本文目录一览:
如何分析DLL木马病毒
你好建议你安装360安全卫士,用它扫描一下,是木马 它会提示你处理的,目前360安全卫士的木马查杀功能比较强,它运用云安全技术,在拦截和查杀木马的效果、速度以及专业性上表现出色,能有效防止个人数据和隐私被木马窃取,被誉为“防范和查杀木马的第一选择”。
如何手动分析恶意软件或病毒(主要是木马)
用相关工具查看端口开放情况,如果发现有危险端口开放可以关联到开放该端口的进程,那么该进程就是病毒的进程了,将该进程直接删除就行了。
还有就是分析病毒这种东西不是一朝一夕就能做到的,建议楼主多看一些关于PC安全的书籍,实践。
分析一个木马的步骤
近年来,随着计算机网络发展,网络安全问题日益显得尤其重要.黑客的入侵对网络安全造成了极大威胁.入侵的主要手段之一,就是使用木马技术,其破坏力之大,是绝不容忽视的.黑客是如何制造这种具有破坏力的木马程序,以及如何防范木马程序的入侵?这是本文着重要讨论的问题.本文首先从木马程序的隐藏技术、自动加载技术和通讯技术3个方面进行详细的技术分析研究,总结出木马程序的一般设计原理;其次,给出了防范木马程序入侵的一般方法.1 木马程序的隐藏技术为了避免被发现,木马程序的服务器端,多数都要进行隐藏处理.早期的木马程序所采用的隐藏技术是比较简单的,早期最简单的隐藏方法是在任务栏目里隐藏程序.到后来发展到当按下Ctrl+Alt+Delete的时候,也就看不到这个程序.现在的木马在进程隐藏方面,已做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都能达到良好的隐藏效果.1.1 在任务栏中隐形这是最基本的隐藏要求,其实现技术同样也是非常的简单.在VB中,只要把form的Visible属性设为False,将ShowInTaskBar设为False,程序就不会出现在任务栏中了.1.2 在win9x的任务管理器中隐形这只要把木马服务器端的程序注册为一个服务就可以了,这样,程序就会从任务列表中消失,因为系统不认为该程序是一个进程,当按下Ctrl+Alt+Delete的时候,也就看不到这个程序.但是,这种方法只适用于Windows9x的系统,对于WindowsNT,Windows2000等,通过服务管理器,还是可以发现在系统中注册过的服务.将程序设为/系统服务0就可以隐藏.在VB中如下的代码可以实现这一功能:1 声明部分 PublicDeclareFunctionRegister2ServiceProcessLib/kernel320(ByValProcessIDAsLong,ByValServiceFlagsAsLong)AsLongPublicDeclareFunctionGetCurrentProcessIdLib/kernel320Alias/GetCurrentProcessId0()AsLong
2 函数部分 PrivateSubFormLoad()RegisterServiceProcessGetCurrentProcessId,1(注册系统服务)EndSubPrivateSubFormUnload()RegisterServiceProcessGetCurrentProcessId,0(取消系统服务)EndSub1.3 在winNT/win2000中的任务管理器中隐形在winNT/win2000中实现进程隐藏的方法有两种:一是采用API的拦截技术;二是采用DLL技术.1 API的拦截技术 在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,即均会生成一个独立的进程.在Windows中有多种方法能够看到进程的存在:PSAPI(ProcessStatusAPI),PDH(PerformanceDataHelper)和ToolHelpAPI.如果能够采用API的拦截技术,通过建立一个后台的系统钩子,拦截PSAPI的EnumProcessModules等相关的函数来实现对进程和服务的遍历调用的控制,当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过,那样就实现了进程的隐藏.如果这个进程是一个木马的服务器部分程序,则显然就是现在win9x/win2000的任务管理器中隐藏的程序.2 采用DLL技术 DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的.DLL文件没有程序逻辑,是由多个功能函数构成的,它并不能独立运行,一般都是由进程加载并调用的.因为DLL文件不能独立运行,所以,在进程列表中并不会出现.如果是一个木马DLL,并且通过别的进程来运行它,那么无论是在入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马DLL.运行DLL文件最简单的方法是利用Rundll32.exe进行,但是很容易被识破.比较高级的方法是使用木马DLL替换常用的DLL文件,通过函数转发器将正常的调用转发给原DLL,截获并处理特定的消息.DLL木马的最佳隐藏方法是动态嵌入技术,动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术.与一般的木马不同,该技术基本上摆脱了原有的木马模式监听端口,而是采用替代系统功能的方法,即改写驱动程序或动态链接库.这样做的结果是:由于没有增加新的文件,因此不能用扫描的方法查杀;不需要打开新的端口,所以不能用端口监视的方法查杀;没有新的进程,所以使用进程查看的方法发现不了它,也就不能用kill进程的方法终止其运行.在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作.1.4 利用端口实现隐形一般来说,一个端口都应对着一种特定的服务.如果某一主机的某一端口处于开放状态,那就意味着这一主机将对互联网上的用户提供该服务,并且该服务程序已在这台主机上运行.反过来,如果某一主机上并未启动某端口服务,而该端口却莫明其妙处于开放状态,那么这一计算机就很可能已被入侵者投放了/木马0.一台机器由65536个端口,通常情况下木马端口一般都在1000个以上,而且呈越来越大的趋势.这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样,木马就会很容易暴露;而由于端口扫描是需要时间的,即使是一个速度较快的端口扫描器,在远程也需要大约20min才能扫完所有的端口,因此,使用诸如54321的端口很难发现它.冰河及很多比较新的木马都具有端口修改功能,因而木马大多都能在任何端口出现.现在有很多流行的端口扫描程序,比如portscan程序就很不错,在网上可免费下载.2 程序的自加载运行技术让程序自运行的方法比较多,使用者当然不会指望在每次启动后点击木马图标来运行服务端,其实这是启动木马程序的最原始的方法.木马要做的第二件重要的事情就是如何在每次用户启动时自动装载服务端.目前木马程序最常见的启动方法为:加载程序到启动组,写程序启动路径到注册表的HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersions\Run.当然还有很多其他的方法,比如可以修改Boot.ini,或者通过注册表里的输入法键值直接挂接启动,以及通过修改Explorer.exe启动参数等,真可谓防不胜防
不小心点开了手机短信的链接,怎样测试是否中木马病毒了?谢谢
如果手机出现以下症状,很可能是手机中病毒了,想进一步确认是否中毒,可以使用第三方杀毒软件检测一下。
一、手机中毒症状:
1、手机异常卡顿
在网络正常的情况下,手机突然变得非常卡,运行速度明显比往常慢得多,打开个页面总是要等待很久,甚至需要反复刷新几次才会跳转出来。查看手机后台数据,发现存储空间明显减小,这可能是手机病毒的运行在消耗大量存储空间。
2、莫名扣费
不知道大家有没有留意过自己的手机扣费情况,当手机出现莫名扣费,几天内的费用是正常费用的好几倍,可能是病毒在搞鬼。这有两种可能,一种是恶意扣费病毒,你不小心点到某个链接就自动扣费了,还有一种可能是病毒在后台运行,消耗大量流量,导致费用增加。
3、耗电速度加快
在同样的使用频率下,手机耗电速度比往常更快,比如以前充满电可以持续使用一整天,但是最近只能维持半天使用,手机可能已经有病毒,手机病毒正在进行暗箱操作,导致电池损耗加快。
4、通话莫名中断
跟别人在手机通话中经常出现莫名中断的情况,首先排查是不是手机信号和运营商的问题,如果之后还是反复中断,很可能是手机里有了病毒,它会对通话质量造成不良影响。
5、手机出现莫名软件
手机桌面突然出现一些来历不明、听都没听过的软件,还时不时弹出各种乱七八糟的广告,这很可能是手机在浏览非正规网站时,连带自动下载了一波垃圾软件,这些垃圾软件往往携带病毒。
6、手机自动关机重启
如果你正在玩着手机游戏或者正在聊天,手机突然就黑屏自动关机了。有时候玩着玩着,手机却自动重启了,如果这些情况经常发生,说明手机已经感染上病毒了。
7、手机发热异常
恶意病毒会给手机性能带来更大的负担,如果手机在低速运行或不使用情况下,手机发热严重,摸起来发烫,它很可能已经感染了病毒。
8、手机经常弹出黄色广告
登陆浏览器时,手机经常弹出黄色页面和成人网站的广告,或者经常收到一些附带链接的黄色广告短信,手机感染病毒的可能性就很大了。
二、解决方法:
1、将手机格式化,或者采取恢复出厂设置,这样手机中的资料数据全都彻底清除,很大程度也处理掉了病毒。
2、如果恢复出厂设置还没有解决问题,那就只有刷机了,最好要到手机专业售后服务中心去刷机。
扩展资料:
预防手机中毒的方法:
1、首先尽量通过一些大型的、正规的网站去下载东西,这样信誉度高,一般都不会传播病毒的,而且大网站维护做的好,不会被恶意人士找到漏洞给强制挂马。
2、不要随便接收别人发的手机游戏文件、第三方刷机ROM等等,这些同样在接收前,要使用电脑上面的杀毒软件扫描检测一下,这样才会比较安全。
3、在电脑上安装一些第三方防护软件,例如腾讯电脑管家就可以,里面带有应用入口防护功能,可以避免病毒通过串口感染手机。
如果是经常到网上下载软件的话,手机肯定就很容易就中毒。当手机中毒了之后,各方面都是不好的,所以为了能够更好的使用手机,必须要对手机杀毒。手机上面一般都是安装了杀毒软件的,可以直接用杀毒软件进行杀毒。