蒙古青年论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

12
返回列表 发新帖
楼主: SayNo_2

关于杀毒的一些经历-_-;

[复制链接]
发表于 2006-10-10 08:32:09 | 显示全部楼层
曾经遇到一个问题,跟你的类似,不过他只是修改主页,并不弹出广告。
分析到最后,发现是一个驱动程序,人家写了一个驱动程序,在驱动中
启动了一个内核线程,不停的监测ie主页和加载本身。除非另起操作系统
将他删除,否则就只有重新安装系统。
由此得灵感,想写一个程序,能够列举所有加载的进程/dll/com/driver
然后每个进程都打开了那些句柄(或者说文件包括注册表)。
能够卸载或停止这个 进程/动态链接库/com组件/驱动程序。
即使停止不了也可以在运行的状态下将文件删除。

这样的程序非常难做,很可能做不出来,一旦做出来就可以买钱了。哪怕买给杀毒软件厂商也行。
发表于 2006-10-10 08:38:46 | 显示全部楼层
原帖由 nutug 于 2006-10-6 12:40 发表
我的电脑近来也中毒,通过正版、最新升级的杀毒软件没有找到任何病毒,但当我开始上网时就会每一分钟自动弹出一个广告窗口,我打开任务管理器查看,没有发现任何异常的进程,系统启动项里也没有异常的程序,后台服 ...

像这样的现象,一般是com组件或driver,因为只有这些不显示在进程里。

com组件,比如ie加载的工具条或者别的什么,平时不运行,当你运行了ie,他就
会自动运行,做自己要做的事情。
还有一个就是  winlogon 可以加载一些com组件,如果写一个这样的木马组件,你根本删不掉。
只能另外启动操作系统删除,但是还是在你知道是那个文件的前提下。

如果是driver(驱动程序)的话就更难了,因为驱动程序是在内核态下运行,应用程序
根本没有权限去对驱动做动作。而且即使你做,如果的稍微不妥当就会导致蓝屏死机。

现在的流氓软件都在向这个方向发展。将会越来越难删除了。
杀毒软件厂商估计没有处理这种流氓软件的能力。如果微软能给出更多的开发接口的话才能好一些。

[ 本帖最后由 ganjike 于 2006-10-10 08:40 编辑 ]
 楼主| 发表于 2006-10-10 09:32:11 | 显示全部楼层
恐怖!恐怖!
发表于 2006-10-10 14:26:38 | 显示全部楼层
前些日子我在大中购了一套2006版的瑞星杀毒软件,花去了138元.同事们都买贵了,郁闷中......
发表于 2006-10-10 17:35:06 | 显示全部楼层
原帖由 SayNo 于 2006-10-7 17:10 发表

病毒是什么呀?:lol
我一般认为广告程序就是病毒。因为它没有经过我的允许就随便让电脑做一些东西,呵呵……


病毒是一种通过修改自己来感染其他程序的程序。

一般恶意程序包括两种:需要宿主的和独立的。病毒跟trap-door, logic bomb, Trojan一样属于前者,而独立的恶意程序则有Worm, Zombie等。
发表于 2006-10-10 17:38:19 | 显示全部楼层
原帖由 EjenErh 于 2006-9-15 10:42 发表
昨天上午,我们寝室的一个哥们儿的机器也这样挂了.而且是在寝室里没人的情况下发生的.

上个期末我碰到好几起病毒,叫ROSE.EXE的病毒,会损坏系统引导文件,而且同时隐藏在多个分区的根目录下面,由一个AUTORUN.INF自 ...


冒充瑞星文件名的一种病毒(编得比较低级),在我们做毕业答辩的时候在实验室、打印店的电脑上疯狂传播,烧毁了很多U-盘。当时没有相应的预防措施,甚至几乎所有杀毒软件都没有把它视为病毒。
发表于 2006-10-13 20:07:50 | 显示全部楼层
昨天发现电脑不对劲,查找病毒,发现重了“灰鸽子”,我的现象是:在C:\Program Files\WindowsUpdate目录下有个update文件,无法删除,从网上查看,得知是后门程序,又在C:\WINDOWS目录下发现G_Server.exe文件,这些程序分别在安全模式下给删除了!!

疑惑:我一般上网都开着防火墙(病毒和网络),还有系统自带的防火墙,怎么就会中了这个“灰鸽子”呢??
发表于 2006-10-13 20:09:00 | 显示全部楼层
关于“灰鸽子”病毒的手动删除方法:

http://it.rising.com.cn/newSite/ ... 02/01-112318318.htm
发表于 2006-10-16 08:15:53 | 显示全部楼层
原帖由 nutug 于 2006-10-13 20:07 发表
昨天发现电脑不对劲,查找病毒,发现重了“灰鸽子”,我的现象是:在C:\Program Files\WindowsUpdate目录下有个update文件,无法删除,从网上查看,得知是后门程序,又在C:\WINDOWS目录下发现G_Server.exe文件,这 ...

现在的木马很少用非法访问方式来传播病毒,因为这种方式用防火墙就
可以阻止。除非是利用的最新漏洞,操作系统或防火墙还不能阻止他。

所以一般的木马都是通过合理的手段,比如通过ie插件,当你登录网站时要你安装。
如果你的安全级别不高就会自动安装。还有邮件的附件等。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|小黑屋|蒙古青年论坛

GMT+8, 2026-7-16 10:37 , Processed in 0.011228 second(s), 11 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表