rootkits病毒主要分為兩大類:
第一種是程序注入式rootkits,另一種是驅動級rootkits。第一種rootkits技術通常通過釋放動態鏈結庫(dll)檔案,並將它們注入到可執行檔案及系統服務程序中執行,阻止作業系統及應用程式對被感染的檔案進行訪問。
第二種rootkits技術比較複雜,在系統啟動時rootkits病毒以載入驅動程式的方式,先於防毒軟體被裝入系統,得到合法的作業系統控制權。當防毒軟體通過系統api及ntapi訪問檔案系統時進行監視,一但發現被rootkits感染的檔案時返回乙個虛假的結果,從而阻止作業系統及應用程式對被感染的檔案進行訪問。
第一種rootkits病毒較好處理,通過使用防毒軟體可以輕鬆清除,而且不會造成任何嚴重的後果。
第二種rootkits病毒,由於其以驅動程式裝入系統被認為是驅動的一部分,現階段還沒有乙個較好的解決辦法。少數防毒軟體在處理使用此類rootkits病毒時甚至會出現漏查漏殺的現象,大多數防毒軟體會發現此類病毒,但往往清除失敗,某些筆者在實際工作中遇到過幾次問題,現加以總結把解決方法與大家分享:
第乙個例子出現的現象是作業系統能夠正常執行,但防毒軟體無法啟動,在沒有任何可疑前後臺程序的狀況下,cpu佔用率很高,毫無疑問系統被病毒感染,由於系統本身無法清除病毒,只好把該機器硬碟摘下,掛入另一沒有被病毒感染的作業系統以從盤方式進行防毒,由於病毒盤上所有檔案在乾淨作業系統中只作為普通檔案處理,病毒很快就被清除。問題解決。
第二個例子情況更加嚴重一些,系統在進入桌面後即出現藍屏,詢問操作人員後得知,前一天防毒軟體報告病毒,防毒重啟後系統即出現桌面藍屏,排除因為硬體及程式問題後,判斷是rootkits病毒破壞作業系統中某啟動檔案引起,掛從盤防毒後果然發現病毒,但作為作業系統主盤引導,依然出現進入桌面即藍屏的現象,根據經驗,考慮到rootkits病毒可能首先破壞防毒軟體,而且原防毒軟體已經無法啟動,於是依舊掛從盤利用其他作業系統強行刪除原系統的防毒軟體檔案,再重新裝入原系統,問題解決,重新裝載防毒軟體,查殺後無病毒。
根據上面兩個例子,筆者總結出的特點是rootkits病毒不僅偽裝性強,徹底清除困難,而且對作業系統會造成一定程度的破壞。
病毒原理例項
include include include using namespace std hmodule g hmodule null 感染同目錄下的exe void infection strcpy s szfilename,sizeof szfilename pchr 1 file pselffi...
COPY EXE病毒解決
通過檢視程序,還有系統資料夾,發現c windows system32 下面多了temp1.exe temp2.exe 而且c windows 下面多了xcopy.exe,svshost.exe。後兩個檔案作為系統保護檔案隱藏。每個磁碟根目錄下面多了 autorun.ini copy.exe hos...
ARP病毒解決之我見
arp病毒解決之我見 近期網際網路arp病毒發作頻繁,感染此木馬的計算機試圖通過 arp 欺騙 手段截獲所在網路內其它計算機的通訊資訊。具體表現為客戶端狀態頻頻變紅 使用者頻繁斷網 ie 瀏覽器頻繁出錯以及一些常用軟體出現故障等問題。由於arp協議本身的缺陷 無狀態協議 造成網內一台計算機感染該病毒...