黑與白,陰與陽,正與反,善與惡,對與錯,是與非,自古以來都是伴生存在,這是天地的法則。
道高一尺,魔高一丈。並不是說魔更厲害,而是意指此消彼長互相傾軋的一個過程。
一款好的防毒軟體和安全軟體是怎麼做出來的?
是根據流氓軟體、病毒木馬的行為習慣加以分析,對起可能利用的漏洞或者隱身場所加以防範。
一款“毒”的惡意軟體病毒木馬是怎麼做出來的?
是根據Windows系統或者安全軟體的疏忽或者可乘之處開發出來的。為啥電腦老手都推薦大家使用Windows7、Vista而不是繼續使用XP,為什麼微軟也一再建議使用者升級使用最新的瀏覽器,就是因為微軟在新版本軟體中逐步填補和防範了這些疏忽之處。
工具/原料
登錄檔
步驟/方法
今天電腦的普及程度之高完全可以說是全社會的普及了,但是隨之而來的計算機病毒問題也成了社會問題,儘管防毒軟體每天都在更新,而對抗防毒軟體以及檢測工具掃描的病毒爺爺不斷地更新,它們有的甚至會關閉防毒軟體以及檢測工具。我就遇到過防火牆被關閉,WOW賬戶被盜。儘管計算機很普及,但是絕大多數使用者對於軟體的讀寫知之甚少,很難判斷它們藏在哪裡。而這種情況下防毒軟體以及安全工具無法執行。這時候要想刪除病毒,就必須知道隱藏在哪裡,是什麼病毒。這裡列舉說明一些常見反殺病毒的檢測位置。
1、大名鼎鼎的AV終結者變種程式在開機時啟動雙程序堅守、關閉防毒程式。一般來說,發現防火牆被關閉,就有可能是它光臨駕到了。檢測HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有它的蹤影。這裡屬於常規啟動項,很多程式會寫在這裡。如果防毒軟體難於清理、或被關閉了防毒程式,也有可能是被執行掛鉤了。這時候應當檢測HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,大量惡意軟體以及病毒均會寫入這裡。因為,很少有正常程式會寫入這裡,病毒機率非常有的時候,安全模式也載入,防毒程式被關閉了。這有可能就是機器狗新變種或磁碟機變種在作梗。重點檢查一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程式會寫入這個位置,病毒機率極高。灰鴿子是很有名的病毒了,現在出想了它的變種,而且難於發現與清理,可以關閉防毒程式。由於病毒是寫入底層服務與rootkits驅動,所以才導致清除困難。使用者可以重點檢查HKLM\System\CurrentControlSet\Services。如果發現某個特定檔名的檔案無法執行了,十有八九是被映像劫持,重點排查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,大多數AV病毒均會寫在這裡。當然,被劫持的檔案不一定是exe檔案。有的病毒為了防止ani.ani還原病毒主檔案,便劫持ani.ani檔案。飄雪變種病毒可以將防毒軟體安裝檔案進行刪除,而且會修改hosts檔案、在QQ目錄下寫入隱藏的病毒dll並且修改API HOOH。這時可以重點檢查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSchedulerHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
值得一提的是,上述分析工作需要具備常用軟體以及作業系統豐富的使用經驗,對於登錄檔和作業系統不甚瞭解的使用者建議重灌系統。本文僅例舉了幾個常見的反殺病毒的關注位置供大家參考。