基于心跳规律的木马查杀

            基于木马心跳规律的木马防御系统                               基于木马心跳规律的木马查杀 一   （一）初识木马 木马：利用计算机程序漏洞侵入后窃取文件的程序被称为木马.,它是一种具有隐藏性的，自发性的可被用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。 现在的木马一般主要以窃取用户相关信息为主要目的，相对病毒而言，我们可以简单地说，病毒破坏你的信息，而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。 病毒：在计算机程序中插入的破坏计算机功能，或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者“程序代码”， (1),病毒必须满足两个条件：它必须自行执行。它通常将自己的代码置于另一个程序执行路径中; (2).他必须能自我复制,，它可能用病毒感染的文件副本替代其他的可执行文件，病毒既可以感染桌面计算机也可以感染网络服务器； 蠕虫：蠕虫也可以算是病毒的一种，但是和病毒有着很大的区别，一般认为蠕虫是一种通过网路传播的恶性病毒，它和病毒具有一些共性，如隐蔽性，传播性，破坏性。同时具有自己的特征， 如不利用文件进行寄生，（有的只存在内存中），对网络造成拒绝访问，以及和黑客技术相结合，普通病毒需要传播受驻留的病毒的文件进行复制，而而蠕虫不使用驻留文件可在系统之间进行自我复制，普通病毒的感染能力的只是对计算机内文件系统而言，而蠕虫病毒的传染目标是整个互联网，可以将自己从一台计算机复制到另一台计算机，更危险的是还可以进行大量的复制，蠕虫病毒不是普通病毒所能比拟的，网络的发展使蠕虫可以在短时间内蔓延整个网络，造成网络瘫痪，局域网下共享文件，电子邮件Email,网络中的恶意网页， 存在大量漏洞的服务器，都成为蠕虫传播的良好途径，蠕虫病毒可以在几个小时内蔓延到全球，蠕虫的主动攻击性和突然爆发性使得人们束手无措，蠕虫还会消耗内存或网络宽带， 从而可能导致计算机崩溃。他的传播不必通过宿主程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机，这也是它额破坏力远远大于病毒! 一般来讲普通病毒和部分种类的蠕虫和所有的木马是额无法进行自我传播的， 感染方式：目前主要的感染方式，通过(1)运行的感染病毒和木马的程序(2)浏览网页，邮件时，利用浏览器的漏洞，病毒或木马自动进行下载运行！ 木马的子类：(1)dowmloader,一种能够从internet下载的其他的恶意程序             (2)dropper一种设计一种设计用于将其他恶意软件放入所破坏的                计算机的木马             (3)backdoor一种与远程攻击者通信，允许它们获得系统的访问权                      限             (4)keylogger-(按键记录程序)是一种记录用户键入的每个按键的信                息，并将信息发送给远程攻击者的程序 (5),dialer,用于连接附加计费号码的程序                   (二)木马的原理简介 木马的原理：一个木马由硬件部分软件部分和具体连接部分 1.硬件部分，建立木马连接所必须的硬件实体，控制端:对服务端进行远程控制的一方。Internet:控制端对服务端进行远程控制，数据传输的网络载体 2.软件部分;实现远程控制所必须的软件程序，(1)控制端程序：控制端用于远程控制的程序，(2)木马程序：进入服务端内部，或取其操作权限的程序、(3)木马配置程序，配置木马程序的端口号，触发条件，木马名称等，使其在服务器端藏的更隐蔽的程序。 3.具体连接部分：通过internet在服务端与控制端之间建立一条木马通道所必须的元素。控制端IP,，服务端IP:即控制端，服务端的网络地址，也是木马传输地址的目的地，控制端端口，木马端口：即控制端的数据入口，服务端数据入口 通过这个入口，数据可直达控制端程序或木马程序 一般黑客对网络的攻击大致有六部   配置木马一般设计成熟的木马都有配置主要是用于以下两方面的功能 (1)木马的伪装：木马配置程序为了在服务端尽可能的好的隐藏木马， (2)信息反馈：木马配置程序将就信息反馈的方式进行或地址进行配置   如设置信息反馈的邮件地址，IRC号，ICQ号等等 木马和远程控制   1，常规远程控制软件与木马都是用一个客户端通过网络来控制服务端       客户端可以是web或者是手机，电脑，可以说控制端植入哪里，哪里就      可以成为客户端   2.远程控制软件与木马都可以进行远程资源管理，比如文件长传下载和修改   3。都可以进行远程屏幕监控，键盘记录，进程和窗口查看 远程控制与木马的区别   1，木马有攻击性，比如(1)DDOS攻击（分布式决绝服务器攻击，就是很多的dos一起对某台服务器进行攻击，就组成了DDOS攻击）， 通常的Dos攻击方式就是利用合理的服务请求占有过多的服务资源，从而使服务器无法处理用户的指令，就是如果计算机的处理能力增强了，利用多态傀儡机对计算机进行攻击 (2)格式化硬盘 (3)肉鸡（成为肉鸡后的自救 正在上网的用户，发现异常马上断开连接  或者中毒后马上备份，转移文档与邮 2，木马具有隐蔽性 （3）木马的传播方式 目前主要有两种，一种是通过E-mail，控制端将木马程序以附件的形式夹在用邮件中发出去，收信人只要打开附件系统就会感染木马：另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在程序上，下载后，只要一运行这些程序，木马就会自动运行                         (四)伪装方式 1，修改图标，例如将木马名改为，常用的文件类型 2，捆绑文件，这种手段将木马捆绑到一个安装程序上，木马在用户毫无察觉的情况下，偷偷的进入系统，至于被捆绑的文件一般式可执行文件 3，出错提示，一般打开一个文件弹出信息，当用户以为是真的时候，木马确悄悄的进入了系统， 4，定制端口，很多老式木马的端口都是固定的只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦 5，自我销毁木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 6，木马更名。安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。                   （五）运行方式 （1）服务端用户运行木马或捆绑木马的程序后，木马进行自动安装  首先将自身拷贝到windows的系统文件夹中（C:windows或c:windowssystem目录下），然后再注册表，启动组，非启动组中设置好木马的触发条件木马安装就完成了，安装就可以启动木马了 备注： 1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。  2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。  3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mci]， [drivers32]中有命令行,在其中寻找木马的启动命令。  4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。  5.*.INI:   木马病毒刺穿 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。  6.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件 　②由触发式激活木马 1.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。　 　2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 3:自动播放式本是用于光盘的，当插入一个电影光盘到光驱时，系统会自动播放里面的，这就是自动播放的本意，播放什么是由光盘中的AutoRun.inf文件指定的，修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘，在U盘或硬盘的分区，创建Autorun.inf文件，并在Open中指定木马程序，这样，当你打开硬盘分区或U盘时，就会触发木马程序的运行。 (2)木马的运行过程 木马被激活后，进入内存，并开启事先定义的木马端口，准备和控制端建立连接，这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态， (同情！被黑客控制了..应该有办法让黑客不控制你电脑，在我的电脑点右键-属性-远程-允许计算机远程连接到此计算机（把勾勾掉）。然后马上下个木马专杀，因为黑客就是通过木马知道你IP的！杀干净点······真的被控制了？ （3）信息泄露：一般来说，设计成熟的木马都有一个信息反馈机制 所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICQ的方式告知控制端用户。  从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。 （4）建立连接 所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICQ的方式告知控制端用户。  从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。 假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了                 （六）远程控制 　(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。  (2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。  (3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。  (4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪                   (七)防治方法     现在我们来说防范木马的方法之一，就是把 windows\system\mshta.exe文件改名，  改成什么自己随便 (xp和win2000是在system32下)  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。  还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除)  一些最新流行的木马 最有效果的防御~~  比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....  假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下 创建一个假的 smss.exe 并设置为只读属性~ （2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取） 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马都很有效果的  经过这样的修改后，我现在专门找别人发的木马网址去测试，实验结果是上了大概20个木马网站，有大概15个瑞星会报警，另外5个瑞星没有反映，而我的机器没有添加出来新的EXE文件，也没有新的进程出现，只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理 临时文件夹和IE  随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。   目前的常见的木马 远程控制的木马有：冰河，灰鸽子，上兴,PCshare，网络神偷，FLUX DDL木马                   排查电脑木马 1、集成到程序中  由于用户一般不会主动程序，而种木马者为了吸引用户运行，他们会将木马文件和其它应用程序进行捆绑，用户看到的只是正常的程序。但是你一旦运行之后，不仅该正常的程序运行，而且捆绑在一起的木马程序也会在后台偷偷运行。  这种隐藏在其它应用程序之中的木马危害比较大，而且不容易发现。如果捆绑到系统文件中，那么则会随Windows启动而运行。不过只要我们安装个人防火墙或者启用Windows XP SP2中的Windows防火墙，那么在木马服务端试图连接种木马的客户端时，则会询问是否放行，据此即可判断出自己有无中木马。  2隐藏在媒体文件中  这种类型严格上说，用户还没有中木马。不过它的危害容易被人忽略。因为大家对影音文件的警惕性不高。它的常用手段是在媒体文件中插入一段代码，代码中包含了一个网址，当播放到指定时间时即会自动访问该网址，而该网址所指页面的内容却是一些网页木马或其它危害。  因此，当我们在播放网上下载的影片时，如果发现突然打开了窗口，那么切不可好奇而应将其立即关闭，然后跳过该时间段影片的播放。  3，隐藏在System.ini  4.隐藏在Win.ini  与System.ini相似，Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件，然后查看[Windows]区域“load=”和“run=”，正常情况下它们后面应该是空白，如果你发现它们后面加了某个程序，那么加载的程序则可能是木马，需要将它们删除。  5、隐藏在Autoexec.bat  在C盘根目录下有一个Autoexec.bat文件，这里的内容将会在系统启动时自动运行。与该文件类似的还有Config.sys。因为它自动运行，因此也成为木马的一个藏身之地。对此我们同样需要打开这两个文件，检查里面是否加载了来历不明的程序在运行。  6、任务管理器  部分木马运行后我们可以在任务管理器中找出它的踪迹。在任务栏上右击，在弹出的菜单中选择“任务管理器”，将打开的窗口切换到“进程”标签，在这里查看有没有占用较多资源的进程，有没有不熟悉的进程。若有，可以先试着将它们关闭。另外要特别注意Explorer.exe这类进程，因为很多木马会使用Exp1orer.exe进程名，即把l换成1，用户不仔细查看，还以为是系统进程呢。 7、启动  在Windows XP中，我们可以运行“msconfig”，将打开的窗口切换到“启动”标签，在这里可以看到所有启动加载的项目，此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消，然后再作进一步的处理。  8，注册表  我们程序的运行控制大多是由注册表控制的，因此我们有必要对注册表进行检查。运行“regedit”打开注册表编辑器，然后依次检查如下区域：  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、  HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion，看看这三个区域下所有以“run”开头的键值，如果键值的内容指向一些隐藏的文件或自己从未安装过的程序，那么这些则很可能是木马了。  木马之所以能够为非作歹，正是因为其善于隐藏自己。不过我们掌握了其藏身之处，那么则可以将其一一清除。当然，木马在实际的伪装隐藏自己中，可能会综合使用上面一种或几种方法来伪装，这就需要我们在检查清除时，不能只检查其中的部分地点。 如何快速查杀 新人快速上手指南之电脑木马查杀大全 常在河边走，哪有不湿脚？所以有时候上网时间长了，很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢？  一、手工方法：  1、检查网络连接情况  由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。  2、查看目前运行的服务  服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。  3、检查系统启动项  由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。  Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！  4、检查系统帐户  恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下方法对账户进行。  点击“开始”->“运行”->“cmd”，然后在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不应该属于administrators组，如果你发现一个系统内置的用户是属于administrators组的，那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧！  如果检查出有木马的存在，可以按以后步骤进行杀木马的工作。  1、运行任务管理器，杀掉木马进程。  2、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址， 再将可疑的删除。  3、删除上述可疑键在硬盘中的执行文件。  4、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。  5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page)，如果被修改了，改回来就可以。  6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和　HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。  2、利用工具：  查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马专家等，其中有些工具，如果想使用全部功能，需要付一定的费用，木马分析专家是免费授权使用。  常见木马开放端口 3、  以下是常见的木马所默认开放的端口，如果你扫出你的机子开放了下面的端口(请参见fport)，那么你就要注意了呀：  你可以试着找一下这匹马，用它的客户端来连一下看是否可以连接。然后再想办法清除。  然而要注意多数木马的客户端可以改动端口号，所以这个办法成功率不算高。  -------------------------------------------------------------------------------------------  BO jammerkillahV 121  Hackers Paradise 456  Stealth Spy 555  Phase0 555  Satanz Backdoor 666  Attack FTP 666  Silencer 1001  WebEx 1001  Doly Trojan 1011  Netspy 1033  Psyber Stream Server 1170  Streaming Audio Trojan 1170  Ultors Trojan 1234  SubSeven 1243, 6667  GWGirls 6267  VooDoo Doll 1245  GabanBus 1245  NetBus 1245  Vodoo 1245  FTP99CMP 1492  Psyber Streaming Server 1509  Shivka-Burka 1600  Shiva Burka 1600  SpySender 1807  Shockrave 1981  BackDoor 1999  Trojan Cow 2001  TrojanCow 2001  Ripper 2023  Pass Ripper 2023  Bugs 2115  Deep Throat 2140  The Invasor 2140  Striker 2565  Wincrash2 2583  Phineas Phucker 2801  Phineas 2801  Portal of Doom 3700  WinCrash 4092  ICQTrojan 4590  IcqTrojen 4950  IcqTrojan 4950  Sockets de Troie 5000  Sockets de Troie 1.x 5001  Firehotcker 5321  Blade Runner 5400  BladeRunner 5400  Blade Runner 1.x 5401  Blade Runner 2.x 5402  Robo-Hack 5569  RoboHack 5569  Wincrash 5742  The tHing 6400  DeepThroat 6670  DeepThroat 6771  Indoctrination 6939  GateCrasher 6969  Priority 6969  Remote Grab 7000  NetMonitor 7300  NetMonitor 1.x 7301  NetMonitor 2.x 7306  NetMonitor 7306  NetMonitor 3.x 7307  NetMonitor 4.x 7308  ICKiller 7789  ICQKiller 7789  Portal of Doom 9872  PortalOfDoom 9872  Portal of Doom 1.x 9873  Portal of Doom 2.x 9874  Portal of Doom 3.x 9875  Portal of Doom 9875  iNi-Killer 9989  InIkiller 9989  Portal of Doom 4.x 10067  Portal of Doom 5.x 10167  Senna Spy 11000  Senna Spy Trojans 11000  Progenic trojan 11223  ProgenicTrojan 11223  Gjamer 12076  Hack?99 KeyLogger 12223  NetBus 1.x 12346  Whack-a-mole 12361  Whack-a-mole 1.x 12362  Priority 16969  Priotrity 16969  Millenium 20000  Millennium 20001  NetBus 2 Pro 20034  NetBus Pro 20034  GirlFriend 21544  GirlFriend 21554  Prosiak 22222  Prosiak 0.47 22222  Evil FTP 23456  Ugly FTP 23456  WhackJob 23456  UglyFtp 23456  Delta 26274  Subseven 27374  NetSphere 30100  Masters Paradise 30129  Socket23 30303  Kuang 30999  Back Orifice 31337  Back Orifice 31338  DeepBO 31338  NetSpy DK 31339  BOWhack 31666  Prosiak 33333  BigGluck 34324  Tiny Telnet Server 34324  The Spy 40412  TheSpy 40412  Masters Paradise 40421  Masters Paradise 1.x 40422  Masters Paradise 2.x 40423  Master Paradise 40423  Masters Paradise 3.x 40426  Sockets de Troie 50505  Fore 50766  Fore, Schwindler 50766  Remote Windows Shutdown 53001  RemoteWindowsShutdown 53001  Telecommando 61466  Devil 65000  Devil 1.03 65000 修改注册表增强系统对木马病毒的防御   通常木马病毒是通过注册表来启动服务的，所以注册表对于系统防御病毒有着比较重要的意义。按照理论上来说，我们可以通过修改注册表的属性来预防病毒和木马，实际上亦可行，具体的实施方法如下：  Windows2000/XP/2003的注册表是可以设置权限的，只是我们比较少用到。设置以下注册表键的权限：  1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService)，防止木马、病毒通过自启动项目启动  2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读，防止木马、病毒通过文件关联启动  3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读，防止木马、病毒以"服务"方式启动      注册表键的权限设置可以通过以下方式实现：    1、如果在域环境里，可能通过活动目录的组策略实现的    2、本地计算机的组策略来(命令行用gpedit.msc)    3、手工操作可以通过regedt32(Windows2000系统，在菜单“安全”下的“权限”)或    regedit(Windows2003/XP，在“编辑”菜单下的“权限”)  如果只有users组权限，以上键值默认是只读的，就可以不用这么麻烦了。             二，当前常用杀毒软件的查杀方式 卡帕斯基 瑞星 金山 诺顿 小红伞 360 病毒软件，是通过在内存里划分一部分空间， 将电脑里流过内存的数据与反病毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。  一、杀毒软件的工作流程 对于一款杀毒软件来说，一次成功的病毒查杀过程，通常都要经历病毒识别、病毒报警、病毒清除、文件或系统复原这几个过程。 最关键的应该是杀毒引擎技术，从广义上来讲，是指通过文件、网页监视等实时监控行为，运用文件识别技术来完成病毒扫描、识别、报警以及清除，甚至防御的一整套的机制，因此引擎技术也决定 了杀毒软件的优劣 特征代码法：这种方法根据正常程序与病毒程序代码的差别来识别病毒文件。有人认为，对于已知病毒来说，这种方法是最简单、最直接的方法，这种方法的优、缺点都很突出。 优点：检测的准确率较高，误报率低。 缺点：查杀速度慢，由于已知病毒越来越多，因此病毒特征码也随之增加，因此查杀速度也会越来越慢。不能检测未知病毒和多态性病毒以及隐蔽性病毒。另外这种检测方法也不适合网络版杀毒软件采用，因为它会消耗我们宝贵的网络资源 校验和法：此法计算文件的校验和（只要知道是一种算法就可以了）并保存，可定期或调用文件时进行对比，从而判断文件是否被病毒感染。虽然此法可以发现未知病毒，但由于其较高的误报率，已经逐渐不被采用。 优点：可发现未知病毒。 缺点：无法报出病毒名称，误报率高，当软件更新，口令修改或修改文件内容时，校验和法都可能会误报，因为这种方法无法区分文件内容的变化是不是属于正常的程序使用引起的。   行为监测法：此法根据病毒的行为特征来识别病毒，这需要对病毒行为进行详细的分类和研究，分析那些病毒共同的行为，以及正常程序的罕见行为，根据程序运行时的行为进行病毒判断和预警。 优点：由于其归纳和总结各种病毒的共同特征，因此可以发现未知病毒，对于多数未知病毒预报非常有效。 缺点：对于未知行为病毒，不能有效检测，同时也存在误报现象，对查到的未知病毒，不能识别病毒名称，因此普通用户不能对发现的未知病毒进行有效的清除。 软件模拟法：这种方法通过模拟病毒运行的方式来检测病毒特征，由于特征码法无法检测多态性病毒，虽然行为监测法可以发现病毒，但是无法确定病毒名称，也无法对其进行相应的杀除，因此产生了软件模拟法。 优点：可识别未知病毒，病毒定位准确，误报率低。 缺点：检测速度受到一定影响，消耗系统资源较高。 上述几种检测方法各有所长，往往都不能单纯使用一种方法完成大规模病毒的检测报警工作，通常都是几种技术相结合，根据实际情况和应用场合配合运用相应的检测手段。 四、清除病毒和文件还原 正确地识别出了病毒后，接着就需要对其进行清除了。此时，又分为两种情况。对于那些尚未感染文件或展开破坏行为的病毒，在这种情况下杀毒引擎只需要简单删除文件就可以了。然而用户遇到最多的，还是已经被病毒感染的情况，此时，杀毒引擎将根据病毒特征库中记录的病毒行为来判断当前系统环境遭受破坏的情况并进行恢复。对于受病毒感染的文件，杀毒引擎必须根据一定的算法在文件体内找出病毒代码寄生的部分并给予清除，这个过程必须非常谨慎，否则直接的后果就是导致原文件被破坏，这样的杀毒就毫无意义了（很多朋友也许都遇到过查杀大量的受感染的系统文件后，系统无法正常启动的情况，其实就是因为查杀病毒的过程中，系统文件也遭到了破环！）。而对于非文件型的木马和恶意程序，由于它们会通过各种方式篡改系统注册表或系统文件，从而达到加载自身（也就是平常所说的自启动）之目的，杀毒引擎在清除了这些病毒后，需要准确、有效的恢复受破坏的系统环境，这也是对杀毒引擎的最大挑战。而对于那些不能识别名称的病毒，虽然无法对其进行精确的清除，但很多杀毒软件也可以将其放入“病毒隔离区”，通过禁止其运行的方法来抑制病毒的扩散和传播。 病毒隐藏技术已经从最初的简单加载单一启动项，演化到今天的多重启动项、进程互相保护、线程监视、远程注射、可执行文件关联、服务项目加载、驱动形式加载等方式，甚至采用多项结合的方法，使得查杀工作变得十分困难，甚至只要遗漏了一个文件未能清除，病毒便能卷土重来，因此，如何有效准确的判断和修复受损环境，也是衡量杀毒引擎技术是否成熟的关键。 五、未来之路 目前，虚拟机、实时监控、主动防御等技术均已经渐渐成为主流。除此之外，还有两种处于试验阶段的新技术，分别是智能码标识技术和行为拦截技术。 智能码标识技术：这种技术如同给各种程序分配一个可以对其进行唯一识别的ID，这样对付那些非法的木马、后门等程序就变得简单了很多，即使是文件或程序遭到病毒感染，杀毒软件也可以根据那一串智能识别码对其进行拦截和阻击。目前，此项技术还处于理论阶段，还没有哪个安全公司的产品中已经包含了此技术的模块。 行为拦截技术：从概念上来说，这优点类似主动防御的概念。这里的行为拦截指的是即时的监控执行应用程序行为，并且拦截显示恶意的程序活动。如果有必要，甚至可以对系统的API进行阻挡，但同时也表现出来一定的负面影响，如果错误的拦截了合法程序的正常执行行为，将导致系统运行的异常，轻则系统的某些功能无法使用，重则引起系统的瘫痪，对于那些对于操作系统知之甚少的用户来说，这一点尤为突出。虽然目前很多软件（如：NOD32、AVAST等）都已经开始尝试使用这种技术，但很有很多内容需要研究。 最近，看到很多国内的杀毒软家厂商借助各种媒体，宣传自己又通过了某某认证，虽然通过某些权威机构的认证，可以作为自己产品质量的佐证，也许这些只能证明过去。面对层出不穷的病毒、日新月异的攻击，不断完善已有的技术和开发研究新技术同样重要。其实杀毒软件更贴切的称呼应为“反病毒软件”，因为越来越多的产品已经向防病毒的思想迈进。防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确地、实时地监测预警经由网络或文件等多种方式进行的传输；能够在病毒侵入系统是发出警报，并记录携带病毒的文件，即时清除其中的病毒。 结束语：很多用户在挑选杀毒软件的时候，都有无所适从的感觉，其实杀毒软件的引擎实现技术无非也就那么几个                         三   基于木马心跳规律的木马查杀 是根据木马病毒三个重要特点：① 它必须与外界主控机进行通信交流，接受指令并发送所窃取到的重要信息；② 它会读取用户关键资料，如密码口令或其它敏感信息文件等；⑧ 它会千方百计将自己隐藏到系统文件(如：注册表、DLL文件，甚至是设备驱动等)中，来实现对木马病毒，尤其对新出现木马病毒的自动识别；