论文部分内容阅读
小菜常常被各种病毒欺负,有时候是一个EXE,有时候是SYS,更多的时候是DLL……小菜很不明白大家都是病毒为啥这个名字(后缀名)还不同呢,到底这些名字不同的文件有什么不同呢?想知道的话,月黑风高杀人夜听听下面关于这个病毒入侵的故事吧
喜欢化妆的急先锋——可执行文件(EXE)
在这次任务中EXE伪装成:万能视频解码器.EXE,潜伏在一个名为世界杯精彩进球集锦的压缩包里面。球迷小菜兴高采烈地从网上下载后发现,十几个视频一个都不能打开,是不是被人耍了?无奈之下发现了一个名为万能视频解码器的文件,看来这些视频需要特别的解码器才能看,点击安装以后发现真的耶,视频都可以看了,打开任务管理器发现了名为system.exe(注意正常电脑中是没有system.exe的进程的)进程。这个进程此时摇身一变成主帅,开始指挥入侵计划并组织其他力量进行攻击)。
天生的潜伏者——动态链接库(DLL)
一个名为HBmhly.dll的文件接到主帅的潜伏指令,迅速在系统的注册表AppInit_Dlls(键值位于注册表 HKLM\Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll都会自动加载指定的文件)写入一个启动项,这样游戏启动以后就会自动注入,更可怕的是从进程管理器里面我们看不到HBmhly.dll(打开processxp,通过Find-Handle or Dll 搜索相应关键字,我们发现这个dll文件已经成功打进了6个进程的后花园)。
最强的间谍——驱动(SYS)
病毒进入电脑以后最怕的是被安全软件清除掉,为了保护负责盗号的兄弟不被发现,EXE命令HBKernel32.sys暗地保护,而这个SYS驱动程序通常会潜入电脑的最高层,它拥有一种控制操作系统资源的特权,比如它可以假冒文件身份,当电脑警察要求调查HBmhly.dll的时候它会告诉它这个人不在,又比如说它可以对想删除病毒启动项的行为说不(为了保证每次电脑都能启动,每个病毒都会写相应的启动项)。
在EXE的主持下各个攻击小队分工合作,最终用户的梦幻西游账号密码被窃取发送到黑客的服务器上。可怜的小菜可能要和极品的装备说88了。
喜欢化妆的急先锋——可执行文件(EXE)
在这次任务中EXE伪装成:万能视频解码器.EXE,潜伏在一个名为世界杯精彩进球集锦的压缩包里面。球迷小菜兴高采烈地从网上下载后发现,十几个视频一个都不能打开,是不是被人耍了?无奈之下发现了一个名为万能视频解码器的文件,看来这些视频需要特别的解码器才能看,点击安装以后发现真的耶,视频都可以看了,打开任务管理器发现了名为system.exe(注意正常电脑中是没有system.exe的进程的)进程。这个进程此时摇身一变成主帅,开始指挥入侵计划并组织其他力量进行攻击)。
天生的潜伏者——动态链接库(DLL)
一个名为HBmhly.dll的文件接到主帅的潜伏指令,迅速在系统的注册表AppInit_Dlls(键值位于注册表 HKLM\Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll都会自动加载指定的文件)写入一个启动项,这样游戏启动以后就会自动注入,更可怕的是从进程管理器里面我们看不到HBmhly.dll(打开processxp,通过Find-Handle or Dll 搜索相应关键字,我们发现这个dll文件已经成功打进了6个进程的后花园)。
最强的间谍——驱动(SYS)
病毒进入电脑以后最怕的是被安全软件清除掉,为了保护负责盗号的兄弟不被发现,EXE命令HBKernel32.sys暗地保护,而这个SYS驱动程序通常会潜入电脑的最高层,它拥有一种控制操作系统资源的特权,比如它可以假冒文件身份,当电脑警察要求调查HBmhly.dll的时候它会告诉它这个人不在,又比如说它可以对想删除病毒启动项的行为说不(为了保证每次电脑都能启动,每个病毒都会写相应的启动项)。
在EXE的主持下各个攻击小队分工合作,最终用户的梦幻西游账号密码被窃取发送到黑客的服务器上。可怜的小菜可能要和极品的装备说88了。