详细的电脑病毒介绍怎么样

1、资料来源：来自本人网络整理！祝您工作顺利！详细的电脑病毒介绍怎么样 什么是电脑病毒，你知道吗!下面由我给你做出具体的电脑病毒介绍!盼望对你有关心! 具体的电脑病毒介绍： 病毒浅析： 此类病毒编写者的功力就有高有低了。高手所编写的远程掌握系统可以和最优秀的远程管理工具相媲美，例如开山鼻主bo，国产的冰河，有名的黄金木马sub7都属于这一类，这类程序分为2个局部，掌握端和被掌握端;而在unix类平台下的木马常常是一个简洁外部指令的重新实现例如将本来的ls指令交换掉，用自己写的一个程序代替，在执行正常文件列表的同时隐含执行特别指令，这类木马的编写程度也相当高，但在windows下极少出现类似程序替代

2、的木马，这类病毒的联络一般是单向进展的;还有一类木马就是网络盗窃性质的，以im软件，网络嬉戏盗号居多，近来进展为对金融业有所染指，这类一般就是通过程序监视当前窗口，并获得当前窗口特定控件的值(用户名/密码框里的值)，然后通过email，远程登陆web数据库等方式把获得的密码发出去，这类程序具有肯定编程根底的各位伴侣都能做到;第4类是惟恐天下不乱的纯捣乱程序，原理跟上一种类似，不过是朝文本框写信息，例如有名的尾巴病毒，这类病毒由于病毒将源代码放出，改写起来相当简单，智商85以上的人士都能胜任的。这类木马病毒中的出色代表为bo、冰河、sub 7等。 感染途径：系统破绽/用户错误权限/社会工程学;

3、利用系统破绽造成溢出猎取肯定权限利用其他破绽或用户设置不当提升权限上传恶意程序/修改系统设置启动恶意程序。是这类病毒感染的惯用方式。在后期，出现了以诱骗用户执行为主要感染方式的新木马，充分利用了社会工程学，例如在im类软件上给你发送一个名为"我的照片.exe'这样的文件给你，引诱你翻开执行。由于木马的用处主要是将病毒编写者感爱好的资料回发因此感染途径99%来源于网络，在完全无网络单机状态下的木马等于是没用的死马。 病毒自查：由于木马发送者的企图都是通过掌握你的机器操作来获得肯定利益，因此都会设置启动时加载该程序。掌握类的木马需要占用相当一局部系统资源用户挺直能感觉到的就是启动

4、速度变慢，系统运行速度变慢;而帐号盗取类的木马由于需要获得特定窗口的窗口句柄，因此会在当前窗口切换的时候进展读取推断在机器配置不高的机器上，假如快速轮循窗口，那么感觉到窗口出现速度明显下降;恶作剧类的木马就不用提了，大家都知道不对劲。 木马病毒在编制不够完善的时候，会导致程序溢出例如运行ie的时候屡次出现"非法操作'、翻开资源扫瞄器速度狂慢等现象，也可能是系统中了木马后的蛛丝马迹。在现象推断上，的确没有实在的客观规章可循，主要是根据主观阅历推断。总之假如您没有安装任何软件/修改任何设置，本来昨天速度飞速的机器今日要么总是非法操作，要么速度延迟那么您被感染了病毒或木马的可能性相

5、当大了。当然，假如您的帐号，传奇密码被偷了更有100%的可能性是埋伏着的木马干的。另外，相当多的木马程序由于带了hook钩子，经常导致调试类程序出错，假如您用法softice调试某些程序时常常无故报错，那或许也是系统中挂接了异样的hook程序木马。 病毒查杀：木马病毒的繁衍也是相当快速的，特殊是行为上难以推断合法远程掌握软件和木马在本质上根本上无区分，在执行行为上也相当类似。而木马的掌握协议一般是走tcp/ip协议，理论上是可以在65535个端口中随便选择(当然实际中会避开一些保存端口，防止系统冲突木马最必要的生存条件就是其隐藏性)，因此也无法利用端口方式精确推断出病毒种类;通过特征码方式，假

6、如木马没有留下版本信息或说明文字，那么也相当难以推断;特殊是木马的源代码公开后，想在其中参加一段独特的功能代码不是什么难事，因此衍生的版本特殊快也特殊多，这更加大了杀毒软件查杀的的难度。 事实上如今世面上的杀毒软件对待木马的查杀力量并不够强大，假如有可能，可以选择专用的木马查杀软件，如木马克星等。当然，木马也有手工解决的方法，而且对待层出不穷的木马也只有手工查杀才能以不变应万变感染/修改设置/启动加载/运行猎取密码 是木马必经过的4个步骤，让我们看看怎么找出藏在机器中的马来由于木马需要启动加载执行，因此大多实行修改启动工程来加载的方式进展那么，我们就到启动工程里去牵马吧; 在这一步，需要用户对

7、自己windows的启动工程熟识。win98中，病毒可能在注册表的hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun 或者hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun services中，或者是system.ini文件的boot小节将默认工程修改，或者是在win.ini中的windows小节中的load、run局部进展加载;在windowsstart menuprograms启动这里加载，假如是2000或者xp，除了上面提到的几个地方，还可能以效劳方式加

8、载，在hkey_local_machinesytemcurrent control setservices可以查到详细的加载工程。 对于这一步，由于每个人的机器设置不同，所以天缘也没方法给出列表来说明究竟加载的程序中哪些程序是正常的，哪些是不正常的。有个比拟便利的方法是当您系统把需要安装的软件安装得当时，您查看一下以上几个位置，并把其中的工程记录下来，以后觉得自己可能中木马了后，再比照一下以前的记录，将后来添加的自启动程序记录下名字/途径，进展删除操作。这样做的好处是即使删除掉的是正常程序，也不会是关键进程，不会导致系统无法启动，有复原修改的余地。在win98和xp中有个便利的msconfig

9、指令便于我们查看以上说的启动工程，假如用法的是win2000，可以将xp的该文件copy过去用法。 假如确实发觉了可疑的启动项，那么接下来的工作就是删除它了。 在删除的步骤上，有2个选择： 1.删除启动工程，重新启机，删除木马文件; 2.制止当前运行的木马程序，删除启动工程，重新启机; 两种方法各有其优点，下面我们来一一分析。第一种方法，是删除启动设置里的木马程序选项，并记录下该木马文件的位置(可用"查找'功能定位，并记录下来)，然后重新启动机器(直到机器被重新启动前木马依旧是存活着的)，重新启动后，木马程序本身依旧存留在硬盘上，然后挺直象删除一般程序一样删除掉这个方法的要点

10、就是先制止木马的启动然后再行杀除，好处是操作简洁，不需要借助其他软件，特殊是在win98下默认是无法查看某些进程的，因此用这个方法相当便利，害处那么是对某些木马无效某些木马在运行的时候会定期查看设置的启动项是否还存在，假设是不存在的话会自动修改正来，属于比拟强硬的做法，于是第一种杀除方法就无法应对这样的木马了;第2种方法是先通过进程管理器查看，记录并终止运行可疑程序(不光是注册表/配置文件里的木马启动项，有时候木马程序本身会运行一个附带的独立监视程序来防止自己被改写 因此需要特别熟识自己的机器上的固定正常运行程序才能精确推断，当然还有一个做法是非关键进程都杀天缘在给伴侣机器手工杀木马的时候常这

11、样)，之后再到启动工程里去杀除掉相关的启动工程，重新启动机器后再把刚刚记录下的进程进展认真查看，把确认为木马的文件删除掉。这个方法好处当然就是比拟简单杀掉一些定期检查/回写启动工程的疑难木马，不过对用户的操作要求比拟高一些。 以上2种方法假如把握了，根本上就能把目前的木马全部手工杀除掉，但遇到木马用法2个程序相互关联/检查启动，或者是在加载根本驱动阶段时以驱动程序方式嵌入的木马程序时候用上面提到的2种方法都无效。在win2000/xp中，启动机器的时候会加载system32/drivers名目下的驱动，而假如这些驱动中含有恶意程序，那么它可以做到改写i/o，让windows修改某些文件无效，或

12、让操作某一注册表无效，目前这一技术在病毒中尚未看到先例，但颇有争议的3721已经胜利地运用了该技术，信任在不久的将来一些功力深沉的病毒也会运用到此技术。天缘在这里预先提一下对该类病毒的删除方法由于病毒已改写i/o，故最好的做法是在非windows环境中将其删除，详细的做法是用软盘/光驱引导启动，或者利用vfloppy等工具协作boot引导程序制作一个小型虚拟引导盘，进展杀除工作。 杀毒遗留：由于木马程序并不肯定只有一个可执行文件，因此假如利用手工查杀的方法，或许会有一些木马留下的dll，ocx等资源文件留下，副作用没什么，但是会残留在硬盘上。杀毒软件严格意义上来说只是杀除了一些比拟流行的主流木

13、马，对待一些不太流行的木马是视而不见的，专业的木马查杀工具能杀除90%左右的木马，但剩下的10%高技术的木马也无法查杀如上文提到采纳3721那种加载到system32/drivers下的木马在windows上改写文件/注册表的读写，那么无法在windows环境下查杀。 病毒防备：对待木马，防止感染远比事后杀除更为重要重要的文件/资料/帐号已经被猎取了，即使把木马杀了也无事于补。木马的进驻，除了利用系统破绽，大多采纳欺骗方式记得一句古话："廉价莫贪'。网络上初认识的伴侣热情地给你发他的照片，四处标榜着的免费嬉戏外挂，一些小站点吹嘘的精品软件，一些情色站点的专用播放器，一些所谓"平安站点'的所谓黑客工具。 世界上没有肯定免费的事，以上提到的这些事情中确实有一些是免费的，当更多的是