[原创]谈病毒的启动方式
病毒本身是一个个程序。在没有激活的情况下(这里的激活可以是键盘鼠标的硬件消息激活也可以是系统内部程序激活 比如在预定的时间下被激活。。但是现在用的少了。)。是不会产生威胁。从病毒发展到现在。经历了一段很长的成长过程。手段和技术也都逐步提升。网上也有很多介绍。这里为了文章的连续性。就一起简单的说说。。1。很早很早病毒的启动方式。。把病毒放入“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动”这个文件夹下。启动顺序也很靠后。隐蔽性也较差。是早期的普通技术。
2。加载在Win.ini,System.ini文件下 他们都是系统文件。在启动时可以选择启动 也可以不选择。目前用的也很少了。这里就不详细说了。
3。注册表。。一般程序的先行执行和系统的基础程序构造都是由注册表完成的。在里面存放病毒的效果也最好。这里也就不一一说明。反正也就是那几个地方。有兴趣的朋友可以自己查看相关的资料。
4。文件名称的改名和捆绑。。改名就很简单了。。原本有个QQ 他给替换成另外一个病毒程序来让你误点。文件的捆绑就有点难防了。。2个程序捆绑到一起。。你执行这个文件的同时也执行也另外一个文件。就比如捆绑QQ 。你点QQ的时候 QQ可以启动。。但是病毒也随之启动了。捆绑一直是一个麻烦的东西。现在很多程序也都可以捆绑。不只是exe的。chm的。rm。avi。等。很多都可以捆绑病毒程序。。
5。文件关联。这里要说明的就是一些程序的执行需要依赖另外程序的支持才可以执行。在执行的过程中改变了原本应指向的程序。而指向病毒程序。使病毒程序执行的过程就叫文件关联的更改。U盘。AV 等也都有用到这样的技术。
病毒发展到今天。藏匿性和杀伤力都大大增加。原本在应用层的争斗(也就是用户层 win32层 和ring3的合称)也转移到内核层。谁有能力控制真正主导程序的根本才是正真的关键了。目前的病毒都往驱动级那边走的原因也就是因为如此。越底层权限越大。
这里就不说启动的方式了。。这种病毒的启动没有方式。他就是你系统的一部分。你系统启动。他也就启动了。甚至说。启动的排名在内核中也是靠前的。(这说明什么 说明他随时可以把权限拿在手里。随时扼杀后续的杀毒软件)
这里就要谈到钩子了(hook)钩子其实是处理消息的程序。分为2种 1.应用层hook 2 内核级kook
windows下面的交互操作都是通过消息来完成的。操作系统可以操作声卡 显卡 但是他不能让声卡 显卡什么时候做什么样的操作。这里就需要程序来达到目的。钩子可以提前获得控制权 这个时候钩子可以改变消息 也可以不做处理。也可以强制中断消息。这样的钩子有13种。还有api hook api是应用程序编程接口。也提供函数或者方法。api hook是针对线程。。针对pe而言。。更改其api函数入口点。
api hook 分为全局 api hook(一般的病毒也都是全局的。一些杀毒软件也是) 和线程api hook
上述的钩子都是以dll文件为载体的。
所以。现在先进的病毒的启动方式多变。而且在应用层很难看到。(被windows封装了)
没有进程。没有服务。注册表没有修改。他一样也能运行。(虽然有时候也需要进程的支持)
目前很难对付的病毒也都是在这样的技术下变换的。前面上的几种也只是一些辅助的手段而已。所以现在的病毒也很难对付了。 呵呵,支持一下 现在 病毒越来越厉害了 老黑删广告 路过。。。
页:
[1]