Atitit.病毒木马程序的感染 传播扩散 原理

Atitit.病毒木马程序的感染 传播扩散 原理

1. 从木马的发展史考虑，木马可以分为四代 1

2. 木马有两大类，远程控制  vs  自我复制传播1

3. 自我复制2

3.1. 需要知道当前cpu核心数量2

3.2. Cpu占用百分比2

3.3. Io占用百分比2

3.4. 内存占用百分率2

4. 通过email传播扩散3

5. 通过qq等sns im软件传播扩散3

6. Bbs 论坛网站传播扩散3

7. 捆绑下载软件扩散3

8. 局域网扩散感染3

9. 利用系统或软件漏洞； 3

10. 隐藏自身技术3

10.1. 在任务栏中隐藏自己 3

10.2. 进程隐藏3

10.3. 修改图标 4

10.4. 捆绑文件 4

10.5. 文件夹惯性点击4

10.6. 1、隐藏文件4

10.7. 隐藏窗口4

1. 从木马的发展史考虑，木马可以分为四代

。第一代木马功能简单，主要对付Unix系统，而Windows系统中的木马只有B0等几款;第二代木马功能大大加强，几乎能够进行所有的操作，如B02000、冰河等。第三代木马继续完善连接和文件传输技术，并增加了木马穿透防火墙的功能，并出现了“反弹端口”技术，如本文即将引用的灰鸪子等。第四代木马除完善了前辈们所有的技术外，还增加了进程隐藏技术，使系统更加难以发现木马的存在与入侵的连接

2. 木马有两大类，远程控制  vs  自我复制传播

一类主要用于远程控制，因此，也可以将其用于帮助网管远程管理汁算机;二类是恶意的木马程序，它除了可以远程控制外，还会恶意传播病毒。

作者:: 绰号:老哇的爪子 （ 全名：：Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ） 汉字名：艾龙，  EMAIL:1466519819@qq.com

转载请注明来源： http://www.cnblogs.com/attilax/

3. 自我复制

自我复制的条件  要判断是否已经在有复制进程了，需要避免多进程复制，以至于消耗过多的cpu  and io  and mem

3.1. 需要知道当前cpu核心数量

3.2. Cpu占用百分比

3.3. Io占用百分比

3.4. 内存占用百分率

4. 通过email传播扩散

5. 通过qq等sns im软件传播扩散

6. Bbs 论坛网站传播扩散

7. 捆绑下载软件扩散

8. 局域网扩散感染

9. 利用系统或软件漏洞；

10. 隐藏自身技术

从最初最简单的一般属性隐藏，到现在的DLL进程隐藏和驱动级DRV，从OSI结构来看，DRV就快到底了，下一步应该是所有知识的综合运用了。从技术角度，系统永远都有漏洞，所以杀毒软件永远都有事做。

10.1. 在任务栏中隐藏自己

木马程序会想尽一切办法隐藏自己，主要途径有:在任务栏中隐藏自己，这是最基本的。只要在编程时把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中

10.2. 进程隐藏

隐藏进程

对于本机病毒或木马本身，隐藏进程应该是病毒木马的终极表现形式了，所以无论病毒部署的过程有多复杂，最终无非两种：

A、非独立进程下的DLL、DRV.....挂载

B、感染系统文件之后自我毁灭掉，病毒与正常文件合二为一

10.3. 修改图标

10.4. 捆绑文件

10.5. 文件夹惯性点击

　　把木马程序使用文件夹图标并放在一个多层目录，接着再在外面“套”三四个空文件夹，很多人出于连续点击的习惯，点到那个伪装成文件夹的木马时，也会收不住鼠标点下去，这样木马就成功运行了。

10.6. 1、隐藏文件

该项技术本来面向是方便用户操作的，为保护系统或重要文件不被用户误操作删除，一直到现在重要的系统文件也在使用，但似乎总是没病毒木马程序“发挥”的更好，目前病毒大都是把隐藏作为第一步基础技术并结合最新技术使用，当然明目张胆不隐藏狂挥大刀的也大有毒在，因为病毒执行过程时间非常短暂，只需要让杀毒软件和防火墙先休克一下，事情做完后可以再次放开，木马已经布局完毕，挂下DLL或DRV，原木马布局程序也就不再需要了。

10.7. 隐藏窗口

隐藏病毒木马的感染部署与常用处理方法.htm