瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 菜鸟学堂 » 没人发吧?病毒常在系统做的手脚
夲號ヱ被ジ盜 - 2009-5-15 21:57:00
版主锁帖





一、替换explorer.exe
Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录

如果在C:\Windows\temp生成则C:\Windows中的可能被替换



二、替换userinit.exe
在C:\WINDOWS\system32文件夹
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。
如果桌面的图标好一阵时间都是像不能识别的程序的图标,并且显示任务栏,桌面图标超慢

userinit.exe可能被替换

关于木马群病毒中替换系统文件,尤其是替换explorer.exe和替换userinit.exe的情况ï8I=Èýé3—pbbs.ikaka.comž•¦×“@2Õ&dotÝ
ï8I=Èýé3—pbbs.ikaka.comž•¦×“@2Õ&dotÝ
判断最简单的就是在自己的防火墙内观察这俩程序是否要访问网络,因为正常系统内,它俩是不会访问网络的。ï8I=Èýé3—pbbs.ikaka.comž•¦×“@2Õ&dotÝ


三、实现注册表启动
注册表是什么?
http://baike.baidu.com/view/979.htm

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这个是病毒常用的手脚
直接添加它的路径实现开机启动

四、比较笨的一种
开始-程序-启动



五、修改挂钩
什么是挂钩?
http://baike.baidu.com/view/704748.htm



六、还是注册表
一般是木马群用的

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
底下只要有一大堆未知的都是



七、DLL劫持
最近常见的有
犇牛木马群(猫癣下载器)
在每个根目录下创建usp10.dll
http://baike.baidu.com/view/697659.htm

未知木马群
winsock32.dll
comres.dll
及系统常见的DLL文件

什么是DLL?
http://baike.baidu.com/view/4373.htm


八、修改、伪装、感染

比如Autorun.inf
http://baike.baidu.com/view/603374.htm
伪装成文件夹的

http://baike.baidu.com/view/2116112.html

感染文件的
只要你运行这个文件你机子就接着中毒
如Worm.Nimaya.ef(熊猫烧香变种)
Virus
Worm.Win32.DiskGen.lc(磁碟机变种)
win32.BMW.j(异形熊猫烧香变种)

九、伪装签名
这个复杂
伪装成什么的都有
不再一一列举

十、破坏系统隐藏文件属性


十一、添加IEFO(镜像劫持)
什么是镜像劫持?
http://baike.baidu.com/view/1296399.htm

十二、创建驱动\服务
什么是驱动?
http://baike.baidu.com/view/43111.htm
什么是服务?
http://baike.baidu.com/view/685551.htm
直接由SYS启动
sys是system的缩写,就是系统的意思,sys是Windows的系统文件。如安装文件,日志文件,驱动文件,备份文件,操作如播放等文件,还有些垃圾文件等诸如此类。 都是这类sys后缀名的。


  如果不放心,可用某些软件对系统进行备份,或者优化软件,系统管理软件,这些软件可以查看不明系统进程并予以禁止和清除,对系统垃圾进行清理,保护系统正常运行,和不被恶意软件或者程序侵扰。如有发现不明文件,进程,可及时予以删除,卸载。


  要对sys文件进行搜索,推荐你用文件名为关键词在Google(www.google.cn)网上进行文件搜索。





十二、修改文件关联
http://baike.baidu.com/view/1461556.htm



总之病毒的行为:写注册表,改注册表,删除注册表
写文件,删文件,改文件
发送信息,发送隐私(如密码)
妨碍用户正常使用计算机而已







左眼球 - 2009-5-15 22:05:00
抢先一步前来学习:kaka12:
badboyhhz - 2009-5-15 23:39:00
深入学习
天月来了 - 2009-5-16 14:49:00
关于木马群病毒中替换系统文件,尤其是替换explorer.exe和替换userinit.exe的情况

判断最简单的就是在自己的防火墙内观察这俩程序是否要访问网络,因为正常系统内,它俩是不会访问网络的。
白脸虾皮 - 2009-11-20 12:30:00
学习学习
Iris1011 - 2010-1-14 21:09:00
参观学习~
青青梅美 - 2010-1-15 13:17:00
学习学习.............
lsl_322 - 2010-2-23 15:07:00
牛人!!
筠林碧湫 - 2010-3-2 21:24:00
看完这个 更觉得分析日志的重要 通过被修改的找出问题在哪是很实用的方法
小棉花ZY - 2010-3-3 19:05:00
哦~看了很长时间,原来是这样啊,嗯,要能做好分析日志的话,这些都要了解清楚才行呐。
njuptzc - 2010-3-4 11:03:00
还是要同过sreng分析后才能做出准确判断
1
查看完整版本: 没人发吧?病毒常在系统做的手脚