木马是谁发明的
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。特洛伊木马的故事是在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊沦陷。后人常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。特洛伊木马也是著名电脑木马程序的名字。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
木马病毒的产生严重危害着现代 *** 的安全运行。木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是服务器部分,而所谓的黑客正是利用控制器进入运行了服务器的电脑。运行了木马程序的服务器以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了。
木马病毒是通过什么方式传播的?他们是怎样盗号的?
有些是为了显示自己的技术,这些人一般也不会针对个人用户,
更多的是为了窃取帐号密码,
而且现在的黑客软件很容易得到,
使得更多的别有用心的人利用来牟利。
建议不要去不知名网站,
不要随便打开附件,
不要随便下在可执行程序。
更多的是为了获得经济利益
1、什么是电脑病毒?
也许我们曾听人说过:“电脑有病毒了,赶紧找杀毒软件!”电脑又不是动物和人类,它怎么会有病毒呢?其实,所谓的电脑“病毒”,并不是生物学上的病毒,会导致接触电脑的人生病同,得感冒、肝炎之类的病,而是由人所编写的,存在电脑中的一种短小、特殊的程序,这种程序平时处于“安静”状态,并不马上发作,在一定情况下,它就会发作,对电脑系统造成破坏。例如,小球病毒就是一种电脑病毒,它发作时,会出现许多跳跃的小球,再提示“你的电脑成为石头!”接着,电脑中的数据就慢慢被破坏掉了。使计算机无法启动。另外,蠕虫病毒能通过 *** 邮件系统快速自动扩散传播,在短时间内造成大面积 *** 阻塞或造成世界的互联 *** 瘫痪。有一些病毒还可以通过 *** 任意控制你的计算机,并获得重要文件等等。电脑病毒能够像生物病毒一样,在许多电脑之间传播,危害极大。电脑可以通过软件盘、 *** 传播,使电脑“生病”。
2、病毒的特征:
(1)传染性:可通过各种途径传播。
(2) 隐藏性:计算机病毒总是以欺骗的方式隐藏在各种文件中。
(3)潜伏性
(4) 破坏性
(5)未知性:病毒的技术在不断更新,不断会有新的病毒产生。
3.传播途径:
(1)硬件设备
(2) 移动存储设备
(3) ***
4、电脑的病毒有许多种类,大体上可分为以下几类:
(1)引导型病毒
(2)可执行文件病毒
(3)宏病毒
(4)混合型病毒
(5)特洛伊木马型病毒
(6)Internet语言病毒
5、病毒的预防:
(1)不使用盗版或来历不明的软件
(2) 购买了新的机子、硬盘、软件等要进行病毒检测。
(3)随时注意各种异常现象。
(4)拥有一套正版杀毒软件。
(5)经常将防毒软件升级。
游盘现在也是传播病毒的一种新途径
什么是启发型木马病毒?
启发式究竟指什么―启发式‖(Heuristic)是指探索和发现的行为或过程。牛津英文词典将启发式定义为―让某人能够自主的探索和学习‖或者(在计算领域)―仅依靠宽泛的定义,或者依靠不断尝试和汲取失败经验教训的 *** 来解决问题[6]。‖韦氏词典将其定义为―依靠实验尤其是反复试验,通过尝试和汲取失败经验教训的 *** ,来帮助学习、探索或者解决问题‖或者(在计算领域)―一种利用自主学习的手段(通过反馈的评估)来提高表现,以探索解决问题的技术[7]。‖ 启发式程序通常被认为是一种具有人工智能的应用程序,而且也是一种解决问题的工具。启发式程序的编写,例如用于专门系统的程序,建立于一些从经验中提取的规则,它通过不断积累经验产生更好的解决 *** ,并且增加自己的知识库。
当启发式分析被用于处理恶意软件时(当然还包括垃圾邮件和流氓软件),尽管涉及反复试验和从经验中学习的原理,却又有更多限定的含义。启发式分析使用基于规则的 *** 来诊断一个有潜在威胁的文件(或信息,如果是分析垃圾邮件的话)。分析引擎的工作是基于自身规则库的,它依据规则检查恶意软件存在的可能性,当找到一个匹配的规则时就为其分配一个分值。如果这些分值达到或超过了一个阈值[8],这个文件就会被标记为可疑文件(或者潜在的恶意软件、垃圾邮件)并进行处理。 某种意义上来说,针对反恶意软件的启发式技术,尝试的是模拟人类的智能分析 *** 。与恶意软件分析人员设法判定某个软件的行为和动作相同,启发式分析执行相同的智能决策过程,有效地担当虚拟分析师的角色。恶意软件分析人员从出现的新生威胁中不断学习,并将他的知识通过编程应用于启发式分析器,以提高今后的检测率。
启发式编程在反病毒软件性能中有着双重的任务:速度和检测。事实上,―启发式‖这个术语在其他科学领域也有类似的含义[9];即专注于通过达到―足够好‖的结果(尤其指数据吞吐速度)而非―完美的‖结果来提高性能。当已知病毒的数量与日俱增,就需要提高检测速度。否则,增长的恶意软件数量所带来额外扫描时间,会降低系统的使用效率。 否定式启发
一种检测规则或标准,如果检测对象符合标准,则不是病毒或恶意软件的可能性减小。肯定式启发
一种检测规则或标准,如果检测对象符合标准,则是病毒或恶意软件的可能性加大。 误杀漏杀原因争论的焦点在于,判断一个程序是不是木马程序(或恶意软件),是否应更多根据其目的来界定,而非功能来界定。例如,一个键盘记录程序如果是经过用户授权或用户自愿安装的,即使它的功能与木马程序是相同的,那么它也不算是木马程序。这会给检测带来问题,因为电脑在判断目的方面的能力弱于人类。
间谍软件和广告软件(可能由于媒体的过多关注,以及大量针对性产品的存在)已经被划分为了不同恶意软件的子类。尽管人们经常争论,广告软件不一定就是恶意软件,但这种区别是大多情况下没有意义的。而同样的争论也适用于该类别的几乎所有其他项目,因为一个程序的行为并不能作为判定恶意软件的标准,而是在于程序员的不良意图与用户期望值之间存在着的差别。 病毒三大类文件病毒
期待反病毒软件检测病毒,当然是合情合理的。因为多年来反病毒软件在检测病毒方面如此成功,也正是由于这部分原因,以至于它检测其它类型恶意软件的能力被低估了。
虽然病毒有很多种定义,但一种被恶意软件研究者普遍接受的定义是―病毒是一种计算机程序,它能通过将复制自身(或者自身的变体)修改计算机中的其他程序,以达到感染目的‖ [1, 2]。 这个定义涵盖了很多种类型的病毒,包括:
�8�4 引导型病毒,硬盘分区病毒
�8�4 文件型病毒(寄生病毒)
�8�4 混合型病毒
�8�4 宏病毒和脚本病毒尽管有些病毒类型现在已经很少见了(比如引导型病毒和硬盘分区病毒),但是反病毒程序一般都能检测在该平台上(有时包括其它平台)发现的这类已知病毒。通常,反病毒软件也善于通过启发式的方式检测新的或未知的病毒种类。蠕虫
业界从未在蠕虫的定义上真正地达成一致,如科恩所说―蠕虫是一种病毒的特例‖ [1],但不论蠕虫是怎样的特例,反病毒软件通常都能检测它们。 对于蠕虫的不同定义甚至比针对病毒的还要多,但是大部分反病毒研究者将蠕虫定义为一种以非寄生方式复制的程序,也就是说,它不把它自身附加到一个寄主文件上。邮件群发者可以描述为一种特殊类型的蠕虫. 多数反病毒厂商将这种通过电子邮件传播的恶意软件视为蠕虫,但是一些邮件群发者具有纯病毒的特点(比如,Melissa事实上是一种纯病毒,一种能够像蠕虫一样传播的宏病毒,而W32/Magistr则是一种文件型病毒)。 对于新型蠕虫变种的检测,厂商同样有很好的手段。比如说,新型邮件群发器几乎在出现的同时,就被通信安全服务供应商及其系统列入了黑名单.
非复制型恶意软件
这个定义是根据上文的定义得出来的,即如果一个恶意软件不具有复制能力,那它就不是病毒或者蠕虫。但是这并不意味着反病毒软件不能检测到它,除非其不具有威胁。
要说明的是,即使当反病毒厂商过去常以非复制型的对象不是病毒为由拒绝对它们的检测时,一些非自我复制的对象(它们当中的一些甚至不是可执行程序,更不要说是有恶意的了)仍然能被检测到并且报毒。例如:�8�4 未遂病毒(复制自身失败的病毒)和损坏的病毒
�8�4 垃圾文件
�8�4 与病毒相关的非病毒程序,如病毒原体,释放器,病毒生成器
�8�4 合法的测试程序如EICAR测试文件[4]
许多已传播多年的非复制型病毒,由于管理不善,仍然被一些评测机构作为样本,用于针对杀毒软件的测试中。绝大部分厂商早已不再拒绝将这些病毒的特征码添加到其产品的病毒库中,避免因没有检测出这些病毒样本,而取得不理想的测试成绩。遗憾的是,日趋复杂的启发式扫描引擎,也只是刚好跟上了杀毒软件测试者不断更新的测试手段,有时新的测试手段也并非恰当。本文的后面部分会简略地分析测试产品启发式扫描能力时,技术上可接受的方式。 人们了解最多的非复制型恶意软件是木马程序(或简称为木马)。木马程序声称能执行一些有用的操作或提供一些必要的功能,可能也确实如此。但同时它也会执行一些用户并不希望或不需要的操作。这包括一系列特定的恶意软件:
�8�4 病毒释放器;
�8�4 键盘记录器;
�8�4 破坏性木马程序;
�8�4 下载者;
�8�4 间谍程序;
�8�4 广告程序;
�8�4 内核后门与stealthkits
�8�4 玩笑程序;
�8�4 僵尸程序 (机器人程序, 远程控制木马, DDoS 客户端等)
可自我复制的恶意软件(如病毒)有时也被认为是木马程序(或称为木马型病毒,这表示这种木马通过将一个以前合法的程序损坏,修改或替换而引起破坏),大部分人可能会发现这样的分类所带来的困惑多于帮助。检测出所有非复制型恶意软件要比检测出所有形式的病毒更加困难,因为不仅要测试程序的复制能力,还要测试程序的一系列作用。
检测出的木马程序,如何确定有否危害
同意楼上几位的看法.然后给你解释下:
0x64a0a937指令引用的0x00af7006内存.该内存不能为read
出现这个现象有方面的,一是硬件,即内存方面有问题,二是软件,这就有多方面的问题了。
一:先说说硬件:
一般来说,电脑硬件是很不容易坏的。内存出现问题的可能性并不大(除非你的内存真的是杂牌的一塌徒地),主要方面是:1。内存条坏了(二手内存情况居多)、2。使用了有质量问题的内存,3。内存插在主板上的金手指部分灰尘太多。4。使用不同品牌不同容量的内存,从而出现不兼容的情况。5。超频带来的散热问题。你可以使用MemTest 这个软件来检测一下内存,它可以彻底的检测出内存的稳定度。
二、如果都没有,那就从软件方面排除故障了。
先说原理:内存有个存放数据的地方叫缓冲区,当程序把数据放在缓冲区,需要操作系统提供的“功能函数”来申请,如果内存分配成功,函数就会将所新开辟的内存区地址返回给应用程序,应用程序就可以通过这个地址使用这块内存。这就是“动态内存分配”,内存地址也就是编程中的“光标”。内存不是永远都招之即来、用之不尽的,有时候内存分配也会失败。当分配失败时系统函数会返回一个0值,这时返回值“0”已不表示新启用的光标,而是系统向应用程序发出的一个通知,告知出现了错误。作为应用程序,在每一次申请内存后都应该检查返回值是否为0,如果是,则意味着出现了故障,应该采取一些措施挽救,这就增强了程序的“健壮性”。若应用程序没有检查这个错误,它就会按照“思维惯性”认为这个值是给它分配的可用光标,继续在之后的执行中使用这块内存。真正的0地址内存区储存的是计算机系统中最重要的“中断描述符表”,绝对不允许应用程序使用。在没有保护机制的操作系统下(如DOS),写数据到这个地址会导致立即当机,而在健壮的操作系统中,如Windows等,这个操作会马上被系统的保护机制捕获,其结果就是由操作系统强行关闭出错的应用程序,以防止其错误扩大。这时候,就会出现上述的内存不能为“read”错误,并指出被引用的内存地址为“0x00000000“。内存分配失败故障的原因很多,内存不够、系统函数的版本不匹配等都可能有影响。因此,这种分配失败多见于操作系统使用很长时间后,安装了多种应用程序(包括无意中“安装”的病毒程序),更改了大量的系统参数和系统档案之后。
在使用动态分配的应用程序中,有时会有这样的情况出现:程序试图读写一块“应该可用”的内存,但不知为什么,这个预料中可用的光标已经失效了。有可能是 “忘记了”向操作系统要求分配,也可能是程序自己在某个时候已经注销了这块内存而“没有留意”等等。注销了的内存被系统回收,其访问权已经不属于该应用程序,因此读写操作也同样会触发系统的保护机制,企图“违法”的程序唯一的下场就是 *** 作终止执行,回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊!像这样的情况都属于程序自身的BUG,你往往可在特定的操作顺序下重现错误。无效光标不一定总是0,因此错误提示中的内存地址也不一定为 “0x00000000”,而是其它随机数字。
首先建议:
1、 检查系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统,从而导致操作系统异常。平常应加强信息安全意识,对来源不明的可执行程序绝不好奇。
2、 更新操作系统,让操作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。有时候操作系统本身也会有BUG,要注意安装官方发行的升级程序。
3、 尽量使用最新正式版本的应用程序、Beta版、试用版都会有BUG。
4、 删除然后重新创建 Winnt\System32\Wbem\Repository 文件夹中的文件:在桌面上右击我的电脑,然后单击管理。在"服务和应用程序"下,单击服务,然后关闭并停止 Windows Management Instrumentation 服务。 删除 Winnt\System32\Wbem\Repository 文件夹中的所有文件。(在删除前请创建这些文件的备份副本。)打开"服务和应用程序",单击服务,然后打开并启动 Windows Management Instrumentation 服务。当服务重新启动时,将基于以下注册表项中所提供的信息重新创建这些文件: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\Autorecover MOFs
下面搜集几个例子给大家分析:
例一:IE浏览器出现“0x0a8ba9ef”指令引用的“0x03713644” 内存,或者“0x70dcf39f”指令引用的“0x00000000”内存。该内存不能为“read”。要终止程序,请单击“确定”的信息框,单击“确定”后,又出现“发生内部错误,您正在使用的其中一个窗口即将关闭”的信息框,关闭该提示信息后,IE浏览器也被关闭。解决 *** :
1、 开始-运行窗口,输入“regsvr32 actxprxy.dll”回车,接着会出现一个信息对话 框“DllRegisterServer in actxprxy.dll succeeded”,确定。再依次运行以下命令。(这个 *** 有人说没必要,但重新注册一下那些.dll对系统也没有坏处,反正多方下手,能解决问题就行。)
regsvr32 shdocvw.dll
regsvr32 oleaut32.dll
regsvr32 actxprxy.dll
regsvr32 mshtml.dll
regsvr32 msjava.dll
regsvr32 browseui.dll
regsvr32 urlmon.dll
2、 修复或升级IE浏览器,同时打上系统补丁。看过其中一个修复 *** 是,把系统还原到系统初始的状态下。建议将IE升级到了6.0。
例二:有些应用程序错误: “0x7cd64998” 指令参考的 “0x14c96730” 内存。该内存不能为 “read”。解决 *** :Win XP的“预读取”技术这种更佳化技术也被用到了应用程序上,系统对每一个应用程序的前几次启动情况进行分析,然后新增一个描述套用需求的虚拟“内存映像”,并把这些信息储存到Windows\Prefetch文件夹。一旦建立了映像,应用软件的装入速度大大提高。XP的预读取数据储存了最近8次系统启动或应用软件启动的信息。建议将虚拟内存撤换,删除Windows\Prefetch目录下所有*.PF文件,让windows重新收集程序的物理地址。
例三:在XP下双击光盘里面的“AutoRun.exe”文件,显示“0x77f745cc”指令引用的“0x00000078”内存。该内存不能为 “written”,要终止程序,请单击“确定”,而在Windows 98里运行却正常。解决 *** :这可能是系统的兼容性问题,winXP的系统,右键“AutoRun.exe”文件,属性,兼容性,把“用兼容模式运行这个程序”项选择上,并选择“Windows 98/Me”。win2000如果打了SP的补丁后,只要开始,运行,输入:regsvr32 c:\winnt\apppatch\slayerui.dll。右键,属性,也会出现兼容性的选项。
例四:RealOne Gold关闭时出现错误,以前一直使用正常,最近却在每次关闭时出现“0xffffffff”指令引用的“0xffffffff”内存。该内存不能为 “read” 的提示。解决 *** :当使用的输入法为微软拼音输入法2003,并且隐藏语言栏时(不隐藏时没问题)关闭RealOne就会出现这个问题,因此在关闭RealOne 之前可以显示语言栏或者将任意其他输入法作为当前输入法来解决这个问题。
例五:我的豪杰超级解霸自从上网后就不能播放了,每次都提示“0x060692f6”(每次变化)指令引用的“0xff000011”内存不能为 “read”,终止程序请按确定。解决 *** :试试重装豪杰超级解霸,如果重装后还会,到官方网站下载相应版本的补丁试试。还不行,只好换就用别的播放器试试了。
例六:双击一个游戏的快捷方式,“0x77f5cd0”指令引用“0xffffffff”内 存,该内存不能为“read” ,并且提示Client.dat程序错误。解决 *** :重装显卡的最新驱动程序,然后下载并且安装DirectX9.0。
例七:一个朋友发信息过来,我的电脑便出现了错误信息:“0x772b548f”指令引用的“0x00303033”内存,该内存不能为 “written”,然后 *** 自动下线,而再打开 *** ,发现了他发过来的十几条的信息。解决 *** :这是对方利用 *** 的BUG,发送特殊的代码,做 *** 出错,只要打上补丁或升级到最新版本,就没事了。
木马HEUR/Malware.QVM28.Gen是什么来的?作用是什么?对电脑伤害大不?
有点像木马,推荐使360急救箱查杀和修复系统,它应该会破坏系统文件
木马是什么?听说可以绑在文件上?怎么使?哪能找到木马?
到搜索引擎找木马生成器,再用记事本打开文件(如图片,音乐,电影等),把病毒挂上去,就可以了~再不会的可以上网搜索木马捆绑教程就可以啦!
0条大神的评论