黑客24小时在线接单网站

联系黑客,怎么找黑客,24小时在线黑客,黑客在线QQ,找黑客

x86.dl木马病毒(木马病毒?)

本文目录一览:

什么是木马病毒

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出,捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。

Trojan.DL.Agent.hqr是什么病毒?有什么危害?

感染的应该是Windows PE病毒吧.

PE的意思是可移植的执行体,即portable executable,是windows下的一个32位的文件格式,保留了MZ文件头以便于运行于DOS,在windows中广泛存在这种格式,除了.dll和VxD格式不属于这个格式,是病毒喜欢感染的类型,可以在安全模式下删除,危害和一般病毒是一样的,就是普通病毒,只不过病毒通过修改可执行文件的代码中程序入口地址,变成病毒的程序入口,导致运行的时候执行病毒文件,这是比较常用的方式,删除就没事了

PE病毒是指所有感染Windows下PE文件格式文件的病毒.

PE病毒大多数采用Win32汇编编写.

PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.

只有在PE病毒中,我们才能真正感受到高超的病毒技术.

编写Win32病毒的几个关键

Api函数的获取

不能直接引用动态链接库

需要自己寻找api函数的地址,然后直接调用该地址

一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.

病毒没有.data段,变量和数据全部放在.code段

编写Win32病毒的几个关键

偏移地址的重定位

Call delta

delta: pop ebp

sub ebp,offset delta

那么变量var1的真正偏移地址为:var1+ebp

对PE文件格式的了解

编写Win32病毒的几个关键

病毒如何感染其他文件

在文件中添加一个新节

该新节中添加病毒代码和病毒执行后的返回Host程序的代吗

修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的节,以便程序运行后先执行病毒代码.

PE病毒感染其他文件的方法还有很多,譬如PE病毒还可以将自己分散插入到每个节的空隙中等等,这里不在一一叙述.

PE文件格式一览

Section n

Section ...

Section 2

Section 1

Section table

PE header

DOS stub

DOS MZ header

PE header

Pe header 由三部分组成

字串 "PE\0\0"(Signature)

映像文件头(FileHeader)

可选映像头(OptionalHeader)

字串 "PE\0\0"

Signature 一dword类型,值为50h, 45h, 00h, 00h(PE\0\0). 本域为PE标记,我们可以此识别给定文件是否为有效PE文件.

这个字串在文件中的位置(e_lfanew),可以在DOS程序头中找到它的指针,它占用四个字节,位于文件开始偏移3CH字节中.

映像文件头

该结构域包含了关于PE文件物理分布的信息, 比如节数目,文件执行机器等.

它实际上是结构IMAGE_FILE_HEADER的简称.

映像文件头结构

IMAGE_FILE_HEADER STRUCT

___ Machine WORD

___ NumberOfSections WORD

___ TimeDateStamp dd

___ PointerToSymbolTable dd

___ NumberOfSymbols dd

___ SizeOfOptionalHeader WORD

___ Characteristics WORD

IMAGE_FILE_HEADER ENDS

映像文件头的基本信息

关于文件信息的标记,比如文件是exe还是dll

2

Characteristics *

7

可选头的大小

2

SizeOfOptionalHeader

6

符号数目

4

NumberOfSymbols

5

COFF符号表的偏移

4

PointerToSymbleTable

4

生成该文件的时间

4

TimeDataStamp

3

文件中节的个数

2

NumberOfSection **

2

机器类型,x86为14ch

2

Machine *

1

描述

大小(字节)

名字

顺序

可选映像头

optional header 结构是 IMAGE_NT_HEADERS 中的最后成员.包含了PE文件的逻辑分布信息.该结构共有31个域,一些是很关键,另一些不太常用.这里只介绍那些真正有用的域.

这儿有个关于PE文件格式的常用术语: RVA

RVA 代表相对虚拟地址.它是相对虚拟空间里的一个地址 .

举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h.每个RVA都是相对于模块的起始VA的.

可选映像头

文件中节对齐的粒度.

FileAlignment

内存中节对齐的粒度.

SectionAlignment

PE文件的优先装载地址.比如,如果该值是400000h,PE装载器将尝试把文件装到虚拟地址空间的400000h处.若该地址区域已被其他模块占用,那PE装载器会选用其他空闲地址.

ImageBase

PE装载器准备运行的PE文件的第一个指令的RVA.若要改变整个执行的流程,可以将该值指定到新的RVA,这样新RVA处的指令首先被执行.

AddressOfEntryPoint *

描述

名字

可选映像头

NT用来识别PE文件属于哪个子系统.

Subsystem

一IMAGE_DATA_DIRECTORY 结构数组.每个结构给出一个重要数据结构的RVA,比如引入地址表等.

DataDirectory

所有头+节表的大小,也就等于文件尺寸减去文件中所有节的尺寸.可以以此值作为PE文件第一节的文件偏移量.

SizeOfHeaders

内存中整个PE映像体的尺寸.

SizeOfImage

win32子系统版本.若PE文件是专门为Win32设计的,该子系统版本必定是4.0否则对话框不会有3维立体感.

MajorSubsystemVersion

MinorSubsystemVersion

描述

名字

DataDirectory数据目录

一个IMAGE_DATA_DIRECTORY数组,里面放的是这个可执行文件的一些重要部分的RVA和尺寸,目的是使可执行文件的装入更快,数组的项数由上一个域给出.IMAGE_DATA_DIRECTORY包含有两个域,如下:

IMAGE_DATA_DIRECTORY

VitualAddress DD

Size DD

IMAGE_DATA_DIRECTORY ENDS

节表

节表其实就是紧挨着 PE header 的一结构数组.该数组成员的数目由 file header (IMAGE_FILE_HEADER) 结构中 NumberOfSections 域的域值来决定.节表结构又命名为 IMAGE_SECTION_HEADER.

结构中放的是一个节的信息,如名字,地址,长度,属性等.

IMAGE_SECTION_HEADER

本节原始数据在文件中的位置

4

PointerToRawData *

5

本节的原始尺寸

4

SizeOfRawData *

4

这个值+映像基地址=本节在内存中的真正地址.OBJ中无意义.

4

Virtual *

3

OBJ文件用作表示本节物理地址EXE文件中表示节的真实尺寸

4

PhysicalAddress或VirtualSize

2

节名

8

Name *

1

描述

大小(字节)

名字

顺序

IMAGE_SECTION_HEADER

节属性

4

Characteristics *

10

本节在行号表中的行号数目

2

NumberOfLinenumbers

9

本节要重定位的数目

2

NumberOfRelocations

8

行号偏移

4

PointerToLinenumbers

7

OBJ中表示该节重定位信息的偏移EXE文件中无意义

4

PointerToRelocations

6

描述

大小(字节)

名字

顺序

"节(Section)"跟在节表之后,一般PE文件都有几个"节".比较常见的有:

代码节

已初始化的数据节

未初始化的数据节

资源节

引入函数节

引出函数节

代码节

代码节一般名为.text或CODE,该节含有程序的可执行代码.

每个PE文件都有代码节

在代码节中,还有一些特别的数据,是作为调用映入函数之用.如:

Call MessageBoxA的调用,反汇编后该指令被换为call 0040101A,而地址0040101A仍在.text中,它放有一个跳转指令jmp dword ptr[0040304c],即这条跳转指令的目的地址处于.idata节中的0040304C处,其中放的才是MessageBoxA的真正地址,如下图:

已初始化的数据节

这个节一般取名为.data或DATA

已初始化的数据节中放的是在编译时刻就已确定的数据.如Hello World 中的字符串"Hello World!".

未初始化的数据节

这个节的名称一般叫.bbs.

这个节里放有未初始化的全局变量和静态变量.

资源节

资源节一般名为.rsrc

这个节放有如图标,对话框等程序要用到的资源.

资源节是树形结构的,它有一个主目录,主目录下又有子目录,子目录下可以是子目录或数据.

都是一个IMAGE_RESOURCE_DIRECTORY结构.结构如下:

IMAGE_RESOURCE_DIRECTORY 结构

以ID标识的资源数

2

NumberOfldEntries

6

以名字标识的资源数

2

NumberOfNamedEntries

5

次版本号

2

MinorVersion

4

主版本号

2

MajorVersion

3

资源生成时间

4

TimeDateStamp

2

通常为0

4

Characteritics

1

描述

大小(字节)

名字

顺序

引入函数节

一个引入函数是被某模块调用的但又不在调用者模块中的函数

这个节一般名为.idata,也叫引入表.

它包含从其它(系统或第三方写的)DLL中引入的函数,例如user32.dll,gdi32.dll等.

它的开始是一个IMAGE_IMPORT_DESCRIPTOR数组.这个数组的长度不定,但他的最后一项是全0,可以以此判断数组的结束.

引出函数节

什么是引出函数节

引出函数节是用来向系统提供导出函数的名称,序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程.

了解引出函数节对于学习病毒来说,是极为重要的.

Api函数地址的获取与引出函数节息息相关.

引出函数节

通过Api函数名查找其地址

(1)定位到PE文件头

(2)从PE文件头中的课选文件头中取出数剧目录表的第一个数据目录,得到导出表的地址.

(3)从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环.

(4)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数.

(5)如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值,然后在AddressOfNameOrdinals指向的数组中以同样的索引值去除数组项的值,假如该值为m.

(6)以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址,当函数被装入内存后,这个RVA值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址.

木马病毒是什么意思?

什么是木马 特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。 什么是木马 特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。 瑞星杀毒,金山毒霸,木马克星,卡巴斯基杀毒,江民杀毒都可以 木马--并不是一种对自己不利的“病毒”,能够应用和奴驾它的人,就将它看为是一种资源,像一些黑客用木马盗取某些国家或公司的机密文件等等…… 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 一般自己中了木马病毒,首先要认清这是个什么病毒 有的很简单也很好解决,像Trojan.DL.Agent.dqi Trojan/Agent.ls都是很好解决的--先断开网络,然后打开IE浏览器,点工具里的INTERNET选项,然后把INTERNET临时文件夹中的所有文件都删除,最后再用瑞星就可以杀掉了。 参考资料 ;pagelist=171 其实 Trojan是某些防毒软件对后门木马的一种统称,它并不代表着固定的一个,而是一类,所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件,并且有很强的清除能力,如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下,但这里需要特别提醒一点: 由于这类木马新变种层出不穷,所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗?有的,下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan 木马的方法: 使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名,您需要先准确的记录下这个文件名。比如:如果防毒软件提示 C:\Windows\hello.dll 是 Trojan/Agent.l,则记下 C:\Windows\hello.dll 这个名字。这里需要注意文件名一定要记准确,因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近,比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数字0几乎和大写字母O一样,很容易让人看错,所以一定要注意区分它们,否则万一记错将有可能把正常的文件清除掉,那就麻烦了; 暂停防毒软件的实时监控,这一点很重要,否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马,那么请先暂停诺顿的实时监控或实时扫描; 下载费尔木马强力清除助手 ; 释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll,那么这时就输入它; 按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室,建议点“是”表示同意。接着程序会继续提示是否确定要清除它,仍然选“是”; 之后,如果此木马被成功清除程序会提示成功;或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”,这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件,其中会包含这个木马的样本文件,如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系,可以忽略。 最后,如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑,在电脑重启后这个木马应该就被清除掉了。 也有稍顽固的木马,你可以进入DOS彻底删除!

  • 评论列表:
  •  黑客技术
     发布于 2022-07-17 00:20:26  回复该评论
  • 一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。 防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。Trojan.DL.Agent.hqr是什么病毒?有什么危害?感染的应该
  •  黑客技术
     发布于 2022-07-16 16:55:53  回复该评论
  • 字 顺序 节 "节(Section)"跟在节表之后,一般PE文件都有几个"节".比较常见的有: 代码节 已初始化的数据节 未初始化的数据节 资源节 引入函数节 引出函数节 代码节 代码节一般名为.text或CODE,该节含有程序的可执行代码. 每个PE文件都有代码节
  •  黑客技术
     发布于 2022-07-16 23:38:01  回复该评论
  • 件附件发出,捆绑在其他的程序中。 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户
  •  黑客技术
     发布于 2022-07-16 15:07:33  回复该评论
  • 结构中放的是一个节的信息,如名字,地址,长度,属性等. IMAGE_SECTION_HEADER 本节原始数据在文件中的位置 4 PointerToRawData * 5 本节的原始尺寸
  •  黑客技术
     发布于 2022-07-17 02:20:17  回复该评论
  • .data或DATA 已初始化的数据节中放的是在编译时刻就已确定的数据.如Hello World 中的字符串"Hello World!". 未初始化的数据节 这个节的名称一般叫.bbs. 这个节里放有未初始化的全局变量和静态变量. 资源节 资源节一

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.