时下的病毒越来越多,并且适应的技术也越来也先进但是病毒它难道就真的高不可测吗?其实我们接触的木马也好病毒也罢,它的乳蛾点就是---开机时它会自动启动
我们只要卡住它的脖子就不会有问题了,方法是点击“开始”--“运行”--输入“msconfig”回车,就到了系统使用配置(除了windows 2000家族包括server版的没有,不过你可以从网上下载一个XP或2003的复制到Windows/system32/下即可,最好用不用98下的,因为98不支持服务)。
1.这样你会发现在选项卡上有“服务”现在的病毒学聪明了它们把自己注册成服务,一般人就找不到它的启动项了。
2.还有就是“启动”这里有常规的启动项,95%的软件就是从这里启动那么还有深么呢?
3.就是文件的关联(常用的是可执行文件exe和记事本文件txt),就是你调用某一类的文件后病毒或木马就会激活了,这样你能清的了吗!其实杀毒软件是极其被动的甚至是摆设,逃避内存检查的方法见以下,学过汇编或程序员都知道的“壳”,它是一种用来保护软件防止反编译用的,但是病毒有了这层盔甲杀毒软件就认不出来了,查毒软件的工作原理就是特征码的提取。用一个偏一点的壳杀毒软件就没用。所以还是手动查毒稳定。
4.隐藏式的服务,现在有些软件越来越底层化,以上的办法都没办法了,为了方便有一个反rootkit的工具就可以发现了。相关的大家可以在搜索引擎上查找。
5.线程注入式,这种病毒最BT,但是由于实行隐藏的方法太复杂往往某个进程的CPU占用率居高不下,你就应该心里有数了,因为基于hook技术的软件很不稳定的
6.感染式,这种技术比较古老了,由于在DOS下软件大多数是COM后缀的文件(16bit)一般只有汇编高手才高的定,但是到了Win32时代,PE文件的出现,软件的资源的分散,就有了间隙(由于PE文件编器必须对齐)这样就分成了区段也叫“节”,所以UPX之类的加壳软件压缩的道理就是这,再加上算法其实也很简单的。
7.内核驱动类,对windows的底层了解深刻的人都知道windows的驱动运行在ring0级这就意味着任务管理器也结束不了,几乎同硬件一样的底层(比物理层稍高,不是TCP的OSI哦)
技术我能想的大概就这么多,写了这么多主要是起到抛砖引玉的作用。如果哪位不明白的可以用QQ或MSN与我沟通。QQ:122025848 MSN:smartceo@msn.com GMail:allinsmart@gmail.com欢迎讨论 (1987 --- smart CWJ)
2180
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
