“计算机病毒”常用技术分析
我国计算机及其网络发展普及到今天,病毒对电脑的危害是众所周知的,轻则影响机器速度以及死机,重则破坏数据或造成信息安全危机。在这里我主要分析了现阶段“计算机病毒”常用的一些技术,希望对大家深入了解“计算机病毒”有所帮助,进而可以更好的查杀病毒。
现阶段“计算机病毒”常用的技术主要体现在以下几个方面:
1、自启动方式
加入到计算机的自启动项或可执行文件里面,使得在开机时或打开相应程序时激活病毒,主要表现在以下几个方面:
注册表启动项加载病毒
注册表里加载病毒的地方主要以下几个项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
系统配置文件加载病毒
如:A、SYSTEM.INI、WIN.INI文件里加载病毒;
B、Config.sys和Autoexec.bat是古老病毒长驻内存的方式;
C、绑定系统外壳(Shell)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的shell值
服务加载病毒
我们可以从以下几个方面查看系统有没有加载异常服务:
A、运行services.msc,启动服务管理器检查注册的服务
B、运行Regedit查看
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
……
C、MSCONFIG查看非微软服务
D、运行设备管理器查看隐藏的设备
关联加载病毒
文件关联就是将一种类型的文件与一个可以打开它的程序建立起一种依存关系。修改常用文件关联的病毒如:“冰河、Sircam”关联—EXE;“女鬼”关联—COM\JPG;“冰河”关联—TXT等。这些关联我们通常可以在注册表编辑器里查看:HKEY_CLASSES_ROOT\exefile\shell\open\command。
IE插件加载病毒
IE插件能够帮助更方便浏览因特网或调用上网辅助功能,如:工具条(Toolbar)、浏览器辅助(BHO)、搜索挂接(URL SEARCHHOOK)、下载ActiveX(ACTIVEX);
但同时广告软件(Adware)或间谍软件(Spyware)也会加载到里面。
AutoRun.ini加载病毒
AutoRun.ini主要作用是控制存储媒体自动播放,系统默认是所有驱动器都会自动播放,但是我们可以在组策略中强制关闭。如果在本地硬盘根目录下存在AutoRun.ini,多半是病毒。
AppInit_DLLs加载病毒
注册表AppInit_DLL s键值包含在加载 user32.dll 时要加载的文件列表,因此,所有创建了窗口或使用了user32.dll函数的进程在启动时都会自动加载列表中的指定的dll文件。若病毒将自身添加到AppInit_DLLs键值中,就可以加载到绝大部分win32子系统进程中。AppInit_DLLs键值的注册表路径为:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
映像劫持
通过在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options子键下建立一个以常用的程序名为名称(设为$Exe)的子键,将新子键下的Debugger键值的数据设置为病毒文件的路径,当用户启动$Exe时,就会先启动病毒文件。此方法也常用来对抗安全软件,使安全运行的时候其实是运行的病毒程序。
命令解释器加载病毒
Windows命令解释器(cmd.exe)在启动时,会检查注册表子键HKLM\SOFTWARE\Microsoft\Command Processor下AutoRun键值的内容,若有数据,它会先运行数据指定的文件。若病毒将此键值的数据设置为自身的路径,当用户运行cmd.exe或双击bat文件时,都会运行病毒程序
2、对抗安全软件
主要表现在以下几个方面:
结束安全软件进程
“磁碟机”检举系统中的所有窗口。当找到带有关键字的窗口后,病毒就往目标窗口发送大量的垃圾消息,使安全软件无法处理而进入假死的状态,当目标窗口接受到退出、销毁和WM_ENDSESSION 消息就会异常退出。
“AV终结者”则会通过注册全局钩子进入安全软件的进程空间,修改进程空间内的重要系统函数,当安全函数使用这些函数时,就会崩溃退出。
阻止安全软件升级
直接结束Update进程
修改Hosts,导致Update无法连接到升级服务器
自己伪装成安全软件
进程名伪装成杀毒软件
禁止用户使用任务管理器和注册表管理器
打开任务管理器,窗口一闪而过
运行注册表编辑器,窗口立即关闭,或者提示被管理员禁用
3、自保护和自隐藏
多进程相互守护
病毒一般会创建多个副本和多个进程,这些进程相互保护。若某个副本或进程被删除,其余的进程会重新生成它们。
注入explorer.exe, iexplorer.exe, winlogon.exe进程
木马及远程控制软件多数会将向系统进程中注入远程线程来执行主要的功能代码,以隐藏自身。而且许多安全软件都不会拦截由iexplorer.exe发出的下载请求。
网络升级
现在比较厉害的病毒都有自动升级功能,每隔一段时间会连到服务器升级病毒程序。而出于利益驱使和病毒组织化,病毒的更新比较频繁。比如:磁碟机每两天会更新一次主要功能代码,网络红娘每周会至少出一个版本。频繁的升级也可以有效的保护病毒程序。
修改系统结构,隐藏进程和服务
些病毒也会通过系统结构来隐藏自身。如:灰鸽子会通过修改EPROCESS结构链,将自身的进程结构从系统进程列表中脱离出来。用户无法通过任务管理器等用户态的程序检测到该进程。 网络红娘也会通过修改services.exe进程中的服务链表,隐藏自身的可启动服务项。services.msc、SRENG等工具都无法检测到此服务。
隐藏和伪装
如:感染、伴生、捆绑可执行文件;病毒的社会工程学;设置文件属性;放到系统目录中;改为系统文件相似的文件名;远程注入和Hook API等。
最新评论