进行预防
1.管理上的预防。
(1)不使用来历不明的软件,尤其是盗版软件。机房应禁止未经检测的移动盘插入计算机,严禁上机打游戏。因为游戏的运行环境较多,传染病毒的可能性较大。
(2)本单位使用的计算机应有严格的使用权限。
(3)对所有的系统盘以及移动盘进行写保护,防止盘中的文件被感染。
(4)系统中的重要文件要进行备份,尤其是数据要定期备份。
(5)网络上要限制可执行代码的交换,建立好较好的口令,规定合理的读写权限。 以上是适合于局部小单位,计算机的发展至今,已经在技术上和应用中成为一个社会的问题,最终,还是需要国家制定的法律法规进行约束。
2.技术方法上的预防
(1)采用内存常驻防病毒的程序 在系统启动盘的AUTOEXE.BAT文件中加入一个病毒检测程序,它将时刻监视病毒的侵入,并对磁盘进行检查。由于这种方法要占用内存空间,又容易引起与其他程序的冲突,有些病毒具有躲开防毒程序的功能,所以,不能把它作为防病毒的主要武器。
(2)运行前对文件进行检测
这种方法主要采用杀毒软件进行检查,不是所以的杀毒软件都能清楚所有病毒,所以还是要注意以预防为主。
(3)改变文档的属性
只读文档时不能修改的,有些病毒只能去掉只读标志,不能改变属性。这种方法不失为一种简单的方法来预防病毒。但它只是针对一般的文件型病毒而言。
(4)改变文件扩展名
由于计算机感染时必须采用了解文件的属性,对每种不同的文件都必须使用不同的传染方式,将可执行文件的扩展名改变后,多数病毒会失去效力。
如何对木马,病毒进行加壳,有什么代码或者软件可以用?
第一步 在“运行”对话框中输入IExpress就可启动程序 在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self Extraction Directive file),另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项,然后点击“下一步”按钮。[!--empirenews.page--] 第二步 接下来选择制作木马自解压包的三种打包方式(图2),它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。 因为我们要制作的是木马解压包,所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。 第三步 在“确认提示”(Confirmation prompt)这一环节,软件会询问在木马程序解包前是否提示用户进行确认,由于我们是在制作木马程序的解压包,当然越隐蔽越好,选择第一项“不提示”(No prompt),这么做的目的是让中招人毫无防备。点击“下一步”按钮,在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”(Display a license),点击“Browse”选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。 第四步 现在,我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将木马和一个正常的IE补丁包添加进来。 随后进入安装程序选择窗口,指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如,在Install Program内设置正常的IE补丁包先运行,此时木马并未运行,在中招者看来的确是一个IE补丁包。在post install command内设置木马程序,这样在IE补丁包安装完毕时,木马程序将会在后台执行,我们的目的也就达到了。 第五步 接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的,所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置,由于我们做的是木马捆绑安装程序,当然应该选择“No message”。 第六步 上述设置完成后,接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”,以便隐藏解压缩过程,有助于隐藏某些木马程序启动时弹出的命令提示框。最后,设置在软件安装完成后是否重新启动(Configure reboot),可以根据实际需要来选择。如果你所用的木马是“即插即用”的,那么就选择“No reboot”;如果所采用的木马用于开启终端服务,那么可选择“Always reboot”,同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。[!--empirenews.page--] 在保存刚才所做的设置后点击“下一步”按钮,即可开始制作木马自解压程序。 整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击“完成”,木马程序与合法程序的捆绑工作就完成了(格式为EXE),直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。 现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然,你也可以把它作为IE的重要补丁发送给别人。 不用第三方工具,无需过多的加壳伪装,让“Windows”来为我们服务,为我们捆绑木马,岂不快哉。
如何防范木马病毒?
⑴ 不要随意打开来历不明的邮件
现在许多木马都是通过邮件来传播的,当用户收到来历不明的邮件时请不要打开,应尽快删除。同时要加强邮件监控系统,拒收垃圾邮件。
⑵ 不要随意下载来历不明的软件
最好是在一些知名的网站下载软件,不要下载和运行那些来历不明的软件。在安装软件的之前最好用杀毒软件查看是否含有病毒,然后才进行安装。
⑶ 及时修补漏洞和关闭可疑的端口
一些木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,在把漏洞修补上的同时,需要对端口进行检查,把可疑的端口关闭。
⑷ 尽量少用共享文件夹
如果必须共享文件夹,则最好设置账号和密码保护。Windows系统默认情况下将目录设置成共享状态,这是非常危险的,最好取消默认共享。
⑸ 运行实时监控程序
在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。
⑹ 经常升级系统和更新病毒库
经常关注微软和杀毒软件厂商网站上的安全公告,这些网站通常都会及时地将漏洞、木马和更新公布出来,并在第一时间发布补丁和新的病毒库等。
希望对你有帮助!