注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

深圳智阳网联社区

天行健,君子以自强不息;地势坤,君子以厚德载物!

 
 
 

日志

 
 
关于我

我没有天才的天赋,我却拥有勇者的恒心和动力,具备这两项因素,就足够我去完成和创造一切奇迹。

网易考拉推荐

重装系统也无法解决中毒的几种技术  

2012-03-21 11:52:10|  分类: 病毒解决方案 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

重装系统也无法解决中毒的几种技术

早在上个世纪CIH出世之日,重装万能论这种不着调的东西就应该结束了。但是没想到时至今日,依旧有无数人将其奉为真理,实行着裸奔的勇敢举动,认为出了事重装就行。于是,今天我就稍微总结下一些让重装万能论失效的东西。
1 AUTORUN
已经是有点过时的东西了,但依旧有好多人中招。形式就是在磁盘的根目录下放入 AUTORUN.inf跟XXX.exe
AUTORUN.inf通常内容如下:
引用
[AutoRun]
sheLl\open\DEfAult=1
OpeN=xxx.exe
sheLL\exPLORE\CommaND=xxx.exe
sHELL\opeN\coMmand= xxx.exe
ShelL\AUtoPlay\cOmmanD= xxx.exe
这是随便找来的一个AUTORUN,指向xxx.exe,只要一双击盘符就会在那一瞬间运行xxx.exe。微软做这个功能出来当初是为了美化 磁盘图标用的,所以我们有时候放入光盘时可以看到一些漂亮的图标,而且有些光盘盘符只要一双击里面的安装程序就会运行。很人性化的设定,但是不加思考的用 在本地磁盘上就一点都不美了。当你重装完系统,无意中双击其他盘符的时候,绝望的一刻又来了,不光是本地磁盘,遭殃的还有U盘,U盘作为外存储设备,在不 同的机器上拔拔插插是必不可免的。于是,这也就成了U盘病毒传播的途径,典型代表。。。很多。。。。现在想的起来的只有飘雪。
2 向第三方软件目录下下蛋
这个手法蛮新颖的,算是最近新出炉的。很多人为了避免在C盘产生太多碎片都会选择将第三方软件装在非系统盘里,尤其是像QQ这种即时通讯工具,聊天记录是很珍贵的。于是这就给了病毒复活的机会。
方法就是往特定软件下添加一些自制DLL文件。一般与一些系统DLL的名字相同,比如说WSOCK32.DLL这跟WINDOWS的运行机制有 关,可执行文件在运行的时候为了提升效率,会优先在本目录下寻找输入表中需要加载的DLL文件,在找不到的情况下才会去SYSTEM32目录下寻找,于是 这就让一些病毒钻了空子,当你重装完系统,兴高采烈地打开QQ想跟人胡侃时。。。悲剧再现。。。
典型的代表有JAVQHC还有中华吸血鬼(这个东西是在所有文件夹目录下都放个WSOCK32.DLL)说实话,有一点我到现在还有点迷糊的 说。比如说QQ的FINEPLUS插件,要运行了FINEPLUS.exe再运行QQ.exe它就会自动加载FINEPLUS.dll,可是把 FINEPLUS.dll删除,qq依旧可以运行。本来我以为应该是修改了可执行文件的输入表。但是现在看下来,实际情况似乎不是这样的......
3 感染型
前两种方法都是有一些取巧的成分在其中,但是感染型无疑是可以避免一切意外情况的发生(除非你就只有一个系统盘)感染型又分两种:
1 添加型感染
这种无非就是在程序头部或者尾部加点料而已,稍微高超点的往空白段里加(不过应该是只对特定程序有效)程序一般来说还是可以运行的。只要有大蜘蛛在手,一般都能轻松搞定。
2 覆盖型感染
这个无疑是最强悍的,理论上来说。彻底没有修复的可能,只能删除。不过原理说实在的我也不是很清楚,我不知道那些病毒它覆盖的到底是哪段的程 序,比如上次我实验“在线修复KAV”的时候,过了几个月我都给忘了,重装虚拟机后运行在D盘的SSM安装文件,依旧可执行,只是进度条到一半卡死了。系 统再度中毒。
典型代表:熊猫烧香,小浩
总体来说感染型有几个规律
1.感染非系统盘的可执行文件
2.运行中的程序不感染
3.压缩包内的程序不感染(这点也不是做不到,而是工作量实在太庞大。。。而且最重要的一点。。。就是不知道哪个EXE对应哪个RAR文件以上几点总结完毕,还有一些非主流的技术太过于依赖RP,一些太牛X的技术我也不是很懂(比如在不可见扇区里塞东西:引导型病毒)。。。。所以就不讲了。
  评论这张
 
阅读(383)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017