学校主页 | English
 首页 | 中心概况 | 校园网络 | 用户指南 | 信息安全 | 故障申报 | 下载中心 
入网须知
 入网须知 
 规章制度 
 故障申报 
 
当前位置: 首页>>用户指南>>入网须知>>正文
病毒常识介绍
2014-04-19   瑞星提供 审核人:

病毒知识讲座

——初步了解病毒

一、 病毒部分分类介绍

1. 病毒现象实例 1

‹ 病毒名称:Backdoor

‹ 病毒中文名称:后门

‹ 病毒介绍:指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方

式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运

行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染

的系统进行远程控制(如:文件管理、进程控制等)。

2. 病毒现象实例 2

‹ 病毒名称:worm

‹ 病毒中文名称:蠕虫

‹ 病毒介绍:指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:

MSN、OICQ、IRC 等)、可移动存储介质(如:U 盘、软盘),这些方式传播自己的病

毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。

3. 病毒现象实例 3

‹ 病毒名称 :Trojan

‹ 病毒中文名称:木马

‹ 病毒介绍:特洛伊木马(简称木马)是以盗取用户个人信息,甚至是远程控制

用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑,与战争中

的“木马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗

号木马 、网银木马 、窃密木马 、远程控制木马 、流量劫持木马 和其它木马六

类。

4. 病毒现象实例 4

‹ 病毒名称:Virus

‹ 病毒中文名称:感染性病毒

第 1/9 页 北京瑞星信息技术有限公司C U S T O M E R S E R V I C E C E N T E R

客户服务中心

‹ 病毒介绍:指将病毒代码附加到被感染的宿主文件(如:PE 文件、DOS 下的

COM 文件、VBS 文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运

行时取得运行权的病毒。

5. 病毒现象实例 5

‹ 病毒名称:Harm

‹ 病毒中文名称:破坏性程序

‹ 病毒介绍:指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式

化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。

6. 病毒现象实例 6

‹ 病毒名称:Dropper

‹ 病毒中文名称:释放病毒的程序

‹ 病毒介绍:指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们

运行。

7. 病毒现象实例 7

‹ 病毒名称:Hack

‹ 病毒中文名称:黑客工具

‹ 病毒介绍:指可以在本地计算机通过网络攻击其他计算机的工具。

8. 病毒现象实例 8

‹ 病毒名称:Binder

‹ 病毒中文名称:捆绑病毒的工具

9. 病毒现象实例 9

‹ 病毒名称:Constructor

‹ 病毒中文名称:病毒生成器

‹ 病毒介绍:指可以生成不同功能的病毒的程序。

10. 病毒现象实例 10

‹ 病毒名称:Joke

第 2/9 页 北京瑞星信息技术有限公司C U S T O M E R S E R V I C E C E N T E R

客户服务中心

‹ 病毒中文名称:玩笑程序

‹ 病毒介绍:指运行后不会对系统造成破坏,但是会对用户造成心理恐慌的程序。

11. 病毒现象实例 11

‹ 病毒名称:Rootkit

‹ 病毒中文名称:越权执行

‹ 病毒介绍:设法让自己达到和内核一样的运行级别,甚至进入内核空间,这样

它就拥有了和内核一样的访问权限,因而可以对内核指令进行修改。

12. 病毒现象实例 12

‹ 病毒名称:Packer

‹ 病毒介绍:加了某类专门针对杀毒软件免杀的壳的文件。这种壳专门针对杀毒

软件作变形免杀,逃避查杀。

二、 病毒加载方式

1. 病毒加载方式 1

‹ 方法:修改注册表

‹ 简单描述:通过修改注册表实现开机自启动或者特定情况下启动。

‹ 例子:开机启动相关注册表键参考程序 AUTORUN(RUN,RUNCONCE,服务,BHO,

DEBUG IMAGE HELP,WINLOGON NOTIFY),文件关联

2. 病毒加载方式 2

‹ 方法:修改相关 INI/BAT 文件

‹ 简单描述:通过修改 INI 文件实现开机自启动

‹ 例子:Win.ini,system.ini, Autoexec.bat, Config.sys

3. 病毒加载方式 3

‹ 方法:替换的系统文件

‹ 简单描述:通过替换系统文件实现开机启动或者特定情况下启动。

‹ 例子:替换 explorer.exe 实现开机启动。

第 3/9 页 北京瑞星信息技术有限公司C U S T O M E R S E R V I C E C E N T E R

客户服务中心

4. 病毒加载方式 4

‹ 方法:利用系统特性优先加载

‹ 简单描述:通常为恶意 DLL 文件,利用 WINDOWS 系统优先加载当前目录下的

DLL 特性

‹ 例子:在 IE 所在的目录下增加伪造的 ws_32.dll,使 IE 启动时加载这个伪造

的 dll

5. 病毒加载方式 5

‹ 方法:小段感染代码

‹ 简单描述:感染目标可以为 PE 文件,HTML 文件中的脚本或纯脚本文件,功能

仅为简单的加载病毒体

‹ 例子:磁碟机

6. 病毒加载方式 6

‹ 方法:其他

‹ 简单描述:无

‹ 例子:自动播放(autorun.inf)

三、 病毒程序加载方式

1、程序的基本加载方式,病毒及正常的程序会用到此类方式进行加载,

例如:MSN、QQ、声卡、显卡会使用此类方式加载其部分程序,但木马使用类加载

方式会略少。对于计算机知识的普及对于 MSCONFIG 的编辑很多人已经熟悉。但是

出现在“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”中的

程序加载方式我们需要引起重视。

2、通过 Win.ini 文件加载病毒程序,

在 WIN.INI 文件中[Windows]域中的 load 和 run 项会在 Windows 启动时运行,在

msconfig 中也会看到此加载项。

3、在 system.ini 文件中,在[BOOT]下面有个“shell=文件名”。

正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=

explorer.exe xxx.exe”,那么“xxx.exe”程序就是异常程序。

4、通过注册表加载病毒,并保护其注册表项

第 4/9 页 北京瑞星信息技术有限公司C U S T O M E R S E R V I C E C E N T E R

客户服务中心

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSe

rvices]

病毒会利用此类注册表项加载木马程序,但是木马程序会将其键值进行保

护。经常会发现在删除注册表项后会出现回写现象。原因是病毒会在文件中添加一

个时间控件,在发现其需要保护的注册表项被改写后,会进行回写的操作从而起到

保护的作用。

5、病毒利用注册表特性加载其病毒文件,并实现自杀释放病毒文件的方法

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOn

ce]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc

e]

此类注册表键值,会在计算机启动后被删除,病毒可以利用此类键值进行

一次性破坏和启动释放其他程序的操作,也可利用此键值进行回写操作。

在 MSCONFIG 中无法查到此类键值,但是可以利用卡卡上网安全助手及注册

表编辑器修改并删除此键。

6、使用捆绑方式,达到病毒加载的方式。

将病毒程序与正常的程序进行捆绑,在执行正常程序后病毒文件也将被执行。木马

程序先获得控制权或另开一个线程以监视用户操作,截取密码等。

7、伪装其他文件欺骗用户,

病毒文件名称会使用与常用软件相近或相同的文件名称蒙蔽用户。例如机器狗病

毒,在替换系统文件后达到其自动加载的目的。

8、通常病毒程序会将自己和相应文件进行关联,这样当你打开一个文件时,木马也达

到其运行的目的 。

通过此方式加载的病毒程序,在处理时需要将注册表键值还原,并删除文件。例如:

“HKEY_CLASSES_ROOT\exefile\shell\open\command” 默 认 的 字 符 串 值 为

〔"%1" %*〕

如果关联项已经被修改可以通过 DOS 命令行进行修复此问题:ftype 关联项

(exefile)=字符串原值(“%1” %*)

9、通过系统加载规则进行加载,

第 5/9 页 北京瑞星信息技术有限公司C U S T O M E R S E R V I C E C E N T E R

客户服务中心

例如 AUTORUN.INF 此加载方式已经被病毒程序广为利用,以达到打开盘符时自动加

载病毒文件的目的

[autorun]

open=shell\open=打开(&O)

shell\open\Command=*****.exe

shell\open\Default=1

shell\explore=资源管理器(&X)

shell\explore\Command=*****.exe

由于已经将系统设备右键菜单进行了更改,无论是打开还是使用资源管理器均

会启动病毒程序。顾处理以上 AUTORUN.INF 文件我们可以使用 DOS 命令进行处

理。

10、Winlogon\Userinit 注册键:

注册表键值所在位置

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

原 始 值 “Userinit=userinit.exe,” , 病 毒 则 会 修 改 此 项 键 值 将 其

“userinit.exe”逗号后面及前面添加可执行文件。

11、AppInit_DLLs 键值在以下位置:

木马类病毒会利用

HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS 中

APPINIT_DLL,在这个位置上直接加载达到启动木马的目的,目前机器狗病毒会有

此类的行为。

12、引导区病毒此类病毒存放在软盘引导区、硬盘主引导区和引导区。

由于病毒在宿主的操作系统启动前就加载到内存中,具有操作系统无关性,可以感

染所有的 X86 类电脑。因此这类病毒将长期存在。病毒在 ROM BIOS 之后,系统引

导时出现的病毒,它先于操作系统,依托的环境是 BIOS 中断服务程序。引导型病

毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物

理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置

即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序执行后,将

控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐

藏在系统中并伺机传染、发作。

第 6/9 页 北京瑞星信息技术有限公司C U S T O M E R S E R V I C E C E N T E R

客户服务中心

13、应用程序劫持 ImageFileExecutionOptions 项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFil

eExecutionOptions 下的注册表项,

这个是针对系统可以设置每个程序指定的纠错程序来实现的。

14、DLL 文件的加载方式,

则需要特殊的命令行:rundll32.exe ***.DLL,Rundll32

15、灰鸽子是通过添加服务项来实现自启动的,

会在

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservic

es]下生成键值,并在

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下创建可疑主键。

16、木马加载如何加载为系统驱动,

位置是:KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\位置上。

该地址是系统启动 VxD 驱动文件放置的地址,可以建立一个主键之后把 VxD 文件添

加到注册表中在这里。但是文件需要单独编译处理。

17、恶意脚本如何加载为配置,写一个文件,启动时创建一个帐号或者激活 guest 用

户或者 tsinternetuser 用户。

在 [HKEY_LOCAL_MACHINE\Software\Microsoft\CommandProcessor] 下 建 立

“AutoRun”=“文件”这样运行 cmd.exe 就会运行指定文件了。

18、DLL 的远程注入,使用这种技术的病毒体通常位于一个 DLL 中,在系统启动的时候,

一个 EXE 程序会将这个 DLL 加载至系统进程中运行。

这样一来,普通的进程管理器就很难发现这种病毒,而且即使发现了较难清除,因

为只要病毒寄生的进程不终止运行,那么这个 DLL 就不会在内存中卸载,用户也就

无法在资源管理器中删除这个 DLL 文件。

19 、 Rootkit 用 内 核 驱 动 的 方 式 修 改 SSDT 表 一 般 都 是 重 定 向

NtQuerySystemInformation 这个函数(隐藏进程是这个),然后对相关信息进行过滤

从而达到隐藏文件等目的。

20、APIHOOK 一般都是一个程序和一个或几个 DLL 来实现的,ROOTKIT 都是用驱动实现

的,而且实现原理及作用存在差异。

第 7/9 页 北京瑞星信息技术有限公司C U S T O M E R S E R V I C E C E N T E R

客户服务中心

三、 什么是 SSDT

1. SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这

个表就是一个把 ring3 的 Win32 API 和 ring0 的内核 API 联系起来。SSDT 并不仅仅只

包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、

服务函数个数等。

2. 通过修改此表的函数地址可以对常用 windows 函数及 API 进行 hook,从而实

现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、

注册表监控软件往往会采用此接口来实现自己的监控模块,

3. 目前极个别病毒确实会采用这种方法来保护自己或者破坏防毒软件,但在这种

病毒进入系统前如果防毒软件能够识别并清除它将没有机会发作.

四、 钩子(HOOK)

1. 钩子(Hook),是 Windows 消息处理机制的一个平台,应用程序可以在上面设置

子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息

到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理 window 消

息或特定事件。

2. 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特

定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得

到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递

该消息,还可以强制结束消息的传递。

五、 HOOK 的应用模式

1. 观察模式:如全局钩子中,经常使用的鼠标消息、键盘消息的监视等应用。

2. 注入模式:和观察模式最大的不一样之处在于,注入的代码是为了扩展原始代码的

功能业务,插件模式是此类模式的典型案例。

3. 替换模式:针对应用目的不同,可以叫修复模式或破解模式。将访问加密锁的 DLL

中的导出表,用以解密。

4. 集权模式:键盘锁功能的实现,就是暂时关闭键盘的所有应用。

5. 修复模式:应用的目的是为了修复或扩展原有系统的功能。

6. 破解模式:替换模式的一种,这里强调的是其应用的目的是为了跳过原有系统的一

部分代码。如加密检测代码,网络检测代码等等。

插件模式:注入模式的一种,在系统的内部直接依靠 HOOK 机制进行扩展业务功能

7. 共享模式:这类应用中,经常是为了获取对方的数据。必然我希望获取对方系统中,

所有字符串的值。可以通过替换对方的内存管理器,导出所有字符串。

第 8/9 页 北京瑞星信息技术有限公司第 9/9 页 北京瑞星信息技术有限公司

C U S T O M E R S E R V I C E C E N T E R

客户服务中心

六、 病毒处理简要说明

1. 为什么有些病毒清除不了(非运行中),只能删除而不能清除?

一种是将病毒程序代码由感染的档案中移除(例如一个 10K 的档案感染了 2K

的病毒变成了 12K,经过杀毒之后,恢复成 10K 的正常档案),这就是所谓的清除;一

种是将整个病毒文件删除(这是因为该档案全都是病毒程序代码)这种情况特别容

易发生在特洛依木马,蠕虫之类的病毒,这种状况就是采取的删除措施。

2. 对于病毒清除后的残余文件,是否会随着病毒清除后自动删除?

有些病毒或是木马后门之类的恶意程序会在系统中写入一些文件,用以记录自

身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数

据,与通常的纯数据文件并没有什么差别,其本身并不具备执行的能力,因此并不

会被检测,相应的该文件也不会被采取一些自动的措施进行处理。

3. 在瑞星杀毒软件更新过程中,仅更新病毒库是否可以处理病毒文件?

病毒码中包含的是病毒的具体特征,而在病毒扫描过程中对文件进行比对,以

确定被扫描的文件是否为病毒。因此,理论上只要病毒码包含了相关病毒的特征,

则该病毒即可被检测到。

关闭窗口

版权所有©遵义医科大学   黔ICP备06003261号-2