本文目录一览:
- 1、如何查处隐藏在电脑里的病毒和木马?
- 2、点一下短信链接银行卡就被盗刷是怎么回事?
- 3、会制造病毒的人能把病毒隐藏在图片,链接,视频,短信,音乐里面吗
- 4、在淘宝买东西,卖家发来的链接有木马怎么办?
- 5、诈骗链接为什么可以让手机黑屏
如何查处隐藏在电脑里的病毒和木马?
申明:以下内容全部转载!原作者标在最后
做了几年的网管.遇到问题最多的就是电脑病毒,多数人通病就是遇到厉害的病毒,杀毒软件解决不了的,干脆就重装系统.确实这是个好方法,但你想过没有,如果多学点这方面的技术,5分钟就能搞定的问题,为什么要重装系统呢?
在WINDOW系统下,任何一个程序一定,肯定会有一个进程,病毒也不例外.在进程管理器中看不见,并不代表没得哦.灰鸽子就是靠隐藏进程出名的.先来给大家讲一下病毒的几种表现形式:
第一种.DLL动态链接库注入型木马:
什么是DLL呢?扩展名为.DLL是动态链接库,当某一进程需要实现某一功能时,此功能可能是放在某一动态链接库文件中的,所以,当进程需要使用时就要将动态库文件加载到自己的进程中.一个无进程的木马很有可能就是DLL注入型的,注入的方法可以通过注册表.还可以通过另一个进程,来打开现有的进程,来将DLL注入到被打开的正常进程中,然后,执行注入的进程退出,这样,在进程列表中仍然看不到木马的进程。
查杀方法:
使用工具查看每一个进程加载的模块,发现可疑或者名字特别奇怪的就是病毒注入到正常进程中的DLL,这种DLL注入型病毒通常会通过服务加载到每一个正常的进程中,注入的DLL都是一个文件,删除病毒的DLL文件后,重启电脑就OK了.
第二种.无进程,线程注入型木马
相对于进程,线程就是一个进程中的一个个执行单位。线程注入又是咋回事呢?线程注入,就是木马程序将一个恶意线程放到了正常进程的线程序列中去执行,就像在工厂中多增加了一组自己的工人,这一组工人与其它的正常的几组工人没有什么关系,但却借用了人家的工厂去从事着非法的勾档.
线程注入与DLL注入的区别是,线程注入只是增加了一组工人,这组工人是在以工厂的名义在工作,对外的名义也是工厂的名字,出了问题是由工厂负责的。而DLL注入呢,是外包,可能会增加一组工人也可能会增加多组,是以DLL自己的名义在工厂内工作的,出了问题是由DLL来负责的。当然了,如果问题大了,工厂也会受牵连的.
查杀方法:
相比较起来,查杀线程注入型的木马,就比较困难了,我们上面说了,线程注入的没有自己的文件,只是一段注入的代码。也就是说他只是混入工厂内的一组工人,并没有自己的工厂也没有自己招牌,想把他与正常的工人区分开,是很困难的。同样,也要借助于专门工具,进程占用CPU高的是首先查看的目标,查看线程的时候,基址越大的,就是启动越晚的线程,通常对付线程注入型病毒,要从它的启动源来着手,关键在于阻止病毒向进程中写入代码.
第三种.驱动型木马.
什么是驱动型木马呢?就是全部功能放到了驱动程序中去完成.什么又叫驱动程序呢?驱动程序顾名思义就是驱使设备动起来的程序。其作用是让特殊的硬件和Windows操作系统可以交换数据,比如我们按下了键盘的A键,那键盘驱动就要告诉Windows系统“这家伙按下了A键,你看咋办吧”,它只是告诉一声,后面的工作就由系统来处理了,系统会根据不同的情况进行不同的处理,如果你是在打字,那就把A这个字符显示在你的输入页面中,如果你用的是五笔,显然直接显示个A是不行的,Windows系统就会把你输入A的这个信息转给了输入法程序……最终实现你按A的目的。
为什么要用驱动来完成木马的功能呢?因为在WINDOW中驱动程序是以最高权限在运行,相当于公司的股东或董事的权力,而且进程中是不会显示驱动程序的进程.国产吹得厉害的瑞星和金山等,它们的权力就像公司内部的审记部门,你可以审查和开除公司其它员工,但就是没权力审查或开除公司的股东或董事吧.HEHE.可想而知,病毒一但获得这种权力,就算你知道它是病毒,你也无法清除它了.何况病毒并不傻,有了这种权力我为什么要让你发现呢?我可以利用这种特权悄悄的做我自己想做的事.WINDOW系统下,你装了驱动程序,哪么你就要多一个设备出来吧.HEHE.我们进入设备管理器中可以看到系统所有已经安装的驱动程序,当然也包括木马驱动了,通常木马驱动程序都是安装在"非即插即用驱动程序"这项里面.数目太多判断难度大.
查杀方法:
还是要利用专门的工具,驱动程序都会加载.SYS文件,哪么正常的驱动文件是微软认证或是第三方认证的,排除了这些正常的驱动,剩下的就是可疑驱动程序了,为什么这里不说剩下的就是木马驱动了呢?因为有一些正常的驱动程序,比如说TCPIP.SYS文件,WINXP默认是10个连接数.你修改了系统连接数.哪么这个驱动文件就会有所改变,当然不能通过认证了.
第四种.利用技术手段隐藏进程的木马
上面介绍的都是无进程,只是利用其它进程实现病毒自己的功能.而这种技术型隐藏进程的木马,你无法破解它的隐身方法,看不到它的进程.查杀无从谈起.
WINDOW系统给软件开发人员提供了几种列出系统中所有进程.模块和驱动的方法.最常见的也是最常用的方法就是调用系统API:CreateToolHelp32Snapshot、EnumProcess、EnumProcessModules等,我们调用这几个函数其实就是在告诉系统,我们需要进程列表,然后系统就会按照我们的要求,把列表返回给我们.这几个API接到请求后,调用ZwQuerySystemInformation,接着ZwQuerySystemInformation会调用KiSystemService切入内核进入R0权限,然后自SSDT表中查取得NtQuerySystemInformation的地址,并调用其指向的实际代码,而NtQuerySystemInformation的作用则是自系统的数据结构中取相应的数据,再顺原路返回去,在中间任何一个环节进行拦截进行修改都可以实现隐藏进程的目的.这种方法被称为"HOOK".
正常调用API的时候,系统会根据SSDT表正确的指向系统的API函数,但是病毒修改了SSDT表后,当你调用结束进程NtTerminateProcess函数时,SSDT表指向的地址就不是这个真正NtTerminateProcess函数的地址了,而是指向病毒自己的函数,用户想结束病毒的进程,使用的函数却是病毒的函数,你认为它会听你的话吗?这只是一种,还有一种更厉害的就是"LINEHOOK",这种类型的病毒修改的不是SSDT表,而是修改的函数代码.从原理上可知,修改SSDT表导致函数地址被HOOK的病毒,只要恢复SSDT表,然后清除病毒主程序就完了.而这种LINEHOOK修改代码的技术,更是难以防范.因为它并没有修改SSDT表,而是修改系统中正常的API函数,添加自己想要的功能进去,举个例子,用户查向系统发出查询系统进程的命令,系统按照要求在SSDT表中找到对应函数的地址,对函数进行调用,比如这个函数名为A.接着函数A把返回的结果传回系统中显示出来,这是正常的情况下.非正常的情况下,病毒并不是修改SSDT表,而是修改函数A中的内容,加上自己的功能,比哪说隐藏自己.在返回系统进程的信息中,把病毒自己的进程名给删除了,用户最终在进程管理器中看到的进程,理所当然的不包括病毒进程了.明白了吧.
以上这些都是我多年杀毒总结出来的经验,当然引用了一些专业名词,能看懂的尽量看懂吧,将会对你有很大的帮助.我平常都把一些常用的辅助工具软件用U盘存放起来,方便随时使用,武林高手在怎么说手上总得有把利剑吧...
原作者:漫步云端
点一下短信链接银行卡就被盗刷是怎么回事?
点一下短信链接银行卡就被盗刷属于手机感染木马病毒导致银行卡盗刷的情况。
在短信中点击有所佯装的不明链接,用户手机很有可能被其跳转链接到的木马病毒程序所感染,导致短信的通知提醒功能被临时性阻隔中止,也就是相对静音。
而且用户当时无法更改重置,继而微信或支付宝等第三方支付软件中钱包或银行卡等支付功能被拦截控制,不法分子利用手机网络或所联互联网远程将账户关联银行卡内余额非法窃取。
扩展资料:
验证码是金融机构在用户进行诸如修改密码、转账等操作时,向用户预留手机号码中发送的一次性密码,没有验证码无法进行操作。而要想获取验证码,犯罪分子最常用的手段就是向目标手机发送木马病毒。
(1)植入木马,骗子广发打折优惠、假扮熟人等短信,链接网址植入木马病毒。
(2)运行病毒,受害人点击安装软件后,木马就寄生在手机运行。
(3)监控手机,骗子随时掌握受害人在手机操作过的银行卡信息。
(4)盗取信息,骗子盗取银行卡号,开通快捷支付,截获验证码。
(5)刷走钱财,骗子操纵开通手机理财服务,把钱从银行卡转走。
参考资料来源:百度百科-微信静音诈骗
会制造病毒的人能把病毒隐藏在图片,链接,视频,短信,音乐里面吗
可以。
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。
一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。
可以对被控计算机实施监控、资料修改等非法操作。
木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。
在淘宝买东西,卖家发来的链接有木马怎么办?
在淘宝买东西,卖家发来的链接有木马的处理方法是:
1、不要打开此链接。如果已经打开了,那么需要立刻运行杀毒软件进行强力杀毒。
2、向淘宝举报此链接。方法是点击对话框上面的【举报】按钮,选择举报内容为【木马链接】然后提交即可。
诈骗链接为什么可以让手机黑屏
因为诈骗链接中暗藏木马病毒,可以让手机黑屏。
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,通常有控制端、被控制端两个可执行程序,黑客通过远程控制计算机,将控制程序寄生于被控制的计算机系统中,里应外合,伺机窃取被感染木马病毒的计算机中的密码和重要文件等,还可对被控计算机实施监控、资料修改等非法操作。
诈骗分子就通过在链接中插入木马病毒,从而使手机黑屏,诈骗方远程控制手机,获取银行卡信息等。