第九講計算機病毒基礎(chǔ)知識

1、廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院主講人：夏主講人：夏 峰峰廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣

2、東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 常規(guī)內(nèi)存小于常規(guī)內(nèi)存小于640K640K 同一位置出現(xiàn)壞扇區(qū)同一位置出現(xiàn)壞扇區(qū) 讀操作的時候提示寫保護錯誤讀操作的時候提示寫保護錯誤廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 使用干凈的引導(dǎo)盤啟動系統(tǒng)，然后用能清使用干凈的引導(dǎo)盤啟動系統(tǒng)，然后用能

3、清除引導(dǎo)區(qū)病毒的殺毒軟件清除。除引導(dǎo)區(qū)病毒的殺毒軟件清除。使用命令使用命令FDISK /MBR廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 空閑扇區(qū)尾尾 正常文件正常文件 頭頭 病毒程序病毒程序廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院文件變化文件變化 ( (如如: :文件大小文件大小, ,時間時間, , 等等) )在運行在運行.EXE.EXE文件后文件后, ,同時生成一個后綴為同時生成一個后綴為 .COM.COM的的 同名文件同名文件, ,這肯定是感染上了文件型病毒。這肯定是感染上了文件型病毒。常規(guī)內(nèi)存減少常規(guī)內(nèi)存減少但是從帶有寫保護的軟盤拷貝文

4、件時，會提示軟但是從帶有寫保護的軟盤拷貝文件時，會提示軟盤帶有寫保護，這肯定有病毒。盤帶有寫保護，這肯定有病毒。 其他異常的任務(wù)和進程其他異常的任務(wù)和進程注冊表和配置文件有可疑變動注冊表和配置文件有可疑變動計算機系統(tǒng)變慢或不穩(wěn)定計算機系統(tǒng)變慢或不穩(wěn)定廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1文件型病毒都駐留內(nèi)存，所以清除文件型病文件型病毒都駐留內(nèi)存，所以清除文件型病毒最好在毒最好在DOS下操作，如果是下操作，如果是NTFS的硬盤分區(qū)結(jié)的硬盤分區(qū)結(jié)構(gòu)，則也最好在安全模式下殺毒?；蛘呤褂媚苤?gòu)，則也最好在安全模式下殺毒?；蛘呤褂媚苤С殖諲TFS分區(qū)的急救盤?；蛘甙褞Ф颈P作為從盤。分區(qū)的急救盤。

5、或者把帶毒盤作為從盤。2、殺毒的時候一定要斷掉網(wǎng)絡(luò)連接（拔掉網(wǎng)、殺毒的時候一定要斷掉網(wǎng)絡(luò)連接（拔掉網(wǎng)線），特別是在局域網(wǎng)中，一定要把所有計算機線），特別是在局域網(wǎng)中，一定要把所有計算機上的病毒全都查殺干凈以后才可以聯(lián)網(wǎng)。如果是上的病毒全都查殺干凈以后才可以聯(lián)網(wǎng)。如果是局域網(wǎng)用戶，可以考慮購買企業(yè)版（網(wǎng)絡(luò)版）的局域網(wǎng)用戶，可以考慮購買企業(yè)版（網(wǎng)絡(luò)版）的殺毒軟件進行管理。殺毒軟件進行管理。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院3、由于文件型病毒都是要對宿主文件（也就是由于文件型病毒都是要對宿主文件（也就是要被感染的文件）進行修改，造成一些文件無法要被感染的文件）進行修改，造成一些文件無法運

6、行或系統(tǒng)的不穩(wěn)定，出現(xiàn)的這些癥狀即使使用運行或系統(tǒng)的不穩(wěn)定，出現(xiàn)的這些癥狀即使使用殺毒軟件把病毒清除干凈了也沒法修復(fù)。這時你殺毒軟件把病毒清除干凈了也沒法修復(fù)。這時你只能用以前的備份文件替換掉損壞的文件。只能用以前的備份文件替換掉損壞的文件。 4、不要使用網(wǎng)頁在線殺毒。這種方法充其量只、不要使用網(wǎng)頁在線殺毒。這種方法充其量只能查出計算機上是否感染流行的病毒，而不能實能查出計算機上是否感染流行的病毒，而不能實際的進行清除病毒。際的進行清除病毒。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1 安裝最新版本的，有實時監(jiān)控功能的防毒軟安裝最新版本的，有實時監(jiān)控功能的防毒軟件，并及時升級病毒庫件，并及時

7、升級病毒庫。2 對來歷不明的軟件（特別是從網(wǎng)上下載的軟對來歷不明的軟件（特別是從網(wǎng)上下載的軟件）要先查毒確保沒有病毒后再運行。件）要先查毒確保沒有病毒后再運行。3 由于文件型病毒會對一些文件造成破壞，所由于文件型病毒會對一些文件造成破壞，所以平時要注意對數(shù)據(jù)的備份，重要的數(shù)據(jù)要備份以平時要注意對數(shù)據(jù)的備份，重要的數(shù)據(jù)要備份到移動存儲器或刻錄到光盤上。到移動存儲器或刻錄到光盤上。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院通用模板通用模板通用模板通用模板WORD WORD 正文正文WORD WORD 宏病毒宏病毒W(wǎng)ORD WORD 正文正文WORD

8、WORD 宏病毒宏病毒若在若在WordWord中打開染中打開染毒文件，病毒會將毒文件，病毒會將其宏代碼復(fù)制到通其宏代碼復(fù)制到通用模板用模板normal.dotnormal.dot通用模板中的通用模板中的宏病毒，將病宏病毒，將病毒復(fù)制到其他毒復(fù)制到其他打開的文件中打開的文件中廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院打開染毒的打開染毒的Excel Excel 電子電子表格表時，會在表格表時，會在Microsoft Microsoft OfficeOfficeXLStarOfficeOfficeXLStart t目錄中產(chǎn)生一個目錄中產(chǎn)生一個 excel excel 文件文件每次打開有每次打開有宏

9、病毒的電宏病毒的電子表格時，子表格時，就能感染每就能感染每個打開的電個打開的電子表格子表格XLStartXLStart 目錄目錄啟動文件啟動文件EXCELEXCEL電子表格電子表格Excel宏病毒宏病毒EXCELEXCEL電子表格電子表格Excel宏病毒宏病毒廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 OFFICE文檔文件變大文檔文件變大 在在Normal.dot模板中有模板中有AutoOpen，AutoNew，AutoClose等以等以Auto開頭的自動宏以及開頭的自動宏以及FileSave，F(xiàn)ileSaveAs，F(xiàn)ileExit等文件操作宏及一些怪名字等文件操作宏及一些怪名字的宏，如的宏

10、，如AAAzao,payload等，可能感染了。等，可能感染了。 沒有修改文件但應(yīng)用程序提示存盤沒有修改文件但應(yīng)用程序提示存盤 普通的文件另存時被存為模板文件普通的文件另存時被存為模板文件 在工具菜單中看不到宏字樣，或者不可選。在工具菜單中看不到宏字樣，或者不可選。 打開文檔時提示是否啟動宏打開文檔時提示是否啟動宏 運行過程中提示內(nèi)存不足，或者打印不正常。運行過程中提示內(nèi)存不足，或者打印不正常。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1、當(dāng)出現(xiàn)提示的時候禁用宏、當(dāng)出現(xiàn)提示的時候禁用宏廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院2、提示保存、提示保存NORMAL模板模板工具工具選項選項保存保

11、存廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院3、在在Normal.dot模板文件中創(chuàng)建一個自己的宏模板文件中創(chuàng)建一個自己的宏(AutoExce)，具體代碼為：，具體代碼為： “Sub Main DisableAutoMacros 1 End Sub” 這樣就能禁止其他自動宏的運行，預(yù)防宏病這樣就能禁止其他自動宏的運行，預(yù)防宏病毒的感染。另外注意一點，此程序是在毒的感染。另外注意一點，此程序是在Word的的“工具工具/宏宏/Visual Basic編輯器編輯器”中完成中完成。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院4、把、把NORMAL.DOT模板文件屬性設(shè)為只讀模板文件屬性設(shè)為只讀5、

12、把本機內(nèi)危險命令改名或刪除、把本機內(nèi)危險命令改名或刪除6、重要數(shù)據(jù)文件經(jīng)常備份、重要數(shù)據(jù)文件經(jīng)常備份7、安裝最新版本的，有實時監(jiān)控功能的防毒軟、安裝最新版本的，有實時監(jiān)控功能的防毒軟件，并及時升級病毒庫件，并及時升級病毒庫廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院第一種情況：機器內(nèi)沒有中宏病毒，要打開的文第一種情況：機器內(nèi)沒有中宏病毒，要打開的文件中可能含有宏病毒。件中可能含有宏病毒。1、打開、打開WORD，不要雙擊文件打開。，不要雙擊文件打開。2、選擇打開指定的文件，提示有宏時選擇禁用。、選擇打開指定的文件，提示有宏時選擇禁用。3、打開工具、打開工具-選項選項-宏，刪除可疑的宏。然后保宏，

13、刪除可疑的宏。然后保存文件?；蛘卟捎脧?fù)制粘貼的方法到一個新文件存文件?；蛘卟捎脧?fù)制粘貼的方法到一個新文件中。中。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院第二種情況：機器內(nèi)已經(jīng)中過宏病毒第二種情況：機器內(nèi)已經(jīng)中過宏病毒1、刪除、刪除NORMAL.dot，然后采用第一種情況中然后采用第一種情況中的方法對有毒文件進行操作。的方法對有毒文件進行操作。2、使用殺毒軟件。、使用殺毒軟件。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院如果郵件或者網(wǎng)頁中含有惡意代碼如果郵件或者網(wǎng)頁中含有惡意代碼這些惡意腳本會在用戶通過這些惡意腳本會在用戶通過EMAIL或瀏覽器時通

14、或瀏覽器時通過過WSH（Windows Script Host）解釋執(zhí)行）解釋執(zhí)行并通過并通過EMAIL或瀏覽器傳染給其他的用戶或瀏覽器傳染給其他的用戶廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院點擊點擊 Yes 會執(zhí)行可能含有惡意代碼的腳本程序，當(dāng)點會執(zhí)行可能含有惡意代碼的腳本程序，當(dāng)點擊擊 No 會出現(xiàn)下面的提示框會出現(xiàn)下面的提示框.在接收到一個含有腳本的郵件時，系統(tǒng)會彈出下面提示在接收到一個含有腳本的郵件時，系統(tǒng)會彈出下面提示廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院Look for the script icon to determine any embedded scripts i

15、n the e-mail messages The script icon looks like this廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院You may save the e-mail message in HTML format to be able to check it before openingOnce in HTML format, you can verify the contents of the saved e-mail message for any malicious script codes廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院方法一：卸載方法一：卸載

16、WSHWSH（腳本調(diào)試器）（腳本調(diào)試器） 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院刪除刪除VBS、VBE、JS、JSE文件與應(yīng)用程序文件與應(yīng)用程序的映射或者在的映射或者在Windows 目錄中，找到目錄中，找到Wscript.exe,更更改其名稱或干脆刪除。改其名稱或干脆刪除。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院方法三、禁止編輯注冊表，方法三、禁止編輯注冊表，win2000用禁止遠用禁止遠程編輯注冊表！程編輯注冊表！控制面板控制面板管理工具管理工具服務(wù)服務(wù)Remote Registry Service(Remote Registry Service(允許遠程注冊表操作允許遠程注冊

17、表操作) )廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 用用regsvr32 scrrun.dll/uregsvr32 scrrun.dll/u這條命令就可以禁止文這條命令就可以禁止文件系統(tǒng)對象。其中件系統(tǒng)對象。其中regsvr32regsvr32是是WindowssystemWindowssystem下下的可執(zhí)行文件的可執(zhí)行文件regsvr32.exeregsvr32.exe。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院方法五：禁用活動腳本和方法五：禁用活動腳本和JAVAJAVA程序腳本程序腳本 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1、

18、IE默認連接首頁被修改默認連接首頁被修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page 2、篡改、篡改IE的默認頁的默認頁 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院3、修改、修改IE瀏覽器缺省主頁，并且鎖定設(shè)置項，瀏覽器缺省主頁，并

19、且鎖定設(shè)置項，禁止用戶更改回來。禁止用戶更改回來。1 1為不可選為不可選 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl PanelSettings=dword:1 Links=dword:1 SecAddSites=dword:1 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院4、IE的默認首頁灰色按紐不可選的默認首頁灰色按紐不可選 HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panelhomepage=15、IE標題

20、欄被修改標題欄被修改 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow Title HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)

21、院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院蠕蟲是一個能傳染自身拷貝到另一臺計算機上的蠕蟲是一個能傳染自身拷貝到另一臺計算機上的程序程序廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院

22、廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院.購買主流的網(wǎng)絡(luò)安全產(chǎn)品，并注意隨時更新。購買主流的網(wǎng)絡(luò)安全產(chǎn)品，并注意隨時更新。.提高防殺毒意識，不要輕易點擊陌生的站點。提高防殺毒意識，不要輕易點擊陌生的站點。.不隨意查看陌生郵件，尤其是帶有附件的郵件。不隨意查看陌生郵件，尤其是帶有附件的郵件。.對于蠕蟲病毒應(yīng)當(dāng)注意不要輕易運行郵件中的附對于蠕蟲病毒應(yīng)當(dāng)注意不要輕易運行郵件中的附件文件，如果發(fā)現(xiàn)郵件有

23、異常并且沒有附件時應(yīng)件文件，如果發(fā)現(xiàn)郵件有異常并且沒有附件時應(yīng)該看一看郵件的詳細信息。該看一看郵件的詳細信息。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1、相信原廠公布的補丁程序相信原廠公布的補丁程序 2、雙擊附件前，請先掃毒雙擊附件前，請先掃毒 3、盡量不要開啟以下后綴名的附件：盡量不要開啟以下后綴名的附件：.VBE、.VBS、.JS、.JSE、.BAT、.SHS、.PIF、.CHM、.WSF、.WSH、.SCR、.LNK、.COM、.EXE、.DLL。 4、取消共享或使用只讀與密碼方式共享文件、取消共享或使用只讀與密碼方式共享文件5、不要隱藏默認文件的擴展名、不要隱藏默認文件的擴展名廣東

24、醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院通過修改系統(tǒng)實現(xiàn)自啟動：通過修改系統(tǒng)實現(xiàn)自啟動：利用利用Autoexec.bat和和Config.sys進行加載；進行加載；修改注冊表；修改注冊表；修改修改Win.ini文件；文件；感染感染W(wǎng)indows系統(tǒng)文件系統(tǒng)文件廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院偽裝成系統(tǒng)文件偽裝成系統(tǒng)文件將木馬病毒的服務(wù)端偽裝成系統(tǒng)服務(wù)將木馬病毒的服務(wù)端偽裝成系統(tǒng)服務(wù)將木馬程序加載到系統(tǒng)文件中將木馬程序加載到系統(tǒng)文件中 Win.ini、system.ini充分利用端口隱藏充分利用端

25、口隱藏隱藏在注冊表中隱藏在注冊表中自動備份自動備份木馬程序于其它程序綁定木馬程序于其它程序綁定“穿墻術(shù)穿墻術(shù)”利用遠程線程的方式隱藏利用遠程線程的方式隱藏通過攔截系統(tǒng)功能調(diào)用的方式來隱藏自己通過攔截系統(tǒng)功能調(diào)用的方式來隱藏自己攻擊殺毒軟件攻擊殺毒軟件廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 系統(tǒng)系統(tǒng)windows目錄目錄G_Server.exeG_Server_Hook.dll 隱藏隱藏G_Server.dll 后門后門G_ServerKey.dll 鍵盤記錄鍵盤記錄注冊服務(wù)注冊服務(wù)廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)