木马病毒分析

不死鸟作为希腊神话中的一种怪物，拥有不断再生的能力，每当寿限将至时，它会在巢穴中自焚，并在三天后重新复活。就在近期，安天AVL移动安全团队和小米MIUI安全中心发现了病毒界的“不死鸟”，其顽固程度之深，用户很难通过常规的卸载手段清除该病毒。 这款病毒名为Fushicho，一旦运行，它首先会通过一系列手段攻击手机的“免疫系统”：联网下载root工具对用户手机进行提权处理，进一步根据文件中的sql语句将自身插入某知名杀毒软件白名单中，并通过“pm disable”命令禁用某知名杀毒软件，致使手机安全防护功能全线崩溃。 接下来Fushicho病毒会替换系统启动脚本文件，实现开机自启动并获得root权限。而为了使其自身成为手机中唯一具有root权限的应用，该病毒会删除手机中其他root程序、su文件。除此之外，由于病毒应用被锁在系统目录下，用户很难通过常规卸载手段清除该病毒。 至此，Fushicho病毒将紧紧扎根在手机中，像不死鸟一般难以消灭。同时该病毒将通过联网获取恶意扣费指令对手机进行长期的扣费并下载其他恶意扣费软件，使感染用户遭受巨大的财产损失。 接下来，我们将对这只病毒界的“不死鸟”进行详细的解剖分析。 Fushicho病毒运行流程图 详细分析 私自提权 Fushicho病毒运行时加载本地Pxivuurauu.so文件，解密资源文件中的ico.png文件来释放子包oko.jar。子包释放后被动态加载，并在本地解密。Fushicho病毒获取到提权工具下载地址后下载并解密，获取提…

时间：2009-11-15 午后 版权申明：本文为水煮鱼为 水煮鱼@博客园 撰写，不得用于商业用途，如需摘用，请与水煮鱼联系。 CCTV的新闻焦点一直都是中国经济发展和行（企）业兴衰的风向标。 从分众无线的垃圾门，到谷歌中国的低俗信息，如今其又直指手机终端安全领域。我想我们不妨注意一下这个现在还不为大家注意，但是必然将成为未来趋势的“新兴领域”。 在卡巴斯基的病毒分析网站上介绍了手机病毒的历史。 Mobile Malware Evolution: An Overview, Part 1 Mobile Malware Evolution: An Overview, Part 1 最早的手机病毒原型是在2004年6月的时候，一家名叫Ojam的公司为了手机手机游戏的一些信息，在其编写的手机游戏中加入了木马程序，定期收集手机游戏的一些信息，通过短信的方式发回到公司。 但是真正被业界认可的第一个的手机病毒是在同年7月的时候由一个法国人编写的基于ARM平台的病毒：Cabir，这个病毒主要通过蓝牙传播。目前手机病毒的发展仍然以变种为主，而原生的病毒种类并不多（在30年前，初期的电脑病毒也表现出了这样的特征）。 由 于手机（不仅仅是手机，一切嵌入式的系统）的保有数量庞大，而且每人的手机上都存储了更多的私人信息，所以可以预见，一旦手机病毒泛滥，其危害对比电脑病 毒，有过之而无不及。《窃听风云》之后，在深圳的一些地方曾推出现过的一种手机窃听软件，如果这个软件附加一些病毒的特性和功能，其危害不言自明。 目前尽管手机安全还处于一个市场…

“明修栈道，暗度陈仓”的典故许多人都听说过，该典故出自楚汉争霸时期，刘邦意图进入关中，需要攻下关中咽喉之地——陈仓。韩信献出一计：表面上浩浩荡荡地修复通往陈仓的栈道以迷惑陈仓守将，暗地里派兵从小道偷袭陈仓。最终刘邦采用此计一举夺取关中之地，为后续争霸天下铺路。 通过表面的行动迷惑敌人，隐藏自己的攻击路线，暗地里实施真正的攻击，这一直是战争中的常用手法。如今这一手法却被恶意开发者学了去，在病毒中使用该手法迷惑感染用户，攻击用户手机于无形之中。 近期，安天AVL移动安全和猎豹移动安全实验室捕获一种病毒程序” Camouflage”，该病毒正是利用暗度陈仓之计攻击用户手机：根据远程控制指令弹出锁屏界面，强制锁定用户手机屏幕，锁屏界面伪装成内存清理界面以迷惑用户；实际在锁屏期间，该病毒会私自拨打扣费电话、发送扣费短信并删除通话、短信记录，在用户毫不知情的情况下使其承受资费损失。 除此之外，该病毒还会联网下载恶意子包，利用子包联网获取多种root工具对用户手机提权，一旦提权成功立即删除并替换系统root工具，使自身成为手机中唯一具备root权限的应用。与此同时，该病毒通过联网获取相关推送数据，向用户手机推送广告，私自下载同类恶意应用并安装运行，严重影响用户手机使用体验。为防止自身被卸载，该病毒会监控手机中正在运行的应用包名，如果与指定杀毒软件的包名重合，则立即卸载该应用。 恶意程序运行流程图 病毒传播途径和感染数据 传播途径 通过分析大量Camouflage病毒家族样本，我们发现该类病毒主要通过重打包成游戏类、休闲类应用进行传播，部分应…

昨天公司有人说自己的电脑中了网页病毒，她想安装上网助手来修复浏览器，却发现上网助手都安装不了。我到现场检测，发现电脑操作系统是win2000，浏览器主页被病毒设置为www.17777.com。 　　电脑上装了诺顿8.1企业版，它对病毒毫无反应。于是卸载诺顿，安装McAfee 8.0i企业版（公司有McAfee的服务器）并升级到最新的病毒库，重启后，有病毒报警信息，提示C:\WINNT\Ass_HOOk.DLL是BackDoor-AWQ.b.dll.gen病毒，但是无法清除也无法移动。直接去C:\WINNT目录搜索，却找不到Ass_HOOk.DLL文件。上网搜索该病毒的相关信息，发现相应的资料很少，估计可能是新病毒或者新的变种病毒。 　　用McAfee全盘杀毒，竟然没有发现病毒。之后用瑞星注册表修复工具修复了浏览器，然后重启电脑，在DOS模式下找到并删除了C:\WINNT\Ass_HOOk.DLL文件。再次重启后，McAfee仍然报Ass_HOOk.DLL文件的病毒信息，而且浏览器又被修改了。用瑞星注册表修复工具修复浏览器，观察一阵，发现一分钟内，浏览器又会被修改回来，说明还是有某个病毒后台程序在运行。 　　打开任务管理器，没发现可疑程序，打开启动项（msconfig），也没有可疑的启动项。不过重启后发现任务管理器进程里面有个Iexplore.exe进程，这是IE浏览器的进程，但是重启后我并未打开过IE浏览器，怀疑是病毒控制IE浏览器暗地里上网下载病毒程序。电脑是开机就上网，为此我禁用了上网用的网卡。再次修复浏览器后重启，在DOS下删除了C…

文章开始我要说一点关于"黑客"的定义.其实大家肯定也都知道了,主流媒体说的黑客 / hacker 和行内人说的黑客 / hacker 是两个意思。黑客是建设性的，而骇客才是破坏者，但是因为约定俗成，如今我们把骇客也称为“黑客”。黑客是值得尊敬的，骇客是为人们所不耻的。以下文章所说的“黑客”都是骇客的意思。 前段时间瑞星公司做了一份中国2007上半年度 电脑病毒疫情和互联网安全报告 ，在其中的第三节中谈到了黑客/病毒群体行为和产业链分析 。“从瑞星公司的统计、研究数据来看，黑客/病毒产业链在近一两年有进一步的发展和完善，窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号……等等，任何可以换成金钱的东西，都成为黑客窃取的对象。同时越来越多的黑客团伙利用电脑病毒构建“僵尸网络”（Botnet），用于敲诈和受雇攻击等非法牟利行为。由于互联网上的病毒地下交易市场初步形成，获取利益的渠道更为广泛，病毒模块、僵尸网络、被攻陷的服务器管理权等等都被用来出售，很多国内黑客开始利用拍卖网站、聊天室、地下社区等渠道，寻找买主和合作伙伴，取得现金收入，整个行业进入“良性循环”，使一大批人才、技术和资金进入这个黑色行业。一年前流氓软件肆虐的时期，众多商业公司雇佣程序员编写和电脑病毒拥有类似行为特征的流氓软件，在全社会的声讨和瑞星等安全厂商的努力下，大部分商业公司已经停止了制造、发布流氓软件，但是还有少数公司和流氓软件编写者以更隐蔽、更大胆的方式继续制造流氓软件乃至纯粹的电脑病毒。由于他们在正常的网络和商业社会中拥有大量的资源，能起到黑白两个领域…

作者：Andre Ye deephub翻译组：孟翔杰 许多人没有想到，病毒就像地球上为生存而挣扎的其他生物一样，它们会进化或变异。 只要看一看人类病毒来源的蝙蝠携带的病毒RNA序列片段即可。 AAAATCAAAGCTTGTGTTGAAGAAGTTACAACAACTCTGGAAGAAACTAAGTT …以及人类COVID-19病毒的RNA序列的摘录… AAAATTAAGGCTTGCATTGATGAGGTTACCACAACACTGGAAGAAACTAAGTT …显然，冠状病毒已改变其内部结构以适应其新宿主（更精确地说，冠状病毒内部结构的约20％发生了突变），但仍保持了足够的活力，以至于它仍然可以在起源物种体内存活。 实际上，研究表明COVID-19通过反复变异来提高它们的存活率。 在抗击冠状病毒的斗争中，我们不仅需要找到消灭病毒的方法，还需要找到病毒如何突变以及如何遏制这些突变的方法。 在本文中，我将…… 提供RNA序列的简单解释 使用K-Means创建基因组信息集群 使用PCA可视化集群 …并对我们执行的每个程序进行分析来获取经验。 什么是基因组序列？ 如果您对RNA序列有基本的了解，请跳过此部分。 与“解码”相比，基因组测序通常是分析从样品中提取的脱氧核糖核酸（DNA）的过程。 在每个正常细胞内有23对染色体，这些染色体容纳着DNA。 DNA的卷曲双螺旋结构使其可以展开为梯形。 该梯形由成对的化学字母（称为碱基）制成。 DNA中只有四种：腺嘌呤，胸腺嘧啶，鸟嘌呤和胞嘧…

好几年没写博文了，今天看到360又在忽悠，一气之下写篇博文来痛批下360（只论技术，不论人品），呵呵 360一直以来都喜欢炒作自己吸引大家的眼球，今天看了一篇360的文章--360推出第三代杀毒引擎——360QVM人工智能引擎，我就分析下他们宣传的新技术到底是什么。 首先说明一下周鸿祎先生几个在技术上无知，概念混淆的表现： “第一代是特征码杀毒引擎，由工程师人工分析出最新病毒的特征码，对病毒进行查杀;第二代是启发式引 擎，包括行为启发和静态启发两种，可以部分地进行智能查杀，但都必须和上一代的特征码引擎配合使用，并且仍然需要人工分析;第三代则是人工智能引擎，主要 依靠人工智能技术，就能独立地将新、老病毒的查杀率提升到前所未有的高度。” 这是他认识方面的错误和无知，第一代和第二代杀毒引擎的区别在于第二代能对部分未知新病毒具有扫描能力，实际上据他表述的人工智能技术实际上属于第一代杀毒引擎，而且效率和效果不一定强过第一代，更比不上他说的第二代技术，据他描述的人工智能杀毒技术，我大概推断如下。 1. 通常普遍意义上的人工智能算法，其目标是学习样本，找到一种规律能够让系统将这些样本进行归类，在响应输入的时候具有模式分类的能力，周鸿祎说他的人工智能无需分析病 毒静态特征、无需分析病毒行为，那么他的人工智能系统就应该是建立一个能够精确识别100万样本之上的这么一个系统，那么如果不算系统内部向量的组合激增，那至少需要100万维的向量空间，那么他的系统那应该是在学习和模式分类时都缓慢无比，其效果肯定低于他说的第一代特…

题意 有\(n\)种病毒，\(s\)个系统，每次任意一个系统会得任意一种病毒，即在\(1 \sim n\)之间随机选一种病毒，在\(1 \sim s\)中选一台电脑，让这台电脑得这种病毒。 求每台电脑都得过病毒，每种病毒都有电脑染上过的期望次数。 分析 \(dp[i][j]\)表示已经有\(i\)种病毒出现过，\(j\)台电脑染上过病毒的期望次数。 明显\(dp[i][j]\)可以有四种转移。 \(dp[i][j] = (dp[i][j]+ 1) * (i/n) * (j/s)\) \(dp[i + 1][j] = (dp[i][j]+1) * (n - i)/n * (j /s)\) \(dp[i][j + 1] = (dp[i][j] + 1) * (i/n) * (s - j)/s\) \(dp[i + 1][j + 1] = (dp[i][j] + 1) * (n - i)/n * (s - j)/s\) 但是这样不太好处理一开始的边界，我们变一下定义。 \(dp[i][j]\)表示已经有\(i\)种病毒出现过，\(j\)台电脑染上过病毒的状态到终止状态\(dp[n][s]\)期望次数。 转移变成: \(dp[i][j] = ((dp[i][j] + 1) * i * j + (dp[i + 1][j] + 1） * (n - i) * j + （dp[i][j + 1] + 1） * i * (s - j) + (dp[i + 1][j + 1] + 1) * (n - i) * (s - j)) / (n * …

描述 医学研究者最近发现了某些新病毒，通过对这些病毒的分析，得知它们的DNA序列都是环状的。现在研究者收集了大量的病毒DNA和人的DNA数据，想快速检测出这些人是否感染了相应的病毒。为方便研究，研究者将人的DNA和病毒的DNA均表示成由一些小写字母组成的字符串，然后检测某种病毒的DNA序列是否在患者的DNA序列中出现过，如果出现过，则此人感染了病毒，否则没有感染。注意：人的DNA序列是线性的，而病毒的DNA序列是环状的。 输入 多组数据，每组数据有一行，为序列A和B，A对应病毒的DNA序列，B对应人的DNA序列。A和B都为“0”时输入结束。 输出 对于每组数据输出一行，若患者感染了病毒输出“YES”，否则输出“NO”。 输入样例 1 abbab abbabaab baa cacdvcabacsd abc def 0 0 输出样例 1 YES YES NO #include<iostream> #include<string> using namespace std; int Index_BF(const string &str1, const string &str2, int pos) { int i = pos; int j = 0; int len1 = str1.size(); int len2 = str2.size(); while (i<len1&&j<len2…

为了更加合法合规运营网站，我们正在对全站内容进行审核，之前的内容审核通过后才能访问。 由于审核工作量巨大，完成审核还需要时间，我们正在想方设法提高审核速度，由此给您带来麻烦，请您谅解。 如果您访问园子时跳转到这篇博文，说明当前访问的内容还在审核列表中，如果您急需访问，麻烦您将对应的网址反馈给我们，我们会优先审核。 反馈方式： 在线提交 https://www.cnblogs.com/req 发邮件至 [email protected] github 提交 issue https://github.com/cnblogs/cnblogs-hardening/issues 致歉公告： 致园友们的一封检讨书：都是我们的错

浏览器残留进程疯狂读写硬盘,可能是病毒所为!! 最近机器总感觉卡卡的,时不时杀毒跳出窗口 ,发现病毒XXXX 这种情况维持了1天,硬盘灯一直闪烁, 调出系统自带资源监视器,发现chrome.exe 常驻扫描本地文件. 百度了一下.看见一篇文章<<我的CHROME终于开始读硬盘了>>,,chrome浏览器通病?(这会儿我还没想到是病毒干的.) 果断卸载,换firefox,装上后前5分钟感觉良好..但是好景不长,硬盘灯又闪了. 一查看,果然.firefox.exe也在扫磁盘. 整理下思路,360跳过几次发现感染型病毒,需要全盘查杀,但是硬盘里杂七杂八东西太多.这一全盘查杀.不得耗个一整天? (还是因为懒惰...) 可能由于还是没想到会是病毒干的,我把360也卸了.换上了火绒,可是硬盘灯还是一直闪.资源吃光.(你偷偷摸摸吃资源,把资源放出来给用户用,我可能半年都发现不了了.你说你实在不实在) 忍无可忍,终于下定决心.全盘杀毒.结束了进程,换上全盘杀毒,一晚上啥也没干,杀毒勾上 杀完自动关机. 第2天果然,开机查看杀毒日志2w8千多个病毒,99%是htm和html结尾. 在安装chrome,,开几个页面,关掉.灯不闪,进程无残留.世界终于清静了.... 此病毒分析: https://www.cnblogs.com/renhaoblog/p/13049290.html

关于 5月12号开始疯传的wannacry勒索病毒 说说自己的看法 1.此类病毒制作比较简单：说白了就是 createfile --> readfile --->writefile(加密). 但是为什么众多安全软件拦截性不是很好？ 并不是他们监控不到这些病毒的行为。而是不好区分这是正常软件的行为还是恶意病毒的行为。安全软件不同于小工具产品 是否误报多也是一个比较大的量化指标。所以目前多数安全软件的防御策略即 当有进程试图操作文件(写操作和删除操作)自动备份用户的文档。以便于用户回滚。 2. 中招了 就不要想着去解密了。分析这次的病毒可以发现。其实病毒是先创建新文件 然后读取原文件并将加密数据写入新文件中 最后删除原文件。所以病毒并没有直接将原文件进行加密。 这样我们可以采用数据恢复工具进行恢复。所以中毒后不要进行过多的磁盘文件操作 直接用数据恢复工具便可大概率的挽回自己的重要文件. 3.建议使用云同步产品 将重要文档定期进行压缩上传到云服务产品中.并且云服务产品最好支持可回退到某一次同步状态的操作.

最近组里安排对病毒防御相关知识做了讲座，个人一直以来对这方面的知识都是一知半解，所以计划好好对这方面知识做个学习，这篇文章先开个头吧。。 1．什么是病毒，病毒的分类？ 病毒是蓄意设计的一种软件程序，它旨在干扰计算机操作，记录、毁坏或删除数据，或者自行传播到其他计算机和整个 Internet。 病毒分类： 感染型：感染型病毒是指会修改用户机器上其他文件的病毒. 木马：是以盗取用户敏感信息为目的的病毒.常见的有网游木马,网银木马等 后门：后门病毒是以控制用户机器为主要目的的病毒，常见的有灰鸽子,冰河等 蠕虫：可以自繁衍自传播的病毒，常见的有邮件蠕虫，IM蠕虫，网络蠕虫，恶鹰,QQ尾巴,冲击波。 流氓软件：未经用户授权的,弹出广告窗口的或者有一定商业目的的文件集合.往往采用Rootkit等技术,用户难以清除。 脚本病毒：使用vbscript，javascript写的病毒称为脚本病毒，常常做一些恶搞，比如不停的弹对话框，现在更多的还是最后要下PE病毒来干坏事，脚本病毒只是一个载体和过程，常见的有：欢乐时光病毒。 2．什么是PE文件？ PE的意思就是Portable Executable（可移植的执行体）。它是Win32环境自身所带的执行体文件格式，如：Exe文件，DLL文件均为PE格式。它的一些特性继承自Unix的Coff (common object file format)文件格式。"portable executable"（可移植的执行体）意味着此文件格式是跨win32平台的:即使Windows运行在非…

原文来源 ： 扩展迷EXTFANS 1月13日，不少关于计算机安全厂商和相关论坛都发布了一则紧急公告。 公告显示：最近，一种名叫“incaseformat”的蠕虫病毒正在国内肆意传播，造成了大范围影响。 据扩展迷查询到的信息，截止目前，国内已有多省市多行业的大量用户反馈中招。 中招用户均表示，自己电脑中除C盘之外的其他文件都突然被删除，且磁盘中可能被创建“incaseformat”文本文档。 火绒安全播报提到，火绒工程师接到用户求助后，查看现场后发现，是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。 说到蠕虫病毒，大家应该都已经不陌生了。 尤其是在XP时代，许多用户都有过被勒索蠕虫感染的恐怖经历。 其不断复制自身的特性，导致它具有非常强的传播性。 用户机器被感染后，往往会通过U盘自我复制感染到其他电脑，导致电脑中磁盘文件被删除，造成极大损失。 最让人头疼的是，蠕虫病毒会伪装成其他文件，具有一定的欺骗性。 即便被安全软件查杀到，也经常会被用户错当成“误报”，然后对其进行信任处理。 （扩展迷提醒：真正的文件夹及文档不会有.exe后缀。） 因此，很可能表面上用户电脑没有什么风险，但其实病毒已经潜伏了多年。 直到病毒发作删掉了文件后，大家才后知后觉。 多年来，蠕虫病毒已经壮大到成千上万种，活跃度一直居高不下。各大企业、高校、打印店等都是蠕虫病毒的重灾区。 安全团队溯源后发现，本次“incase…

静态分析 反病毒引擎 倚赖病毒文件特征库 基于行为与模式匹配 (启发式检测) VirusTotal (http://www.virustotal.com) 哈希值 字符串查找 加壳与代码混淆 PEID检测 upx加壳 PE文件头 链接库与函数 静态链接 运行时链接 动态链接 工具: Dependency Walker 列出可执行文件的动态链接函数 Resource Hacker查看资源节(节区信息)

在U盘中发现病毒 前段时间需要往虚拟机中拷贝点资料，如同往常一样，插上我的U盘，并且在虚拟机的设置中选择连接U盘。奇怪的是这次的连接时间较以往长，并且还出现了“自动播放”窗口： 图1 自动播放窗口 在扫描完后，来到了U盘的打开类型选择窗口： 图2 以前我在虚拟机中使用U盘，都没有出现过“自动播放”的情况。尽管如此，我这次也没在意，选择了“打开文件夹以查看文件”。但是在U盘中却发现了奇怪的文件： 图3 上图的红框中的这几个文件，之所以说很奇怪，是因为它们都是使用了文件夹的图标，貌似是一个文件夹，但是在文件名称的后面却跟着一个“.exe”的小尾巴。诚然，我的U盘中本来确实有这四个文件夹，但是我不记得给他们加上了“.exe”这样的小尾巴。而不带小尾巴的真实的文件夹却找不到了。这就让我很是怀疑，于是分别查看这几个文件的属性： 图4 可见这四个并不是文件夹，而是不折不扣的应用程序，并且它们的大小还都是一致的。看到这里，就可以基本确定了，我的U盘是中了病毒了。 尝试手动消灭病毒 初步分析，这个病毒会将自身伪装成我的U盘中本来存在的文件夹，从而诱惑我去点击。那么原始的文件夹是被删除了还是被隐藏了呢？不妨在设置里面调整一下： 图5 然后就能够看到隐藏的文件与文件夹了： 图6 在上图中，红色框中的就是病毒程序，蓝色框中的就是我的原始文件夹。可见它们只是被设置成了隐藏，而没有被删除，看来病毒还是比较人性化的。通过设置，除了…

前言 之前用了六篇文章的篇幅，分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面，对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识，希望大家在阅读完这几篇文章后，能够有一种“病毒也不过如此”的感觉，更希望这些文章能够为有志于在未来参与到反病毒工作的朋友，打下坚实的理论基础。以下就是我在这几篇文章的分析中所总结出来的一些知识点，分为静态分析与动态分析两个方面进行讨论，并加入了一些延伸知识，为大家查漏补缺。 病毒的静态分析 静态分析技术通常是研究恶意代码的第一步。静态分析指的是分析程序指令与结构来确定目标程序的功能的过程。在这个时候，病毒本身并不在运行状态。我们一般采用以下几种方式进行静态分析： 1、采用反病毒引擎扫描 如果尚不确定目标程序是否为病毒程序，我们可以首先采用多个不同的反病毒软件来扫描一下这个文件，看是否有哪个引擎能够识别它。比如在www.virscan.org上对病毒样本检测的部分结果如下： 图1 “熊猫烧香”在线查毒结果（部分） 从结果中可以知道，这个网站中有88%的杀软认为样本存在问题。当然杀软也存在着误报的可能性，但如果说多款杀软都认为目标程序有问题，那么这个程序十有八九就是一个恶意程序了。 2、计算哈希值 哈希是一种用来唯一标识目标程序的常用方法。目标程序通过一个哈希程序，会产生出一段唯一的用于标识这个样本的哈希值，我们可以将这个值理解为是目标程序的指纹。常用的哈希算法有M…

本来想防止别人使用DEBUG工具来破解《万能数据库查询分析器》，来更好地保护自己的知识产权，所以《万能数据库查询分析器》中英文版本《DB 查询分析器》、《DB Query Analyzer》均采用了EXE文件加壳技术。但实在想不到的居然是，杀毒软件误将其当作木马病毒。真是痛心啊！ 2007年5月份在国内外各大软件下载网站（包括国外的download.com、softpedia.com，并且后者还声明说“DB Query Analyzer - SOFTPEDIA "100% CLEAN" AWARD”）发布时，都没有被误杀啊，怎么今年就开始误杀了呢，木马病毒都出现了多少年了噢，真是想不通啊！ 看来，本人非常有必要来向大家阐述一下《万能数据库查询分析器》的加壳技术了，以避免不必要的误解。 《万能数据库查询分析器》的EXE文件加壳技术 马根峰 ( 广东联合电子收费股份有限公司, 广州 510300) 作者博客： 新浪博客： http://blog.sina.com.cn/magenfeng 搜狐博客： http://magenfeng.blog.sohu.com/ QQ空间： http://630414817.qzone.qq.com/ 1 引言 对于一个程序开发单位或…

1. 瑞星之剑. 只能怪自己消息太过闭塞, 这工具出了两三天了, 好像瑞星还在大肆宣传其防御效果。于是好奇下载下来分析下。界面如下： 就是一个简单的EXE文件, 运行会释放一个dll和两个驱动文件.然后将驱动文件拖入IDA分析. 实现如下： 使用minifilter过滤文件io操作.IRP_MJ_CRATE，IRP_MJ_WRITE, IRP_MJ_SET_INFORMATION. 当有进程试图去写入 或者重命名 瑞星事先在指定目录释放的一些陷阱文件(jpg txt doc)则就会弹窗提示发现敲诈者病毒。 也就是软件运行时会在指定的一些桌面 或者文档目录释放瑞星自己准备的文件， 当发现有进程去写入 重命名这些可疑操作时候就会提示发现敲诈者病毒. 总结： 原理就是释放陷阱文件等待病毒去操作这些文件. 但是这种防御效果甚微。即便真的发现, 系统也是有一部分文件已经感染或者加密。况且还不是所有的目录都释放陷阱文件, 所以局限性很大。比如病毒就感染特定的目录文档文件， 但是恰巧该目录下没有陷阱文件则该软件就监控不到病毒。 个人感觉 这个工具只对这一个病毒有一点点用, 但是远没有他们宣传的那么牛B, 太过局限 随便出个变种就检测不出来 防御思想也落后。 2. 360 和电脑管家： 这两家的防御工具基本就是文件被删除或者被修改的时候保存一下 前一时刻的副本. 以供用户发现异常找回文件用.个人认为这种工具虽然没有发现病毒的能力 但是确实在一方面减少了用户的损失. 其实对于敲诈者病毒分防御, 完全没必要局限在病毒的操作手段, …

版权声明：本文为博主原创文章，未经博主同意不得转载。 https://blog.csdn.net/zhuanzhe117/article/details/25607695 软考中关于病毒的考查非常多,我总结了一些病毒的基本知识,并把近几年的考题分析了一下。共全部备考的童鞋们參考~~ 【2011年 11月真题 7】 利用（ 7）能够获取某FTPserver中是否存在可写文件夹的信息。 （7）A. 防火墙系统 B.漏洞扫描系统 C. 入侵检測系统 D. 病毒防御系统 分析： 漏洞扫描系统是用来自己主动检測远程或本地主机安全漏洞的程序。安全漏洞通常指硬件、软件、协议的详细实现或系统安全策略方面存在的安全缺陷。 FTPserver中是不同意存在可写文件夹的,所以存在可写文件夹的信息是一个安全漏洞。能够被黑客利用，利用漏洞扫描系统能够获取某FTPserver中是否存在可写文件夹的信息。 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，保护内部网免受非法用户的侵入。 入侵检測系统（简称“ IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者採取主动反应措施的网络安全设备。 病毒防御系统是一个计算机防止黑客、病毒、木马的防御系统。 病毒防御系统一般包含一个杀毒软件、一个病毒防火墙、一个木马黑客专杀和一个病毒监…