本文目录一览:
一般黑客常用的工具有哪些,要分类型
渗透、免杀、破解、
渗透-综合扫描、目录检测、注入检测、webshell、抓包改包、提权、字典、痕迹清理、
免杀-免杀辅助、脱壳、加壳、加花、
破解-PE工具、调试、反编译、补丁、加壳脱壳、行为监控、网络封包分析、
如果还要分类的话恐怕我整理需要1个多小时太麻烦。
什么杀毒组合杀毒效果最好!
强烈建议你用NOD32,全球杀软前三,查杀能力强,占用资源少!是客户的首选!
NOD32 ESS 安全套装+金山急救箱+金山网盾+360安全卫士,NOD32 ESS 安全套装自带防火墙!以上是我的推荐,我朋友也都这么用,也包括我!现在还未发现不能清除的病毒!
金山网盾3.5也可以,还能修复系统异常! 保证系统最大防护!
用360系统急救箱修复他可以修复假冒的IE,就是快捷方式那种删除不下去的!
以后可以自己辨认病毒!
附加名词解释:
Backdoor,危害级别:1,
说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm,危害级别:2,
说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail,危害级别:1说明:通过邮件传播
IM,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己
MSN,危害级别:3,说明:通过MSN传播
QQ,危害级别:4,说明:通过OICQ传播
ICQ危害级别:5,说明:通过ICQ传播
P2P,危害级别:6,说明:通过P2P软件传播
IRC,危害级别:7,说明:通过ICR传播
其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy,危害级别:1,说明:窃取用户信息(如文件等)
PSW,危害级别:2,说明:具有窃取密码的行为
DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL
Proxy,危害级别:9,说明:将被感染的计算机作为代理服务器
Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。
Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL、Notifier ,按照原来病毒名命名保留。
Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper
Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit,漏洞探测攻击工具
DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam,垃圾邮件
Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具
Binder,危害级别:无 ,说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
JS 说明:JavaScript脚本文件
VBS 说明:VBScript脚本文件
HTML 说明:HTML文件
Java 说明:Java的Class文件
COM 说明:Dos下的Com文件
EXE 说明:Dos下的Exe文件
Boot 说明:硬盘或软盘引导区
Word 说明:MS公司的Word文件
Excel 说明:MS公司的Excel文件
PE 说明:PE文件
WinREG 说明:注册表文件
Ruby 说明:一种脚本
Python 说明:一种脚本
BAT 说明:BAT脚本文件
IRC 说明:IRC脚本
如果遇到极端顽固的病毒,杀毒软件都解决不了,请用以下办法将病毒锁死
①打开“我的电脑”,对准C盘,右键单击-属性,看看它是否为NTFS文件系统
如果不是,请点击「开始」菜单-运行-输入cmd 进入命令提示符
在此输入 convert C: /fs:ntfs 依次确认,重启计算机即可生效
若病毒藏在别的盘,同理可执行转换操作(根据实际盘符作改动)
注意!"绝对路径"要加引号!!例如 "C:\Documents and Settings\Administrator\Application Data"
②复制以下内容到记事本,另存为lock.bat
@echo off
set /p v=请输入文件的绝对路径:
attrib %v% +a +s +r +h
cacls %v% /e /d everyone
pause
%0
③如果你想解锁,请执行下面的批处理
@rem 复制以下内容到记事本,另存为unlock.bat
@echo off
set /p u=请输入文件的绝对路径:
cacls %u% /e /g everyone:f
attrib %u% -a -s -r -h
pause
%0
如何做木马免杀
木马免杀浓缩精华版教程
第一部分:对国内外杀毒软件分析
在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.
第二部分:木马免杀的对策
一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则下面的免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。
三.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.
1.入口点加1免杀法.
2.变化入口地址免杀法
3.加花指令法免杀法
4.加壳或加伪装壳免杀法.
5.打乱壳的头文件免杀法.
6.修改文件特征码免杀法.
第三部分:免杀技术实例演示部分
一.入口点加1免杀法:
1.用到工具:PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
二.变化入口地址免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.
二.定位与修改要点:
1.首先用特征码定位器大致定位出瑞星内存特征码位置
2.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.
第五部分:免杀方案实例演示部分
1.完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装
3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳
5.完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
还有其它免杀方案可任意组合.达到更好的免杀效果.
免杀远程控制软件有哪些,如何选取
这类软件其实还是比较多的,大致的使用方法也比较简单可分为远程协助和远程控制
远程协助:类似QQ远程协助和Windows系统自带的远程桌面,优点是简单适合一般性质的协助
远程控制:可以控制对方电脑用于操作,比如是控制键盘、鼠标、视频、桌面等网络游戏远程控制等
黑客类的远程控制:大名鼎鼎的灰鸽子和冰河,这些都是2007年左右的产品基本上已经被淘汰了,最新的有彩虹远程控制软件,一直在更新,这个发送图片就可以控制。
现在的远程控制软件基本上针对的是电脑对电脑控制,虽然有支持手机的,但是大致还是电脑的比较多。
以上就是大概了有付费的也有免费的,好用肯定是付费的好了,免费的也基本上只能简单了解下
杀毒的国际杀毒软件
著名的toptenreviews发布了2009版最新世界杀毒软件排名,2009世界杀毒软件排名网址如下(该排名是性价比排名,仅供参考):
评比结果前十名如下:
金 奖:BitDefender Internet Security
银 奖:ZoneAlarm Internet Security
铜 奖:Kaspersky Internet Security
第 四 名:BullGuard Internet Security
第 五 名:Trend Micro Internet Security Pro
第 六 名:McAfee Internet Security
第 七 名:AVG Internet Security
第 八 名:Norton Internet Security
第 九 名:Norman Security Suite
第 十 名:Panda Internet Security
下面详细介绍2009版各杀毒软件:
金 奖:BitDefender Internet Security
Bitdefender(中文名:比特梵德,简称BD)是来自罗马尼亚的老牌杀毒软件,拥有260多万的超大病毒库,并且以每天1万以上的病毒库扩充;连续九年世界杀毒软件性价比排名第一,用户遍及100多个国家和地区,包括超过300万个企业用户和4100万个单机用户;同时,该杀毒软件以小于1小时的新病毒响应速度在防病毒软件中独占鳌头。2008年7月Bitdefender重磅登陆中国,中国老百姓将逐渐认识这个杀毒软件,必将掀起中国杀毒软件市场革命! 产品优势:
1.连续九年世界杀毒排名第一,杀毒效果独一无二;
2.占用系统资源少,绝不拖慢电脑;
3.扫描速度快,扫描速度是同行业的佼佼者;
4.病毒库大,260万的超大病毒库,且以每天1万以上的速度扩充病毒库,保证电脑安全无忧;
5.独有的游戏模式,是游戏玩家的福音;
银 奖:ZoneAlarm Internet Security
屡获殊荣的防病毒和防间谍软件,国内寻求到的信息很少:
我们并不只是简单地扫描并移除病毒和间谍软件,而且能够防止系统遭受最新,最厉害的病毒攻击;
内置了世界上最强大的防火墙:
ZoneAlarm开发的个人电脑防火墙有超过60万人在使用,用户遍及世界各地,财富100强企业使用了我们母公司研发的企业防火墙和Check Point软件,我们知道如何避免您的电脑遭受病毒的入侵;
个人信息全面防护
只有ZoneAlarm的结合了离线身份保护服务与在线技术,以阻止黑客窃取您的个人信息。
防范对系统的攻击和控制:
木马病毒可以绕过系统防护并且控制您的电脑。我们的leading Root Boot Protection技术,可以阻止黑客对您系统的控制。
其它安全保护包括:
反垃圾邮件,家长控制,以及隐私权,提供全面的计算机安全保护。
简洁易于使用,新用户可以方便快捷地自定义自己喜欢的界面。
完全兼容与WindowsVista和XP系统。
铜 奖:Kaspersky Internet Security
卡巴斯基反病毒软件2009是一套全新的安全解决方案,可以保护您的计算机免受病毒、蠕虫、木马和其它恶意程序的危害,它将实时监控文件,网页,邮件,ICQ/MSN协议中的恶意对象;扫描操作系统和已安装程序的漏洞,阻止指向恶意网站的链接,强大的主动防御功能将阻止未知威胁。该杀毒软件病毒库136万,虽然落后于bitdefender 近90万病毒库,但是其杀毒效果已经是杀毒软件中的佼佼者了,虽然存在误杀及占用资源大等缺点,但是以其卓越的杀毒效果,在中国还是已经深入人心,成为中国所熟知的杀毒软件! BullGuard Internet Security
软件简介:
来自英国杀毒软件套装,使用BitDefender引擎和Sygate防火墙技术
What’s new in BullGuard Internet Security 8.0
* Remote access for BullGuard Support
* 5 Gigabyte Online Backup Drive
* Improved Firewall and Spamfilter engines
提供客户服务的远程支持,5G的在线备份空间,防火墙和反垃圾邮件引擎也得到了改进了。 Trend Micro Internet Security
Trend Micro Internet Security是一套功能完善及容易使用的个人电脑安全方案,能够对抗各类病毒、蠕虫、木马、黑客、隐私威胁及垃圾邮件等互联网问题,专为现今的家庭、小型和家居办公室(SOHO)用户而设。提供一个完善而且操作简单的方案,能够对抗各种互联网威胁,帮助用户尽量发挥其电脑系统的效益,而毋须为控制安全威胁而忧心忡忡。主要特点有:完全病毒安全防护;增强间谍软件检测和清除功能;新增防护phishing(互联网诈骗)功能;新增家庭网络控制功能;Wi -Fi 入侵检测功能;垃圾邮件过滤功能;个人防火墙等。 McAfee Internet Security
McAfee杀毒软件,官方中文译名为“迈克菲”,公司总部设在加利福尼亚州的圣克拉拉市,是网络安全和可用性解决方案的领先供应商。所有 McAfee 产品均以著名的防病毒研究机构(如 McAfee AVERT)为后盾,该机构可以保护 McAfee 消费者免受最新和最复杂病毒的攻击。
McAfee杀毒软件是全球最畅销的杀毒软件之一,McAfee防毒软件,除了操作界面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能!除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。 AVG Internet Security
AVG Internet Security,在收购ewido后Grisoft终于发布了包含反木马和反间谍组件.在电脑上已经安装的其它安全软件基础上,补充为一个完整的安全系统.plus版本能实时监测整个系统运行,监测内存,内核自保护,在线升级等.程序可识别并清除63,449种不同的黑客程序,木马程序,蠕虫程序,Dialers程序等! 全面保护你的网络安全! Norton Internet Security
智能全防护极速新体验
诺顿网络安全特警2009是令人叹为观止的安全套装产品,1分钟安装、每5-15分钟防护更新、智能高速扫描、实时SONAR主动防护,主动高启发防护等超过300项的产品改进及60多项创新设计,实现了性能和防护的完美统一,同时实现了对系统资源“0”消耗。智能主动全防护系统自动检测及删除木马、僵尸网络、病毒、蠕虫、黑客、Rootkit及间谍软件等各种恶意威胁,不需要您的决策就能全方位的保护您的个人信息、密码、银行帐户及电脑的安全 Norman Security Suite
Norman Virus Control 是欧洲名牌杀毒软件!操作简单,功能强大!新病毒每天尽出不穷,而您的企业可能就是下一个受害者.您需要一个专业的数据安全专家协助您防范这些风险.当发现文件受病毒感染,NVC会在破坏代码生效前立即将它隔离或删除.著名的Norman病毒扫描引擎取得重大的技术突破,在新版本中加入了革命性的SandBox诱捕技术.更有效查杀新型未知病毒,包括特洛伊木马和蠕虫. 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:
(1)计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现;
(2)计算机软硬件产品的脆弱性是根本的技术原因
计算机是电子产品。数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误,只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便;
(3)微机的普及应用是计算机病毒产生的必要环境。
1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到中国。而这几年正是中国微型计算机普及应用热潮。微机的广泛普及,操作系统简单明了,软、硬件透明度高,基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多,对其存在的缺点和易攻击处也了解的越来越清楚,不同的目的可以做出截然不同的选择。在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。 1.备好启动软盘,并贴上写保护。检查电脑的问题,最好应在没有病毒干扰的环境下进行,才能测出真正的原因,或解决病毒的侵入。因此,在安装系统之后,应该及时做一张启动盘,以备不时之需。
2.重要资料,必须备份。资料是最重要的,程序损坏了可重新拷贝或再买一份,但是自己键入的资料,可能是三年的会计资料或画了三个月的图纸,结果某一天,硬盘坏了或者因为病毒而损坏了资料,会让人欲哭无泪,所以对于重要资料经常备份是绝对必要的。
3.尽量避免在无防毒软件的机器上使用可移动储存介质。一般人都以为不要使用别人的磁盘,即可防毒,但是不要随便用别人的电脑也是非常重要的,否则有可能带一大堆病毒回家。
4.使用新软件时,先用扫毒程序检查,可减少中毒机会。
5.准备一份具有杀毒及保护功能的软件,将有助于杜绝病毒。
6.重建硬盘是有可能的,救回的机率相当高。若硬盘资料已遭破坏,不必急着格式化,因病毒不可能在短时间内将全部硬盘资料破坏,故可利用杀毒软件加以分析,恢复至受损前状态。
7.不要在互联网上随意下载软件。病毒的一大传播途径,就是Internet。潜伏在网络上的各种可下载程序中,如果你随意下载、随意打开,对于制造病毒者来说,可真是再好不过了。因此,不要贪图免费软件,如果实在需要,请在下载后执行杀毒软件彻底检查。
8.不要轻易打开电子邮件的附件。已造成大规模破坏的许多病毒,都是通过电子邮件传播的。不要以为只打开熟人发送的附件就一定保险,有的病毒会自动检查受害人电脑上的通讯录并向其中的所有地址自动发送带毒文件。最妥当的做法,是先将附件保存下来,不要打开,先用查毒软件彻底检查。 说明:中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail,危害级别:1说明:通过邮件传播
IM,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己
MSN,危害级别:3,说明:通过MSN传播
QQ,危害级别:4,说明:通过OICQ传播
ICQ危害级别:5,说明:通过ICQ传播
P2P,危害级别:6,说明:通过P2P软件传播
IRC,危害级别:7,说明:通过ICR传播
其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 说明:中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy,危害级别:1,说明:窃取用户信息(如文件等)
PSW,危害级别:2,说明:具有窃取密码的行为
DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒,操作准则:下载的文件是病毒,确定为: Trojan.DL 说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL、Notifier ,按照原来病毒名命名保留。
Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
逻辑条件引发的事件:
事件1:.释放的文件不是病毒。操作准则:释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2:释放的文件是病毒。操作准则:释放的文件是病毒,确定该文件为:Droper
Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit,漏洞探测攻击工具
DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam,垃圾邮件
Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具
Binder,危害级别:无 ,说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。