1自动运行
有点过时了,但是还是有很多人陷进去了。形式是放AUTORUN.inf和**。exe放在磁盘的根目录下。
AUTORUN.inf通常如下所示:
引用
[自动运行]
sheLl\open\DEfAult=1
开放=**。可执行程序的扩展名
sheLL\exPLORE\CommaND=**。可执行程序的扩展名
sHELL\opeN\coMmand=**。可执行程序的扩展名
ShelL\AUtoPlay\cOmmanD=**。可执行程序的扩展名
这是随机自动运行,指向**。该文件将在您双击驱动器盘符后立即运行。微软当初做这个功能是为了美化磁盘图标,所以有时候放入光驱就能看到一些漂亮的图标,有些光驱盘符只要双击里面的安装程序就会运行。很人性化的设置,但是不加思考的用在本地盘上就不好看了。当你重装系统,不小心双击了其他盘符,绝望的时刻又来了。不仅是本地盘,u盘也深受其害。作为外接存储设备,不可避免的要从不同的机器上拔下* *。所以,这也成为了u盘病毒传播的典型代表。很多。我现在能想到的只有雪。
2在第三方软件的目录里下蛋
这个技术挺新颖的。最近新出的。很多人为了避免c盘碎片过多,选择在非系统盘安装第三方软件,尤其是像qq这样的即时通讯工具。聊天记录非常珍贵。所以这给了病毒复活的机会。
方法是在特定软件中添加一些自制的dll文件。一般和一些系统dll同名,比如WSOCK32.DLL,和WINDOWS的运行机制有关。可执行文件在运行时,为了提高效率,会优先在这个目录下寻找输入表中需要加载的DLL文件。如果找不到,只会去SYSTEM32目录下找它们,所以这就让一些病毒钻空子了。当你重装系统,开开心心打开QQ和别人聊天的时候。悲剧再现。
典型代表是JAVQHC和中国吸血鬼(这个东西所有文件夹和目录都有WSOCK32.DLL)。说实话,我还有点搞不清楚一件事。比如qq的FINEPLUS插件,在运行了FINEPLUS.exe之后会自动加载FINEPLUS.dll,然后是QQ.exe,但是删除了FINEPLUS.dll之后,QQ还是可以运行的。我想我应该修改可执行文件的输入表。但现在看来,情况似乎并非如此。
3型感染
前两种方法有一些棘手的元素,但是传染型无疑可以避免所有的意外情况(除非你只有一个系统盘)。有两种传染类型:
(1)附加感染
这无非是在程序的头部或尾部增加一些素材。稍微高一点的材料被添加到空白部分(但是它应该只对特定的程序有效)。一般来说,程序还是可以运行的。只要有Okumo在手,一般都能轻松搞定。
(2)覆盖感染
这无疑是最强的,从理论上讲。没有完全修复的可能,只能删除。不过说实话,我也不知道原理。我不知道那些病毒覆盖了哪个程序。例如,上次我尝试“在线修复KAV”,几个月后我就完全忘记了。重新安装虚拟机后,运行在磁盘D上的SSM安装文件仍然是可执行的,但进度条在中途卡住了。系统又中毒了。
代表:熊猫烧香,小浩。
一般来说,感染类型有几个规律。
1.感染非系统盘的可执行文件
2.正在运行的程序没有被感染。
3.压缩包里的程序不被感染(这不是不可能,只是工作量太巨大了。最重要的是。就是不知道哪个EXE对应哪个RAR文件)