@Allure
2年前 提问
1个回答

PE木马病毒入侵计算机使用了哪些技术

上官雨宝
2年前

PE木马病毒入侵计算机使用了以下这些技术:

  • 重定位技术:病毒也是一段程序,同样需要使用变量,当病毒感染宿主程序后,由于病毒代码嵌入不同宿主程序中,嵌入的具体地址可能发生变化,宿主程序被激活执行时由操作系统分配一定的地址空间,由于病毒代码预先不知道地址空间的具体位置,病毒代码无法访问自身的变量,病毒无法正常执行。病毒可以通过重定位技术来有效地解决以上存在的问题。

  • 获取API技术:病毒程序一般很精练,只有一个代码段,没有函数导入表,因此病毒无法像正常程序那样直接调用API函数,找到动态链接库中的真实API地址才能实现函数调用。由于,病毒没有函数导入表,不能通过API函数名实现调用。因此病毒首先获得Kernel32.dll的基地址,然后引出LoadLibrary函数和GetProcAddress函数,通过这两个函数可以动态调用其他动态链接库中的API函数。

  • 搜索感染目标技术:病毒试图感染其他文件需要寻找合适的感染对象,感染对象一般是保存在硬盘上的PE文件。搜索硬盘文件采用递归算法,递归算法利用堆栈保存目录和文件数据,而非递归算法将数据保存在缓冲区中。递归算法更有效地节约内存的占用,这对病毒来说很有意义,占用太多资源容易暴露身份。

  • 内存映射技术:内存映射文件是一种加快文件访问速度的途径。通过内存映射,认为内存空间变得和物理磁盘的大小相同,当然这是虚拟的内存。存在于磁盘上的文件映射到虚拟内存中,访问内存映射过的文件就像访问内存一样便利。不需要浪费时间的I/O操作,访问速度得到大幅提高。这对病毒提高运行效率,节约资源有着很大帮助。

  • 感染PE文件技术:添加新节是PE感染型病毒最常使用的手段,感染过程实际就是向新节添加病毒代码以及相关指令,以便病毒执行完毕后正常执行宿主程序。同时ADDRESS OFENTRYPOINT的内容修改为指向新添加的节地址。感染完毕后试图运行被感染的文件会首先激活病毒代码,为执行病毒后续操作做准备。

防范PE木马入侵的措施有以下这些:

  • 不要执行任何来历不明的软件:对于从网上下载的软件在安装、使用前一定要用多几种反病毒软件,最好是专门查杀木马的软件进行检查,确定无毒了再执行、使用。

  • 不要认为邮箱不会收到垃圾和带毒的邮件:千万不要认为私人邮箱就不会收到垃圾和带毒的邮件,即使从没露过面的邮箱或是ISP邮箱也是有风险的,有些时候你永远没办法知道别人如何得知你的mail地址的。

  • 不要随便留下个人资料:特别不要在聊天室内公开你的Email地址,更不要将重要口令和资料存放在上网的主机里,以防黑客侵入主机盗走一切个人信息。

  • 不要随便下载软件:不要再不可靠的小FTP站点、公众新闻级、论坛或BBS上下载软件,因为这些地方正是新病毒发布的首选之地。

  • 不要轻易打开广告邮件中附件或点击其中的链接:因为广告邮件也是那些黑客程序依附的重要对象,特别是其中的一些链接,只要一点开,木马病毒就会立马入侵。

  • 将windows资源管理器配置成始终显示扩展名:因为一些扩展名为:VBS、SHS、PIF的文件多为木马病毒的特征文件,更有些文件为又扩展名,更应重点查看,一经发现要立即删除,千万不要打开,只有实时显示了文件的全名才能及时发现。

  • 尽量少用共享文件夹:如果因工作等其它原因必需设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要系统目录设置成共享,不然这样被入侵的风险非常高

  • 给电子邮件加密:为了确保邮件不被其它人看到,同时也为了防止黑客们的攻击,可使用一些邮件加密软件,提高安全性。

  • 运行反木马实时监控程序:还有最重要的一点,就是在上网时必需运行反木马实时监控程序,可即时显示当前所有运行程序并有详细的描述信息,还可以外加一些专业的最新杀毒软件、个人防火墙进行监。