木马病毒分析

前言 作为本系列研究的开始，我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒，主要是因为它具有一定的代表性。一方面它当时造成了极大的影响，使得无论是不是计算机从业人员，都对其有所耳闻；另一方面是因为这款病毒并没有多高深的技术，即便是在当时来讲，其所采用的技术手段也是很一般的，利用我们目前掌握的知识，足够将其剖析。因此，我相信从这个病毒入手，会让从前没有接触过病毒研究的读者打消对病毒的恐惧心理，在整个学习的过程中开个好头。 本篇文章先研究如何对“熊猫烧香”进行手动查杀。这里所说的手动查杀，主要是指不通过编写代码的方式对病毒进行查杀。说白了，基本上就是通过鼠标的指指点点，有时再利用几条DOS命令就能够实现杀毒的工作。但是不可否认的是，采用这种方法是非常粗浅的，往往不能够将病毒彻底查杀干净，但是从学习手动查杀病毒起步，有助于我们更好地理解反病毒的工作，从而为以后更加深入的讨论打下基础。 需要说明的是，手动查杀病毒并不代表在什么软件都不使用的前提下对病毒进行查杀，其实利用一些专业的分析软件对于我们的查杀病毒的还是很有帮助的，这些工具我会在对不同的病毒的研究中进行讲解。另外，出于安全考虑，我的所有研究文章，都不会给大家提供病毒样本，请大家自行上网寻找，我只会给出我所使用的病毒样本的基本信息。 手动查杀病毒流程 手动查杀病毒木马有一套“固定”的流程，总结如下： 1、排查可疑进程。因为病毒往往会创建出来一个或者多个进程，因此我们需要分辨出哪些进程是由病毒所创建，然…

一、前言 作为本系列研究的開始，我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒，主要是由于它具有一定的代表性。一方面它当时造成了极大的影响，使得不管是不是计算机从业人员，都对其有所耳闻；还有一方面是由于这款病毒并没有多高深的技术，即便是在当时来讲，其所採用的技术手段也是非常一般的，利用我们眼下掌握的知识，足够将其剖析。因此，我相信从这个病毒入手，会让从前没有接触过病毒研究的读者打消对病毒的恐惧心理，在整个学习的过程中开个好头。 本篇文章先研究怎样对“熊猫烧香”进行手动查杀。这里所说的手动查杀，主要是指不通过编写代码的方式对病毒进行查杀。说白了，基本上就是通过鼠标的指指点点，有时再利用几条DOS命令就行实现杀毒的工作。可是不可否认的是，採用这样的方法是很粗浅的，往往不可以将病毒彻底查杀干净，可是从学习手动查杀病毒起步，有助于我们更好地理解反病毒的工作，从而为以后更加深入的讨论打下基础。 须要说明的是，手动查杀病毒并不代表在什么软件都不使用的前提下对病毒进行查杀，事实上利用一些专业的分析软件对于我们的查杀病毒的还是非常有帮助的，这些工具我会在对不同的病毒的研究中进行解说。另外，出于安全考虑，我的全部研究文章，都不会给大家提供病毒样本，请大家自行上网寻找，我仅仅会给出我所使用的病毒样本的基本信息。 二、手动查杀病毒流程 手动查杀病毒木马有一套“固定”的流程，总结例如以下： 1、排查可疑进程。由于病毒往往会创建出来一个或者多个进程，因此我们须…

【题目描述】 一开始，病人D的体内只有一个K病毒。但是病毒是会繁殖的，每小时后一个K病毒会“分身术”，变成3个K病毒和一个L病毒，而一个L病毒会变成4个L病毒。 如图所示，红色圆圈表示K病毒，蓝色圆圈表示L病毒。 现在医生要知道，K小时后，第x到y行一共有多少个K病毒？ 【输入格式】 输入有多行（最多1000行），每行三个整数，分别是K，x和y 【输出格式】 K小时后第x到y行一共有多少个K病毒 【样例输入】 3 3 7 【样例输出】 14 【数据范围】 0<=K<=30 1<=x<=y<=2^k 【分析】 设f[k,i]表示K小时后最上面i行的K病毒总数，g[k,i]表示K小时后最下面i行的K病毒总数，则所求答案为f[k,y]-f[k,a-1] 如果i>=2^(k-1)，则g[k,i]=2g[k-1,i-2^(k-1)]+c[k])，否则g[k,i]=g[k-1,i]。其中c[k]表示3^k f的求解可以参考g数组，此处不再详细说明。 var k,a,b:longint; function c(x:longint):qword; begin if x=0 then exit(1) else exit(c(x-1)*3); end; function f(k,i:longint):qword; var k2:qword; begin if i=0 then exit(0); if k=0 then exit(1…

春节长假后的第一周，一连串的病毒纷至沓来，极虎、隐身猫、僵尸网络等等，威胁着广大网民的网络财产安全。金山安全实验室最新监测数据显示，年前爆发的”极虎”病毒在春节后依旧很活跃，日均感染量不断上升；而另一个名为”隐身猫”的病毒，目前累计感染量仅为14190台，危害范围比较小，而且类似金山毒霸等专业杀毒软件均可进行查杀，用户无需过分担心。 中央电视台：极虎发危 危害超熊猫烧香 http://www.tudou.com/programs/view/Ro75kEnWV4s/ 北京电视台：电脑病毒极虎 成上网拦路虎 http://v.ku6.com/show/vl0ElglUEdi-pr86.html 新华社：“极虎”电脑病毒再肆虐 日感染量超10万台 http://news.xinhuanet.com/internet/2010-02/24/content_13037288.htm 金山安全反病毒专家李铁军表示，近几日，极虎病毒的感染量稳中有升。24日感染量飙升到201280台，近七日金山云安全中心共帮助899450位网友成功拦截极虎病毒，截至目前累计帮助1929640位用户成功拦截极虎病毒。 金山安全反病毒专家李铁军强调指出，极虎病毒集病毒之大成。最全传播途径–通过网页挂马，局域网，U盘等方式广泛传播；最多顽固感染方式–不仅感染应用程序，网页，还会感染rar文件；最强rootkit技术–采用rootkit技术解除杀毒软件保护并进行自我保护防止被删除。这些病毒技术的强强组合使得极虎俨然成了2010虎年病毒的领头羊，也正是这…

春节长假后的第一周，一连串的病毒纷至沓来，极虎、隐身猫、僵尸网络等等，威胁着广大网民的网络财产安全。金山安全实验室最新监测数据显示，年前爆发的”极虎”病毒在春节后依旧很活跃，日均感染量不断上升；而另一个名为”隐身猫”的病毒，目前累计感染量仅为14190台，危害范围比较小，而且类似金山毒霸等专业杀毒软件均可进行查杀，用户无需过分担心。 中央电视台：极虎发危 危害超熊猫烧香 http://www.tudou.com/programs/view/Ro75kEnWV4s/ 北京电视台：电脑病毒极虎 成上网拦路虎 http://v.ku6.com/show/vl0ElglUEdi-pr86.html 新华社：“极虎”电脑病毒再肆虐 日感染量超10万台 http://news.xinhuanet.com/internet/2010-02/24/content_13037288.htm 金山安全反病毒专家李铁军表示，近几日，极虎病毒的感染量稳中有升。24日感染量飙升到201280台，近七日金山云安全中心共帮助899450位网友成功拦截极虎病毒，截至目前累计帮助1929640位用户成功拦截极虎病毒。 金山安全反病毒专家李铁军强调指出，极虎病毒集病毒之大成。最全传播途径–通过网页挂马，局域网，U盘等方式广泛传播；最多顽固感染方式–不仅感染应用程序，网页，还会感染rar文件；最强rootkit技术–采用rootkit技术解除杀毒软件保护并进行自我保护防止被删除。这些病毒技术的强强组合使得极虎俨然成了2010虎年病毒的领头羊，也正是这…

目录4.6案例分析和实现案例4.1病毒感染检验1.案例分析2.案例实现3.算法步骤4.算法描述 4.6案例分析和实现 案例4.1病毒感染检验 1.案例分析 因为患者的 DNA 和病毒 DNA 均是由一些字母组成的字符串序列， 要检测某种病毒 DNA 序列是否在患者的 DNA 序列中出现过 ， 实际上就是字符串的模式匹配问题。可以利用 BF 算法，也可以利用更高效的KMP算法。但与一般的模式匹配问题不同的是，此案例中病毒的 DNA 序列是环状的， 这样需要对传统的 BF 算法或KMP算法进行改进。 下面给出利用 BF 算法实现检测的方案。 2.案例实现 对于每一个待检测的任务， 假设病毒 DNA 序列的长度是 m, 因为病毒 DNA 序列是环状的 ，为了线性取到每个可行的长度为 m 的模式串，可将存储病毒DNA序列的字符串长度扩大为 2m,将病毒DNA序列连续存储两次。然后循环m次，依次取得每个长度为m的环状字符串，将此字符串作为模式串，将人的DNA序列作为主串，调用BF算法进行模式匹配。 只要匹配成功，即可中止循环，表明该人感染了对应的病毒；否则，循环m次结束循环时， 可通过BF算法的返回值判断该人是否感染了对应的病毒。 3.算法步骤 1.从文件中读取待检测的任务数 num。 2.根据 num个数依次检测每对病毒DNA和人的DNA是否匹配，循环 num次，执行以下操作： • 从文件中分别读取一对病毒DNA序列和人的DNA序列； • 设置一个标志性变量flag, 用来标识是否匹配成功，初始为0, 表示未匹配； • 病毒DNA…

一、计算机病毒 《中华人民共和国计算机信息系统安全保护条例》中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 产生原因 1.早期病毒大多为恶作剧，炫技，破坏性不强 2.版权保护（巴基斯坦病毒，正常软件中嵌入病毒代码，追踪非法拷贝产品的用户）Microsoft 3.用于特殊目的，对政府、单位的特殊系统进行宣传或破坏，用于军事目的（震网） 4.捕获并控制他人计算机或数据，谋取经济利益（勒索病毒，熊猫烧香） 命名和分类 反病毒公司为方便管理，按照病毒特征，将病毒进行分类命名。 1.一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 前缀：Trojan表示木马，通过网络或系统漏洞进入用户的系统并隐藏，向外泄露用户的信息，对用户的计算机进行远程控制。(Trojan.QQ3344) Worm表示蠕虫，通过网络或系统漏洞进行传播，无需用户进行特定操作即可感染（打开文件、插入U盘Worm.Sasser） Macro表示宏病毒，感染office文档（Macro.Melissa）;Win32类病毒感染Windows操作系统的可执行程序*.exe和*.dll（Win32.CIH） Script表示脚本病毒，使用脚本语言编写，通过网页进行传播（Script.Redlof） 典型病毒分析 1.U盘病毒 a…

在DELPHI盒子与DELPHI群里看到的，据说只感染DELPHI7以下的版本（包含DELPHI7)，貌似Ｎ多人中招了。感染此病毒后，所有用DELPHI编译的程序全都有感染能力。 如果在 C:\Program Files\Borland\Delphi7\Lib 发现有 SysConst.bak (12KB) 和 SysConst.dcu (18KB)，那么恭喜你，中招了。 该病毒没有exe或者dll的毒源体，因为自 SysConst.dcu 被置换的一刻开始，你已经是毒源体的创造者，该病毒原来早在 2005 年已经被发现，一个软件 QIP 2005 build 8094 中就曾经染毒，然后扩散看来，该病毒代码简单看来并没有伤害性，但是它完全是一个病毒的形态，不知道哪天会被利用的，那个俄罗斯高人把这个病毒分析出了源代码，并且提出了一个切实可行的解决方法，根据该病毒的特性，第一时间就是要把 Lib 中的 sysconst.bak 复制一份改名为 sysconst.dcu，注意，是复制而不是直接改名，因为如果你的系统还有潜在威胁的时候，如果还是有 sysconst.bak 在，那么这个病毒会认为它的工作已经完成而不会去动你的原版 sysconst.dcu，然后你要把你所有的项目重新编译，因为他们都已经染毒了。最好是做一下全盘检查。 BTW: 为什么一个 2005 年的“病毒”到了今天仍然还有那么多杀毒软件不报呢，因为从代码上来说，它的破坏性并没有，但是它的确拥有了病毒的特性。 怎样才知道中招了？ 文件: C:\Program Files\Bo…

据国外媒体报道，安全厂商赛门铁克今天表示，发现了Conficker蠕虫病毒的一个新变种，它可以识别被感染计算机上的反病毒软件或安全分析工具，并试图关闭这些程序。 Conficker蠕虫病毒自出现以来，已经感染了全球上千万台计算机，但是该病毒最初的行为只是恶意传播自身，并不会给感染计算机带来进一步伤害。但现在这种情况发生了变化，新变种的出现意味着，尽管该病毒已经引起全球性关注，其作者仍然不肯罢手。 赛门铁克安全响应部门副总裁文森特·威弗(Vincent Weafer)表示，从目前的迹象来看，该病毒的新变种只是发送给现有蜜罐中的蠕虫病毒的一个更新。赛门铁克目前还没有在一个可以自身传播的新蠕虫病毒变种中看到过这种功能。 除了可以关闭安全软件之外，新变种还将Conficker每天都会更新的域名列表从250个扩展到50000个。很明显，此举是针对此前试图阻挡域名访问权的行业联盟而增加的。 据威弗表示，赛门铁克还在研究新变种的代码，也可能会发现其新的攻击手法。 要想防护Conficker蠕虫病毒，用户应首先确信自己已安装补丁堵住了微软Server服务中的漏洞。 其次，由于Conficker会尝试猜测网络共享和系统管理员帐号的密码，因此要确保这些密码的强壮性。 最后，通过禁用Windows上的Autorun功能，用户可以阻挡该蠕虫病毒的第三次感染。 相关新闻：微软悬赏25万美元捉拿Conficker蠕虫作者 堪比美丽杀手 Conficker蠕虫变种爆发 声明：此博有部分内容为转载，版权归原作者…

最近一段时候电脑中了病毒，耗去了我不少时间。这个病毒是一个木马程序，它会在磁盘上建立很多可以执行文件，然后修改注册表把这些文件给挂上去，另外还会在Explorer进程中附加一个模块。如果只是删除硬盘上的程序过不了一会，病毒又会复发，因为真正的幕后黑手没有清除掉。 折腾了两三天，上网查资料，还有各种分析扫描工具都用了，最后靠木马清道夫解决了问题，这个软件有一个功能，就是探测可疑模块，我就是借助这个功能发现了真正的幕后黑手。 经过这次病毒事件，我的防病毒的经验又多了一些。现在很多病毒都是通过网页传播，所以用管理员身份浏览网页是非常危险的事。如果用非管理员身份浏览网页就能预防很多病毒，因为非管理员人身不能修改注册表，也不能在C盘上写文件。另外，如果你认为一些可疑的程序也可以用非管理员的身份来运行。我这次遇到的病毒它展开文件方式是先在Local Settings\Temp建立一个可执行文件，然后再执行它，看了网上一些资料说这也是一部分病毒的惯用的手法。所以我对这个目录设置了权限，拒绝当前用户在这个目录上执行权限。 俗话说的好吃一欠长一智，通过这些防病毒的手段，可以大大降低今后中毒的机率

前言 在本系列的导论中，我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中，使用过CRC32算法来对目标程序进行指纹匹配，从而进行病毒判定。一般来说，类似于MD5以及CRC32这样的算法，在病毒大规模爆发时是可以提高查杀效率的，但是传统的更为常用的方法是采用以静态分析文件的结构为主并结合动态分析的方法，通过反汇编来寻找病毒的内容代码段、入口点代码段等等信息。尽管病毒特征码的定义非常简单，但是特征码的具体提取方法，却鲜有资料可供参考。那么我在这里就简单讨论一下关于病毒特征码的知识。 特征码选取的基本要求 说到特征码，也许我们接触最多的是在使用查壳工具PEiD时，对目标程序进行判定时所采用的特征匹配代码。PEiD的特征码保存在程序目录的userdb.txt中，举个例子来说，我们拿之前研究过的cf.exe“敲竹杠”病毒样本来看。首先将病毒样本拖入PEiD： 图1 可见，程序是由“MicrosoftVisual C# / Basic .NET”编译的，那么为什么PEiD能够识别出这款软件是怎么编译的呢？我们可以先查看一下程序入口的首字节： 图2 可见程序的入口地址代码为“FF 25 0020 40 00”然后是一大串的“00”。然后我们打开userdb.txt，查找一下“Microsoft Visual C# / Basic .NET”字符串来看一下，可以找到以下结果： [MicrosoftVisual C# / Basic .NET] si…

在国内软件业以至整个IT业，杀毒软件可以说是市场环境最好的领域之一，几家主导厂商的发展前景一片光明。然而，就在这一片大好形势下，细心的人们却发现，光明的背后隐藏着一个无奈的现状:杀毒总是在病毒暴发之后。 　　先认识小偷才能抓小偷 　　信息安全要求杀毒软件必须防住病毒，而杀毒软件杀毒的前提是通过对病毒暴发后的分析找到解决病毒的方法。为此，国内反病毒产业奠基人之一、“国家863计划反计算机入侵和防病毒研究中心”专家委员会专家刘旭表示，在高速网络时代，以传统杀毒软件作为病毒防范最主要工具的方式，已经很难适应用户新的信息安全防护要求了。网络新病毒的数量有增无减，已经越来越明显地暴露出杀毒软件滞后杀毒的重大缺陷———对新病毒的防范始终滞后于病毒出现。 　　杀毒软件又是如何背上“过期药”的恶名的呢?据专家介绍，杀毒软件采用的查杀病毒的方式可以概括为“特征值扫描法”。所谓计算机病毒就是由人编写的一种有害程序。每一种病毒都一定有着与别的程序不同的部分，这部分就构成了病毒的特征值。当某一种病毒暴发后，杀毒软件厂商就会从中找出病毒特征，并根据它的特征值将这一病毒从其他程序中找出来并用杀毒软件进行杀毒处理。这种滞后性就成为依据“特征值扫描法”的杀毒软件一道难以逾越的障碍，也成为其被称之为“过期药”的缘由。 　　更令人称奇的是，面对由此而来沸沸扬扬的议论，杀毒软件厂商们有些措手不及，只有行业中个别的佼佼者敢于站出来表示:正在开发能够提前预防未知病毒的产品。 　　有人形象地将这种“特征值扫描法”比喻为“笨警察抓小偷”，即抓住一个小偷后，根据这个小偷与众不同…

近日，瑞星公司监测到一个席卷全球工业界的病毒已经入侵我国，这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电，目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。瑞星反病毒专家警告说，我们许多大型重要企业在安全制度上存在缺失，可能促进Stuxnet病毒在企业中的大规模传播。 瑞星专家表示，这是世界上首个专门针对工业控制系统编写的破坏性病毒，它同时利用包括MS10-046、MS10-061、MS08-067等7个最新漏洞进行攻击。这7个漏洞中，有5个是针对windows系统，2个是针对西门子SIMATIC WinCC系统。另外在关于微软的5个漏洞中，目前有两个本地提权漏洞仍未修复。 该病毒通过伪装RealTek 与JMicron两大公司的数字签名，从而顺利绕过安全产品的检测。从编写手法上看，该病毒还有很大的改进余地，将来很可能出现同样原理的复杂病毒。 据瑞星技术部门分析，Stuxnet病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控，一旦攻击成功，则可能造成使用这些企业运行异常，甚至造成商业资料失窃、停工停产等严重事故。 该病毒主要通过U盘和局域网进行传播，由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝，因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理，导致有人在局域网内使用了带毒U盘，则整个网络都会被感染。 Stu…

1月20日，中国游戏公会门户——好公会haogh.net首页被挂马，截止到记者发稿前，木马仍在肆虐，恶意代码尚未清除。 图1 经分析，所挂木马是机器狗变种。一位不愿透露姓名的反病毒公司职员告诉记者，最近的机器狗变种非常之多，但几个大的反病毒公司产品均无法有效免疫该病毒。望各位游戏爱好者注意保护自己的帐号，并及时更新补丁。 声明：此博有部分内容为转载，版权归原作者所有～

GitHub 地址：https://github.com/Bypass007/Emergency-Response-Notes GitBook 地址：https://bypass007.github.io/Emergency-Response-Notes/ 项目介绍 面对各种各样的安全事件，我们该怎么处理？ 这是一个关于安全事件应急响应的项目，从系统入侵到事件处理，收集和整理了一些案例进行分析。 我将持续更新这份笔记，希望能帮到有需要的人。 如果你看到好的案例，欢迎通过issue提交。 项目目录 [第一章：应急响应] 第1篇:Window入侵排查 第2篇:Linux入侵排查 [第二章：日志分析] 第1篇:Window日志分析 第2篇:Linux日志分析 第3篇:Web日志分析 第4篇:MSSQL日志分析 第5篇:MySQL日志分析 [第三章:Windows实战篇] 第1篇：FTP暴力破解 第2篇：蠕虫病毒 第3篇：勒索病毒 第4篇：ARP病毒 第5篇：挖矿病毒（一） 第6篇：挖矿病毒（二） [第四章：Linux实战篇] 第1篇：SSH暴力破解 第2篇：捕捉短连接 第3篇：挖矿病毒 第4篇：盖茨木马 第5篇：DDOS病毒 第6篇：Shell病毒 [第五章：Web实战篇] 第1篇：网站被植入Webshell 第2篇：门罗币恶意挖矿 第3篇：批量挂黑页 第4篇：新闻源网站劫持 …

简介 杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。 杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等 功能，是计算机防御系统的重要组成部分。 反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式，进驻 系统，并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。反病毒软件的实时监控方式因软件而异。有的反病毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与反病毒软件自身所带 的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。 杀毒软件包含的技术 脱壳技术 脱壳技术是一种十分常用的技术，可以对压缩文件、加壳文件、加花文件、封装类文件进行分析的技术。 自我保护技术 自我保护技术基本在各个杀毒软件均含有，可以防止病毒结束杀毒软件进程或篡改杀毒软件文件。 进程的自我保护有两种：单进程自我保护，多进程自我保护。 修复技术 对被病毒损坏的文件进行修复的技术，如病毒破坏了系统文件，杀毒软件可以修复或下载对应文件进行修复。没有这种技术的杀毒软件往往删除被感染的系统文件后计算机崩溃，无法启动。 实时升级技术 最早由金山毒霸提出，每一次连接互联网，反病毒软件都自动连接升级服务器查询升级信息，如需要则进行升级。但是目前有更先进的云查杀技术，实时访问云数据中心进行判断，用户无需频繁升级病毒库即可防御…

题记：写这篇博客要主是加深自己对隐藏专杀工具的认识和总结实现算法时的一些验经和训教，如果有错误请指出，万分感谢。 下载地址：http://download.csdn.net/detail/yousuosi/5459913 文件夹类病毒是一类恶意病毒，它会将全部根目录下和桌面上的文件夹全部隐藏，并将自己的副本命名为文件夹的名字。由于病毒的图标就是文件夹图标，如果没有表现扩展名的话很轻易中招。并且由于病毒的这个道理，会在硬盘上产生大量的病毒副本，即使副本被清算掉了，恢复隐藏的文件夹也是一件不轻易的事件。 本专杀就是针对此类病毒而制作的，它不仅可以清算掉全部的病毒本体和副本，以及病毒的注册表项，彻底杀死病毒；还可以100%恢复被病毒隐藏起来的文件夹，让您不再须要一一手动恢复文件夹的属性。独占的智能分析引擎，即使病毒特征码库中没有特征码，也可以分析出此类病毒的变种并完全杀除之。 查杀步骤 每日一道理 人的生命似洪水奔流，不遇着岛屿和暗礁，难以激起美丽的浪花。 1、保存全部任务，然后尽量退出已经运行的程序。 2、根据须要在“扫描选项”中进行对应的设置。如果开启了病毒智能分析引擎，则会稍微延伸查杀时光。 3、单击“查杀病毒”按钮进行查杀，专杀工具将自动进行查杀步骤。 4、查杀完毕，一般不须要从新启动计算机，病毒就已经被完全清算，被隐藏的文件夹也全部回来了。 5、如果您平时有须要隐藏的秘密文件夹，请注意从新设置隐藏属性。 注意事项 1、软件查杀注册表的时候，如果您…

简介 杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。 杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等 功能，是计算机防御系统的重要组成部分。 反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式，进驻 系统，并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。反病毒软件的实时监控方式因软件而异。有的反病毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与反病毒软件自身所带 的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。 杀毒软件包含的技术 脱壳技术 脱壳技术是一种十分常用的技术，可以对压缩文件、加壳文件、加花文件、封装类文件进行分析的技术。 自我保护技术 自我保护技术基本在各个杀毒软件均含有，可以防止病毒结束杀毒软件进程或篡改杀毒软件文件。 进程的自我保护有两种：单进程自我保护，多进程自我保护。 修复技术 对被病毒损坏的文件进行修复的技术，如病毒破坏了系统文件，杀毒软件可以修复或下载对应文件进行修复。没有这种技术的杀毒软件往往删除被感染的系统文件后计算机崩溃，无法启动。 实时升级技术 最早由金山毒霸提出，每一次连接互联网，反病毒软件都自动连接升级服务器查询升级信息，如需要则进行升级。但是目前有更先进的云查杀技术，实时访问云数据中心进行判断，用户无需频繁升级病毒库即可防御…

为了更加合法合规运营网站，我们正在对全站内容进行审核，之前的内容审核通过后才能访问。 由于审核工作量巨大，完成审核还需要时间，我们正在想方设法提高审核速度，由此给您带来麻烦，请您谅解。 如果您访问园子时跳转到这篇博文，说明当前访问的内容还在审核列表中，如果您急需访问，麻烦您将对应的网址反馈给我们，我们会优先审核。 反馈方式： 在线提交 https://www.cnblogs.com/req 发邮件至 [email protected] github 提交 issue https://github.com/cnblogs/cnblogs-hardening/issues 致歉公告： 致园友们的一封检讨书：都是我们的错

由于webservice服务存在默认密码漏洞，会被利用上传Cat.aar病毒文件。特写如下修改webservice默认密码修改操作步骤，及病毒介绍和应对病毒策略。 1.修改webservice默认密码 默认情况下，webservice发布服务时会在tomcat的webapps目录下发布一个axis2目录。 以108服务器中axis2服务为例。 默认密码路径/usr/local/tomcat6/webapps/axis2/WEB-INF/conf/axis2.xml 修改axis2.xml 默认如下 admin aixs2 修改默认用户名密码： jymf CMOLuPnBEi2jg5Ws 2.删除web上传病毒文件页面 webservice的web页面在以下路径： /usr/local/tomcat6/webapps/axis2/axis2-web 删除如下界面，admin.jsp，Login.jsp，upload.jsp 注:修改后请一定重启tomcat使配置生效！！！！！！！！！！！！！ 并且访问如下链接，查看页面是否还能访问，时候还有登陆界面，是否还能上传文件！！！！！ http://IP:8080/axis2/axis2-admin/ 总结：面对危险，最好的防御就是对未知危险的预判，请提前按照上述操作，就不用看以下内容了！！！！！！！！！！ 3.扩展描述webservice（Cat病毒）上传病特征： 3.1病毒产生文件描述： 首先会通过…