您好、欢迎来到现金彩票网!
当前位置:21点 > 自由空间表 >

CIH病毒感染过程首先取到文件名字首先取到文件名字是不是PE或者

发布时间:2019-06-10 17:23 来源:未知 编辑:admin

  CIH病毒感染过程首先取到文件名字首先取到文件名字是不是PE文件或者已感染进入病毒发作模块是把病毒代码放到PE格式的各个缝隙中否PE格式通常在头部有格式的各个缝隙中PE格式通常在头部有400多字节的自由空间 而病毒代码的首块必须包含驻留代码块必须包含驻留代码 184字节forCIH1 以及病毒块链表

  CIH病毒感染过程首先取到文件名字首先取到文件名字是不是PE文件或者已感染进入病毒发作模块是把病毒代码放到PE格式的各个缝隙中否PE格式通常在头部有格式的各个缝隙中PE格式通常在头部有400多字节的自由空间 而病毒代码的首块必须包含驻留代码块必须包含驻留代码 184字节forCIH1 以及病毒块链表1112 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http 第第7171页页CIH病毒感染过程首先取到文件名字首先取到文件名字是不是PE文件 或者已感染进入病毒发作模块是否把病毒首块代码放到PE格式的各个缝隙中指向病毒驻留代码 并且把原来的入口PE格式的各个缝隙中并且把原来的入口地址也记录下来 以便能够回到正常的执行路径上修改文件入口地址的执行路径上11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第7272页页CIH病毒感染过程首先取到文件名字首先取到文件名字是不是PE文件 或者已感染进入病毒发作模块是否把病毒首块代码放到PE格式的各个缝隙中除了首块病毒代码之外 其他的块插入到PE文件的各个section中根据PE头PE格式的各个缝隙中各个section中。根据PE头中每个section的参数信息 决定每个section可以存放的病毒代码大小依次填修改文件入口地址的病毒代码大小 依次填入病毒代码 直到填完或者到达最后的section插入病毒代码11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第7373页页写入文件CIH病毒发作过程查询系统时间 判断发作条件等待否判断发作条件是通过主板的端地址和通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块 boot block 内各写入一个字节的乱码 造成主机无法启动破坏硬盘从硬盘的主引导区开始破坏硬盘 从硬盘的主引导区开始 写入垃圾数据 直到所有的硬盘空间都被覆盖11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第7474页页CIH病毒的防治 病毒的检测 病毒的检测 方法1 CIH查杀工具 方法2 查找病毒特征码 “CIHv1” 方法2 查找病毒特征码 CIH v1 方法3 在DEBUG模式下 找到PE头中的病毒感染标志 病毒的清除 工具 CIH查杀工具 工具 CIH查杀工具 手工 病毒感染的逆过程。11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第7575页页中国黑客病毒 worm runouce 该病毒是个传染型蠕虫病毒可以感染可执行 该病毒是一个传染型蠕虫病毒 可以感染可执行文件。病毒在被激活的过程中会把病毒体自身复制到windows的系统目录中的runonceexe文件制到windows 的系统目录中的runonce exe文件。分别使用两种不同的机制感染Win9X和WinNT操作系统。作系统 该病毒采用了独创的双线程技术保护自己。在局域网中通过共享文件夹传播 在Internet中通过域夹 Outlook传播。11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第7676页页中国黑客病毒 可以利用Oi等聊天工具散播信息 可以利用Oicq等聊天工具散播信息。 中国黑客 Worm ChineseHacker 可以感染更多的类型的文件利用更多的邮件地址列感染更多的类型的文件利用更多的邮件地址列表 具有感染系统可执行文件的功能 具有更强的传播能力 病毒代码体内保留升级的编程接口。的传播能力 病毒代码体内保留升级的编程接口。是继中文版求职信以来又一个疑为国人所作的感染能力极强、传播范围很广的蠕虫病毒。11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第7777页页Shakira’s pictures病毒11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第7878页页Shakira’s pictures邮件的附件附件 ShakiraPicsjpgvbs 内容 6K多 附件 ShakiraPics jpg vbs 内容 6K多 11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第7979页页Shakira’s pictures病毒代码把df解出来之后如下 主程序部分 把wapwvdfgcpw解出来之后 如下 主程序部分 11 12 201211 12 2012北京大学北京大学软件与微电子学院软件与微电子学院信息安全系信息安全系http http www ss pku edu cnwww ss pku edu cn第第8080页页

  6恶意代码的攻击与防范,网络攻击与防范,dos ddos攻击与防范,恶意代码,dos攻击防范,恶意代码分析实战,决战恶意代码,怪物攻击代码,xss攻击代码,dos攻击防范设置

http://happyikuji.com/ziyoukongjianbiao/62.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有