黑客24小时在线接单网站

破解系统,专业黑客,黑客业务,渗透接单,黑客网站

木马病毒怎么辨别(怎么检查木马病毒)

本文目录一览:

病毒的种类,以及怎样区分他们,木马病毒怎样识别!!!

你好:

一.病毒的分类

二.木马的识别

一.病毒的分类

E-mail 蠕虫:E-mail 蠕虫通过E-mail来进行传播。大部分情况下,该类蠕虫通过将其自身的副本作为邮件的附件或正文中的链接发送,再诱骗接收者运行附件或点击链接下载文件的方式来进行传播。

IM 蠕虫:该类蠕虫通过IM(即时通讯工具)客户端进行传播,这一类的客户端包括:ICQ,MSN,AOL Instant Messenger,雅虎通,QQ 或 Skype。

通常,这一类蠕虫都会使用联系人列表来发送包含一个链接的信息,这个链接可能会引导用去到其网站上下载一个包含该蠕虫副本的文件,当用户下载并运行该类文件后,蠕虫将激活。

IRC 蠕虫:这一类的蠕虫通过互联网多线聊天系统(IRC,一种用于多人在互联网上实时聊天的服务系统)来进入用户的计算机。

该类蠕虫将会在互联网聊天室中发布包含其副本的文件或是到此类文件的链接。当用户下载并打开此类文件时,病毒将被激活。

Net-蠕虫:该类蠕虫通过网络进行传播。

与其它种类的蠕虫不同,网络蠕虫实在没有用户的参与下进行传播的。它们会搜索本地网络中使用了包含漏洞程序的计算机。为了实现搜索,它们会发送特殊的包含其自身代码或部分此类代码的网络数据包。如果网络中存在一个具有漏洞的计算机,这类计算机就将收到此类数据包。一旦蠕虫成功地完全感染该计算机,它就将激活。

P2P-蠕虫:文件交换蠕虫将通过点到点的文件交换网络进行传播,如:Kazaa,Grokster,EDonkey,FastTrack,BT或 Gnutella。

其它蠕虫:其它的网络蠕虫还包括:

通过网络资源传播其副本的蠕虫。如通过可用的网络文件夹等进行传播。

使用不包含在以上表格中所列方式进行传播的蠕虫。

压缩包炸弹型木马程序:一类压缩包,当对它们进行解压缩时,它们的大小将会增大到足以让计算机工作中断的地步。当您尝试解开这一类压缩包时,计算机将会开始工作缓慢或是停滞,硬盘中将会被空的数据文件填满。压缩包炸弹对于文件和邮件服务器是最为危险的。

远程管理型木马程序:这一类的程序是木马程序中最为危险的,黑客可以通过它们随时对计算机进行远程管理。这些程序是在用户毫不知晓的情况下进行安装的, 然后其会将计算机的远程管理权限提供给入侵者。

木马:木马包含以下的恶意程序:

经典的木马程序: 该类木马只会执行木马程序的主要功能,如阻止、修改或清除数据,中断计算机或计算机网络的运行。它们不会具备该表格中描述的其它种类木马程序的特征。

多目的的木马程序:该类的木马具有其它木马程序的附加功能。

勒索敲诈型木马程序:该类木马程序会劫持用户计算机上的“人质”信息,修改或是隐藏这些信息,或是中断计算机的工作使用户无法使用这些数据。然后,入侵者会向用户要求赎金,以交换用户恢复数据的程序。

点击型木马:该类程序会从用户计算机来访问网页 - 它们会通过向网页浏览器发送命令或是替换存储在系统文件中的网页地址来实现这一操作。

入侵者通过使用这样的程序,就能够阻止针对某个网站的网络攻击,或是帮助某些网站增加访问量,提高广告条的播出率。

下载型木马:该类木马程序将会访问入侵者的网页,从其上下载其它的恶意程序,并将其安装在用户计算机上。它们会将可下载的恶意程序文件名存储在自身中或是在登录网站时从网站获取。

释放型木马:该类程序自身会包含其它的木马程序,能够将它们释放至计算机磁盘上并且安装。

入侵者可以使用释放型木马:

在用户不知情的情况下安装恶意程序:释放型木马在安全恶意程序时不会显示任何信息或是显示假冒的报错信息。如,提示压缩包有错误,或是与操作系统版本不兼容等;

保护其它的已知恶意程序不被发现:并不是所有的反病毒程序都能够检测出包含在释放型木马中的恶意程序。

通知型木马:这类木马程序会通知入侵者受感染的计算机已联网,并且把该计算机的相关信息发送给入侵者,包括:IP地址、开放端口号或邮件地址等。它们会通过邮件、FTP、访问入侵者网页或其它的方式与入侵者联系。

代理型木马:这类木马将会帮助入侵者匿名使用用户的计算机作为访问网页的代理,也会使用户计算机发送垃圾邮件。

盗取密码型木马:会盗取密码的木马程序。它们会盗取用户的账户信息,如软件的注册信息等。它们会在注册表和文件系统中搜寻用户的私密信息,然后通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。

间谍程序型木马:该类程序用于对用户的行为进行刺探,它们会收集用户在计算机上的操作信息。如,它们会截取用户通过键盘输入的数据,对屏幕进行截屏,以及收集活动程序列表等。然后,它们会通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。

网络攻击型木马:该类程序会从用户计算机端向远端的服务器发送大量的数据请求,服务器的资源就会被这样的攻击耗尽,从而停止服务(拒绝服务 (DoS))。该类程序常被用于感染大量的计算机,然后通过它们对服务器发起攻击。

等等,还有很多,以上只是一个简单的分类。要想查看更多相关信息,请访问:查询,该网站是卡巴斯基的网站。

二.木马的识别

1.简单分析(分析其行为)

2.逆向工程工具分析(IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB)

1.利用工具查看该程序做了哪些操作(需要一定的专业知识)

2.病毒分析人员利用工具分析

1)精通X86,C,C++等

2)系统底层知识

3)熟悉各种常用互联网协议

4)熟练运用IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB等逆向工程工具

5)熟悉Perl, Python等脚本语言

卡巴斯基Eric

如何判断手机是否有木马?

可以通过安装安全软件来排查手机是否中了木马病毒。

一般来说,手机木马是否存在于你的周围,源于你平时对于网络安全的重视和警惕。

1.木马病毒具有一定的隐蔽性,因此一般来说需要使用杀毒软件或者手机自带的安全中心进行扫描。

2.任何一款杀毒软件都会因为查杀引擎,病毒库样本数量影响对未知病毒的判断,因此扫描结果只是相对的。

3.日常上网遇到陌生链接不要随便点击,下载app尽可能前往官网。

4.手机权限不要随便提供给软件,例如imei,gps定位,这些可能会影响到使用的隐私安全,特别是root,root权限相当于手机令牌,软件一旦恶意使用,手机会变得非常危险。

木马防范

1、检测和寻找木马隐藏的位置

木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。

2、防范端口

检查计算机用到什么样的端口,正常运用的是哪些端口,而哪些端口不是正常开启的;了解计算机端口状态,哪些端口目前是连接的,特别注意这种开放是否是正常;查看当前的数据交换情况,重点注意哪些数据交换比较频繁的,是否属于正常数据交换。关闭一些不必要的端口。

3、删除可疑程序

对于非系统的程序,如果不是必要的,完全可以删除,如果不能确定,可以利用一些查杀工具进行检测。

4、安装防火墙

防火墙在计算机系统中起着不可替代的作用,它保障计算机的数据流通,保护着计算机的安全通道,对数据进行管控可以根据用户需要自定义,防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。

5、相关部门加强整治木马产业链,完善相应的法律法规

现阶段,我国存在着一些专业的服务集团,这些集团的存在可以组成一条比较完善的木马产业链。相对于社会安全法律,针对计算机安全的企管科,也应该受到有关部门和主体的重视与管理,需要建立对应的健全的法律措施。

在2017年,我国计算机受到恶意感染的数量减少了百分之二十六,移动互联网恶意程序的数量也逐渐呈现出一种下降的趋势。正是由于《网络安全法》的实施,在一定程度上抑制了恶意程序的扰民问题,该法律法规的颁布,从网络的角度来看,强化了一些基础性网络设施的建设。

因此,互联网环境下,必须依靠全产业链的合作,强化每一条生产线上的管理工作,让《网络安全法》能够发挥出它应有的价值。

6、健全网站和网络游戏的管理

网站和网络游戏开发商要加大对于网站和网络游戏的管理与监督,争取从源头上就阻止木马病毒,让它没有扩散的机会,这是防范网页病毒和网络游戏的主要方式之一。

另外,网络环境的和设备的日常维护、维修、管理工作都要加强,内容包括网站的服务器每日检查,服务器内的数据和资料进行更新,操作、行为日志的核查等工作过,还需要对服务器的网络配置、安全配置等情况进行严格的检查等。

7、增加网民的防范意识

我国计算机用户正在快速的增长,部分用户对于自身信息的保护意识不强,大部分用户的计算机上都没有安装一些杀毒软件,或者是设置防火墙。

他们应该深刻的意识到反病毒是一项长期且系统性的工作,主动了解这方面的相关知识,提高对于木马病毒的防范措施。针对网站中携带的病毒问题,用户还可以利用防火墙在木马盗取用户账号、隐私之前,就将其拦截并歼灭。

怎么才能知道自己手机有没有中木马病毒?

可以通过安装安全软件来排查手机是否中了木马病毒。

安装一个安全类软件,以手机管家为例,打开手机管家,可自动检查手机是否中了木马,如果手机中了木马病毒,点击首页上的一键体检即可查杀系统中的病毒,并自动彻底清除。

若提示无法删除很可能是权限不足导致的,病毒一般都是存在于系统分区中,正常的卸载方式无法卸载,即使是恢复出厂设置也无法将其删除,必须有ROOT权限才能卸载。

获取ROOT权限可以使用电脑端的一键ROOT工具进行,例如:KINGROOT、ROOT精灵等。然后对手机管家进行授权再深度查杀即可彻底删除。

扩展资料:

解决手机中病毒恶意扣费的两种方法:

第一个是可以直接通过自己手机电话卡所属的通讯公司来查询相关的手机恶意扣费情况。可以到对应的营业厅,也可以通过手机拨打官方电话号码的人工服务进行查询。

另外一种方式是,在遇到任何恶意扣费的情况下,一定不要对所有的信息进行回复,或者是点击,这样能够在最大程度上避免扣费的情况。

参考资料来源:百度百科—手机病毒

怎么分辨自己中的是病毒还是木马?

因为根据病毒的课传染性,你可以插上一根空白的U盘,然后再把文件夹选项改下,看看U盘里面的空间是不是比没插前多了几K到几百K。当然假如是最新的病毒的话杀毒软件是不会报出来的。

而木马就不同了,木马是固定的程序,比如灰鸽子,damewareNT,盗Q木马,游戏木马....而只是他们生成的SERRVER.EXE只要他们的免杀技术到位,杀毒软件一般不会报出来的,他们种类也就那么多,这是和病毒本质的区别。

木马还有一种区分方法:你在进程里面看system.exe或者是IEXPLORER.EXE的用户权限假如是system的话,说明你的机子中灰鸽子木马了。

还有就是木马不可以传染给别的机子。他是不可传染性的,木马一般是你下的软件或者视频文件捆绑了它的,或者你浏览的网站被别人挂马的。而病毒制作是根据系统漏洞可以进行整个互联网的传播。除了ARP病毒。。所以想确定机子是

区分木马和病毒

就定义来说,病毒应该涵盖木马。但病毒有其重要的四个特性:传染性,隐蔽性,破坏性,潜伏性!病毒一般有传染部分和表现部分!而按寄生方式分,病毒可分为:入侵型,源码型,外壳型,操作系统型!不难发现,木马符合病毒的四个特性!虽多是程序,但也是包含在病毒的定义范围内!只是它的目的是窃取数据而不是致力与破坏,所以我认为病毒包含木马!

怎么辨别木马病毒进程和常见病毒进程

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。

病毒进程隐藏三法

当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:

1.以假乱真

系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?

3.借尸还魂

除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑

上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe

常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。

explorer.exe

常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。

iexplore.exe

常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。

iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

rundll32.exe

常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。

spoolsv.exe

常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。

限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:

1.仔细检查进程的文件名;

2.检查其路径。

通过这两点,一般的病毒进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。

运行Procexp后,进程会被分为两大块,“System Idle Process”下属的进程属于系统进程,

explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的。

  • 评论列表:
  •  黑客技术
     发布于 2022-07-02 00:11:18  回复该评论
  • 偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsy
  •  黑客技术
     发布于 2022-07-01 17:19:03  回复该评论
  • 个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。2、防范端口检查计算机用到什么样的端口,

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.