危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20582197

病毒知多少 防御我最先

网络的日益普及也造就了病毒的泛滥成灾,比较著名的有AV终结者、下载者、灰鸽子……其实病毒也没大家想象中的那么可怕,只要对病毒有些了解,即使在中毒后也能采取相应的方法来解决问题,正所谓知己知彼百战百胜,其中的道理想必大家也都明白。中什么样的病毒,就采取相应的解决方法,再也不用毫无头绪,特别是那些学习黑客的新手朋友,在下载了一些黑客工具后,却不能快速、有效的识别出这些工具是否感染了病毒,是否捆绑了木马,因此导致了一些不必要的麻烦和误删除工具(因为大部分的黑客工具杀毒软件都会报毒的),使得想妥进行的步骤停滞或者停止。所以,对病毒的相关认识也是新手朋友们必须具备的一项基础技能,能够正确区分出哪些是病毒,是什么样的病毒,哪些是安全的黑客工具。

本文中危险漫步主要使用卡巴斯基杀病毒软件来进行测试,另外还使用到了42端口批量溢出工具以及啊D注人工具V2.32。

病毒的格式一般都是采用三段来标示的:<病毒前缀><病毒名,<病毒后缀>,病毒的前缀表示一个病毒所属于的种类,通过病毒的前缀便能够分析出病毒的种族(这是判别病毒文件的主要依据),病毒名称指的是病毒文件的名称,病毒后缀指的是病毒的变释特征,用于区分具俸的某一个病毒文件的变种,一般都是采用英文的26个字母来表示。

我们使用卡巴斯基检测42巷口盘量溢出工具,卡巴斯基给出的病毒名称为F.xploitWin32 yrS04_045.a。我们来分析一下这个名称所代表嚣具淬害上.Exploi!表示这是溢出类的病毒,M S04-045表示它是溢出MS04-045漏洞的工具,最后的a为变种特征。

再来检测啊D注人工具,给出的病毒名称为HackTool.Win32.S QLlnj ect.r。继续来分析一下这个名称,HackTool表示这是黑客工具,SQLlnject表示这是SQL注人类的工具,最后的堤指它的变种特征。

下面我给大家介绍一下变种的含义,同一种病毒换个壳或者加个免杀壳来逃过杀毒软件的查杀,也有一些人修改病毒软件,但是病毒的内核不变,举个例子,你小时候有个小名,但是你同时还有个大名,但是这两个名字指的都是同一个人。我们分别使用卡巴斯基对选两个啊D注人工具进行查杀,结果给出的病毒名称的病毒后缀是不相同的。

大家仔细观察一下,就会发现给出的病毒后缀是不相同的,一个是r,一个是g,这就产生变种了(以上就是卡巴斯基的测试结果,我只举了2个实例,便于大家参考及仿照检测,注意不同的杀毒软件可能所采用的标记不相同)。接下来我解释一下目前比较常见的病毒前缀,大家可以根据以下的类型来区分它所属的家族。

木马病毒的前缀是Trojan,木马病毒的公有特性就是通过网络或者系统漏洞侵入用户的电脑并隐藏,然后向外界泄露用户的信息,比如盗取用户的游戏帐号和密码,支付宝密码等,QQ盗号木马部属于Trojan木马类型(一经发现,强烈建议大家删除掉)。黑客工具的前缀是HackTool,黑客工具也许本身不会对你的电脑造成危害,但是加以利用就可以破坏别人的电脑。感染性的系统病毒类,它们的前缀为Win32. PE、Win95、W32、W95等,这类病毒的公有特性就是可以感染Windows操作系统的.exe和.dll文件,并通过这些文件进行传播,这类病毒的危险非常大,一旦感染,系统中的一些可执行文件就会被破坏。

蠕虫病毒的前缀是Worm,这类病毒的公有特性就是通过网络或者系统漏洞进行传播。脚本病毒的前缀是s cript,其公有特惟就是使用脚本语言编写,通过网页进行传播的病毒。后门病毒的前缀是Backdoor,这类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。破坏性程序病毒的前缀是Harm,捆绑机病毒的前缀是Binderg这可是初学者们抓肉鸡最常用到的方法了,把生成好的木马与某个文件捆绑起来当别人下载后,软件正常运行,殊不知捆绑的后门程序也已经悄悄的进入了你的电脑中。另外,还有DoS类的病毒,会针对某台主机或者服务器:ifflDoS攻击。还有Exploit类的病毒,会自动通过溢出远程电脑来传播自身,或者它本身就是一个用于Hacking的溢出工具。

以上这些就是大家经常会遇到的,只要我们熟记了这些家族特征,就可以又快又准的分辨出它到底是属于哪一类病毒,它所带来的破坏性又是怎样的了,但是随着一些新型病毒的诞生,病毒这个大家族也会越来越庞大,病毒的前缀名肯定也会有更新,这就需要我们随时保持学习,了解病毒的最新动态及最新技术,这样才能做好一些安全防护。

针对上面介绍的形形色色的病毒,其实防御起来也不是特别的困难,首先我们要给自己的电脑安装一款杀毒软件和防火墙,并且要每天更新病毒库,因为新病毒每天都在诞生,杀病毒软件的病毒库不更新,那么杀毒能力就大大下降了,中毒的几率也就大大提高了。找也建议大家定期更换一款杀毒软件来使用,这样可以提高系统的安全性能,也可以几款杀毒软件一起使用,当然在使用前,要先考虑杀病毒软件的兼容性和电脑的性能问题,不然别说杀病毒,光这几款杀毒软件就会把你的电脑给耗死掉了。

系统中要禁用guest帐号,更改adiii:ostrator帐号并设置一个复杂的密码,很多个人用户的电脑都存在一些潜在的安全漏洞,比如开放了一些危险端口等,在不必要的情况下,我建议关闭掉这些危险的端口,比1/L1135、139、445…

1、关闭139端口

关闭139端口的方法是在“网络和拨号连接”中的“本地连接”中选取“Internet协X(TCPflP)”,点击属性,然后点击“高级”进入“高级TCP/IPr置”在“WINS”设置选项中有一项“禁用TCP/IP的Ne'tBloS”,选中后就可以关闭139端口了。

2、关闭445端口

在“开始”-“运行”栏中输入“regedit”打开注册表编辑器,定位到“HKEY_LOCAL_MACHINE\System、CurrentC ontrolSethS ervices\Ne tB TYParameters”位置,在右边的窗口中建立一个名为SMBDeviceEnabled,类型为REG DWORD,键值为0,这样就可以了。

3、关闭135端口

使用一款16进制编辑软件(推荐使用UltraEdit)打开你系统中x:\win_nt\system32或者x:\Windows、system32目录下的rpcss.dll文件,查找“31 00 33 00 35”并替换为“30 00 30 00 30”,查找3100330035,并将其替换为3000300030,意思就是将135端口改为000。至此修改的任务就已经完成了,下面还面临一个保存的问题,因力该文件正在运行,在Windows环境下是不能覆盖的。如果我们是FAT32文件系统,那么直接引导进入DOS环境,使用修改好的文件覆盖掉原来的文件就行了。

其实还有一种方法可以一次性关闭137、138、1 39、445端口,右键点击“我的电脑”-“属性”-“硬件”-“设备管理器”-“查看”-“显示隐藏的设备”-“非即插即用驱动程序”-“Netbios over Tcpip”,禁用该设备后重新启动后即可。这可是一次性关闭全部端口的好方法,推荐大家使用。

只要大家做到以上这些,那么初步的防御就OK了,但是要想完全的防御病毒和木马还是远远不够的,希望大家能够多学习相关的知识,建议大家使用360安全浏览器,这样能够防范一部分木马,减少中病毒的机率。最主要的还是不要登录那些安全系数比较低的网站,提高自己在网上的安全意识,毕竟意识才是最重要的。