Atitit.病毒木马程序的感染 传播扩散 原理
1. 从木马的发展史考虑,木马可以分为四代
。第一代木马功能简单,主要对付Unix系统,而Windows系统中的木马只有B0等几款;第二代木马功能大大加强,几乎能够进行所有的操作,如B02000、冰河等。第三代木马继续完善连接和文件传输技术,并增加了木马穿透防火墙的功能,并出现了“反弹端口”技术,如本文即将引用的灰鸪子等。第四代木马除完善了前辈们所有的技术外,还增加了进程隐藏技术,使系统更加难以发现木马的存在与入侵的连接
2. 木马有两大类,远程控制 vs 自我复制传播
一类主要用于远程控制,因此,也可以将其用于帮助网管远程管理汁算机;二类是恶意的木马程序,它除了可以远程控制外,还会恶意传播病毒。
作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 汉字名:艾龙, EMAIL:1466519819@qq.com
转载请注明来源: http://www.cnblogs.com/attilax/
3. 自我复制
自我复制的条件 要判断是否已经在有复制进程了,需要避免多进程复制,以至于消耗过多的cpu and io and mem
3.1. 需要知道当前cpu核心数量
3.2. Cpu占用百分比
3.3. Io占用百分比
3.4. 内存占用百分率
4. 通过email传播扩散
5. 通过qq等sns im软件传播扩散
6. Bbs 论坛网站传播扩散
7. 捆绑下载软件扩散
8. 局域网扩散感染
9. 利用系统或软件漏洞;
10. 隐藏自身技术
从最初最简单的一般属性隐藏,到现在的DLL进程隐藏和驱动级DRV,从OSI结构来看,DRV就快到底了,下一步应该是所有知识的综合运用了。从技术角度,系统永远都有漏洞,所以杀毒软件永远都有事做。
10.1. 在任务栏中隐藏自己
木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的。只要在编程时把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中
10.2. 进程隐藏
隐藏进程
对于本机病毒或木马本身,隐藏进程应该是病毒木马的终极表现形式了,所以无论病毒部署的过程有多复杂,最终无非两种:
A、非独立进程下的DLL、DRV.....挂载
B、感染系统文件之后自我毁灭掉,病毒与正常文件合二为一
10.3. 修改图标
10.4. 捆绑文件
10.5. 文件夹惯性点击
把木马程序使用文件夹图标并放在一个多层目录,接着再在外面“套”三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹的木马时,也会收不住鼠标点下去,这样木马就成功运行了。
10.6. 1、隐藏文件
该项技术本来面向是方便用户操作的,为保护系统或重要文件不被用户误操作删除,一直到现在重要的系统文件也在使用,但似乎总是没病毒木马程序“发挥”的更好,目前病毒大都是把隐藏作为第一步基础技术并结合最新技术使用,当然明目张胆不隐藏狂挥大刀的也大有毒在,因为病毒执行过程时间非常短暂,只需要让杀毒软件和防火墙先休克一下,事情做完后可以再次放开,木马已经布局完毕,挂下DLL或DRV,原木马布局程序也就不再需要了。
10.7. 隐藏窗口
隐藏病毒木马的感染部署与常用处理方法.htm