本文目录一览:
- 1、在家用冰河木马这个文件会不会再见电脑中毒啊?
- 2、什么病毒能把除了c盘以外的所有东西都弄丢
- 3、专家您好!我想请教一下,我的一些照片放在电脑里,会不会被病毒之类的东西盗取?谢谢!
- 4、怎么才能让360杀毒检测不出冰河木马 通过捆绑隐藏可不可以?
- 5、防黑客冰河木马
- 6、求冰河木马分析
在家用冰河木马这个文件会不会再见电脑中毒啊?
其实这样的问题很简单也很容易解决,但是需要一点病毒的基础知识,在下不才,提示一些注意的方面,旨在给新手一些提醒,并希望达到抛砖引玉的效果,请各位DX以及老前辈们不吝赐教。现在,请各位听我慢慢道来。
早在win95盛行的年代,流行在机器上的病毒,也不过就是一些文件型病毒和引导区型病毒,最大的破坏效果也就是导致系统运行变慢、文件不能运行,遇到BT一点的,还会删除或者格式化硬盘和破坏硬盘分区表。那时的网络没有现在这样普及,个人上网还是一件“奢侈”的事情。NTFS分区也没有应用到个人家庭的PC中(仅仅在NT操作系统中应用)。所以那个时候病毒也没有现在这样厉害,在传播性和杀伤程度上都不如现在,也没有很多的木马病毒,最多也就是“冰河木马”和“ BO ”。但是由于他们的病毒机制和语言编写方面的原因,导致他们的客户端隐蔽性不好,可以在按下“ctrl+alt+del”键的时候,被用户发现运行在内存中。对于注册表的修改,也仅仅限于修改启动项目,使自己可以开机加载。在那个年代,我们防范病毒的意识也仅仅停留在D版软件和软盘的使用方面。到现在我还清楚的记得,当时学校机房的老师不允许使用自己的软盘时的情景――脸拉的老长,在每个人身边渡来渡去的,要是被发现谁偷偷使用,轻者遭到横眉冷对,重者会被“驱逐出境”。而且在不了解内情的情况下,还会遭到“千夫指”――众多同学认为你是害群之马,抛以鄙夷的眼光。(其实是老师生气,不许玩那时经典的、盼望以久的、打发时间的好游戏-“玛力兄弟”)
在那个时候杀毒也显得是那么简单(技术方面)的事情,插入张D版的K***的软盘(那时玩电脑的人手一张,代替计算机系学生证了),启动机器,一阵硬盘配合小喇叭(那时没有音箱)“滴、滴..”的声音响过,和满屏幕的“found xxxx virus ,killed!!不停的闪过,病毒就解决完了。
但是现在的病毒远远没有那么简单,不论是传播方法还是杀伤力,都更胜一筹。由于操作系统的不断升级(98--98se--me--2000--xp),病毒也在不断的升级。过去DOS下的引导区病毒已经不是病毒世界的中心(有消息说最近引导型病毒有回升的趋势),开始发展到以木马病毒为主的局面。由于现在网络的飞速发展和普及,几乎每个人都可以上网,所以给病毒带来了传播的“温床”。以哲学角度看问题,这些都是不可避免的(事物个有利弊么),唯有加紧防范。而现在的木马病毒远非最初的“冰河”和“BO”那么简单。开后门、监听端口、自我隐藏、复制、偷取游戏密码、银行、股票账号及机器上其他重要信息、恶意删除文件、甚至是偷偷干掉正在运行的各种实时杀毒监控程序……等等,让我们感到防不胜防。
最初的木马不过是通过文件合并器合并成其他类型的文件引诱用户运行或者D版软件盘上本身携带,通过邮件传播的都很少。但是现在的网络安全随着我们网络更加平民化显得更加脆弱。多少年前,我们从没有想到过浏览一个网站,就会使机器中毒的事情,现在层出不穷、笔笔皆是。(很多网友莫名其妙的中毒也是由于此类恶意网站所至)如何防范网络安全,如何使自己免受病毒困扰,成了现在每个人关心的话题。毕竟病毒带给我们的损失太大了。当年CIH病毒肆虐的时候导致主板报废的消息,震惊了多少业界人士。
在这里我提醒大家注意的一点就是:“千万不要以为杀毒软件是万能的,有了正版杀毒软件和最新病毒库就‘无敌'了!”这是极其错误的概念。毕竟病毒数据库都是在出现新病毒之后,分析出病毒代码填充的,才可以查杀。万一哪天“横走江湖”的你正好“倒霉”,遇见“新品种”,偏偏又是一个“狠角”%#……^#¥^#%#…… 恐怕到时候预哭无泪啊!杀毒软件永远是跑在病毒后面的“追捕”,而不是预知灾难和未来的“先知”。先有鸡和先有蛋的问题也许我们永远也弄不清楚,但是病毒和杀毒软件两者,永远是病毒在先!请大家时刻注意自我安全防范。谨记!!
病毒的简单发展和危害,我想给大家介绍的差不多了,接着就是要回答大家提出的为什么有些病毒“杀不掉”或者“再次回来”这个问题。其实这两个问题涉及的完全是同一个方面,就是是如何杀毒?别笑,杀毒不是每个人都会的。有人认为“不就是简单的WIN操作么?在windows下运行瑞星就可以了,我常常那么杀,也没有什么问题啊?”实际非也。我只能说那是你老兄运气好,运气不好的可是大多数。绝对不要在带毒环境下杀毒,那样做几乎是零效果。
现在拥有电脑的朋友们,很多没有经历过DOS时代(绝非以老卖老),仅仅是在图形桌面和鼠标点击下成长的,所以对于引导区、病毒的传染、复制方面不是很了解,有的甚至跟本就不了解。甚至是谈“毒”色变,把机器一切不正常现象都归于-“是有病毒了吧?”非也,告诉大家病毒很简单,人做的程序而已,别怕。其实病毒机理无非就是“感染-》优先运行-》自我复制-》隐藏、破坏-》传播”几个步骤。熟悉了这些,我们就可以知道,杀毒到底要从什么方面入手。先就简单的说说病毒的感染和传播方法。
1、 引导区型病毒 感染启动扇区(包括软盘),在每次开机时读区引导区也就激活了病毒 加入内存。传播方式是通过软盘的读写。
2、 文件型病毒 感染 .exe \.com为扩展名的可执行文件,常驻内存,感染此后加载到内存的应用程序。修改程序文件,导致文件不能使用。
3、 破坏型病毒 恶意删除文件或者格式化硬盘,第一时间加入内存,实行破坏活动
4、 木马型病毒 自我复制、自我隐藏、开机加载、窃取破坏于一身的病毒
5、 恶意网站 通过恶意代码和IE漏洞侵害用户,偷偷下载和运行带有木马的程序
剩下的宏病毒和脚本病毒先不讨论
不难发现,所有病毒的感染方式都是以第一时间占领机器,取得领导权,并且常驻内存,感染所有今后进入内存的程序为目的。所以对他们下手,也就有了初步的思路。这就是你和病毒之间,到底谁能先拥有机器的“领导权”问题。如果先让病毒占领机器,无疑你就是“攻击战”,攻击战看似简单,但是可惜和病毒使用的武器是同一个东东――“你的爱机”。如果你的爱机先听了病毒的指挥,恐怕攻击战不好打啊,既要夺“武器”,又要“擒贼首”,太被动了。有的时候,爱机跟本不会帮你解决问题,就是因为病毒先占领了机器。
举个例子,比如很多时候,我们杀毒时遇见“文件正在使用“或者”清除失败”这样的报告,原因就是如此,病毒先占领了机器,启动了windows。Windows是决不会允许你对正在运行的程序进行杀毒和删除的。(加一个特殊情况:当检查到压缩文件的时候,瑞星可能提示,需要解压缩之后才可以删除病毒。因为瑞星不能改变你的压缩文件内部结构,所以你最好乖乖的听话,把这个压缩文件解压到一个临时目录下 杀毒后 再次压缩打包就可以了。如果这个压缩文件不是很重要,就直接删除好了,再次去下载新的无毒的压缩文件,不要解压的时候处理不善 造成病毒泄露)
而很多病毒在当时被报告“已清除”但是再次开机或者过几天再次出现的原因是因为病毒有复制功能,并且先占领机器并执行了自己,只要让它先拥有了机器的“领导权”,他会再次将自己复制,并再次感染。这样的恶梦循环不断。所以这就是为什么常常我们在windows下杀毒杀不掉或者杀掉之后再次感染的原因。
既然问题分析清楚了,那么解决的办法也应运而生,那就是脱离windows环境杀毒,争取第一时间取得机器领导权是首要问题。也就是我们常说的使用DOS启动盘杀毒(瑞星A盘)。为什么使用DOS启动盘杀毒就可以真正的杀掉病毒呢?不是启动盘里的瑞星更厉害,而是用软盘启动的时候,不通过硬盘引导,不启动windows。Windows启动的时候根据注册表加载了大量的程序,其中就包括病毒程序,因为经过病毒的修改,启动项目和其他驱动一样被写进了注册表启动项目。但是一但通过软盘引导系统,就不会执行windows注册表配置,病毒自然也就无法第一时间占领机器了。机器已经归我们所有了,病毒只能是束手就擒。同志们!杀啊!杀 杀!!解气去!!
有很多朋友是浏览网页的时候,不知不觉的中了“招”。解决办法只能是防范第一,杀毒第二。主要是打开瑞星监控并及时的把IE的补丁打上,升级最高版本。打上系统补丁。但是对于病毒,我们始终只能是防范,而不是先知。所以给各位常在网上走的朋友提个醒“防患于未然,多多提高警惕吧”!
回答一些朋友的问题
很多朋友说我的机器是2000系统和XP系统 系统分区是NTFS的,据我看瑞星说明书,瑞星A盘具有杀NTFS分区的功能,请各位放心好了。
还有朋友说自己的机器上没有软驱怎么办?我只能说很遗憾,也许你可以杀毒(安全模式),但是远不如DOS下杀的更彻底。我在这里建议大家配机器的时候,给自己的机器加个软驱有利无害!大家肯定都懂得什么是有备无患,真正遇见问题的时候,我想远不是几十块钱钞票可以解决的吧,钞票不能恢复数据,不能杀毒,不能启动!还是加个软驱吧。
看了很多朋友的回复帖子,发现很多人建议在安全模式下杀毒。我一直对这个方法持不赞成态度。实际安全模式也仅仅是不加载一些驱动程序,当你执行安全模式的时候,相信你也能看见一大堆.dll文件执行了(2000和xp)。对于是不是所有病毒都不会运行在安全模式,这个有待考证。我只能说这个方法是没有软驱朋友的唯一可行方案,但不是其他朋友的最佳方案。强烈建议DOS下杀毒,尽管麻烦,尽管慢 ,但是出于安全角度考虑,牺牲这点时间还是值得的。
另外,站长团上有产品团购,便宜有保证
什么病毒能把除了c盘以外的所有东西都弄丢
您好:导致c盘空间别大量占用的病毒属冰河木马病毒了,如果您的电脑中了冰河木马病毒的话,建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载腾讯电脑管家企业平台:/c/guanjia/
专家您好!我想请教一下,我的一些照片放在电脑里,会不会被病毒之类的东西盗取?谢谢!
您好:
现在有一些病毒在入侵电脑以后是会盗取电脑中的资料、照片和其他的文件的,例如灰鸽子病毒、冰河木马就是此类木马病毒中的几种,建议您使用腾讯电脑管家保护您的电脑安全防止木马病毒入侵吧,腾讯电脑管家的杀毒防毒能力很强的哦,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:
怎么才能让360杀毒检测不出冰河木马 通过捆绑隐藏可不可以?
一般是不行的
不光是360,装了腾讯电脑管家的电脑也很难呗突破
因为腾讯电脑管家是4+1杀毒引擎,管家反病毒引擎、金山云查杀引擎、小红伞本地查杀引擎和管家云引擎,新版本在此基础上启用了管家系统修复引擎,重点加强了“云安全”平台的建设和自研引擎的研发能力,也属国内首例采用“4+1”核“芯”杀毒引擎架构的。
所以杀毒能力是很强悍的
防黑客冰河木马
提起“冰河”木马,相信没有多少网民不知道。作为国内木马程序的经典之作,它操作简单,功能强大。虽然原作者黄鑫从2.2B版本已经彻底停止了开发,但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP以及各种“XX专版”,更有甚者已经开始对修改后的冰河程序进行收费,这引起了原作者黄鑫的注意。
为了防止这种不良影响,他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序,主要有两大功能:一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端,记录入侵者的所有操作。
下面我们就来通过一个“冰河”木马入侵者的诱捕实例来看看如何操作。
第一步:清除冰河木马
把压缩包内的文件解压到一个目录,运行“冰河陷阱.exe”,如果当前系统中已经被别人植入了冰河木马的话,这时它会提示你是否自动清除冰河木马被控端程序,当然要选择“是”了,接下来它会显示出这个安装的“冰河”木马的配置信息,点击[确定]按钮,冰河陷阱就会自动彻底地从系统中清除冰河木马,并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。现在我们要打开该文件查看,注意记下“监听端口”中的数字“7626”(也可能会是其他数字),后面要用到。
另外还要记下“接收IP信箱”后面显示的邮箱,这就是入侵者接收你的IP地址以及密码等信息的信箱,以后你可以向该信箱发出警告信或者请求信箱服务商的管理员帮助。
我在试用中发现如果“冰河陷阱.exe”处于运行状态,冰河木马被控端程序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无冰河被控端程序,并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项,让它开机自动运行。
第二步:请君入瓮
接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后,点击“设置”菜单中的“设置监听端口”,然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样),然后单击工具栏中的[打开陷阱]按钮,再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应,使入侵者以为你的机器仍处于他的控制之下。
当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时,可以在系统托盘中看到冰河陷阱图标不断闪烁报警,同时还有声音报警。双击图标打开“冰河陷阱”主界面,在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。
另外,冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮,可以直接给入侵者发送一个反击消息,当然越恐怖效果越好,保证让这个入侵者“丢盔弃甲”,落荒而逃,再也不敢冒犯你了。
求冰河木马分析
一、所需工具
1.RegSnap 监视注册表以及系统文件变化的最好工具
2. IceSword 查看程序所打开的端口及进程等的工具
3.PEID 查壳工具
4.upx 加壳工具同时也具有脱壳功能
5.IDA v5.0 反汇编工具
二、分析步骤
将所有工具以及冰河的服务端传至Vmware架设的WINDOWS XP 中,一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。
首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。
然后在虚拟机上运行“冰河”的服务器端,双击server.exe。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。
从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮,这样RegSnap就开始比较两次记录有什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm,发现可疑项如下:
File list in C:\WINDOWS\system32\*.*:
Summary info:
Deleted files: 0
Modified files: 0
New files : 2
可见木马在system32下生成了两个新文件.生成的文件信息如下,
New files
kernel32.exe Size: 274 944 , Date/Time: 2004年1月5日 10:00:02
sysexplr.exe Size: 274 944 , Date/Time: 2004年1月5日 10:00:02
生成的文件分别为kernel32.exe,sysexplr.exe,同时修改了文件的日期,从而达到隐藏的目的。
木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化:
Summary info:
Deleted keys: 0
Modified keys: 28
New keys : 42
修改了28项,新增了42项。
通过查看Regsnp1-Regsnp2.htm,以下信息比较可疑:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@
Old value: Type: REG_EXPAND_SZ Length: 37 byte(s)
25 53 79 73 74 65 6D 52 6F 6F 74 25 5C 73 79 73 | %SystemRoot%\sys
74 65 6D 33 32 5C 4E 4F 54 45 50 41 44 2E 45 58 | tem32\NOTEPAD.EX
45 20 25 31 00 | E %1.
New value: String: "C:\WINDOWS\system32\Sysexplr.exe %1"
修改了txt文件的打开方式为先运行木马生成的文件Sysexplr.exe,从而只要用户一打开记事本就会启动木马。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\@
Value: String: "C:\WINDOWS\system32\Kernel32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\@
Value: String: "C:\WINDOWS\system32\Kernel32.exe"
在以上键值里加入木马的生成文件,从而达到开机自动运行的效果。
下面开始分析它的监听端口:
打开IceSword点击端口,发现:
7626 0.0.0.0:0 LISTENING 1792 C:\WINDOWS\system32\Kernel32.exe
可见其监听端口为7626。
以上冰河基本分析完毕,下面我们进一步分析,看看它是如何实现的。
三、深入研究
PEID查看server.exe文件,显示文件加壳,壳为UPX0.89.6-1.02/1.24,我们直接用相应版本的UPX来脱壳, upx –d脱壳完成。IDA载入木马服务端server.exe。Shift+F7打开段窗口,双击进入idata段,查看引入的函数.发现里面引用了大量的注册表操作函数同时引用了winsock32.dll用来建立网络连接。
首先判断被感染对像机器的系统版本,用GetVersionEx得到系统版本,然后根据各个版本得到系统目录,计算机名,桌面宽度,当前用户之类的信息。释放病毒文件,并修改文件的属性和时间。属性被设为只读和存档。接着修改注册表,用RegOpenKeyEx打开注册表的键,然后用RegSetValue设置相关信息,如启动项之类,最后RegCloseKey关闭句柄.下面建立网络连接,用WSAAsyncSelect创建一个异步事件,然后创建socket连接,用bind绑定,端口7626就是在这里设置的。
四、查杀
通过上述分析,想要查杀此木马可以如下:
1. 进入注册表删除HKLM下的Run及RunServices里的默认项,值为C:\WINDOWS\system32\Kernel32.exe。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command里把默认项改回%SystemRoot%\system32\NOTEPAD.EXE %1。
3. 进入system32目录删除kernel32.exe和sysexplr.exe。
搞破坏,本人不负责
