本文目录一览:
- 1、计算机病毒有哪些,请说出关于它们的资料
- 2、什么是木马病毒?
- 3、什么是“木马病毒”,它对电脑有哪些影响?
- 4、常见的计算机病毒有哪些?
- 5、关于电脑病毒的详细资料
- 6、解释一下什么是计算机病毒和木马?电脑使用过程中如何防治它们?
计算机病毒有哪些,请说出关于它们的资料
电脑病毒的种类
恶性程序码的类别中,电脑病毒和蠕虫是较具破坏力,因为它们有复制的能力,从而能够感染远方的系统。电脑病毒一般可以分成下列各类:
引导区电脑病毒
文件型电脑病毒
复合型电脑病毒
宏病毒
特洛伊/特洛伊木马
蠕虫
其他电脑病毒/恶性程序码的种类和制作技巧
--------------------------------------------------------------------------------
引导区电脑病毒
90年代中期,最为流行的电脑病毒是引导区病毒,主要通过软盘在16位元磁盘操作系统(DOS)环境下传播。引导区病毒会感染软盘内的引导区及硬盘,而且也能够感染用户硬盘内的主引导区(MBR)。一但电脑中毒,每一个经受感染电脑读取过的软盘都会受到感染。
引导区电脑病毒是如此传播:隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播,所以这类的电脑病毒已经比较罕见了。
典型例子:
Michelangelo是一种引导区病毒。它会感染引导区内的磁盘及硬盘内的MBR。当此电脑病毒常驻内存时,便会感染所有读取中及没有写入保护的磁盘。除此以外,Michelangelo会于3月6日当天删除受感染电脑内的所有文件。
文件型电脑病毒
文件型电脑病毒,又称寄生病毒,通常感染执行文件(.EXE),但是也有些会感染其它可执行文件,如DLL,SCR等等...每次执行受感染的文件时,电脑病毒便会发作:电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉。
典型例子:
CIH会感染Windows95/98的.EXE文件,并在每月的26号发作日进行严重破坏。于每月的26号当日,此电脑病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。此外,这病毒又会试图破坏FlashBIOS内的资料。
复合型电脑病毒
复合型电脑病毒具有引导区病毒和文件型病毒的双重特点。
宏病毒
与其他电脑病毒类型的分别是宏病毒是攻击数据文件而不是程序文件。
宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。宏病毒采用程序语言撰写,例如VisualBasic或CorelDraw,而这些又是易于掌握的程序语言。宏病毒最先在1995年被发现,在不久后已成为最普遍的电脑病毒。
典型例子:
JulyKiller这个电脑病毒通过VB宏在MSWord97文件中传播。一但打开染毒文件,这病毒首先感染共用范本(normal.dot),从而导致其它被打开的文件一一遭到感染。此电脑病毒的破坏力严重。如果当月份是7月时,这病毒就会删除c:\的所有文件。
特洛伊/特洛伊木马
特洛伊或特洛伊木马是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与电脑病毒的分别是特洛伊不会复制自己。它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内,例如通过电子邮件上的游戏附件等。
典型例子:
BackOrifice特洛伊木马于1998年发现,是一个Windows远程管理工具,让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控电脑。
蠕虫
蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不同,电脑病毒通常会专注感染其它程序,但蠕虫是专注于利用网络去扩散。从定义上,电脑病毒和蠕虫是非不可并存的。随着互联网的普及,蠕虫利用电子邮件系统去复制,例如把自己隐藏于附件并于短时间内电子邮件予多个用户。有些蠕虫(如CodeRed),更会利用软件上的漏洞去扩散和进行破坏。
典型例子:
于1999年6月发现的Worm.ExploreZip是一个可复制自己的蠕虫。当执行时,它会把自己隐藏在附件,经电子邮件传送予通讯录内的收件人。在Windows环境下,若用户开启附件,就会自动执行蠕虫。在Windows95/98环境下,此蠕虫以Explore.exe为名,把自己复制到C:\windows\system目录,以及更改WIN.INI文件,以便系统每次启动时便会自动执行蠕虫。
管理工具,让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控电脑。
其他病毒/恶性程序码的种类和制作技巧
电脑病毒及防毒科技不断变更。因应用户转移至新的平台或新的科技,电脑病毒编写者会试图研制及传播新的电脑病毒。例如,在Java及LotusNotes平台上的电脑病毒已在近几年出现,其中首只Java病毒(Java.StrangeBrew)是在一九九八年九月上被发现的。所以,我们不应对于有关电脑病毒将会侵占新的电脑平台的报导,例如Macromedia、个人PDA、流动仪器或.NET等等而感到惊讶。
以下是现今电脑病毒普遍所采用的技巧:
ActiveContent
VBScript病毒
对于电脑病毒的发展,以下有一于趋势预计:
与软件上的保安漏洞更多结合
采用多种途径去散播
可感染多种不同的电脑平台
其实,以上所提出的预测己经发现在现今一些先进的电脑病毒中。例如在Nimda中,它会使用IIS和IE的保安漏洞去感染服务器和工作站。Nimda这种复杂的电脑病毒还采用多种途径去散播,其中包括电子邮件、网络上的共用资源、由CodeRedII所留下的后门、和通过浏览已感染了Nimda的服务器上的网页。此外,可以同时感染Windows和Linux的电脑病毒,已经在2001年被首次发现。
回答者:wahhltt - 同进士出身 七级 2-23 16:08
电脑病毒的种类
电脑病毒一般分类如下:
开机磁区病毒
档案型病毒
巨集病毒
其他新种类的病毒
资料由香港特别行政区政府资讯科技署提供
开机磁区病毒
在九十年代中期以前,开机磁区病毒是最常见的病毒种类。这种病毒藏於已受感染的硬磁碟机的主开机磁区,或磁碟操作系统开机磁区内。当软磁碟插入已受感染的个人电脑时,病毒便会把软磁碟开机磁区感染,藉此把病毒扩散。
使用受感染的软磁碟进行启动程序时,电脑便会受到感染。在启动电脑的过程中,基本输入输出系统会执行驻於软磁碟开机磁区的病毒编码,因此系统便改为受病毒控制。病毒控制了电脑系统后,便会把病毒编码写入硬磁碟的主开机磁区。之后,便会恢复正常的启动程序。从用户的角度来看,一切情况似乎与正常无异。
日后启动电脑时,驻於受感染的主开机磁区的病毒便会启动执行。因此,病毒会进入记忆体,并可随时感染其他经使用的软磁碟。
[主开机磁区是硬磁碟的第一个磁区,这个磁区载有执行操作系统的分割控制表及编码。主开机磁区后的16个或以上的磁区通常是空置不用的。
硬磁碟机最多可分割为4个储存分区,而磁碟操作系统的扩展分区可细分为多个逻辑驱动器。
每个分区的第一个磁区便是开机磁区,这个磁区包含载入分区的操作系统的资料及编码。
软磁碟没有主开机磁区。以标准磁碟操作系统格式进行格式化后的软磁碟,在结构上与硬磁碟的磁碟操作系统分区相同。]
档案型病毒
档案型病毒是一种依附在档案内,经由程式档而非资料档扩散的病毒。电脑在执行受感染的程式时,便会受到感染。这些受感染的程式可能经由软磁碟、唯读光碟、网络及互联网等途径传播。在执行受感染的程式后,随附的病毒便会立即感染其他程式,或可能成为一个常驻程式,以便在日后感染其他程式。在完成这些步骤后,病毒便会恢复执行原本的正常程式。因此,用户在执行受感染的程式时,不易发觉有任何异常的情况。
档案型病毒一般会感染有特定副档名的档案。副档名为COM、EXE及SYS的档案,均是常见的病毒感染对象。
巨集病毒
一九九五年七月,一种新的电脑病毒被人发现,立即使电脑界大感震惊。这种新的病毒称为巨集病毒,它与一直以来出现的病毒不同,可感染资料档而非执行档。其实,这并非一种新的概念,因为有关以巨集语言编写病毒的可行性的研究,始於八十年代后期。在Word程式出现的巨集病毒可以在多个不同的操作平台活动,而且,只要电脑的Word程式是支援Word 档案格式的话,便有机会受到感染。换言之,无论使用的是OS/2或Windows版本的Word程式,或是个人电脑或麦金塔(Macintosh)电脑,也可能受到巨集病毒的感染。
其他新种类的病毒
病毒和抗御病毒技术不断转变,日新月异。随著电脑用户使用新的操作平台/电脑技术,编写病毒的人也会随之而发展新病毒,再作扩散。下文列出部分可能出现新病毒种类的新操作平台/电脑技术:
Java
ActiveX
Visual Basic (VB) Script
HTML
Lotus Notes
Java
Java 病毒一直是一个富争议的话题:究竟可否编写Java 病毒?Java 病毒可否在电脑之间或经由互联网扩散?以上问题,均曾在不同的新闻组进行讨论。由於Java微应用程式的设计是在受控的环境 (称为「sandbox」) 内执行,接触不到电脑的档案或网络的接驳,因此,Java病毒在电脑之间扩散的可能性极低。
但由於 Java 亦像其他标准的程式一样,可让开发人员建立可控制整个系统的应用程式,故Java 病毒有其产生及存在的空间。
第一种被发现以Java电脑程式开发语言为本的病毒称为「 Java.StrangeBrew」。 首次发现日期是一九九八年九月,会感染属Java类别的档案。但这种病毒只会影响独立的Java应用程式档案,以微应用程式执行的档案则不受感染。虽然Java应用程式并不常见,「 Java.StrangeBrew」病毒的扩散也只属於初步阶段,但这种病毒的影响实在不容忽视。随著Java 应用程式日趋普及,预料Java 病毒的种类也会逐渐增加。
ActiveX
跟Java的情况一样,ActiveX 被视为将会受病毒入侵的操作平台。若就设计方面将两者比较,在 ActiveX 扩散病毒的机会较Java为大。基本上,ActiveX 是 Object Linking and Embedding (OLE) 的精简版本,会直接接触电脑的 Windows 系统,因此可连接到任何的系统功能。此外,ActiveX 的用户并非只局限於MS Internet Explorer的用户;现在,Netscape Navigator的附加程式(plug-in)也可使用这种技术。相比之下,Java是在「受控的环境」下执行,或经由一个名为「Java Virtual Machine」的程式才可执行,因此可使Java与操作系统的各项服务隔开。
Visual Basic (VB) Script
过去, 编写病毒的人若要成功编写一种可感染其他电脑的病毒,必须对电脑的基本操作具备相当程度的知识。但随著 Microsoft Office 内巨集的出现,编写病毒的工具已准备就绪,而编写的人毋须具备很多资讯科技知识也能胜任。同样,VB Script 病毒所发挥作用的操作环境很快便会普及,扩散也甚为容易。
VB Script 病毒已对电脑用户构成真正威胁。微软公司的原意是包括一种功能强大而易於使用的语言以便轻易取用 Windows 98/NT 系统内的资源。VB Script 是以人类可阅读的方式编写,所以易於明白。正是这个原因,很多并没有具备高深资讯科技知识的编写病毒的人也可侵入这个领域。
以 VB Script 编写的程式的第一代病毒藏在以 HTML 编写的网页内,经由互联网扩散开去。现时散播力强的 VB Script 编写的病毒通常以寄发电子邮件的方式扩散,按用户地址册所列的电邮地址把病毒程式一同寄出。用户执行附件中的程式时,便会帮助病毒扩散。
超文本标示语言(英文简称「HTML」)
藉由 HTML 扩散的病毒是另一个在互联网上引起广泛讨论的话题。有人甚至声称/宣告已发明/发现首只属 HTML 种类的病毒。
HTML 是一种控制网页设计的编写语言。本来,纯 HTML 是不会受到感染, 因此,只支援 HTML 的浏览器也不会有受病毒感染的危险。所谓「HTML 病毒」出现的机会实在微乎其微。因此,真正的威胁并非来自浏览互联网的网页,而是来自从互联网下载已感染病毒编码的程式并加以执行。
但现时的浏览器大部分都支援其他编写网页的语言,而所谓的「HTML 病毒」通常会利用这些编写文本的语言进行扩散。在文本内的病毒通常会藉著网页感染电脑,VBS.Offline 便是一个典型的例子。目前,最普遍的文本病毒便是刚讨论过的 VB Script 病毒。
Lotus Notes
Lotus Notes 用户众多,会是编写病毒的人针对的软件。虽然目前尚未发现本机的 Lotus Notes 病毒,但在 Lotus Notes 数据库内的 rich-text 字段却提供了可供传统病毒(例如:档案型病毒及巨集病毒)驻存的地方。因为有关记录曾进行压缩,所以一般抗御病毒软件不能侦测在 Notes 数据库内的病毒。为防范电脑病毒入侵 Notes 的操作环境,我们建议用户安装专为 Notes 软件而编制的抗御病毒软件。
另外,黑客不是病毒Hacker -- 黑客
热衷研究、撰写程序的专才,且必须具备乐于追根究底、穷究问题的特质。
在黑客圈中,hacker一词无疑是带有正面的意义,例如system hacker熟悉操作系统的设计与维护;password hacker精于找出使用者的密码,若是computer hacker则是通晓计算机,可让计算机乖乖听话的高手。
黑客基本上是一项业余嗜好,通常是出于自己的兴趣,而非为了赚钱或工作需要。
根据开放原始码计划创始人Eric Raymond对此字的解释,hacker与cracker是分属两个不同世界的族群,基本差异在于,hacker是有建设性的,而cracker则专门搞破坏。
hacker原意是指用斧头砍材的工人,最早被引进计算机圈则可追溯自1960年代。
加州柏克莱大学计算机教授Brian Harvey在考证此字时曾写到,当时在麻省理工学院中(MIT)的学生通常分成两派,一是tool,意指乖乖牌学生,成绩都拿甲等;另一则是所谓的hacker,也就是常逃课,上课爱睡觉,但晚上却又精力充沛喜欢搞课外活动的学生。
这跟计算机有什么关系?一开始并没有。不过当时hacker也有区分等级,就如同tool用成绩比高下一样。真正一流hacker并非整天不学无术,而是会热衷追求某种特殊嗜好,比如研究电话、铁道(模型或者真的)、科幻小说,无线电,或者是计算机。也因此后来才有所谓的computer hacker出现,意指计算机高手。
对一个黑客来说,学会入侵和破解是必要的,但最主要的还是编程,毕竟,使用工具是体现别人的思路,而程序是自己的想法.一句话--编程实现一切!
对于一个骇客来说,他们只追求入侵的快感,不在乎技术,他们不会编程,不知道入侵的具体细节.
"黑客"在人们脑中的形象就是一个蓬头乱发,戴着高度眼镜,驼着背弓着腰,成天趴在电脑面前的人.其实黑客和正常人一模一样,他们并无什么特殊之处.有些人也许很少上电脑,成天运动,工作,但他们的技术和精神已经达到的黑客的标准,有些人天天爬在电脑前,到处瞎混,但他们仍不是黑客.
人们总是认为黑客就是破坏者,其实从某种意义上来说,黑客也在为计算机技术的发展做出很大的贡献.如果没有高明的黑客,就没有资深的网管;如果没有完美的木马,就没有杰出的杀毒软件;没有了黑客,网络技术就很难发展下去.当然,网管其实也是黑客,如果他不知道别人怎么进攻,自己要怎么防守呢??
黑客一词在圈外或媒体上通常被定义为:专门入侵他人系统进行不法行为的计算机高手。不过这类人士在hacker眼中是属于层次较低的cracker(骇客)。如果黑客是炸弹制造专家,那么CRACKER就是恐怖分子.
现在,网络上出现了越来越多的Cracker,他们只会入侵,使用扫描器到处乱扫,用IP炸弹炸人家,毫无目的地入侵,破坏着,他们并无益于电脑技术的发展,反而有害于网络的安全和造成网络瘫痪,给人们带来巨大的经济和精神损失.
我们不能做Cracker,我们要力求当HACKER!!
什么是木马病毒?
什么是木马- -
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等
从对基本的地方了解木马
端口
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑。
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,你可以利用软件--
如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 ,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--
进一步查找木马
曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得--
在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。排除了木马以后,你就可以监视端口--
悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
什么是“木马病毒”,它对电脑有哪些影响?
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
木马的种类
1、普通的以单独EXE文件执行的木马
2、进程插入式木马
3、Rootkit类
4、其他
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
如何防御木马病毒?
木马查杀(查杀软件很多,有些病毒软件都能杀木马)
防火墙(分硬件和软件)家里面的就用软件好了
如果是公司或其他地方就硬件和软件一起用
基本能防御大部分木马,但是现在的软件都不是万能的,是不?还要学点专业知识,有了这些,你的电脑就安全多了
现在高手也很多,只要你不随便访问来历不明的网站,使用来历不明的软件(很多盗版或破解软件都带木马,这个看你自己经验去区分),如果你都做到了,木马,病毒。就不容易进入你的电脑了。
如何删除木马病毒 ?
可以下载卡巴斯基(建议先卸载其他杀毒软件)绿鹰PC万能精灵
也可以下载瑞星杀毒软件(建议先卸载其他杀毒软件)
卡巴斯基搜索下就可以找到下载,其授权key到这里下载:
绿鹰PC万能精灵
瑞星杀毒2008
他的sn: Ew7S5NLyptbybbpt
1、禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
2、将计算机重启到安全模式或者 VGA 模式
关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户:将计算机重启到 VGA 模式。
扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:
启动 Internet Explorer。单击“工具”“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
3、关于病毒的危害,Download.Trojan会 执行以下作:
进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。
完成下载后,特洛伊木马程序将执行它们。
常见的计算机病毒有哪些?
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。常见的十大病毒有:
1、系统病毒。系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的
*.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒。蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)
等。
3、木马病毒、黑客病毒。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack
。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马
Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60
。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒。脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四曰(Js.Fortnight.c.s)等。
5、宏病毒。其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒。后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot
。
7、病毒种植程序病毒。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8、破坏性程序病毒。破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9、玩笑病毒。玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10、捆绑机病毒。捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
关于电脑病毒的详细资料
1、计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性,复制性和传染性
2、计算机病毒可以分为系统病毒、蠕虫病毒、木马病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒、捆绑机病毒等
系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
木马病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
解释一下什么是计算机病毒和木马?电脑使用过程中如何防治它们?
计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
木马也是病毒的一种。许多人制作病毒是为了开些玩笑,恶意的攻击他人为了体现自身的价值,但又不少人是为了利益,利用木马等病毒控制他人的电脑,盗取资料等牟利。
懂计算机的人是不装杀毒软件的,因为中毒了也就中毒了,装了杀毒软件也不一定就不会中毒,中毒了会手动杀毒!你最好懂一点黑客的攻击技巧,懂得黑客攻防,知己知彼方能百战不殆!下面讲讲黑客的攻击,以便你能防御攻击。踩点侦察与漏洞扫描。在入侵之前,黑客首先要解决的问题是了解主机的一些基本信息,即踩点。这是收集目标信息的主要方法。
攻击者可能通过对某个组织进行有计划,有步骤的踩点,收集整理出一份关于该组织信息安全防护现状的详细信息。结合使用各种工具和技巧,攻击者完全可以通过公开渠道查出该组织具体使用的域名,网络地址块,与互联网直接相连的各有关系的ip地址等与信息安全防护现状有关的大量信息。
确定侦察范围在进行踩点之前,先确定踩点活动的范围。
实施踩点的具体流程。
网络侦察与快速确定漏洞范围。
确定目标主机的ip地址
确定可能开放的端口服务。
最后他们还会留后门以及清除脚印(就是清楚他们的入侵痕迹)简单讲了一下黑客的攻击当然这只是九牛一毛。
病毒是一个恶意程序 是程序就会有进程,它们往往会 伪装成系统进程,而且有时候就算发现恶意进程也不容易关闭。
查看进程的发起程序 查看关闭,查看隐藏进程和远程进程。
查杀本机中的病毒进程。
1.根据进程号进行查杀
2.根据进程名进行查杀
简单讲了一下,希望对lz有帮助。
还是多大补丁,多清理系统 及时更新。