Atitit.病毒木马程序的感染 传播扩散 原理

Atitit.病毒木马程序的感染 传播扩散 原理

 

 

1从木马的发展史考虑,木马可以分为四代 1

2木马有两大类,远程控制  vs  自我复制传播1

3自我复制2

3.1. 需要知道当前cpu核心数量2

3.2. Cpu占用百分比2

3.3. Io占用百分比2

3.4. 内存占用百分率2

4通过email传播扩散3

5通过qqsns im软件传播扩散3

6Bbs 论坛网站传播扩散3

7捆绑下载软件扩散3

8局域网扩散感染3

9利用系统或软件漏洞; 3

10. 隐藏自身技术3

10.1. 在任务栏中隐藏自己 3

10.2. 进程隐藏3

10.3. 修改图标 4

10.4. 捆绑文件 4

10.5. 文件夹惯性点击4

10.6. 1、隐藏文件4

10.7. 隐藏窗口4

 

1. 从木马的发展史考虑,木马可以分为四代

。第一代木马功能简单,主要对付Unix系统,而Windows系统中的木马只有B0等几款;第二代木马功能大大加强,几乎能够进行所有的操作,如B02000、冰河等。第三代木马继续完善连接和文件传输技术,并增加了木马穿透防火墙的功能,并出现了反弹端口技术,如本文即将引用的灰鸪子等。第四代木马除完善了前辈们所有的技术外,还增加了进程隐藏技术,使系统更加难以发现木马的存在与入侵的连接

 

2. 木马有两大类,远程控制  vs  自我复制传播

一类主要用于远程控制,因此,也可以将其用于帮助网管远程管理汁算机;二类是恶意的木马程序,它除了可以远程控制外,还会恶意传播病毒。

 

作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 汉字名:艾龙,  EMAIL:[email protected]

转载请注明来源: http://www.cnblogs.com/attilax/

 

3. 自我复制

自我复制的条件  要判断是否已经在有复制进程了,需要避免多进程复制,以至于消耗过多的cpu  and io  and mem

3.1. 需要知道当前cpu核心数量

3.2. Cpu占用百分比

3.3. Io占用百分比

3.4. 内存占用百分率

 

4. 通过email传播扩散

5. 通过qqsns im软件传播扩散

6. Bbs 论坛网站传播扩散

7. 捆绑下载软件扩散

8. 局域网扩散感染

9. 利用系统或软件漏洞;

10. 隐藏自身技术

 

从最初最简单的一般属性隐藏,到现在的DLL进程隐藏和驱动级DRV,从OSI结构来看,DRV就快到底了,下一步应该是所有知识的综合运用了。从技术角度,系统永远都有漏洞,所以杀毒软件永远都有事做。

10.1. 在任务栏中隐藏自己

木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的。只要在编程时把FormVisible属性设为FalseShowInTaskBar设为False,程序运行时就不会出现在任务栏中

10.2. 进程隐藏

隐藏进程

对于本机病毒或木马本身,隐藏进程应该是病毒木马的终极表现形式了,所以无论病毒部署的过程有多复杂,最终无非两种:

A、非独立进程下的DLL、DRV.....挂载

B、感染系统文件之后自我毁灭掉,病毒与正常文件合二为一

10.3. 修改图标

10.4. 捆绑文件

10.5. 文件夹惯性点击

  把木马程序使用文件夹图标并放在一个多层目录,接着再在外面三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹的木马时,也会收不住鼠标点下去,这样木马就成功运行了。

10.6. 1、隐藏文件

该项技术本来面向是方便用户操作的,为保护系统或重要文件不被用户误操作删除,一直到现在重要的系统文件也在使用,但似乎总是没病毒木马程序“发挥”的更好,目前病毒大都是把隐藏作为第一步基础技术并结合最新技术使用,当然明目张胆不隐藏狂挥大刀的也大有毒在,因为病毒执行过程时间非常短暂,只需要让杀毒软件和防火墙先休克一下,事情做完后可以再次放开,木马已经布局完毕,挂下DLL或DRV,原木马布局程序也就不再需要了。

 

10.7. 隐藏窗口

 

 

 

 

 

隐藏病毒木马的感染部署与常用处理方法.htm

你可能感兴趣的:(Atitit.病毒木马程序的感染 传播扩散 原理)