木马病毒样本怎么取(如何提取病毒样本)
本文目录一览:
- 1、如何捕获电脑病毒样本
- 2、电脑中了木马病毒,怎么把重要文件复制出来?
- 3、请问爱好者。如何提取木马病毒文件
- 4、杀毒软件公司是如何获得病毒样本的?
- 5、今天电脑感染了犇牛病毒,请问如何才能找出被它感染的程序?
- 6、谁给我一个病毒样本提取工具
如何捕获电脑病毒样本
杀毒软件公司获取病毒样本的主要途径有以下两种
1、“云安全”自动获取
瑞星杀毒软件有自己的云处理器,通过“云安全”可以自动截获病毒样本。以2015年举例,2015年1-12月,瑞星“云安全”系统共截获新增病毒样本3,715万个,手机病毒样本261万个,钓鱼网站737万个,挂马网站519万个
2、通过热心用户及网友上报
瑞星公司有自己的上报平台,用户及网友可以通过病毒上报窗口上报可疑文件
电脑中了木马病毒,怎么把重要文件复制出来?
可以直接复制文件,一般木马不会感染文件,只会盗取个人信息。
查看自己的电脑中是否有木马病毒
1、集成到程序中
其实木马病毒也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马病毒程序,那么木马病毒文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马病毒被删除了,只要运行捆绑了木马病毒的应用程序,木马病毒又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马病毒。
2、隐藏在配置文件中
木马病毒实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马病毒提供了一个藏身之处。而且利用配置文件的特殊作用,木马病毒很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马病毒程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马病毒要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马病毒。当然,木马病毒也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马病毒感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\\windows\\file.exeload=c:\\windows\\file.exe
这时你就要小心了,这个file.exe很可能是木马病毒哦。
4、伪装在普通文件中
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于默认设置是\"不显示已知的文件后缀名\",文件将会显示为*.jpg,不注意的人一点这个图标就中木马病毒了。
5、内置到注册表中
上面的方法让木马病毒着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马病毒常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马病毒哦:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值。
6、在System.ini中藏身
木马病毒真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马病毒喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exefile.exe,如果确实有这样的内容,那就不幸了,因为这里的file.exe就是木马病毒服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\\程序名”,这里也有可能被木马病毒所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马病毒程序的好场所,现在该知道也要注意这里喽。
7、隐形于启动组中
有时木马病毒并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马病毒加载到系统中,任用什么方法都无法将它赶跑(哎,这木马病毒脸皮也真是太厚),因此按照这个逻辑,启动组也是木马病毒可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\\windows\\startmenu\\programs\\startup,在注册表中的位置:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\ShellFoldersStartup=\"C:\\windows\\startmenu\\programs\\startup\"。要注意经常检查启动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马病毒能自动加载的地方,木马病毒都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马病毒完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马病毒启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马病毒的目的了。
10、设置在超级连接中
木马病毒的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非了解它,信任它,为它死了也愿意等等。
下面再看木马病毒的清除方法
1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
2、删除上述可疑键在硬盘中的执行文件。
3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\InternetExplorer\\Main中的几项(如LocalPage),如果被修改了,改回来就可以。
5、检查HKEY_CLASSES_ROOT\\inifile\\shell\\open\\command和HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
请问爱好者。如何提取木马病毒文件
死了这条心吧,木马文件不失活的,所以你提取的话就会被感染。如果该木马文件可以被提取的话最关键的壳程序就是被破了,这个程序也就不再是木马了,提取了也没有意义。建议找一些成熟的木马的源码(网上有的)研究它的壳程序,木马程序都是那几个源码改的。
杀毒软件公司是如何获得病毒样本的?
有效的反病毒过程
当前,向用户发布有效反病毒软件的模式基于一个前提,那就是在某个病毒侵袭之前,杀毒软件已经向用户提供了更新的检测功能。对于反病毒公司来说,收集病毒样本、分析病毒、设计检测以及清除办法、保证质量并将信息发送给用户,优化这些过程绝对是很关键的。除了第一个步骤,其它所有的步骤当前可以投入足购的人力去解决。
然而在这些过程中,收集病毒样本部分是存在争议的。反病毒技术人员与病毒作者联系很紧密,在进行这项活动时不得不考虑伦理学问题:是否应该收集病毒制造者所维护的病毒库里的病毒?是否应该编写那些作为源代码而获得的病毒?是否应该接收病毒作者发送的病毒?这些收集病毒样本伦理学问题已经争论很多次了。
有两种不同需要和方法用于收集病毒样本:“慢速”和“快速”。“慢速”用于收集已经存在的大量病毒,它们并不引起大的问题;快速用于收集快速传播的病毒,比如梅利莎和爱虫。
“慢速”收集病毒样本
有两种办法反病毒公司用于收集不太紧急的病毒样本:网站上的病毒库以及业界交换病毒样本。
尽管从网站的病毒库收集样本存在强烈的反对意见,大多数反病毒公司还是参加了这项活动。必须注意的是,这是一个严格的单向传送方式,病毒样本从病毒库发送到反病毒公司,绝对不能有其它的流动方式。
总的来说,在反病毒领域分享样本还是取得了显著的成功。当然,不是每一年每个反病毒公司参与了这个活动。但是相对来说,高比例的反病毒公司相信这样做的优点,顶多推迟二、三个月的时间,每一位成员就能够得到分享病毒样本。
在过去几年里反病毒领域面临同快速传播病毒斗争的新问题,比如梅利莎和爱虫,快速收集病毒样品的需求日益明显了。
“快速”收集病毒样本
有时候反病毒公司需要在数分钟而不是数月获得病毒样本:
-快速传播的新病毒出现了
-快速传播新病毒的变种出现了
-竞争对手在它们的网站宣布一个危险病毒
-一个新的流行故事里出现的病毒
反病毒公司如何获得紧急的样本呢,这里有三种主要办法:
非正式病毒邮件列表
VCIRCLE(CARO正式病毒邮件列表)
电子邮件请求
非正式病毒邮件列表
非正式的邮件列表来来去去,但不一定是一种获得病毒样品的可靠办法,主要是因为它们由独立的研究人员针对某个问题而控制的。
VCIRCLE(CARO正式病毒邮件列表)
VCIRCLE是CARO运作的一个正式的病毒邮件列表,有效使用很多年了。然而,它还是有一些重大的弱点:
它运作起来如同反病毒领域的“老男孩俱乐部”(old boy club),通过罕见的秘密投票方式选择新成员,现有的成员就可能抵制一个新的申请者。因此它在总体上不能代表反病毒产业的情况。
如果VCIRCLE成员生病了、睡觉了或者休假了,按照VCIRCLE的规则,即使一个成员新任的同事也不能代替接收病毒样本。类似一个工会组织,VCIRCLE只服务于病毒产业的专门方面,不是产业的总体本身。
VCIRCLE的病毒发布机制主要是人工。成员必须用所有的接收者钥匙将病毒样本加密,并确保它们的钥匙是最新的。向所有成员加入一个新成员的钥匙要花费几个星期甚至数月,而且这些钥匙的管理过程容易出错。
电子邮件请求
如果没有从一个邮件列表获取病毒样本,一个研究人员通常发出电子邮件请求。这个过程的效率是相当低的,如果一个人想获得足够的资料,为了获得5个样本,需要发出20个请求邮件。而且这个过程容易犯错误,同VCIRCLE一样,要求指定的成员在线工作。
反病毒产业需要一个更好的自动化程度更高的解决办法来发送病毒样本。快速交换病毒样本系统REVS(Rapid Exchange of Virus Samples)开始运作了。
REVS
新病毒发送系统的要求很简单。它是快速、安全、独立的。Ian Whalley (在Wildlist和IBM工作)负责编写软件,Sophos提供主机硬件以及互联网连接。
这个系统的参与者大概都是反病毒公司,他们担负领先发出任何互联网警报的任务。就某一个特定的病毒而言,他们向REVS发送病毒样本,REVS然后在数分钟立即向其他参与成员发送这个病毒样本。这个过程安全(使用PGP加密以及数字签名)、快速而且自动化程度高。
PGP钥匙用于加密那些属于个人病毒实验室的病毒,这意味着任何病毒实验室的授权成员可以解密。这样消除了对个人的依赖性,消除了以前病毒分析者休假、生病的弊端。
除了那样,REVS有另外三个安全特性:
1、它只接收加密样本(设置了拒绝非加密病毒提交邮件的标准),样本通过公钥加密,并且经常更换公钥。
2、它只接收成员小组签名的样本(这样可以防止被“坏小子”滥用,制造病毒看起来比实际情况还要紧急的事件。)
3、对于向每一个成员发送的邮件进行签名。(防止虚假的REVS向个体小组发送警报)
Wildlist负责检查REVS的所有成员。
这个系统在2000年3月投入使用,也就是在爱虫病毒开始传播的前2周。在向该系统20个左右的成员发送原始样本以及随之而来的变种病毒方面,REVS证明自己起了重要作用。让人看不到这套系统的重要性是很困难的。所不幸的是,两大反病毒公司(NAI和 Symantec)还没有称为成员。
整个反病毒团体以及最终用户将受益于反病毒产业的广泛合作。病毒传播更快了,我们反病毒行业也需要变得更加聪明来赢得这场战斗。
今天电脑感染了犇牛病毒,请问如何才能找出被它感染的程序?
估计难找,不过你可以用腾讯电脑管家查杀下看
腾讯电脑管家查杀木马方式是分三种
1、全盘查杀
2、指定位置查杀
3、闪电查杀
三种查杀方式,扫描的内容有些区别
1、全盘查杀是扫描电脑中全部盘符,进行查杀
2、指定位置查杀,顾名思义即让用户选择需要扫描的地方,进行查杀
3、闪电查实是只对电脑中比较关键地方且容易中病毒的位置进行查杀。
谁给我一个病毒样本提取工具
您好,
关于提取活性样本要注意以下方面:
必须知道样本所在的位置,也就是路径和文件名。如果是使用杀毒软件发现的样本,通常杀毒软件会报告出病毒的位置,但为了保持活性,这时候不要使用杀毒软件的杀毒功能,一旦杀了病毒也就失去活性了。而且需要注意杀毒软件的实时防护往往会阻止对此病毒的任何操作,所以要提取出它还要暂时停止杀毒软件的实时防护,此时用带密码压缩的方式即可将样本安全取出。然后再打开杀毒软件将其清除。
但如果没有杀毒软件或杀毒软件没有识别,但是感觉有中毒迹象,这个时候要找出病毒就比较麻烦了,往往需要一些专业知识,这个我就不作说明了。但也可以借助一些辅助工具来发现未知病毒,比如防毒软件的主动防御系统可以自动侦测出绝大多数未知木马和病毒,而且将样本举报的过程全部自动化,这是一个不错的方法。
谢谢.祝好!
