重裝系統也無法解決中毒的幾種技術
重裝系統也無法解決中毒的幾種技術
早在上個世紀CIH出世之日,重裝萬能論這種不著調的東西就應該結束了。但是沒想到時至今日,依舊有無數人將其奉為真理,實行著裸奔的勇敢舉動,認為出了事重裝就行。接下來是小編為大家收集的重裝系統也無法解決中毒的幾種技術,希望能幫到大家。
重裝系統也無法解決中毒的幾種技術
1 AUTORUN
已經是有點過時的東西了,但依舊有好多人中招。形式就是在磁盤的根目錄下放入 AUTORUN.inf跟XXX.exe
AUTORUN.inf通常內容如下:
引用
[AutoRun]
sheLl\open\DEfAult=1
OpeN=xxx.exe
sheLL\exPLORE\CommaND=xxx.exe
sHELL\opeN\coMmand= xxx.exe
ShelL\AUtoPlay\cOmmanD= xxx.exe
這是隨便找來的一個AUTORUN,指向xxx.exe,只要一雙擊盤符就會在那一瞬間運行xxx.exe。微軟做這個功能出來當初是為了美化磁盤圖標用的,所以我們有時候放入光盤時可以看到一些漂亮的圖標,而且有些光盤盤符只要一雙擊里面的安裝程序就會運行。很人性化的設定,但是不加思考的用在本地磁盤上就一點都不美了。當你重裝完系統,無意中雙擊其他盤符的時候,絕望的一刻又來了,不光是本地磁盤,遭殃的還有U盤,U盤作為外存儲設備,在不同的機器上拔拔插插是必不可免的。于是,這也就成了U盤病毒傳播的途徑,典型代表。。。很多。。。。現在想的起來的只有飄雪。
2 向第三方軟件目錄下下蛋
這個手法蠻新穎的,算是最近新出爐的。很多人為了避免在C盤產生太多碎片都會選擇將第三方軟件裝在非系統盤里,尤其是像QQ這種即時通訊工具,聊天記錄是很珍貴的。于是這就給了病毒復活的機會。
方法就是往特定軟件下添加一些自制dll文件。一般與一些系統DLL的名字相同,比如說WSOCK32.DLL這跟WINDOWS的運行機制有關,可執行文件在運行的時候為了提升效率,會優先在本目錄下尋找輸入表中需要加載的DLL文件,在找不到的情況下才會去SYSTEM32目錄下尋找,于是這就讓一些病毒鉆了空子,當你重裝完系統,興高采烈地打開QQ想跟人胡侃時。。。悲劇再現。。。
典型的代表有JAVQHC還有中華吸血鬼(這個東西是在所有文件夾目錄下都放個WSOCK32.DLL)說實話,有一點我到現在還有點迷糊的說。比如說QQ的FINEPLUS插件,要運行了FINEPLUS.exe再運行QQ.exe它就會自動加載FINEPLUS.dll,可是把FINEPLUS.dll刪除,qq依舊可以運行。本來我以為應該是修改了可執行文件的輸入表。但是現在看下來,實際情況似乎不是這樣的......
3 感染型
前兩種方法都是有一些取巧的成分在其中,但是感染型無疑是可以避免一切意外情況的發生(除非你就只有一個系統盤)感染型又分兩種:
(1) 添加型感染
這種無非就是在程序頭部或者尾部加點料而已,稍微高超點的往空白段里加(不過應該是只對特定程序有效)程序一般來說還是可以運行的。只要有大蜘蛛在手,一般都能輕松搞定。
(2) 覆蓋型感染
這個無疑是最強悍的,理論上來說。徹底沒有修復的可能,只能刪除。不過原理說實在的我也不是很清楚,我不知道那些病毒它覆蓋的到底是哪段的程序,比如上次我實驗"在線修復KAV"的時候,過了幾個月我都給忘了,重裝虛擬機后運行在D盤的SSM安裝文件,依舊可執行,只是進度條到一半卡死了。系統再度中毒。
典型代表:熊貓燒香,小浩
總體來說感染型有幾個規律
1.感染非系統盤的可執行文件
2.運行中的程序不感染
3.壓縮包內的程序不感染(這點也不是做不到,而是工作量實在太龐大。。。而且最重要的一點。。。就是不知道哪個EXE對應哪個rar文件)
以上幾點總結完畢,還有一些非主流的技術太過于依賴RP,一些太牛X的技術我也不是很懂(比如在不可見扇區里塞東西:引導型病毒)。。。。所以就不講了。
看了“重裝系統也無法解決中毒的幾種技術”還想看: