高级病毒[编辑]

1，水乳交融式的感染
所谓水乳交融，是指蠕虫与宿主真正成为一体，而不是独立的两部分。这种感染方式在汇编写的病毒中很普遍，但在高级语言病毒中则少见，这主要是因为高级语言不像汇编那样可以随心所欲地控制代码。
因为高级语言的太“高级化”，使得我们的编程自由度受控！这种感染方式不太适合高级语言，所以这一部分我就不详细介绍了！对这方面感兴趣的可以参考《CVC内部文档》
2，捆绑式感染，比如Nimda
这是用的最多的一种感染方式。所谓捆绑式感染，就是指病毒与宿主简单地结合，二者不发生任何实质的关系。这种方式，一般病毒替换宿 主，然后把宿主做为自身数据的一部分。当用户执行这个“程序”时，当然首先执行的是病毒，病毒执行完后，就可以把宿主从自身数据中抽取出来，做为一个独立 程序执行。
这种方式实现起来很简单，感染时，把宿主放在病毒的最后，执行时，从尾部取出宿主，Copy到独立文件执行就可以了。Nimda 用了另外一个存储宿主的地方，就是Resource，用Win2000的Resource Update系列API，把宿主放在自身的Resouce里， 执行时，只要取出该资源就行了。
呵，这个我实验过，蛮有趣的！——你可能会问我如何判断一个宿主不被重复感染了？问得好，至于这个，你如果对PE文件格式非常熟 悉的话，你应该明白这一点，当我们的Win32程序在DOS平台下运行时，会出现一个 "This program must be run under Win32"！
现在明白我要说的是什么了吗？什么你不知道，好啦，其实我们只要修改宿主程序或者是病毒本身的那个位置，就可以避免重复感染同一 个文件的痛苦！——呵，当我们写完一个病毒后，我们只要将自身的那个位置改成"HappyQQ love This computer"(^v^)
最后怎么判断就看你们会不会用相关高级语言中的"if"语句了！——相信你们这些高手都明白了我的意思！
3，LAN，文件共享
这种感染方式，最简单不过了，原理上，可以把共享的磁盘当作本地磁盘一样，
可以对之Copy病毒自身，或者感染其上的文件。值得注意的是，随着Internet上的文件共享的增加，现在有越来越多的蠕虫通过文件共享传播，比如很多都通过Kazza传播！
呵，这个玩过Windows入侵都明白这一点！……
这个我原来用VB写过一个模拟的病毒，呵呵，在内部局域网中测试通过！
相信大家一定玩过Win2000,WinXp系统吧，什么？没玩过，你玩Linux/Unix，牛！有空教教小弟我！^_^
在Win2000中有一个默认共享漏洞，如何一个默认法，你们这些黑客高手们一定比我这位菜菜更清楚！
当然了，为了照顾和我一样菜的朋友，还是将那些很古老的共享漏洞说一下！高手们，请将这一段跳过！
Win2000的每一个磁盘都有一个隐藏的共享，比如你有三个分区，那么在你没有进行相关安全设置的前提下，网上那些所谓的黑客们， 就会通过C$,D$,E$,ADMIN$,IPC$来对你的计算机进行一番艺术性的计算机“美容”活动，至于那些黑客们的美容技术如何，我就不敢肯定了！ 说不定他们可能把你的电脑美容得让你气死！……
其实WinXp也有一个共享漏洞，SharedDocs这个闲脚的地方也可以让病毒们去那休息一下！怎么一个休息法了？
那就得用到社会工程学里面的一些知识，我举一个不妥的例子！
我们可以抓住现在每一个男孩子都爱看美女，每一个女孩子都爱看帅哥的心理，我们就通过病毒的Self-Copy方法，将其复制到网上 所有计算机的这个ShareDocs共享里面，生成两个一样的文件！并且病毒文件图标是一个帅哥与美女的合影，然后生成的两个吸引人的文件名！
比如"帅 哥......................................................................exe", "美女.......................................................exe"（为什么要有这么多 “点”了？你试一下就知道效果了，这个方法可是我原创的噢，收费的喽——倒！其实我们HKLM所有东东都只存在一个Free,没有那些所谓的黑客组织的 VIP概念）
为什么我要用那么多的点呀，其实我们用了一招障眼法！即使对方开启显示所有文件的扩展名，也会让他不小心地去点一下！……（别打我呀！）
5，P2P（ICQ，Messenger,OICQ）
这种方法也很简单，只要有一个免费的空间！然后把自己的病毒文件转上去，并加上一个Html文件！（呵，至于什么样的Html文件，那就看你要用哪种漏洞了！MIME漏洞，还是？）
可能有人会问我为什么要一个Html文件，告诉你，那个Html文件是利用IE的漏洞或者是其他相关的漏洞让你的病毒文件被下载且执行的！
至于病毒，你如何编写，那就看你的编程功底了！——当然喽，至少要具备"PostMessage,SendMessage"等Win32API的编程功底!——呵，要不你的那些诱骗别人点击的URL怎么能够通过你的P2P软件中发送出去了？！
6,Email 地址搜索方法
1，各种地址簿，Outlook, MSN Messenger, ICQ database
通过了解这些地址簿的格式，你可以写出取地址的代码。
2，HTML文件之mailto：
很简单，打开一个HTML文件，用strstr找mailto:，后面的就是EMail地址。
以上两种方法，都不是最好，一个txt文件里也可能含有Mail地址，你怎么找？甚至exe里也可能有，你又如何找？最好的方法，就是下面这个，暴力搜索。
3，暴力搜索
注意一下EMail地址的格式，统统都是xxx@xxx.xxx，其中的点'.'可能有多个，但那个'@'肯定只有一个。好了，用一点分析字符串的手段，把这些分析出来吧。
至于以上那几种方法，我个人认为，第一种是最简单的！也是一般的蠕虫病毒所常用的方法！
1.3，Kill掉那些讨厌的杀毒软件！
这一点，相信大家你们这些高手都知道是什么原理！最简单的方法就是Kill掉所有已知杀毒软件的Process！
还有一点就是让所有含有”AntiVirus,杀毒,木马"等窗口标题的Process全部退出！——这是我的一个技术原理，还未进行测试,想信应该行得通！
当然喽，还有最毒的一招就是——
无论是Win98,Win2K系统中，都有正常的系统进程！除此之外的所有未知进程，我全部结束掉！
世界一著名黑客曾经告诉我们一点：
Social Engineer是他们能够成功入侵XXX的秘密武器！
第二部分 病毒的分析
在谈这个之前，有必要向朋友介绍Windows病毒经常休息的几个地方！
为了免遭不速之客的侵犯，我们以在装完一个系统之后，先对%systemroot%,%systemroot%\system,%systemroot%\system32这几个地方进行一次拍照，以免当有“杂物”进来时，我们无法确认！
如何进行系统的第一次拍照了？
第一种方法我们用几个DOS命令:
dir %systemroot%\*.EXE /b>%systemroot%\AllExes.FC
dir %systemroot%\*.DLL /b>%systemroot%\AllDLLs.FC
其他几个系统目录，可以参照上面的方法进行拍照！
当然喽，为了保证以后分析病毒的正确性，我们每装一个软件，都要进行系统目录的拍照！
文件名的命名，我们可以按每一次装的软件来生成，以便以后的分析！
当我们的系统某一天中奖的时候，我们可以再次用DOS命令：
dir %systemroot%\*.EXE /b>%systemroot%\ISExes.FC
dir %systemroot%\*.DLL /b>%systemroot%\ISDLLs.FC
最后用FC命令进行比较，我们将发现病毒藏哪！
FC %systemroot%\AllExes.FC %systemroot%\ISExes.FC
FC %systemroot%\AllDLLs.FC %systemroot%\ISDLLs.FC
为了保证系统的安全性，我们可以对系统所有可执行文件进行拍照！除EXE，DLL，COM外，还有VBS，VBE，JS等文件格式！
当然喽，我上面讲的只是手工的方式，我们完全可以通过编程的方法来实现自动化拍照！
如何使用编程的方法来进行自动化拍照，我在这就不详说了！这不是此文的重点！
第二种方法就是使用借助专业化的软件来对病毒进行分析，比如UltraEdit,WinHex,SoftIce,RegSnap,FileMon等，这些软件我就不一一介绍了，感兴趣的朋友可以去下载几个玩玩！
第三种方法就是使用日期时间判断法，文件长度法，文件名的判断法来进行病毒的分析！
1.0 日期时间判断法：
你的电脑是什么时候不正常的？什么，你不知道，算了，那就别分析了！……
知道是什么时候不正常的，我们可以通过Windows的查找功能，查找这个时间段，C盘里面所有EXE文件！（或者是其他可执行文件）
然后再去注册表的启动项看看，有没有相对应项，并且那些启动项并不是系统必须的，我们都可以将其去掉！（当然喽，为了保证系统正常，最后先导出那些启动项！）
耐心地去跟踪吧！（当然喽，文件感染形的病毒用此方法无效！）
1.1 文件长度法,文件名判断法：
至于这个吗？前提是你知道了反病毒公司所发布的病毒信息，并附有那病毒的长度或者是病毒的文件名，此方法才有效！(呵，你 可能会骂我笨，你可能会说“难道我不知道进行病毒库的更新吗？”——呵，我说的是你没有装任何AntiVirus的情况下！）
如何清除，会用Windows查找的用户都会，我就不说了！……
呵呵，在说这个，我顺便说个笑话给大家听听，别笑掉笑噢！
一天，我装了某XXXX专家（为了表示对软件作者的尊敬，软件名称省去）呵，是一个查杀木马的软件！我并没有用什么反汇编工具，只是用了我的一些最简单软件分析的方法！
打开那软件，进行系统扫描！立马进行系统目录扫描，发现病毒Reg32.exe!(明明是我以前对Windows某一个系 统可执行文件作的备份！呵，那怎么会是病毒了！）……我当时就晕倒了，呵，没关系，反正没事，我就拿这个软件开玩笑，我复制Notepad.exe到% systemroot%命名为Funny.exe，然后进行扫描！哈哈，连记事本都不认得，还敢称为“XXX专家”，我“哇”的一声，面前的电脑屏幕马上 变得模糊起来了！……
最后我想说一句：这就是商业化所抄作所得来的结果！
第四种方法就是通过木马藏身的手段来进行分析！（这个方法，我在贴吧曾经已经说过了，我就不详说了！）

网络营销词典内容均由网友提供，仅供参考。如发现词条内容有问题，请发邮件至info # wm23.com。