病毒常用的伎俩之总结

杀毒软件能都查杀已知的病毒,但是对于未知的病毒有点无能为例,具有一定的滞后性。虽然杀软不断的改进和增强对注册表的监控和hips技术,通过了解常见病毒的常采用的伎俩对于大家手动查杀病毒非常的有帮助。下面重点介绍病毒常见的破坏形式。

1.自启动

木马病毒为了达到不可告人的目的,经常会采用随着windows操作系统系统而自动加载病毒程序,常见的在注册表中的自启动位置:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotify,

此外还有 开始启动菜单:X:Documents and Settings用户名「开始」菜单程序启动 (X为系统盘所在位置)对应的注册表键值:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders

病毒都利用这些暗地里隐藏有些进程甚至直接提升为系统程序。

2. 系统还原

系统还原技术为恢复以前的系统数据提供了便利,同时也成了病毒的温床,备份系统文件的同时,收到感染的文件也有可能被作为备份文件存储起来,破坏系统还原点对于这类是一个非常有效的途径。病毒位于X:SYSTEM VOLUME INFORMATION路径下(X代表驱动器盘符)通过禁用系统还原功能,右键”我的电脑”—>属性—>系统还原—>”在所有驱动器上关闭系统还原” 打勾。

3. 映像劫持

全称Image FileExecution Options简称IFEO

常见的主要症状有

a、杀毒软件的监控无法开启;

b、杀毒软件点击升级没有反应;;

c、杀毒软件无法安装;

d、杀毒软件无法运行;

e、多种安全辅助工具无法正常运行

对应的注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

通过导入相对应的注册表项,或者通过光盘修复可以实现。

4. 破坏安全模式和隐藏文件

安全模式提供了一个相对封闭的环境,对于查杀病毒比较的彻底,使得病毒或者木马缺少了依附的土壤,在该环境下通过杀软可以绞杀病毒。

病毒、木马为了达到目的,采用隐藏的方式,病毒运行时修改注册表,会将自身注入到系统正常的进程中。

病毒为了逃避查杀,经常采用该方法 。

5. ShellExecuteHook

ShellExecuteHook中文含义是执行挂钩,其本身是操作系统的一个正常的功能,它采用挂钩系统的Explorer的ShellExecute函数,这项功能现在被越来越多的病毒、木马所采用,实现随系统启动。

6. AppInit_Dlls

AppInit_Dlls是一种系统全局性的Hook(system-widehook),AppInit_Dlls的键值是一个非常危险的键值,AppInit_Dlls键值位于注册表 HKLMMicrosoft WindowsNTCurrentVersionWindows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到 User32.dll的EXE、DLL、OCX等类型的PE文件都会读取这个地方,并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的方式是调用LoadLibrary。使用了User32.DLL,都会对AppInit_Dlls键值指向的DLL进行加 载。这个是日志的一部分

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]

<> [N/A]默认是这一个

但是有例外 而ieprot.dll是瑞星卡卡助手的,这个是正常的,

还有这个如果安装了Comodo的话Appinit_dll也会有个C:Windowssystem32guard32.dll同样也是正常的项目,

其他的一般加载都是病毒

7. Services

Services 中文含义是 服务,操作系统(os)要正常的运行,就少不了一些服务,一些木马通过加载服务来达到随系统启动的目的, 所有服务在注册表中都有相对应的位置,这些位置有如下几个

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

HKEY_LOCAL_MACHINESYSTEMControlSet002Services

HKEY_LOCAL_MACHINESYSTEMControlSet003Services

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

现在的病毒越来越狡猾了,了解常见的服务项,检查可疑服务项,对于查杀病毒有一定的帮助 。

8.文件关联

可能被病毒修改用于启动病毒的 .比较常见的是.exe关联方式被破坏 ,其他的也有可能被病毒利用.对应的注册表项主要有一下几项:

HKEY_CLASSES_Root.exe

HKEY_CLASSES_Root.com

HKEY_CLASSES_Root.bat

HKEY_CLASSES_Root.VBS

HKEY_CLASSES_Root.JS

HKEY_CLASSES_Root.JSE

HKEY_CLASSES_Root.WSF

HKEY_CLASSES_Root.WSH

HKEY_CLASSES_Root.Pif

HKEY_CLASSES_Root.INk

HKEY_CLASSES_Root.scr

HKEY_CLASSES_Root.txt

HKEY_CLASSES_Root.ini

有许多优秀工具比如HijackThis,SREng,IceSword,autoruns,wsyscheck。可以作为辅助查杀的工具,这些工具需要对系统有一定的熟悉程度,熟悉注册表,不建议入门者使用.

9.Svchost启动:
创建自身服务写入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost,将服务执行程序指向Svchost,并在Parameters子键写入服务执行Dll,在Dll中写入ServiceMain函数创建Svchost服务过程并进行服务管理。将Dll写入SCManager服务管理器,通过SC服务数据库调控服务状态及分发。安装Dll时通过Rundll32调用Dll导出的服务安装函数。

10.Winlogon启动:
我只熟悉通过添加HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon项或者HKEY_CURRENT_USERSOFTWARE
MicrosoftWindows NTCurrentVersionWinlogon项Notify、Userinit、Shell下Dll注册登录伪服务来启动。Dll向外导出一个登录执行函数,由Winlogon初始化并创建新的线程执行Dll线程函数。

对于广大的网民,平时养成一个良好的习惯,了解病毒常采用的伎俩,对于预防和防治病毒工作非常的有帮助,对于病毒的防治采用预防为主,防治结合的原则,加强日常的管理和维护,非常的关键。

点赞 (0)

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

Captcha Code