新手学黑客基础知识（二）

计算机病毒
特性：破坏性，隐蔽性，潜伏性，传染性，不可预见性
产生过程：程序设计，传播，潜伏，触发，运行，实施攻击
病毒的发展过程：
一：DOS引导阶段，当时计算机主要依靠使用软盘启动和利用软盘在计算机之间传递文件，利用了软盘启动原理工作，修改系统引导扇区，在计算机启动之前，首先获得控制权。减少系统内存，修改磁盘读写中断，在系统存取磁盘时进行传播。
二：dos可执行阶段，可执行病毒的代码在系统执行文件时取得控制权，修改dos中断，在系统调用时进行传染，并将自己附加在可执行文件中，可同时感染com和exe文件。
三：伴随性阶段，感染EXE文件再产生一个同名文件和com伴随体，并不改变原来的文件，解除病毒需要，删除伴随体。
四：变形阶段：要实现一种功能，可通过汇编语言用不同的方式来实现，变形病毒就利用这种缺点，每感染一次就产生一段不同的代码；
五：变种阶段：随机插入一些不影响病毒效果的片段，大大提高了复杂程度，不便于查毒；
六：蠕虫阶段：可自动运行的独立程序，通过不停获取网络中存在的漏洞的计算机的控制权来进行蠕动；
七：PE文件病毒，修改LE，PE文件，利用保护模式和API调用接口工作。
八：宏病毒：word宏语言编制，使用VBasic Script语言感染word文件；
九：互联网病毒：邮件，网页，数据包；
病毒分类：
系统分类：dos系统，Windows，unix，os/2
连接方式：源码型，在编译之前，插入程序
嵌入型病毒，嵌入到对象中，把病毒的主体程序与其攻击对象以插入的方式连接
外壳型，这种病毒将其自身包围在被侵入的程序周围，对原来的程序不做修改，易编易查，一般测试文件大小即可查出
操作系统类，加入或取代部分系统代码进行工作
进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。病毒可用一定的方法隐藏自身进程。
线程是程序中一个单一的顺序控制流程。
动态链接库dll是作为共享函数库的可执行文件也是PE格式，但是不能独立运行，只能通过其他可运行的程序加载到内存中执行。
动态链接提供了一种方法，使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个dll中，包含一个或多个已被编译的，链接并使用他们的进程分开存储的函数。
dll还有助于共享数据和资源，多个应用程序可同时访问内存中单个dll副本的内容。dll包含多个程序同时使用的代码和数据的库。comdlg32dll执行与对话框有关的常见函数，这有助于促进代码的重用和内存的有效使用。
通过使用dll，程序可以实现模块化，有相对独立的组件组成。
模块只有在相应的功能被请求时才载入，所以程序被加载得更快。而且更容易更新。
病毒注入技术有两种，向进程空间使用写内存的方式写入代码，或将代码写入dll文件中，这样做更隐蔽。
服务：后台完成的系统任务程序，一些服务设置为开机自动运行。
病毒可以创建一个服务，并设置为自启动，服务关联病毒本身。有些病毒利用系统服务漏洞进行攻击。
注册表是Windows系统数据库，其内容复杂而强大。
Windows注册表指Windows的中央分层数据库，用于存储为一个或多个用户，应用程序和硬件设备配置系统所必须的信息。注册表包含在运行期间不断引用的信息。Windows将它的配置信息存储在以树状格式组织的数据库（注册表）中。
注册表术语：HKEY根键（五大根键）它的图标与资源管理器中文件夹的图标有些像。
key包含附加的文件夹和一个或多个值。
subkey在一个父键下面出现的键。
branch分支，代表一个特定的子键及其所包含的一切。一个分支从每个注册表的顶端开始，但通常用以说明一个键及其所有内容。
value entry值项：带有一个名称和一个值的有序值。每个键可以包含任何数量的值项，每个值项由：名称，数据类型，数据组成。
REG_SZ字符串
REG_BINARY二进制，无长度限制，注册表中二进制一十六进制表示。
REG_DWORD双字有八个十六进制数据组成，可用十六进制或十进制的方式来编辑。
default缺省值，每个键至少包括一个值项，成为缺省值，它总是一个字符串。
注册表的结构~》》