关于病毒是如何运行的?大列举。
木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。 1.修改批处理 很古老的方法,但仍有人使用。一般通过修改下列三个文件来作案: Autoexec.bat(自动批处理,在引导系统时执行) Winstart.bat(在启动GUI图形界面环境时执行) Dosstart.bat(在进入MS-DOS方式时执行) 例如:编辑C:windowsDosstart.bat,加入:start Notepad,当你进入“MS-DOS方式”时,就可以看到记事本被启动了。 2.修改系统配置 常使用的方法,通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的,涉及范围有: 在Win.ini文件中: [windows] load=程序名 run=程序名 在System.ini文件中: [boot] shell=Explorer.exe 其中修改System.ini中Shell值的情况要多一些,病毒木马通过修改这里使自己成为Shell,然后加载Explorer.exe,从而达到控制用户电脑的目的。 3.借助自动运行功能 这是黑客最新研发成果,之前该方法不过被发烧的朋友用来修改硬盘的图标而已,如今它被赋予了新的意义,黑客甚至声称这是Windows的新BUG。 Windows的自动运行功能确实很烂,早年许多朋友因为自动运行的光盘中带有CIH病毒而中招,现在不少软件可以方便地禁止光盘的自动运行,但硬盘呢?其实硬盘也支持自动运行,你可尝试在D盘根目录下新建一个Autorun.inf,用记事本打开它,输入如下内容: [autorun] open=Notepad.exe 保存后进入“我的电脑”,按F5键刷新一下,然后双击D盘盘符,怎么样?记事本打开了,而D盘却没有打开。 当然,以上只是一个简单的实例,黑客做得要精密很多,他们会把程序改名为“ .exe”(不是空格,而是中文的全角空格,这样在Autorun.inf中只会看到“open= ”而被忽略,此种行径在修改系统配置时也常使用,如“run= ”(如图1);为了更好地隐藏自己,其程序运行后,还会替你打开硬盘,让你难以查觉。(示例请看 http://hbydxxx.8u8.com/findstar.htm ) 由此可以推想,如果你打开了D盘的共享,黑客就可以将木马和一个Autorun.inf存入该分区,当Windows自动刷新时,你也就“中奖”了,因此,大家千万不要共享任何根目录,当然更不能共享系统分区(一般为C:)。 4.通过注册表中的Run来启动 很老套的方法,但80%的黑客仍在使用,通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值,可以比较容易地实现程序的加载,黑客尤其方便在带”Once”的主键中作手脚,因此带“Once”的主键中的键值,在程序运行后将被删除,因此当用户使用注册表修改程序查看时,不会发现异样。另外,还有这样的程序:在启动时删除Run中的键值,而在退出时(或关闭系统时)又添加键值,达到隐蔽自己的目的。(这种方法的缺点是:害怕恶意关机或停电,呵呵!) 5.通过文件关联启动 很受黑客喜爱的方式,通过EXE文件的关联(主键为:exefile),让系统在执行任何程序之前都运行木马,真的好毒!通常修改的还有txtfile(文本文件的关联,谁不用用记事本呢?)、regfile(注册表文件关联,一般用来防止用户恢复注册表,例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表,用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序,阻碍用户修复。 6.通过API HOOK启动 这种方法较为高级,通过替换系统的DLL文件,让系统启动指定的程序。例如:拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接,那么黑客就会替换这个DLL,当用户的应用程序调用这个API函数,黑客的程序就会先启动,然后调用真正的函数完成这个功能(特别提示:木马可不一定是EXE,还可以是DLL、VXD),这样既方便又隐蔽(不上网时根本不运行)。中此绝毒的虫子,只有两种选择:Ghost或重装系统,幸好此毒廖廖无几,实属万虫之幸! API的英文全称为:Application Programming Interface,也就是应用程序编程接口。在Windows程序设计领域发展初期,Windows程序员所能使用的编程工具唯有API函数,这些函数是Windows提供给应用程序与操作系统的接口,他们犹如“积木块”一样,可以搭建出各种界面丰富,功能灵活的应用程序。所以可以认为API函数是构筑整个Windows框架的基石,在它的下面是Windows的操作系统核心,而它的上面则是所有华丽的Windows应用程序。 7.通过VXD启动 此法也是高手专用版,通过把木马写成VXD形式加载,直接控制系统底层,极为罕见。它们一般在注册表[HKEY_ LOCAL_MACHINESystemCurrentControlSetServicesVxD]主键中启动,很难发觉,解决方法最好也是用Ghost恢复或重新干净安装。 8.通过浏览网页启动 通过此种途径有两种方法: 利用MIME漏洞:这是2001年黑客中最流行的手法,因为它简单有效,加上宽带网的流行,令用户防不胜防,想一想,仅仅是鼠标变一下“沙漏”,木马就安装妥当,Internet真是太“方便”了!不过今年有所减少,一方面许多人都改用IE6.0;另一方面,大部分个人主页空间都不允许上传.eml文件了。 MIME被称为多用途Internet邮件扩展(Multipurpose Internet Mail Extensions),是一种技术规范,原用于电子邮件,现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的,在它出现前,邮件内容如果包含声音和动画,就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准,而接收方必须经过解码才可以获得声音和图画信息。MIME提供了一种可以在邮件中附加多种不同编码文件的方法,这与原来的邮件是大大不同的。而现在MIME已经成为了HTTP协议标准的一个部分。 9.利用Java applet 划时代的Java更高效、更方便——不过是悄悄地修改你的注册表,让你千百次地访问黄(黑)色网站,让你关不了机,让你……,还可以让你中木马。这种方法其实很简单,先利用HTML把木马下载到你的缓存中,然后修改注册表,指向其程序。 10.利用系统自动运行的程序 这一条主要利用用户的麻痹大意和系统的运行机制进行,命中率很高。在系统运行过程中,有许多程序是自动运行的,比如:磁盘空间满时,系统自动运行“磁盘清理”程序(cleanmgr.exe);启动资源管理器失败时,双击桌面将自动运行“任务管理器”程序(Taskman.exe);格式化磁盘完成后,系统将提示使用“磁盘扫描”程序(scandskw.exe);点击帮助或按F1时,系统将运行Winhelp.exe或Hh.exe打开帮助文件;启动时,系统将自动启动“系统栏”程序(SysTray.exe)、“输入法”程序(internat.exe)、“注册表检查” 程序(scanregw.exe)、“计划任务”程序(Mstask.exe)、“电源管理”程序等。 这为恶意程序提供了机会,通过覆盖这些文件,不必修改任何设置系统就会自动执行它们!而用户在检查注册表和系统配置时不会引起任何怀疑,例如“注册表检查” 程序的作用是启动时检查和备份注册表,正常情况不会有任何提示,那么它被覆盖后真可谓是“神不知、鬼不觉”。当然,这也许会被“系统文件检查器”检查(但勤快的人不多)出来。 黑客还有一高招“偷天换日”!不覆盖程序也可达到这个目的,方法是:利用System目录比Windows目录优先的特点,以相同的文件名,将程序放到System目录中。你可以试试,将Notepad.exe(记事本)复制到System目录中,并改名为Regedit.exe(注册表编辑器),然后从“开始”→“运行”中,输入“Regedit”回车,你会发现运行的竟然是那个假冒的Notepad.exe!同样,如果黑客将程序放到System中,然后在运行时调用真正的Regedit,谁知道呢?(这种方法由于大部分目标程序不是经常被系统调用,因此常被黑客用来作为被删除后的恢复方法,如果某个东东被删除了又出现,不妨检查检查这些文件。)
木马病毒怎么编程,有什么编,编程后怎么用?
要编木马.就要学一门程序设计语言,VB可以,C语言也可以..不过JAVA.之类的就不用了.不用可视化了..
学了语言后你要有对计算机安全系统的了解
然后想出你的木马要做什么
然后设计算法.
最后代码实现就行了..
怎么让木马病毒软件在电脑里安全运行电脑又不中毒
目前唯一能做到以上要求的软件是虚拟机,虚拟机的主要功能是虚拟一个完全不和主机系统有关的系统,也就是说,只要在里面运行病毒,运行完成之后清除数据百分之百的不会感染虚拟机里的病毒,当然,误操作除外,目前主流的虚拟机软件有:
VMWare Workstation
开发商:VMWare
功能强大,虚拟机虚拟的显卡也不错。缺点是VMWare很不绿色,会对你的系统有一些影响。而且Vmware Workstation本身有点臃肿,占用系统资源比较多。
下载地址(因为现在VM12的破解尚未完成,只能提供11的下载地址):https://download3.vmware.com/software/wkst/file/VMware-workstation-full-11.0.0-2305329.exe
破解密齿(记得不要升级):1F04Z-6D111-7Z029-AV0Q4-3AEH8
Virtualbox
开发商:原Sun Microsystems,现在的Oracle
相对比VMWare workstation轻量级一些,运行一般的游戏的话,性能不输于vmware。但是配置起来相对麻烦,因为介入到了一些芯片级的设置普通用户用起来会比较麻烦。
官网下载地址(支持中文):http://download.virtualbox.org/virtualbox/5.0.6/VirtualBox-5.0.6-103037-Win.exe
Microsoft Virtual PC
开发商:Microsoft
这个虚拟机我觉得只适合企业虚拟化应用,不适合玩游戏,因为它的虚拟显卡性能实在是捉鸡,非常轻量级。
官方下载地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=3702
Microsoft Hyper-V
开发商:Microsoft
这个虚拟机的优点缺点同VPC,但是这个虚拟机不提供下载渠道,只在WINDOWS 8 \8.1\10里面附带,相对VPC功能有所提高。
电脑出现了木马怎么运行软件杀毒?
第一步:重启电脑按F8进入安全模式下。
第二步:使用腾讯电脑管家杀毒软件,全面的查杀病毒程序,总计四大反病毒引擎:腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎,也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎,还应用了国外两大品牌的本地查杀引擎,有力的保障了对病毒的精准查杀,可以彻底的清理干净病毒木马程序。
电脑中木马病毒了怎么办?
电脑如果中了木马病毒一般情况下比较轻的,可以通过安装杀病毒软件或者升级杀病毒软件以后进行删除。如果木马病毒比较顽固,删除以后效果没有的话,那就可以通过重装系统彻底解决问题。不过重装系统以后也要升级杀毒软件,并且全面检查磁盘,防止木马重新入侵。
如何让木马解压后自动运行?
三.运行木马
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下图:
(1)由触发条件激活木马
触发条件是指启动木马的条件,大致出现在下面八个地方:
1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。
2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。
5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
6.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。
7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
(2)木马运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:
其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。
(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。
(3)4000端口:这是OICQ的通讯端口。
(4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
木马病毒怎么处理?
楼主你好
首先你必须有个杀毒软件,查毒肯定是首选
推荐你可以试试腾讯电脑管家,他拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。
安装运行腾讯电脑管家后可以很醒目的看到杀毒选项
你可以根据需要选择闪电查杀、全盘查杀、和自定义位置查杀三种模式进行查杀
或进行安全模式下全盘杀毒,安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除。
如果遇到顽固木马,可以进入安全模式杀毒看看,可以用腾讯电脑管家工具箱——顽固木马克星(强力查杀功能),也可以试试文件粉碎哟。
温馨提示:如果遇到木马或病毒杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。如果遇到这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了。
如果不能解决,就只能重装系统了。
怎么去运行木马病毒
如果要测试病毒。我推荐去下哥虚拟机 vm7现在很好用。在多特网上有的下。然后装个虚拟系统在里面。你在虚拟机里面运行木马。这样的话就没什么问题了。