一丢丢新手上路的小笔记,
没什么本事但是想在这个领域有dd自己的jio印子。
各位多多关照欢迎补充~
计算机病毒(Computer Virus)指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。
计算机病毒具有传染性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
上述都是百度百科上写的,个人简单解释一下就是一些能够潜入我们电脑的一些会窃取信息或者导致电脑系统紊乱的指令和代码。
抽一下重点成分来划分一下。
病毒是计算机指令或者程序代码。
病毒是一组具有自我复制能力且会影响计算机正常使用的指令或者代码。
给一份病毒的tape
病毒:一组计算机指令/程序代码
特点:具有自我复制性且能影响计算机正常使用。
WannaCry的发布组织是Shadow Brokers,数以大批网络攻击工具的一种。它主要利用的式Windows系统的SMB漏洞,以此来获取系统最高权限。
其造成的影响就是,勒索软件可以恶意加密用户的文件,用户需用高额解锁。
关于SMB漏洞就不展开了,我了解的不算很详细,有兴趣的uu可以看看这个up的文: (17条消息) 永恒之蓝漏洞利用及攻击_wwl012345的博客-CSDN博客_永恒之蓝https://blog.csdn.net/wwl012345/article/details/89421881?ops_request_misc=&request_id=&biz_id=102&utm_term=%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9D&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-2-89421881.nonecase&spm=1018.2226.3001.4187
预防措施:
a.断网开机并且启动防火墙
b.直接关闭445接口(因为WannaCry是从445接口进入系统的,所以从根源上阻断)以及135、137、138、139端口。
c.创建互斥体
*445端口:在局域网中轻松访问各种共享文件夹或共享打印机
*135端口:主要用于使用RPC(RemoteProcedureCall,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。
*137端口:主要用于“NetBIOS Name Service”(NetBIOS名称服务)。
*138端口:都属于UDP端口,它们在局域网中相互传输文件信息时,就会发生作用。而138端口的主要作用就是提供NetBIOS环境下的计算机名浏览功能。
*139端口:是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
详细操作我觉得这篇文章写的很详细↓
(17条消息) MS17-010 “永恒之蓝“ 修复方案_鹿鸣天涯-CSDN博客_永恒之蓝ms17-010https://blog.csdn.net/jayjaydream/article/details/121777518?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164551726716780271942720%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=164551726716780271942720&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~baidu_landing_v2~default-1-121777518.first_rank_v2_pc_rank_v29&utm_term=%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9D%E6%80%8E%E4%B9%88%E4%BF%AE%E5%A4%8D&spm=1018.2226.3001.4187
解决措施:打补丁,去微软的官网上查找相关的补丁下载安装:Microsoft 安全公告 MS17-010 - 严重 | Microsoft Docs,然后还是跟预防的时候一样,关闭那几个端口。
感染宿主:Windows 95/98系统下PE格式的可执行文件(exe文件)
*PE格式是指任何终端都可以通用的格式,比如dox、ppt等,换句话说这个文件在哪个终端上都可以正常打开,有的文件只至此linu系统,有的只支持windows,在接地体点可以换到手机端上理解,在手机端上有的APP只能在IOS系统上下载使用,有的只能在Android系统上使用。
感染特点:
a.受感染的exe文件是不会改变文件长度的
b.DOS以及WIN3.1格式的可执行文件是不会被感染的,在WIN NT中无效。
危害表现:用户的硬盘数据全部丢失,甚至主板上的BIOS中原内容会被彻底破坏,主机无法启动。
处理方法:摘机重新焊板(BIOS)。某种意义上来说就是,更换BIOS,向主板上的BIOS中重新写入原版程序才能解决问题。
简单了解一下CIH的运行机制吧,首先CIH病毒利用VXD(虚拟机设备驱动程序)接口编程,然后利用碎洞攻击将病毒分拆成若干块插入宿主文件中,引用了BIOS芯片开放了可重写的特性,往计算机主板里面写入乱码(BIOS端口)。文字如果表述不大清楚,可以看看下面这张流程图。
*CIH病毒是一个纯粹的Windows 95/98病毒,是一种文件病毒,会在文件中乱写数据一直到整个系统崩坏为止。
*BIOS:它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读写系统设置的具体信息。
传播方式:以邮件作为伪装,用户打开邮件则会安装弹出“Happy New Year 999!!”的窗口
表现形式:病毒会修改winsock32.dll、windsock32.ska,打开Windows的System目录,如果发现有ska.dll、ska.exe、wsock32.ska.等三个文件,则为中毒了。
预防措施:不要随意打开来源不明的邮件,删除邮件。
处理措施:打开Windows的System目录,删除ska.exe、ska.dll,把wsock32.ska改成wsock32.dll
木马的前缀:Trojan、黑客病毒的前缀:Hack
(这里稍微插播一个题外话,“木马病毒”名字的由来是因为古希腊的时候,特洛伊的王子爱上了斯巴达国王的皇后,王子把皇后带走了之后国王生气请求其兄长支援,恰好兄长此时想要征服特洛伊故而借机攻打特洛伊,并且把真正的士兵藏在木马中,故意装作兵败而诱骗敌方中计的”木马计“)
木马&黑客病毒的联系:
区别:木马是一种可以通过系统漏洞或者网络进入用户系统并且隐藏,而后窃取用户信息,进而泄露的一种病毒;黑客病毒是一种拥有可视化界面,可以对用户电脑进行远程控制的病毒。
联系:木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。
木马病毒通过特定的程序(木马程序)来控制另一台计算机。通常有两个可执行程序:一个是控制端,另一个是被控制端。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完有很强的隐蔽性。
传播方式:
1、通过邮件附件、程序下载等形式传播
2、通过伪装网页登录过程,骗取用户信息进而传播
3、通过攻击系统安全漏洞传播木马,大量黑客使用专门的黑客工具来传播木马。
是一种可以自我复制的代码,并且能够通过网络传播,通常不需要人为干预就能传播,也就是说它不需要宿主程序就能够独立运行。
入侵方式:
1.自动将本程序代码复制到系统盘符下的windows目录中(C:/windows/tsay.tsay.exe)
2.在注册表里面自动创建开机自启的服务
3.病毒在下次用户开机的时候自启,通过DeleteFileA 和RemoveDirectory代码实现针对计算机非系统盘符外的所有存储区域进行文件删除。
4.所有文件夹都会被隐藏,最后留下一个incasefromat.
解决方案:
1.在设备被感染的时候切忌重启,并立即删除病毒程序。
2.注意全盘杀毒,修复注册表
3.禁止u盘自启动
4.如果文件已经删除,立即切断电源,用数据恢复软件进行数据修复。
脚本语言:VBScript、JavaScript、PHP等
脚本病毒会利用文件系统对象,扫描系统中的文件,对规定的文件进行替换、拷贝到指定目录后使得代码自启。
传播方式:电子邮件、局域网、感染网页文件、聊天通道传播
预防措施:
1.禁用文件系统对象FileSystemObject
2.鞋子啊Windows Scriping Host
3.删除VBS、VBE、JS、JSE文件拓展名与应用程序的映射
4.在Windows目录中找到WScript.exe或者Cscript.exe更改名称或删除
5.点击“IE选项”安全选项卡中的“自定义级别”按钮,把Active X 空间及插件设置为禁用
6.禁止OE的自动收发邮件功能
7.修改Windows“隐藏已知文件类型拓展名”为显示
8.系统密码(网络)安全级别至少定位为“中”
9.病毒防火墙定期升级杀毒。
宏是批处理程序的命令,office允许用户自己编写叫VBA的脚本来增加其灵活性,进一步扩充其能力。其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
怎么样知道自己是不是中了宏病毒呢?
系统给出宏警告框的时候,基本上可以判定本文档已经被感染。
中毒危害:
分为两个大方面,一个是Word这方面,一个是系统方面。
对于Word:
1.不能够正常打印。
2.封闭或者改变文件存储路径
3.将文件改名或者胡乱复制
4.封闭有关菜单
对于系统则是Word Basic语言能调用系统命令,造成破坏。
解决方案:
1、首选方法:用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法,也是
一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件,这方面的突出例子就是ETHAN宏病毒。
2、应急处理方法:用写字板或WORD 6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:打开这个包含了宏病毒的文档(当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”),然后在“文件”菜单中选择“另存为”,将此文档改存成写字板(RTF)格式或WORD6.0格式。
参考链接:(18条消息) 木马病毒简介_weixin_30652271的博客-CSDN博客https://blog.csdn.net/weixin_30652271/article/details/96684067?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164559910216780269856188%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=164559910216780269856188&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-2-96684067.first_rank_v2_pc_rank_v29&utm_term=%E6%9C%A8%E9%A9%AC%E7%97%85%E6%AF%92&spm=1018.2226.3001.4187
简单点解释就是一种通过网络传播,给系统开后门,给用户电脑带来安全隐患的病毒。
危害:1.泄露本地信息。2.局域网中会刀子网络堵塞,影响正常工作。
后门病毒必有的项目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\yyy : xxx.exe