一个Linux病毒原型分析病毒防范

2024-09-25

一个Linux病毒原型分析病毒防范（精选12篇）

1.一个Linux病毒原型分析病毒防范篇一

一般病毒主要感染/bin下面的可执行文件，

重启系统后，会停止在init version 2.85 booting

或者在出现welcome后，会告诉你/etc/rc.d/rc.sysinit的某行出现错误。

修复系统办法：

用对应的启动光盘引导，在boot:提示符输入linux rescue

提示寻找以前安装的系统时，选择确定。

然后执行下面的命令：

#cd /mnt/source

#cp coreutils-4.5.3-26.i386.rpm cpio-2.5-3.i386.rpm

gawk-3.1.1-9.i386.rpm grep-2.5.1-16.i386.rpm

iputils-0927-11.i386.rpm mount-2.11y-31.1.1AX.i386.rpm

net-tools-1.60-20.i386.rpm rpm-4.2.1-4.6.i386.rpm /mnt/sysimage/

#chroot /mnt/sysimage

#cd /

#rpm -ivh --force rpm-4.2.1-4.6.i386.rpm

#for i in *.rpm

>do

>rpm -ivh --force $i

>done

安装完成这些rpm包后，可以重启系统了，

2.一个Linux病毒原型分析病毒防范篇二

近年来随着USB存储器 (即U盘) 价格大幅下降, U盘已经成为计算机用户广泛使用的外存储设备, 同时U盘也成为病毒和木马程序进行传播的重要媒介。一旦感染U盘病毒, 计算机的系统资源会被大量消耗、甚至损坏数据文件;另外U盘病毒具有传播范围广、速度快的特点, 这些特征使得U盘病毒成为用户数据和系统安全的重要隐患。本文从笔者的工作经验出发, 阐述了U盘病毒的现象、危害特点、产生原理, 并对U盘病毒的解决和预防提出了具体的技术措施。

1 U盘病毒的表象和危害

1.1基于U盘的病毒含义

基于U盘的病毒不是一种具体的病毒, 而是指以移动存储设备为病毒携带载体在计算机间进行传播的病毒, U盘最常用故也称为U盘病毒。U盘病毒的特殊之处在于它使用了XP系统对诸如U盘的移动存储设备进行自动打开播放的性能, 使电脑用户在无意之中就感染病毒。常见的U盘传播的病毒有folder.exe、autorun.inf、sxs.exe、rose.exe等, 这些Viruses感染计算机后都会用隐藏的方法来避免被杀毒软件或用户发现, 通常Viruses的程序将自身的文件的属性设置为“隐藏”或者应用一些图标和文件名来仿冒成正常形式瞒过用户。计算机感染U盘病毒后, 电脑中的数据资料都可能被病毒窃取或损坏, 有的还可使XP系统运行出现缓慢或死机。

1.2 U盘病毒现象及其危害

U盘病毒感染计算机后, 电脑会发生一些异常状况, 了解常见病毒故障现象可以帮助我们对U盘病毒及时识别。辨别电脑是否受到U盘病毒的侵袭, 可以通过以下现象来判断:①电脑自动发现U盘的速度将变慢, 用鼠标双击硬盘各分区的盘符以及U盘有的不能打开 (严重时全部不能打开) , 此时只能通过鼠标右键或者通过Windows窗体地址 (D) 栏目打开;②U盘或其他硬盘的分区符号被替换成异常的图标;③当使用鼠标右键单击硬盘分区或者U盘的盘符并打开菜单后, 第一子菜单不是原先的“打开”项目, 菜单项目中会增加诸如“自动播放”、“open”、“Browser”等, 同时U盘也无法通过软删除方法从电脑上关闭拔出;④将电脑的隐藏文件和文件夹的功能关闭, 打开显示隐藏文件的功能, 这时在计算机各个硬盘分区和U盘中会发现异常的非系统文件;⑤各盘中出现Autorun.inf的文件, 同时原来U盘和各个分区的一些文件消失, 但应用显示隐藏文件的系统功能, 这些消失的文件恢复正常;⑥有的U盘或者系统分区不能执行格式化命令。如果计算机出现上述现象, 一般即可判定为中了U盘病毒, 此时若将U盘插入其它计算机试验则会导致更多的病毒感染。

计算机被感染U盘病毒后会对用户造成很多危害, 常见的有:①U盘自身不能正常使用, 可能无法打开U盘, 或即使打开却无法找到原来的数据资料;②一些U盘病毒会损坏XP系统的系统文件, 造成很多硬盘软件和文件无法使用;③有些文件会被病毒删除、窃取甚至修改, 例如将WORD、POWERPOINT等文件名后缀修改成.exe等形式, 导致文件无法打开;④利用木马病毒对电脑实施异地监控, 偷窃数据资料。

2 U盘病毒传染原理

2.1 U盘病毒传播原理

使用Autorun.inf文件进行感染是目前U盘病毒传播的主要方式。Autorun.inf是U盘或系统分区下一个隐藏系统文件, 这个文件并非U盘病毒。Autorun.inf文件是一个纯文本的脚本文件, 该文件中保存着指定计算机自动运行的程序及其目录, 即该文件的存储是用于安装的命令行, 这些命令是指引U盘或系统分区或光盘自动运行的软件。

XP系统的自动播放功能即当U盘或光盘插到电脑上就自动运行指定位置的程序, 实现软件的自动安装和运行, 这种自动功能就是通过Autorun.inf文件实现的。U盘病毒只用该文件的这个特性, 将病毒程序植入其中, 当U盘连接到计算机时便会自动运行预先指定的病毒软件向系统各分区的根目录复制并运行。含有U盘病毒的Autorun.inf文件格式如下:

2.2 U盘病毒隐匿方式

U盘病毒的隐匿方法有两种。第一种是False Recycling Mode, Viruses在U盘中建立一个虚假的回收站目录RECECYLER, 然后将Viruses程序放在最深层的目录下, 通常此目录被用户误认为是Recycling station, 而实际名称是RECYCLED;第二种方式是将Viruses的名字更改为类似Antivirus software或其他常用的软件名并以.exe结尾, 这样可以躲避杀毒软件或人工的查找。

2.3 U盘病毒运行过程

U盘病毒和计算机之间是互相感染的, 这里对此过程简述。

(1) U盘被感染。

计算机自身有病毒在运行, 且Viruses在时刻监控是否有U盘接入电脑;当有U盘插到电脑, Viruses程序迅速将带有病毒执行命令行的Autorun.inf文件复制并建立在该U盘内, 并在其上做好自身隐藏。

(2) U盘病毒的传播。

被感染的U盘接入其他计算机后, 病毒会通过Autorun.inf文件自动运行并被传染到该电脑。

3 U盘病毒防御的技术措施

3.1 禁用U盘的自动运行功能

3.1.1 应用Shift功能键

U盘插入计算机USB接口时一直按下shift键, 当XP系统提示“移动存储设备可用”, 此时即已经避免了U盘被计算机自动打开, 这种防止U盘自动播放运行的方法十分简单, 但是只适用于本次的情况, 下次插入U盘还要执行此操作。

3.1.2 使用组策略编辑器

XP系统通常将自动运行U盘的功能默认为开启状态, 这是病毒得以传染给计算机最主要的途径, 因此应将此功能关掉。使用组策略编辑器可以彻底将此功能禁用, 具体步骤是:①在“开始”程序组中打开运行对话框, 键入gpedit.msc命令并单击确定按钮即可打开组策略编辑器;②在组策略窗口中, 依次打开左侧层叠的菜单项“计算机配置-管理模板-系统”, 再在右侧打开的“系统”窗口找到“关闭自动播放”选项, 用鼠标双击该项目出现其属性窗口;③在设置选项卡中将“关闭自动播放”的单选按钮的“已启用”选中, 然后在其右侧的下拉菜单中选择“所有驱动器”, 最后单击属性窗口的“应用”和“确定”按钮。

上述步骤完成后, 重新启动计算机设置即可生效, 即U盘插入电脑后不会自动打开运行, 这样就不会使U盘病毒主动传染给电脑。

3.1.3 应用注册表彻底禁用Autorun运行

应用Registry Editor可以关闭XP系统自动播放U盘等移动存储设备的功能, 具体方法是:在开始程序组打开运行命令的对话框, 键入Regedit命令即可打开Registry Editor, 依次展开左侧层叠的子菜单HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr-entVersionPoliciesExplorer, 在这两个项目下分别找到“NoDriveType AutoRun”和“ClassicShell”。这两个键决定是否执行U盘AutoRun功能, 依次分别赋值255、01即可。

3.2 建立U盘的自身保护文件

根据U盘病毒传播的原理可知, U盘病毒传播的载体是autorun.inf文件, 所以只要防范病毒不创建或改写该文件即可达到目的。在U盘或系统分区的同一目录下同名的文件或文件夹是不能共存的, 因此可在每一分区或U盘根目录下都建立一个autorun.inf文件夹, 这样即可阻止由病毒建立autorun.inf文件, 从而使得病毒失去传播的载体。需要强调的是这里创建的是autorun.inf文件夹而非文件, 病毒所要篡改并建立的是脚本文件autorun.inf, 创建同名的文件夹可以预防病毒建立同名文件。这种方法的不足在于只适用于尚未感染的U盘病毒, 一旦感染U盘病毒即病毒建立的autorun.inf文件存在, 就不能建立同名的文件夹了。

3.3 U盘使用的禁忌事项

为了有效避免U盘感染病毒, 在使用过程中我们应注意以下事项:①U盘在机房、网吧等公共上网场所使用后要杀毒处理, 另外查看U盘中是否产生autorun.inf或后缀为.exe的文件;②打开U盘时应使用右键而不要进行双击打开;③应用U盘进行数据的STORE和COPY时, 应当使用杀毒软件监控防止病毒感染U盘;④将XP系统的文件查看功能设为显示所有文件 (包括隐藏文件) , 这样有利于发现病毒和受到感染的文件 (后缀多为.exe结尾) ;⑤新型的U盘有硬件写保护功能, 一般应当打开写保护, 这样可以避免病毒感染。

4 清除U盘病毒的常用方法

4.1 应用杀毒防护软件进行清理

使用杀毒软件对U盘病毒进行查杀是最常用、也是效果最好的方法。现在常用的360软件的木马防火墙软件就能对U盘进行安全防护, 其他类型的杀毒软件也都具有相似的功能, U盘病毒的查杀和对U盘的免疫保护软件都能起到较好的作用。另外, 还有一些专业的U盘病毒查杀工具软件如USBCleaner, 该软件可实现U盘病毒免疫并可修复受损文件。

4.2 手工清理U盘病毒

4.2.1 清理隐藏病毒

被U盘病毒感染的多数文件会以.exe结尾, 因此可以将文件夹中文件类型扩展名隐藏的功能打开, 这样就只有被感染病毒带有.exe后缀的文件被暴露出来, 此时手工清除即可。另外, 一些被感染的文件还可能隐藏起来, 因此显示所有隐藏文件后, 将被感染的带有.exe的文件全部清理。

4.2.2 常见病毒现象处理

U盘或系统分区无法打开, 只能使用鼠标右键。U盘病毒的主要载体是autorun.inf文件, 发生U盘病毒后该文件即被病毒改写成为其载体, 将此文件清除即可。另外, QQ盗号病毒也常伴随U盘病毒, 但这些病毒文件属性为隐藏, 将系统查看文件功能改为显示所有隐藏文件, 找到该文件删除。我们还可使用DOS命令来清除, 在系统运行命令框键入cmd, 再使用dir/a命令即可看到autorun.inf和sxs.exe病毒文件, 最后使用delete命令即可删除。再次启动计算机, 盘符就可以正常打开了。

4.3 清理IE保护黑名单病毒

IE保护黑名单是一种特殊的U盘病毒。此病毒在双击U盘或上网安装ActiveX插件时中毒, 其危害和常见的autorun.inf病毒相当。U盘或系统分区中毒时, 根目录下会产生在每个磁盘的根目录下生成一个auto.exe和autorun.inf以及在系统system32%下产生成一个随机8个字母和数字组合成的exe文件。这种病毒的清除方法是:①在XP系统的Task Manager中把上述产生的可疑文件均结束其进程运行;②运行System Repair Engineer (Sreng) 软件, 分别单击“To start the project”、“Service”、“Service application”后选中其中的隐藏项目, 将前述可疑文件项目找到并选中其下的“删除功能按钮”, 在对话框中单击“否”即可;③在系统运行框中键入msconfig然后单击确定, 启动系统配置使用程序, 在“启动”选项卡中将可疑的病毒文件名称前的复选框的对勾去掉, 最后单击“应用”和“关闭”按钮;④U盘病毒感染计算机后, 会产生大量以.bak、.tmp、.*为后缀的可疑文件, 这些文件也都带有病毒, 应该全部清除。

5 结束语

本文系统探讨了感染U盘病毒的症状、病毒产生机理及对计算机和文件的危害, 提出了预防U盘病毒的方法和清除U盘病毒的技术措施。但是互联网病毒不断增加和变种, 即使采取了本文提到的方法, 也很难保证万无一失。因此, 在应用新技术手段保护U盘的同时, 平时使用过程中还应对重要文件做好备份工作, 对计算机系统安装还原软件或硬件保护卡, 只有这样才能有效避免U盘病毒对系统和文件的破坏。

参考文献

[1]徐玮.U盘病毒的分析与防治[J].科技信息, 2010 (15) .

[2]丁彦英.常见U盘病毒故障分析[J].福建电脑, 2008 (7) .

3.一个Linux病毒原型分析病毒防范篇三

关键词：自动化；计算机病毒；防范

中图分类号：TM734

随着滨州电网的不断发展壮大，电力行业信息化的深入发展，调度自动化系统功能也已日趋完善，电力生产对自动化的依赖性日渐增强。目前，电力调度自动化系统主要用于数据采集和监控（SCADA）、存储电网实时数据信息、调度员培训仿真和潮流计算等，实现各种高级应用软件（PAS）功能、无功电压优化等各项功能。在整个调度自动化系统中，各个子系统是相互联系、密不可分的，任何一个子系统出现问题，原始数据将无法采集，更无法向服务器传送有用的转发信息，管理人员也无从了解电网的实时数据和原始信息，这种情况的出现会严重影响整个区域电网的安全稳定运行。一旦系统中某一台服务器或工作站感染病毒将引起一系列的电网安全问题，因此必须及时了解计算机病毒并提出病毒防范措施，做到完全安全隔离病毒，保障调度自动化系统的稳定运行！

1 何谓计算机病毒

计算机病毒，是指编制或者在計算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒能够通过某种途径潜伏在计算机存储介质（或程序）里，是一段可执行程序，寄生在其他可执行程序上，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。

计算机病毒的特点：计算机病毒是人为的特制程序、具有自我复制能力、很强的感染性、一定的潜伏性、特定的触发性和很大的破坏性。计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，而当病毒取得控制权之后，他们会主动寻找感染目标，使自身广为流传。计算机病毒可自行衍生，会利用计算机操作系统的弱点进行传播，由一个主体感染到另一个主体。

（1）传染性。病毒的基本特征，计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。

（2）潜伏性。计算机病毒程序进入系统后一般不会马上发作，可以在相当长的时间内隐藏在合法文件中，对其他系统进行传染，而不被人发现。

（3）可触发性。病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性。

（4）主动攻击性。病毒的攻击是主动的，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。

（5）病毒的针对性。计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对IBM PC机及其兼容机的，有针对Apple公司的Macintosh的，还有针对UNIX操作系统的。例如小球病毒是针对IBM PC机及其兼容机上的DOS操作系统的。

（6）破坏性。系统被感染后，病毒发作时会破坏文档，损害设备硬件，甚至使整个系统瘫痪，具有严重的破坏性。

2 计算机病毒对调度自动化系统的危害

微机保护硬件包括：数据处理单元，数据采集单元，数字量输入输出接口，通信接口。数据处理单元即微机主系统，又包括：中央处理器CPU（运算器和控制器）、存储器和数据总线接口。与传统意义上的微型计算机结构基本类似。自动化系统是依靠软件版本更新来实现控制逻辑的更新。这就给病毒的存在提供了必要条件。

微机技术的快速发展和普及，电脑病毒的设计与编写不再是难事！只要能够了解操作平台的漏洞，就能轻而易举编写病毒，快速造成不可想象的灾难。这是病毒快速发展的充分条件。

计算机病毒具有巨大的破坏力，对于单台计算机来讲病毒可能降低其系统的执行效率、改变或者删除其中的文档内容甚至造成系统死机、破坏整个硬盘或软盘内资料。而对于电力调度自动化系统来讲，服务器内保存有大量的电网实时及历史数据资料、程序文件等重要信息，系统掌握着整个区域电网实时监控功能权限，一旦感染到病毒、被黑客盗取或篡改，轻者会引起系统数据流量增大，传输速度变慢，无法监控到电网的实时运行情况，严重的则会造成自动化系统设备的损坏，甚至引起电网实时监视与控制的混乱，致使整个调度自动化系统瘫痪，这将会是整个区域电网不可预料的灾难，更甚者病毒会向上一级频发，引起更大范围内电网的不稳定运行。

3 计算机病毒的防治及自动化系统针对病毒的防范措施

防病毒是提高自动化系统安全性的一个重要方面，系统一旦疏于病毒检查而感染到病毒，就会失去了可用性、实用性和易用性。病毒与反病毒是一种技术对抗而长期存在的，两种技术都将随着计算机技术的不断发展而发展。对于计算机病毒的防范应该从多方面同时进行整治，清除病毒感染和扩散的隐患。

3.1 加强设备管理，杜绝病毒的感染途径

（1）封闭非自动化机房内所有系统工作站的USB接口及光驱等设备，用户将不能从网络服务器上装入或卸出文件。

（2）防病毒软件的安装与卸载由自动化专业人员统一管理，客户端软件和病毒代码的升级采取服务器/客户端方式，客户端软件不允许自行卸载。计算机病毒代码应采取手动更新的方式，禁止直接和互联网相连升级病毒库和软件。

（3）定期检查敏感文件。对系统的一些敏感文件定期进行检查，保证及时发现已感染的病毒和黑客程序。

（4）进行安全分区。根据各相关业务的重要程度与数据流程、目前状况和安全要求进行分区，不同的安全区确定不同的安全防护要求，从而决定不同的安全等级和防护水平，阻断非法访问、操作和病毒侵害。

（5）实施横向隔离和纵向认证，在各分区边界安装硬件防火墙或纵向认证加密装置，防止非法用户控制命令的监听、窜改，抵御病毒、黑客等通过相连的调度自动化系统发起的恶意破坏和攻击活动，保护自动化系统的安全。

3.2 制定各项规章制度，强化人员防病毒意识

（1）制定设备巡视制度，定期对系统进行巡查，按照《计算机防病毒防治管理办法》做好防病毒工作，并定期对远控系统、变电站后台机、变电站工程师站及故障录波等使用常规操作系统的自动化设备进行查毒防毒的措施，并定期对防病毒系统进行升级。

（2）制定自动化系统安全防护方案及防病毒应急措施，一旦发现某台设备感染病毒，应立即切断其连接，待运行正常后方可恢复。

4 结束语

调度自动化系统正以令人惊奇的速度发展，而针对其所惯用的操作系统的病毒种类也越来越多，结构更加复杂，防范难度也逐步加大。只有建立安全可靠的防范措施，制定完善的防病毒安全管理制度，有步骤、有计划地实施，才能从根本上杜绝病毒的侵染，保障自动化系统稳定运行，确保电网更快、更稳的发展。

参考文献：

[1]韩筱卿.王建峰.计算机病毒分析与防范大全[M].北京：电子工业出版社，2006.

[2]李志杰，牛玉臣，阎明波.调度自动化二次系统安全防护体系[J].电工技术，2006.

[3]张晓阳.电力行业二次安全防护解决方案[J].信息安全与通信保密，2006.

[4]程胜利.计算机病毒及其防治技术[M].北京：清华大学出版社，2005.

4.一个Linux病毒原型分析病毒防范篇四

export CLASSPATH=/system/framework/sm.jar.exec app_process /system/bin com.android.commands.sm.Sm “$@”

Sm.jar拦截短信控制指令，更新配置文件，并且必要时与AndroidSecurity.apk通过广播通信

拦截短信，通过广播将相应指令转发给AndroidSecurity.apk

4.AndroidSecurity.Apk

最后来看AndroidSecurity.apk，这是最早发现问题的源头，整个apk仅由一个广播com.android.xbrowser.ABC组成。

它接收以下广播：

接收 com.htc.lucy.initalarmaction：

这个广播是机器启动时初始化时通过AlarmManager调用的，并且定时触发

在该广播触发时，将手机系统信息写入/data/data/com.android.xbrowser/files/1.dat

如果wifi环境没有开启的情况下，尝试设置APN以使用蜂窝网络

与debuggerd通信，添加Widget 到桌面

这个Widget 在/system/app/widgetmain.apk中实现

最后，还会注册一个com.htc.lucy.alarmactionreciever 定时触发

接收 com.htc.lucy.alarmaction：

与com.htc.lucy.initalarmaction类似，但是省去初始化的一些逻辑，定时监测是否需要更新配置文件2.dat，修正蜂窝网络连通性

接收 android.net.conn.CONNECTIVITY_CHANGE：

网络环境更新消息接收后，检查今天是否有尝试更新过云端配置，如果没有，向debuggerd发送消息请求更新

这时候debuggerd联网获取配置，并将配置存储在2.dat中。并且返回给AndroidSecurity.apk一个结果。如果更新成功，AndroidSecurity.apk从2.dat里面获取smskeys(短信拦截关键字)，通过com.android.xbrowser.watchdapkbc广播传送给sm.jar。Sm.jar则去拦截短信指令

接收 com.android.xbrowser.smsapkbc

接收 com.android.xbrowser.sm2watchdapkbc

更新文件版本号

接收 android.intent.action.ACTION_SHUTDOWN

流量统计使用，重启之前要将本次开机之后的流量保存在1.dat中

接收 com.android.xbrowser.wapbc

来自sm.jar的查询配置文件2.dat的请求

接收 com.android.xbrowser.smresetbc

Sm.jar重新启动发来的广播，随后本apk向debuggerd发消息

通常执行的操作是杀掉com.android.poweralarm进程，当sm.jar传来特殊的指令时，此apk发送消息让debuggerd将木马彻底清除

5.Widgetmain.apk

在AndroidSecurity.apk启动时，要求debuggerd向桌面插一个widget

5.病毒是什么？如何防范病毒？篇五

5月4日，病毒疯传，CTB-Locker敲诈者被悬赏300万，

病毒是什么?如何防范病毒?

。近日，一种名为 CTB-Locker的病毒疯狂传播，专宰有钱人，如果电脑中了毒则需要付赎金才能重新解密使用。目前已经确定制造病毒的CTB-Locker敲诈者是俄罗斯，被美国悬赏300万美元，这是有史以来最高的悬赏案。

据悉，病毒的敲诈者是木马家族的作者，名叫艾维盖尼耶・米哈伊洛维奇・波格契夫。此人从开始就面临多项指控，光是这次的病毒就有12个国家超过一百万计算机感染，造成损失超过1亿美元。

知识就是力量，这话说得不错，但是力量又好又坏，靠技术来绑架电脑敲诈别人的迟早要面临法律的制裁，卿本佳人，奈何做贼。

如何防范挖矿木马?

一、安装杀病毒软件更新病毒库

1 在电脑上安装反病毒软件，及时更新最新的病毒库文件，

打开反病毒软件，点击软件上的立即升级。

2 当更新完成后，可能需要我们重新启动来生效。

二、预防网上热门的视频文件

1 现在的病毒木马都喜欢伪装成当下最流行的一些视频。所以当我们在上网观看或者下载视频时就需要留意当前下载的视频文件是否安全了。一般的视频文件应该都是上百兆的，如果遇到一些容量比很小的以影视名称命名的文件，就应该引起格外注意了。

2 上网时不要随意打开一些不知名的网站。比如在群里看到别人发出的网址链接，不要轻易点击。

6.ARP病毒分析研究和防范的实现篇六

关键词：ARP,主动防范

一、ARP病毒欺骗原理

在实现TCP/IP协议的网络环境下, 一个ip包走到哪里, 要怎么走是靠路由表定义, 但是, 当ip包到达该网络后, 哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包, 因为在网络中, 每一台主机都会有发送ip包的时候, 所以, 在每台主机的内存中, 都有一个arp-->硬件mac的转换表。通常是动态的转换表, 该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个ip包之前, 它要到该转换表中寻找和ip包对应的硬件mac地址, 如果没有找到, 该主机就发送一个ARP广播包, 于是, 主机刷新ARP缓存, 然后发出该ip包。

(一) 同一网段的ARP欺骗模式

假设有三台主机其IP地址分别是:

A:IP地址192.168.1.2硬件地址AA:AA:AA:AA:AA:AA;B:IP地址192.168.1.3硬件地址BB:BB:BB:BB:BB:BB;C:IP地址192.168.1.4硬件地址CC:CC:CC:CC:CC:CC。

一个位于主机B的入侵者想非法进入主机A, 可是这台主机上安装有防火墙。通过收集资料可以知道这台主机A的防火墙只对主机C有信任关系, 并且开放23端口。

如果主机A和主机C之间的信任关系是建立在IP地址之上的, 那么仅仅把主机B的IP地址改为和主机C的一样, 在IP地址不冲突的前提下就可以成功的通过23端口 (telnet) 链接到机器A, 从而绕过防火墙的限制。

如果主机A和主机C之间的信任关系是建立在硬件地址的基础上的, ARP病毒的欺骗手段是让主机A把自己的ARP缓存中的关于192.168.1.4映射的硬件地址改为主机B的硬件地址。在此ARP病毒制造一个arp_rely的响应包, 发送给想要欺骗的主机, 指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。

(二) 跨网段的ARP欺骗模式

我们假设A、C位于同一网段而攻击主机B位于另一网段, 三台机器的IP地址和硬件地址如下:

A:IP地址192.168.0.1硬件地址AA:AA:AA:AA:AA:AA;B:IP地址192.168.1.2硬件地址BB:BB:BB:BB:BB:BB;C:IP地址192.168.0.3硬件地址CC:CC:CC:CC:CC:CC.

假设位于192.168.1.2网段的主机B想要冒充主机C欺骗主机A, 需要涉及到另外一种欺骗方式——ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

ICMP重定向报文是ICMP控制报文中的一种, 在特定的情况下, 当路由器检测到一台机器使用非优化路由器的时候, 它会向该主机发送一个ICMP重定向报文, 请求主机改变路由。路由器也会把初始数据包向它的目的地转发, 在此使用ICMP重定向报文达到欺骗的目的。

为了使发出的非法IP包在网络上能够存活长久一点, 必须修改IP包的生存时间, 尽量使它的生存时间长一点。使用入侵工具寻找主机C的漏洞关掉主机C, 在该网络的主机A找不到原来的192.168.0.3后, 将更新自己的ARP对应表.于是病毒再发送一个原IP地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB的ARP响应包。

现在每台主机都知道了, 一个新的MAC地址BB:BB:BB:BB:BB对应192.168.0.3, , 于是一个ARP欺骗就完成了, 但是, 每台主机都只会在局域网中找这个地址, 但不会把发送给192.168.0.3的IP包丢给路由, 于是还得构造一个ICMP的重定向广播。自己定制一个ICMP重定向包告诉网络中的主机到192.168.0.3的路由最短路径不是局域网而是路由, 请主机重定向路由路径, 把所有到192.168.0.3的IP包发给路由。

主机A接受这个合理的ICMP重定向, 于是修改自己的路由路径, 把对192.168.0.3的通讯都发包给路由器。这样入侵者就可以在路由外收到来自主机的IP包, 也可以开始入侵略到主机的23端口。

(三) ARP病毒攻击的局限

第一, 因为计算机arp表中的记录一段时间后就会自动刷新, 当时间一到或者正确的网关发出正确的信息之时, 受欺骗的计算机就能得到正确的信息, 待到ARP病毒再次攻击。

第二, 在跨网段的ARP攻击中, 主机允许接收的ICMP重定向会有很多的限定条件, 这些条件使ICMP重定向变的非常困难.TCP/IP协议实现中关于主机接受ICMP重定向报文存在一些限制.由于有这些限制, 所以ICMP欺骗实际上较难实现.

更重要的是, 在了解ARP病毒的欺骗原理后, 计算机用户便可以采取相应的防范方法。

二、ARP病毒防范功能设计与实现

(一) 临时解决方案

临时解决方法是使用静态ARP缓存, 即用arp-s命令在各主机上绑定网关的IP和MAC地址, 同时在网关上绑定各主机的IP和MAC地址。如果是Windows系统主机可编写一个名为rarp.Bat的批处理文件, 内容如下:

实际操作时, 文件中的将网关IP地址和MAC地址应改为用户所在的网关IP地址和MAC地址。

若想让系统每次启动时都能自动的加载静态ARP, 则可将这个批处理软件拖到“windows--开始--程序--启动”中。使用静态ARP缓存增大了网络维护量, 在较大或经常移动主机的网络中这样做更为困难。使用静态ARP缓存只能防止ARP欺骗, 对IP地址冲突、Flood攻击仍然没有办法阻止, 因此不推荐这样做。

(二) 防范ARP病毒欺骗软件的设计实现

根据ARP协议以及ARP欺骗原理的特征, 进行设计具有针对性的防范ARP病毒欺骗攻击程序策略如下:

1、当防欺骗攻击程序运行或或检测到网关IP改变时获取网关的MACaddr, 将网卡信息、网关IPaddr、网关MAC的信息保存到配置文件中

2、移除当前网卡的默认路由功能并生成随机IP, 将其添加成默认网关以躲避攻击并修改ARP Cache表项对默认网关IPaddr和网关MACaddr进行绑定。

3、对ARP Cache中原默认网关的MACaddr进行周期性检测, 一旦ARP Cache的值被改写则发出报警。

4、针对某些攻击程序只发欺骗包给网关设备, 而本机ARPCache中网关MACaddr未被改变的具体情况, 则可选发10ARP reply/Second以维持网关设备的ARP Cache来进行主动防护。

5、程序完成时自动复原默认的网关和路由。

根据以上策略, 使用Visual C++编写软件, 当受到网络中ARP病毒欺骗攻击时, 软件界面如下图:

三、结论

本设计对ARP的原理以及病毒发作的状态和以及本防护软件的设计思想都做了比较具体明晰的说明, 编写出软件经实践证明, 能有效防范ARP病毒。

参考文献

7.电脑病毒与内部结构病毒防范篇七

先简单介绍一下硬盘上相关结构：

1、MBR(主引导记录)

硬盘第一个物理扇区为MBR，当我们选择从硬盘启动时，由 bois从该扇区读入引导代码。MBR关键数据可分为3部分：

(1) 引导代码

(2) 分区表

(3) 结束标志(55AA)

分区表用以管理整个磁盘空间的划分。它从MBR的0x1BE偏移开始，有4个表项，每项16个字节，因此最多只能可以建立4个主分区。(微软为了克服这个数量限制，设计了扩展分区的方式，所谓扩展分区就是分区表中指向的一个普通分区而已，只是在它自己分区内部又有特殊的结构，使得我们可以分出多个逻辑分区，我们平时看到的d、e、f等驱动器实际上都是扩展分区内部划分的逻辑分区，你可以用winhex查看你的分区表，会发现里面只有两项，一项代表C盘分区，另外一项就是代表其他所有驱动器之和的扩展分区了，当然如果自己分了其他主分区的情况除外)

2、DBR

每个主分区的第一个扇区存放着另一个引导扇区DBR，“分区引导扇区”或叫“DOS引导扇区”，

该扇区的目的就是读入ntldr，以进行进一步分引导。该扇区也是以”55AA”标志结束。

3、扩展分区

详细讲一下扩展分区的结构，我们平时能分多个逻辑磁盘出来都是它的功劳。

前面说了扩展分区内部有着自己特殊的结构以实现多分区，它和普通的主分区一个明显的差别就是它的第一个扇区存放的就不是DBR了，而是一个叫虚拟MBR的扇区。叫虚拟MBR是因为他和MBR结构很像。结构也为3部分：

(1) 全0

(2) 分区表

(3) 55AA

它没有引导代码，以全0代替。分区表偏移也在0x1BE处，为4项。只是它只会用前两项。后面两项全0。第一项指向一个逻辑驱动器(逻辑分区)比如d盘。第二项指向下一个虚拟MBR(如果还有逻辑分区的话)。如此就形成了一个链，突破了分区个数限制。扩展分区本身没有DBR，它的DBR在它的每个孩子即逻辑分区的第一个扇区。你可以把扩展分区想象成一个独立的硬盘，只是分区的组织方式变成链表了，这样可能好理解点。忘了一点，记得曾经有过硬盘逻辑锁的概念，其原理就是把逻辑分区的链表修改成了一个环，这样在系统遍历这个链表时就死循环了。

windows系统从MBR开始的引导过程简单描述为：MBR->活动分区DBR->Ntldr->boot.ini启动菜单->加载系统。

8.一次艰苦的病毒查杀过程病毒防范篇八

打开了瑞星 www.ruising.com.cn寻找了下病毒库的资料，没有找到这个病毒的资料。郁闷啊，怎么连瑞星的杀不了?别的杀毒软件我也没有去试。直接到了百度搜索，经过一些了解，知道了病毒的名字叫“杰夫”杰夫病毒是个在内存下的病毒，如果运行了该病毒，会自身拷贝到windows根目录下并且命名为“svchost.exe%WinDir%svchost.exe,然后在注册表中添一个键值[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]“PowerManager” = “%Windir%svchost.exe”

每次重启，这个病毒的副本都将随着运行，病毒查找受感染计算机的逻辑分区中以exe为扩展名的win32 PE可执行文件，感染的文件大小增加36352个字节，

看到了病毒的介绍心里有了点认识，这个介绍是卡巴斯基发出来的,但是没有找到专杀工具，郁闷。看来只能手工了,根据病毒的情况问了些人，帮助工具下载beta.activeupdate.trendmicro.com/fixtool/fixtool.zip

解Q方案：

1.禁止使用系统还原

2.重启到VGA模式或安全模式

3.运行norton的病毒扫描程序，进行全盘杀毒，如果检测到任何病毒，删

4.进入注册表备份下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN，把右边的值“PowerManager”=“%windir%svchost.exe”删掉然后重启。

9.一个Linux病毒原型分析病毒防范篇九

妙除QQ病毒，让隐藏文件现身病毒防范。可事实上，我们有时即使选中了“显示所有文件和文件夹”，隐藏文件还是不肯“现身”，这是怎么回事呢，我们又该如何才能让隐藏文件“现身”呢?

其实隐藏文件不肯“现身”，多半是系统受到了一种名为“sxs.exe”病毒的攻击，该病毒的全称叫Trojan.PSW.QQPass.pqb病毒，它一般通过常用的闪盘或移动硬盘进行非法传播，该病毒的主要危害就是强行终止安装在本地系统中的防病毒软件的应用进程，降低本地计算机系统的安全等级，同时还会偷窃本地的QQ密码与帐号;一旦计算机系统不小心感染了“sxs.exe”病毒后，系统的每个分区根目录窗口中都会出现“sxs.exe”文件和“autorun.inf”文件，而且用鼠标双击系统分区盘符，系统没有任何反应，更为重要的是无法将系统的隐藏文件正常显示出来。

因此，当我们选中了本地系统中的“显示所有文件和文件夹”功能选项后，仍然无法让隐藏文件“现身”时，我们只要进入系统任务管理器的进程标签页面，看看系统中是否运行了“svohost.exe”或“sxs.exe”这样的服务进程，一旦看到的话，那就表明隐藏文件的确受到了“sxs.exe”病毒的控制。要想强行让隐藏文件“现身”，我们必须按照如下方法将“sxs.exe”病毒巧妙从系统中清除干净。

首先同时按下键盘上的Ctrl+Alt+Del复合键，打开系统的任务管理器窗口，单击该窗口中的“进程”标签，并在对应标签页面中选中“svohost.exe”或“sxs.exe”这样的进程，再单击“结束进程”按钮，这样就能将“sxs.exe”病毒的进程强行禁止了。

接着依次单击“开始”/“运行”命令，打开系统的运行对话框，在其中输入“regedit”字符串命令，单击“确定”按钮后，进入到本地计算机的系统注册表编辑窗口;在该编辑窗口的左侧显示窗格中，用鼠标展开“HKEY_LOCAL_MACHINE”分支项目，并在该分支项目下面再依次选择“SOFTWAREMicrosoft

WindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL”子项，在对应“SHOWALL”子项的右侧列表区域中(如图1所示)，检查一下是否存在一个名为“CheckedValue”的双字节值，

在这里大家需要留心的是，一旦计算机系统遭受到“sxs.exe”病毒的攻击之后，“CheckedValue”键值的类型很有可能被修改成字符串值类型的，这种类型的键值是根本没用的;

图1

因此当我们看到“SHOWALL”子项下面不存在“CheckedValue”键值，或者发现该键值类型不对时，先将无用的字符串值“CheckedValue”删除掉，然后用鼠标右键单击“SHOWALL”子项右侧列表区域的空白位置处，从随后弹出的快捷菜单中依次选择“新建”/“Dword值”命令，并将刚刚创建的双字节值名称设置为“CheckedValue”;紧接着用鼠标双击刚刚创建好的“CheckedValue”双字节值，在弹出的编辑Dword值设置窗口中，将数字“1”直接填写在“数值数据”文本框中(如图2所示)，再单击“确定”按钮结束设置操作，最后再将计算机系统重新启动一下;

图2

下面为了防止“sxs.exe”病毒“卷土重来”，再次对系统做出不利的事情出来，我们还需要用鼠标右键单击系统分区盘符，从弹出的快捷菜单中执行“打开”命令(呵呵，尽量不要使用双击鼠标的方法打开系统分区根目录哟，这可能会帮助“sxs.exe”病毒又执行一次破坏操作哟)，进入到系统分区根目录窗口，将其中的“sxs.exe”文件和“svohost.exe”文件直接删除掉。然后再次进入到系统的注册表编辑窗口，用鼠标展开其中的“HKEY_LOCAL_MACHINE”分支项目，并在该分支项目下面依次选择“SOFTWAREMicrosoftWindowsCurrentVersionRun”子项，在对应“Run”子项的右侧列表区域中，检查一下是否存在一个名为“SoundMam”的字符串值，要是发现该字符串值存在的话，再用鼠标双击该键值，从弹出的数值设置窗口中，确认一下该字符串键值的内容是否为“C:Windowssystem32svohost.exe”，之后选中“SoundMam”字符串值并将它删除掉，并退出注册表编辑窗口;

10.一个Linux病毒原型分析病毒防范篇十

维金――最厉害的国产病毒

国庆节后，一直到目前为止，蠕虫维金病毒都表现得异常活跃。它疯狂地利用局域网等方式进行大肆传播，变种多达10个之多，感染人数也已达千人。

维金(Worm.Viking.m)又名威金，是一种运行在Windows平台下，集成“可执行文件感染”、“网络感染”、“下载网络木马及其它病毒”的复合型病毒，若用户不幸感染该病毒，将会面临系统瘫痪、网银、网游帐号被盗、重要信息泄漏等多重威胁。6月2日被金山毒霸率先截获，206月2日至6月8日16时，短短四天时间，受攻击个人用户已达13647人，数十家企业用户网络瘫痪。近日爆发的海盗变种an(Worm.Viking.an)也是维金众多变种病毒之一。

Bot病毒――最多变种的病毒

BOT系列病毒自被截获之日起，就被冠以变种最频繁的病毒之一，

该系列病毒主要通过网络共享和系统漏洞进行传播。10月份，微软先后发布多个系统漏洞，但由于一些用户没有能够及时进行漏洞修复，从而给BOT系列病毒提供了可乘之机。以IRCBot.ir变种为例子，该病毒就有可能在近期大面积发作，病毒运行后会关闭Windows的一些安全服务，连接远程IRC服务器，使用户的一举一动完全在的控制之下。

灰鸽子――最可怕的后门病毒

灰鸽子是国内一款非常著名后门病毒，其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都望尘莫及。10月份，由于十一长假刚过，用户的警惕性不高，再加上近期流氓软件在一定程度上吸引了公众的眼球，所以类似灰鸽子这种老牌木马又开始趁机作乱，如“灰鸽子变种ir”可连接远程主机8000端口，从而等待命令，目前该病毒已经造成很多用户被控制。

11.一个Linux病毒原型分析病毒防范篇十一

解读autorun.inf

由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件，并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件，用户可以用文本编辑软件进行编辑(注：该文件只能位于驱动器的根目录下时，才能实现启动加载)，该文件包含了需要自动运行的命令，如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。

病情描述

当用户在选择：工具-文件夹选项-查看-显示所有文件和文件夹时，计算机无法显视出autorun.inf文件，任意点击C、D、E盘符时会另外打开窗口，而U盘、MP3等第三方存储盘更是如此，插入计算机后，画面文件一闪即过，想查看主目录下的autorun.inf文件，却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件，盘符右击，目录中出现AUTO或两个打开字样(粗字体，细字体)信息等情况，利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。

解决方法

面对以上的情况，有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多，这里提供一种方法让用户尝试。

一、让文件不再隐藏

打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL删除CheckedValue键值，单击右键新建―Dword值―;命名为CheckedValue，然后修改它的键值为1，此时即可查看并删除盘符下的autorun.inf隐藏文件了，

或者打开开始菜单在运行项中输入CMD调出窗体，在盘符下输入命令attrib，此时便可查看是否有一个名为SH autorun.inf的文件，完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏，用户只要打开相应的盘符即可看到此文件，将其删除即可。(小提示：attrib 命令是用来设置文件属性，attrib +s或-s [文件名] 设置文件属性是否为系统文件，attrib +h或-h [文件名] 设置文件属性是否隐藏 )。

二、删除病毒

在分区盘上单击鼠标右键;打开，看到每个盘跟目录下有autorun.inf和tel.xls.exe 两个文件，将其删除，U盘同样。并在依次打开开始菜单中的：运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目，或者运行regedit调出注册表，在其内找到HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun删除类似C:WINDOWSsystem32SVOHOST.exe 键值项即可。

三、清除病毒遗留

打开我的电脑C盘，在WINDOWS与WINDOWSSystem32目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(小提示：每个文件夹都有两个，因为病毒原因导致系统产生两个一样的文件，其中有一个类似文件，用户在删除时一定要注意不要误删除)，重新启动电脑后系统将一切正常。