木马病毒常用hook技术(木马病毒教程)
本文目录一览:
如何清理MSDOS盗号木马和PPC.HOOK插件?
您好,
MSDOS盗号木马你可以使用电脑管家的杀毒功能来清除
电脑管家杀毒部分采用了4+1引擎,拥有管家第二代反病毒引擎鹰眼,采用新的机器智能技术,拥有自学习自进化的能力,查杀率非常的高,可以清除各种木马病毒
PPC.HOOK这个插件,则需要使用电脑管家的插件清理功能
如果以后有其它问题,欢迎再来电脑管家企业平台咨询
那种木马专杀工具能在win98运行?
Windows木马清道夫
V2.7增加所有显示列表的保存功能,修正了一处BUG。
V2.8修正了有些木马不能清除的BUG,增加了IE加载组件的管理,增加了列举网络服务提供者的功能,添加了一个传奇密码大盗exp1orer.exe木马专杀的插件。
V2.9增加了探测隐藏进程的功能,可探测出未知的木马。添加了灰鸽子最新木马及灰鸽子所有变种的专杀插件。升级了木马库。修改了几处界面上的小问题。
V3.0修改了扫描可疑模块的算法,使扫描速度更快,准确率更高。
V3.1修正了扫描硬盘算法上的一个小BUG,修正了在win98下的一处兼容性BUG。升级了木马库。
V3.2修正了用户和组的一个BUG,优化了部分代码!
V4.0一次大的升级,采用扫描新引擎配合老引擎使用,查杀面更广,准确性更高!新引擎采用了很多新技术和新算法,稳定性有很大提高!而且采用强劲的注册表扫描引擎,使木马病毒无处藏身!另外,新版本木马清道夫,为了保证软件的正常运行,采用了HOOK技术,使进程不会被木马病毒轻易终止,使系统更加安全!新版本增加了可疑模块和可疑文件的提交功能,让我们的反木马病毒专家为您分析,查杀最新的未知木马病毒刻不容缓!
V4.1增加按钮的即时帮助。修正新引擎扫描算法上的一处BUG。
V4.2修复了主程序注册表算法上的一个BUG,优化了扫描硬盘的代码,扩充了木马病毒库!
V4.3为了保证软件的正常运行,采用HOOK技术保证窗体不会被木马病毒轻易终止。扩充了木马病毒特征码库!
V4.4修正了hook上的一处错误,升级了木马病毒库!
V4.5修正了在Win98下的一处BUG,升级了木马病毒库!
V4.6修正了4.5版本的一处严重的算法错误!
V4.7重写了扫描硬盘特征码引擎的算法,速度提高数倍,而且只耗较少的CPU资源,更稳定更准确更速度!
V4.8修正了扫描硬盘文件定位引擎的算法,新增IE已安装签名插件的管理工具!
V4.8(Build 144)修正了注册表搜索引擎的BUG,对顽固性木马有了更强的查杀能力!
V4.9紧急更改了可疑模块上报的服务器地址,修正了一个BUG!
V5.0修正了一个程序BUG,增加了一个插件,添加了程序
觉得好就加分.
电脑怎么样查杀木马病毒?
在用电脑的过程中,经常会遇到一些木马病毒,那么呢?我分享了电脑查杀木马病毒的方法,希望对大家有所帮助。
电脑查杀木马病毒方法一
木马方面就用金山急救箱或者360急救箱。我的办法,进入安全模式用卡巴全盘查杀和金山急救箱,然后把卡巴解除安装掉,安装NOD32和360急救箱,再次进入安全模式进行查杀。如果这阵容还不行,小红伞、诺顿、大蜘蛛等杀软用一个遍!在牛的病毒也不会逃过这么多的杀软的围剿吧!除非你中了僵尸病毒!如果是那样换电脑吧
呵呵,只要上过网的人,我就不信有没中过不病毒的!别担心!
1***买一套防毒软体***建议买正版***
2***双击滑鼠,开启防毒软体。
3***点选〈查杀病毒〉选项。发现查杀开始了。
4***等待……
5***要是查到了病毒,会自动弹出是否删除、防毒或隔离之类的选项***所有选项都一样***,点选防毒,就OK了。
6***继续等待……
7***再次发现病毒,重复第五步……
8***防毒完成后,点确定,全部OK。
之后,你就按时给防毒软体网上升级,***开启防毒软体有升级选项***,随时查杀病毒。最好按装一个防火墙遇到不明档案或攻击,会自动阻隔!而且今后少去一些小网站下载东西,就好了。
任何病毒在计算机中都是以档案的形式存在的,我们要认识病毒就必须从它的基本存在开始,那我们可以来看一下病毒一般都隐藏在哪里?因为任何病毒还有恶意软体,其本身都是存在一定目的而存在的,因此很少有病毒像正常安装的软体一样有自己独立的目录。
首先,我们需要检视所有隐藏的档案,因为病毒并不会像普通程式一样告诉你它存在,一个好的程式开发者在开发病毒的同时应该也在思考如何让病毒存活的更长,因此就必然需要考虑隐藏病毒档案,现在的防毒软体不断的在更新自己的病毒库,但病毒的出现总是早与防毒软体的,甚至是现在认为很先进的主动防御,其本质只能对付有类似病毒特征的威胁,而无法阻止新病毒的产生。
其次,检查目录或档案的建立时间,并可能发现毒从何来。如今大部分病毒的档案都是存在于系统根目录,这就需要使用者了解计算机的基本档案及型别。但对于遍历所有碟符的就需要细心了。Windows自带的档案搜寻功能可以派上用场。
尽管它复制的到处都是,但这种病毒都只有一个主程式档案,档案大小必然一致。开启档案搜寻的高阶功能,填入EXE档案型别并把档案的大小输入,然后按下回车键,接着藏在您硬碟每个角落的病毒就会被暴露无疑。利用建立时建排序,您可以发现第一个攻击您机器的病毒了。现在所有的病毒资料档案几本都在眼前了,至少是病毒能对你发动攻击的主要成分,那么就请删除它们,把您找到的与任何与病毒相关的EXE、DLL、资料全部删除,但此时是存在威胁的,因为很多病毒是伪装成关键专案的。
另外还是请您非常的小心谨慎,别把不是病毒的档案给误删了,那可是致命的错误!赛门铁克的误杀事件就是因为删除了系统的关键档案。在处理完硬碟病毒后,千万不要重起计算机,那可能会导致前功尽弃,因为有的病毒的正身我们并不能如此轻易的找到。如果有些病毒不以EXE的身份出现,而是其它的比如、RAR等,我们的档案尺寸搜寻法一样适用,换个副档名就行了。不过对于寄生在引导区的病毒需要格外谨慎。
二、进一步发现病毒
硬碟上的病毒虽然已被我们斩草除根,但仍然有许多事情需要我们去做。斩草要除根,因此我们必须修改登录档,系统服务的资讯都储存在登录档里。首先应该做的事是仔细检查你的服务列表,仔细核对每一个没有描述的服务,看是否和你刚结束掉的程序有关。对于中文版Windows的使用者来说,查出病毒服务是有一定优势的,原因说来比较可笑,那就是国外写病毒的程式设计师不懂中文,因此他们不会用中文的描述来将自己伪装成系统服务。因此对于一切英文描述的服务也应该格外注意。
当然现如今的病毒很多都会套接系统的关键程序,它将系统正常的程序进行伪装,或正常程序的载入专案中加入自己的连线。我们可以通过冰刃、卡卡上网助手等工具确定系统的程序项是否被HOOK是否是正常的程序项。当确保程序是安全的,那我们就可以开始修改登录档了,先检查系统起动时自动执行的注册项,看有没有可疑的程式,除去正常软体需要启动时执行外,删除所有不相关的启动项。系统本身的关键启动程式不会放在run中,对于系统执行最关键的其实是服务。不过当你在这里发现病毒时先不要急于删除键值,您应该将它记录下来,看看它对应的程式是否已被你备案。然后将病毒程式可能的名字都复制下来,逐个在登录档中搜索,把找到的所有的匹配项全部删掉。不过这样做还是有一定的危险性,建议在修改登录档前必须做备份。在登录档的查杀和扫描工作结束后,需要再次检查程序列表确保无误后,就可以重起计算机看看病毒是否会再次发作了。
电脑查杀木马病毒方法二
一、使用防毒软体进行防毒
首先进入“安全模式”
进入方法:开机在进入Windows系统启动画面之前按下F8键,接着选择“安全模式”即可!***此方法适用于windows xp和windows 7***
直接执行防毒软体进行查杀即可,多查杀几遍,一般的病毒还是能轻松清除掉的,如果还是查杀无效,甚至防毒软体无法执行的情况,请看下一种清除病毒的方法。
二、使用系统急救箱进行防毒
首先进入“安全模式”
2、这里我推荐360系统急救箱和金山系统急救箱,当然还有其他的系统急救箱,你可以多下载几款试试,基本一些顽固的木马病毒都可以清除的。
三、使用病毒专杀工具进行防毒
这里需要自己判断一下自己中的是什么病毒,中了病毒后,你的系统会出现什么情况,是弹出倒计时的方框还是下载的软体被破坏之类的,你可以根据这些特征,在百度或者其他搜寻引擎进行搜寻,检视是哪种病毒,然后下载病毒专杀工具,然后进行查杀,最好是进入安全模式进行查杀。
四、系统重灌或者还原系统
假如你有安装系统还原的软体可以进行系统还原或者你可以进行系统从新安装,这样也能清除掉病毒。从新安装系统后,最好是再用防毒软体进行查杀或者用系统急救箱再一次进行防毒,这样会比较保险一点。注意要进入安全模式进行查杀病毒。
现代木马病毒融合了什么新技术
现代木马病毒融合了进程注入、注册表隐藏、漏洞扫描等新技术。
木马通常有两个可执行程式:一个是控制端,另一个是被控制端。“木马”程式是目前比较流行的病毒档案,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他档案。
它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的档案,甚至远程操控被种主机。木马病毒的产生严重危害着现代网路的安全运行。
木马病毒伪装方式
鉴于木马病毒的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
1、修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性。
但是提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
2、捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
3、出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫作出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
4、定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以很多新式的木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
5、自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)。
那么中了木马的朋友只要在收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
6、木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
