今天給各位分享j2@的知識，其中也會對j2me模擬器進(jìn)行解釋，現(xiàn)在開始吧！

Trojan heur/Win32.rp.beW@assj2@p病毒重啟之后就有，怎么能徹底刪除?

第一

先關(guān)閉所有無關(guān)的程序，然后，偶們開始檢查當(dāng)前進(jìn)程，當(dāng)前進(jìn)程是什么呢？當(dāng)前進(jìn)程就是現(xiàn)在所有正在運(yùn)行的程序！查看當(dāng)前進(jìn)程，就是查看現(xiàn)在有哪些程序正在運(yùn)行，如果有未知的程序呢？可能就是木馬了，因為通常木馬也是做為一個程序存在的。

怎么看當(dāng)前進(jìn)程呢？ 請借助專業(yè)工具，實在沒有工具時，再同時按下Ctrl + Alt + Delete鍵調(diào)出任務(wù)管理器來查看。

那什么樣子的程序是未知程序呢？

這里，我要再強(qiáng)調(diào)一下子，一定要找一個能夠?qū)M(jìn)程文件進(jìn)行數(shù)字簽名驗證的進(jìn)程查看工具，不然你無法區(qū)分某一進(jìn)程是否為可疑進(jìn)程，只憑文件名字是完全不夠用的。

如果一個進(jìn)程不是系統(tǒng)進(jìn)程，也不是你正在運(yùn)行的某一程序的進(jìn)程，那這個進(jìn)程就是我們說的可疑進(jìn)程。（不能通過數(shù)字簽名驗證的為非系統(tǒng)進(jìn)程）

找到了可疑進(jìn)程又如何呢？殺掉后刪除么？

NO，不要?dú)⑺粴⒌脑蛴腥c(diǎn)：

1、殺掉它的結(jié)果是什么，很難預(yù)料，如果其正在與其它程序或內(nèi)核驅(qū)動進(jìn)行交互，你殺它，很可能就是自殺，會把系統(tǒng)殺崩的。

2、殺掉并刪除它，并不會清除它寫入注冊表的啟動項，這樣每次開機(jī)時仍然會嘗試加載這個程序，雖然文件已經(jīng)不在，無法使木馬運(yùn)行，但每次的試圖加載，都是需要時間的，這也是系統(tǒng)變慢的一個原因所在。

3、最后，只憑上面的檢測，只能說明這個進(jìn)程是可疑進(jìn)程，但無法就此確認(rèn)這就是木馬，所以，你現(xiàn)在殺掉它，很可能會誤殺～

那應(yīng)該怎么辦呢？答案是不理它，找到后，把文件名字記下來，然后進(jìn)行下一步的檢查工作，暫時不要理它。

如果沒找到呢？

那說明，你的機(jī)器可能很干凈，沒有木馬。

或者，木馬是進(jìn)程隱藏或無進(jìn)程木馬。

進(jìn)程隱藏型的怎么辦呢？

我們先了解一些木馬隱藏進(jìn)程的手段～

當(dāng)前流行的木馬隱藏進(jìn)程的手段如下：

0、初級隱藏，查找任務(wù)管理器窗口枚舉子窗口找到列進(jìn)程的列表框，把自己的名字抺去～，這種用一般專業(yè)工具即可查。

1、中級隱藏，HOOK Win32API 過濾掉馬兒自己的進(jìn)程。只要是驅(qū)動級別的進(jìn)程管理工具基本都可以查。

2、中高級隱藏，HOOK SSDT NtQuerySystemInformation，過濾掉馬兒自己的進(jìn)程，具有恢復(fù)SSDT功能的驅(qū)動級工具可查。

3、次高級隱藏，INLINE HOOK SSDT，過濾掉自己進(jìn)程，恢復(fù)INLINE的或直接枚舉進(jìn)程鏈的可查。

4、準(zhǔn)高級隱藏，自活動進(jìn)程鏈中摘除自己的進(jìn)程，基于線程調(diào)度鏈表檢測技術(shù)的工具可查。

5、高級隱藏，繞過內(nèi)核調(diào)度鏈表隱藏進(jìn)程，基于HOOK－KiReadyThread技術(shù)來檢測的工具可查。

對于隱藏進(jìn)程，請使用具有相應(yīng)功能的檢查工具來檢查～

當(dāng)然了，我們也不一定死乞白咧的非要把木馬隱藏的進(jìn)程找出來，實在找不出，就當(dāng)沒有或當(dāng)作無進(jìn)程的木馬，直接進(jìn)行下一步檢查就可以了。

因為，進(jìn)程檢查只是檢查的手段之一，看不到、殺不掉木馬的進(jìn)程，并不妨礙我們把木馬清掉。

OK，無論對進(jìn)程的檢查結(jié)果如何，我們接下來都要開始下一步的檢查，模塊檢查！

參照圖如下：

下面的圖是一張進(jìn)程檢查圖（請以數(shù)字簽名驗證的結(jié)果為主，以文件路徑名字為輔來判斷，瑞星殺毒軟件的進(jìn)程不是系統(tǒng)進(jìn)程，但通過文件名字與路徑，我們可以知道，這是瑞星的主控程序，呵呵，不要死心眼，要多方面結(jié)合起來判斷～ ^-^）：

第二章 模塊篇

模塊是什么？模塊，是指具備某一種或某一類功能的特殊功能模塊，其外在的表現(xiàn)形式通常為各種動態(tài)庫文件（通常以.dll為擴(kuò)展名字）或插件文件（通常以.OCX為擴(kuò)展名字）。它們由應(yīng)用程序加載，來為程序提供某一特定的功能。

就像我們的電視機(jī)，如果加了一個衛(wèi)星天線，就可以收到更多的節(jié)目一樣，衛(wèi)星天線本身是與電視機(jī)無關(guān)的，但它一但被電視機(jī)所用，就可以為電視機(jī)提供額外的功能。衛(wèi)星天線相對于電視機(jī)，也就是相當(dāng)于模塊相對于程序。

每個進(jìn)程都有幾個到上百個不等的模塊，每個模塊都有其特定的用途，當(dāng)然了，如果某個模塊是木馬的話，也有其木馬用途。

當(dāng)進(jìn)程檢查流行起來，且檢查的越來越深入時，木馬的制造者們開始制作無進(jìn)程木馬，木馬是做為一個模塊出現(xiàn)的，這樣它將不存在于進(jìn)程列表中。無論你用何等高級的進(jìn)程檢測技術(shù)都無法檢測到模塊木馬的存在。

一臺電腦中，進(jìn)程可能有十幾個或幾十個，但模塊卻有好幾百個，數(shù)量的增多也增加了我們檢測的難度。

對檢測工具的要求，仍然是需要具備數(shù)字簽名驗證的能力，否則手工從幾百個模塊文件中挑出木馬，真的很累～（木馬模塊的檢查，請看下面的圖）

找到后怎么辦呢？

呵呵，上次有朋友遇到過這問題，結(jié)果是他用暴力手段給卸載并刪除了～，應(yīng)該這樣處理么？

答案仍然是否定的！

不要暴力卸載并刪除～～原因么？原因先緩一緩再說，我們先了解一下兒模塊木馬的啟動運(yùn)行機(jī)制，然后再解釋為什么不要暴力卸載刪除。

模塊木馬分為兩種：一種是靜態(tài)加載的，一種是動態(tài)注入的。

靜態(tài)加載的，是把自己的木馬文件，在注冊表的某鍵下注冊，這樣，系統(tǒng)會在開機(jī)或運(yùn)行某一程序時自動的加載在這一鍵下注冊的所有模塊，這樣，木馬就實現(xiàn)了進(jìn)入到程序中，并執(zhí)行其非法活動的目的。（在注冊表的哪些鍵下注冊可以讓系統(tǒng)加載，在后面的啟動項檢查中會有解釋）

動態(tài)加載的，這類木馬就是所謂的進(jìn)程注入型木馬，它的實現(xiàn)不但需要有一個模塊文件，還需要有一個將模塊文件注入到進(jìn)程中的注入程序。先將注入程序啟動，然后由注入程序?qū)⒛K木馬注入到其它的進(jìn)程中，完成注入后，注入程序就結(jié)束了運(yùn)行，這樣，你仍然無法看到進(jìn)程。

現(xiàn)在明白為什么不能暴力卸載并刪除了么？

暴力卸載并刪除后，如果是靜態(tài)加載的，那注冊表中仍然會留下加載項，每次開機(jī)或相關(guān)程序運(yùn)行時仍然會償試加載該模塊，如果多了，會導(dǎo)至系統(tǒng)運(yùn)行變慢。

如果是動態(tài)加載的，那你卸載并刪除的僅僅是模塊木馬，注入程序卻仍然留在你的機(jī)器上。如果此木馬設(shè)計的比較合理，那它應(yīng)該是有模塊文件備份的，這樣，當(dāng)你再次開機(jī)時，會發(fā)現(xiàn)，你暴力刪除的模塊文件又重新回到了你的機(jī)器上，你永遠(yuǎn)刪不干凈。如果此木馬設(shè)計的不合理或比較狠毒，那就只有上帝和木馬的制造者才知道會發(fā)生事情了～～ -_-!

即然不能暴力刪除，那找到后應(yīng)該如何呢？與進(jìn)程一樣，抄下模塊文件的路徑與名字，然后，開始下一步的檢查，暫時不要理它。

即然說到了無進(jìn)程木馬，那就不得不說“線程注入型木馬”，進(jìn)程注入型的木馬注入到進(jìn)程中的是一個模塊，也就是說，必須有一個模塊文件的存在，這樣我們可以找到這個模塊并通過對其文件進(jìn)行簽名驗證來找出注入木馬；而線程注入型的木馬，注入到進(jìn)程中的卻只是一段代碼，是沒有文件存在的，雖然可以查看每個進(jìn)程的各個線程，但想發(fā)現(xiàn)并找出哪一個線程是木馬的，不能說絕不可能，但也幾乎是不可能的了，能找出的是非常高的高人，絕不是我～看看下面的第二張圖，是EXPLORER.exe的線程列表，能看出什么么？

（順便說一句，那張圖是ProcessExplorer的截圖，非常非常出名且非常非常好用的進(jìn)程管理工具，在這里可以下載： ）

那對這種線程注入型的木馬又怎么辦呢？

幸好，線程注入型的木馬也需要有一個注入程序來配合，我們找出線程很難，但找出他的注入程序就好辦多了。

現(xiàn)在，無論你是否找到了可疑的模塊或線程，我們都要開始下一步的檢查，啟動項檢查！

第三章 自啟動項篇

自啟動項是什么？自啟動項，就是程序在系統(tǒng)的某處進(jìn)行登記之后，每次開機(jī)系統(tǒng)會自動將程序運(yùn)行，而程序登記的項，就叫做自啟動項。

木馬都不會甘心只運(yùn)行一次就結(jié)束的，它若想在你的電腦中安家，就肯定要每次開機(jī)都運(yùn)行起來，這樣，才能達(dá)到自我保護(hù)、且正常進(jìn)行木馬工作的目的。

一般的木馬都會有一處或多處自啟動項，這也成了查找木馬時必查的一步。（這只說的是一般的木馬，當(dāng)然就還有二般的不需要自啟動項的木馬，這個我們放在后面說）

查找木馬的自啟動項，很關(guān)鍵也很重要，相對的對工具的要求也很高。

系統(tǒng)中到底有多少處地方可以讓程序自動運(yùn)行呢？汗～～偶也不知道，偶只能說N多～～所以，要找個查的全的工具來檢查，且要找好幾個來檢查，這樣結(jié)合起來，應(yīng)該就夠全了。任何一個也不敢說它能把系統(tǒng)中所有的啟動位置全列出來。所以，對啟動項檢查工具的第一要求是要夠全！

只全就夠了么?當(dāng)然還不夠，還有一點(diǎn)跟上面相同，也要能進(jìn)行數(shù)字簽名驗證的，免得它起個系統(tǒng)文件的名字蒙混過去。

還有就是要能夠檢測隱藏的啟動項，同樣的，我們先了解木馬隱藏啟動項用到的技術(shù)：

0、木馬沒隱藏，只是找了個隱蔽的位置而已，這就要看所用的工具程序枚舉的項夠不夠全了。

1、木馬隱藏在應(yīng)用層次，HOOK了Win32API中的相關(guān)注冊表枚舉函數(shù)，這樣的馬兒很容易檢測，任何一個驅(qū)動級別的檢測程序都可以勝任。

2、木馬隱藏在內(nèi)核層，HOOK了SSDT，這樣的馬兒，一般的就不行了，得找能恢復(fù)SSDT的專業(yè)檢測程序。

3、木馬隱藏在內(nèi)核層且很無恥，INLINE－HOOK了相關(guān)服務(wù)函數(shù)，這樣的馬兒絕大多數(shù)檢程序就都不行了，需要找能恢復(fù)INLINE-HOOK的程序。

4、木馬隱藏在最底層，通過查找特征碼的方法INLINE-HOOK了微軟未公開的底層函數(shù)如Cm*系列的函數(shù)，嘿，已經(jīng)很難再比它更底層了，這樣的馬兒只有采用HIVE文件掃描方式的檢測程序或?qū)ｉT恢復(fù)底層INLINE-HOOK的工具才能找到它。

這四種隱藏方式都是已經(jīng)有流氓軟件或木馬使用先例的～，所以不要報有僥幸心理，認(rèn)為木馬不會采用這種高級的技術(shù)，所以，檢查啟動項最好是多用幾個工具配合起來檢查，功能強(qiáng)的通常不夠全，嘿，可能高手都比較懶吧～

OK，我們開始檢查吧～ 先把HOOK、INLINE-HOOK都恢復(fù)了，再運(yùn)行工具開始檢查，還記得我們前面找到的可疑模塊與可疑進(jìn)程么，這時就用到了，把找出來的啟動項與那些對比一下兒，看看是不是有它們的啟動項在里面。

有？OK，備份注冊表，然后刪除啟動項。刪除不掉？是不是忘記恢復(fù)HOOK了？恢復(fù)了，那打開注冊表編輯器，看看你有沒有權(quán)限刪除這個鍵，在欲刪除的鍵上面按右鍵，選權(quán)限，再選“完全控制”就可以刪除了，呵呵，這只是它玩的一個小障眼法兒。

刪除后，又有了？這也沒關(guān)系，這時你有兩個選擇，一是先結(jié)束掉它的進(jìn)程，卸載掉它的模塊，以使它失去重寫的能力。二是，開啟“系統(tǒng)鎖定”功能，把系統(tǒng)臨時鎖起來，不允許任何程序?qū)ψ员磉M(jìn)行寫入。這時再刪除它就沒問題了。

刪除完成后，重啟計算機(jī)。

不是記下了可疑的進(jìn)程與模塊了么？再檢查一下子，看它們還在不在？不在了，恭喜，你完成了你的木馬查殺工作。

還在？

呵呵，也不要怕，如果還在，證明你并沒有真正的完全清除掉它的啟動項；可能原因是：

1、這只木馬還采取了觸發(fā)式的啟動機(jī)制。

2、它還有其它的保護(hù)機(jī)制，比如影子程序或驅(qū)動；

接下來讓我們繼續(xù)解剖觸發(fā)式啟動的木馬～～

第四章 觸發(fā)式木馬

上面我說了一般木馬的查殺方法，通過上面的查殺，大多數(shù)木馬都可以清掉了。（上次忘記寫了，重啟后，如木馬已經(jīng)不能啟動了，接下來當(dāng)然就是把記下來的木馬文件全部刪掉了）

接著我來說一說觸發(fā)式木馬，什么叫觸發(fā)式木馬呢？觸發(fā)式木馬是當(dāng)您進(jìn)行某一操作時會觸發(fā)木馬的啟動機(jī)制，使得木馬啟動，如果你永遠(yuǎn)不進(jìn)行這一操作，而木馬則永遠(yuǎn)不會啟動。一般的木馬都是主動啟動并運(yùn)行的，而安全檢查工具與殺毒軟件檢查的也大多是主動啟動式的木馬，比如對自啟動項進(jìn)行檢查，查的就是開機(jī)后自動主動運(yùn)行的。只對少數(shù)的常見的可以觸發(fā)木馬啟動的項進(jìn)行檢查，而觸發(fā)木馬啟動的地方操作卻很多，這就是這種木馬很難殺干凈的原因。

其表現(xiàn)為，清除后的當(dāng)時系統(tǒng)很正常，當(dāng)時檢查機(jī)器也很干凈，但用不了多長時間，木馬又死灰復(fù)燃，再度出現(xiàn)。

現(xiàn)在我們開始實際動手查殺這些難纏的家伙們！

需要說明的是，這里為了講起來有條理，清楚易懂，所以是分開來講的，實際查殺起來，當(dāng)然是可以一起來做的。（檢查進(jìn)程、啟動項時，就可順手檢查下面的這些）

最常見的也是我們首先要檢查的當(dāng)然就是Autorun.inf了，這是個什么東西呢？這是一個配置文件，看名字，翻譯過來不就是“自動運(yùn)行”么，是的，這個正常用途是用于光盤的自動播放，就是將光盤插入光驅(qū)后，系統(tǒng)會自動運(yùn)行Autorun.inf里面指定的程序。

后來被一些人用于了硬盤，當(dāng)將這個文件放在硬盤分區(qū)的根目錄下時，在盤符上點(diǎn)右鍵，會發(fā)現(xiàn)默認(rèn)的操作就是“自動播放”而不是打開。這時，你雙擊某一盤符時，就不再是打開并瀏覽文件夾，而是直接運(yùn)行指定的程序（還需要改注冊表的某個地方，因與我們查殺無關(guān)就不說了，免得被壞人利用）。

你查殺木馬病毒時如果采取的是暴力刪除，那么，程序刪除后，Autorun.inf這個文件卻仍然還在，會出現(xiàn)后遺癥，表現(xiàn)為無法雙擊打開磁盤。（順便提一句，熊貓燒香采用的就是這種觸發(fā)方式與自啟動項相結(jié)合的）

由于，你雙擊磁盤會觸發(fā)木馬的啟動，所以查殺時，要右鍵單擊，再選擇“打開”或用“資源管理器”來查看，找到后刪除此文件。

通常此文件會以隱藏文件的形式出現(xiàn)，更有些惡毒的會加上“注冊表監(jiān)控并回寫”來為文件隱藏護(hù)航，你一旦更改系統(tǒng)為“顯示所有文件”，它馬上會再次改為“不顯示隱藏文件”，如何破除這種注冊表回寫保護(hù)，上面的貼子里寫過方法了，這里不再重復(fù)。

另一種觸發(fā)方式是修改文件關(guān)聯(lián)，什么叫文件關(guān)聯(lián)呢？文件關(guān)聯(lián)就是某一類型的文件與某一程序的對應(yīng)關(guān)系，要知道，我們的系統(tǒng)中有無數(shù)種文件格式，比如：圖片文件（以.bmp .jpg .gif等為擴(kuò)展名）、音樂文件(mp3 mp4等）......當(dāng)你雙擊一個圖片時，系統(tǒng)會調(diào)用看圖程序來打開并顯示圖片，而不是調(diào)用播放器來播放圖片，系統(tǒng)為什么會知道要調(diào)用看圖程序而不是調(diào)用播放器呢？這就是因為文件關(guān)聯(lián)的存在，在注冊表中，圖片文件已經(jīng)與看圖程序關(guān)聯(lián)在了一起，相應(yīng)的，音樂文件與播放器關(guān)聯(lián)在了一起，大多數(shù)類型的文件都與某一特定程序有關(guān)聯(lián)。這樣，系統(tǒng)才知道，打開什么樣的文件需要調(diào)用什么程序。

聰明的您已經(jīng)知道木馬是如何利用文件關(guān)聯(lián)來觸發(fā)了吧？是的，狡猾的木馬就是把某一特定類型文件的關(guān)聯(lián)改為了與它自己關(guān)聯(lián)，這時你一旦打開這一類型的文件就會觸發(fā)木馬的啟動。由于木馬啟動后，會由它再調(diào)用正常的關(guān)聯(lián)程序，所以，文件仍然會正常打開，而你也就不知道其實你的操作已經(jīng)將木馬啟動了起來。

木馬會改哪種文件的關(guān)聯(lián)呢？咳，這我哪知道呢，這只有上帝與木馬的作者才知道。

系統(tǒng)中又有多少文件關(guān)聯(lián)可供它改呢？你打開注冊表編輯器看看第一大項下面的子項就知道有多少了，怎么也上千個吧。

如何查殺呢？

一般的木馬會改一些你會經(jīng)常用到的文件的關(guān)聯(lián)，比如：文本文件、程序文件、網(wǎng)頁文件等。而網(wǎng)上有很多恢復(fù)文件關(guān)聯(lián)的程序或注冊表導(dǎo)出文件都可以恢復(fù)這些常見的文件關(guān)聯(lián)。

但這樣檢查顯然是遠(yuǎn)遠(yuǎn)不夠的，如果你是木馬的作者，你知道這些常見的文件關(guān)聯(lián)會被檢查并恢復(fù)，你還會改這些么？就不會了吧，因為可供你選擇的太多了。比如：選擇修改.rar文件的關(guān)聯(lián)，這是類文件是壓縮文件，網(wǎng)上提供下載的程序有很多是以這類文件格式存在的，所以一般上網(wǎng)的網(wǎng)民打開壓縮文件的機(jī)率會非常高，而恢復(fù)這一文件關(guān)聯(lián)的程序幾乎沒有，因為恢復(fù)后的直接結(jié)果就是壓縮文件打不開了，因為恢復(fù)程序的作者不是神仙，他不知道你用的是哪個壓縮軟件，你的壓縮軟件又安裝在了哪里，所以，他不會給你恢復(fù)這個的。

這樣，只要你打開壓縮文件，就會觸發(fā)木馬，如果這個木馬的關(guān)聯(lián)文件是一個影子程序的話，那由于影子程序都不具備病毒特征，所以全盤文件掃描也不會將它找出來，你找到并清除的都是這個程序的釋放體，而源頭還在，從此，木馬將成為你揮之不去的惡夢～（關(guān)于影子程序我們下一次細(xì)講）

文件關(guān)聯(lián)如何檢查呢？兩種方法，一種是通過監(jiān)控得到哪個文件關(guān)聯(lián)被修改的，然后再改回去。第二種是用專業(yè)軟件，對所有文件關(guān)聯(lián)進(jìn)行掃描。

如何通過監(jiān)控得到文件關(guān)聯(lián)是否正確呢？

首先，找個進(jìn)線程監(jiān)控的工具程序，打開“進(jìn)線程監(jiān)控”，然后不斷的打開你常用的各種文件，并檢查，打開文件時程序的運(yùn)行情況，比如：你找開了個.rar文件，進(jìn)程監(jiān)視中應(yīng)該顯示，“WinRAR.exe由Explorer.exe啟動運(yùn)行”，那是正常的。如果顯示的是其它程序由Explorer.exe運(yùn)行，而WinRAR.exe又是由那個其它程序來啟動的，那就是被改了。當(dāng)然，你也可以打開注冊表查看每個文件關(guān)聯(lián)，是否是正常的。

第二種方法是用專業(yè)軟件來掃描，把系統(tǒng)文件過濾掉，那剩下的非系統(tǒng)的文件關(guān)聯(lián)就很少了，稍加判斷結(jié)果就出來了，很簡單，就不多講了，看看下面的圖就明白了。

找到后怎么辦呢？

不要只是清除，清除后還要找個正常的機(jī)器導(dǎo)出一份正常的，或把你刪除的文件關(guān)聯(lián)告訴朋友，讓朋友自他的機(jī)器上導(dǎo)出一份正常的，然后在自己機(jī)器上導(dǎo)入一下子就可以了。

如果是非系統(tǒng)的文件關(guān)聯(lián)，比如：.rar壓縮文件，那就直接刪除了，然后再次找開.rar時，會提示你選擇打開此種類型文件的程序，這時選擇WinRar.exe，然后勾選上總是用這種程序來打開此類型文件就可以了。

或者用其它方法.....嘿，其實只要發(fā)現(xiàn)了木馬，其它的就好辦了～～

另外，需要注意的是，還有些觸發(fā)并不是很明顯的文件操作，比如當(dāng)你打開的網(wǎng)站時，可能要解釋執(zhí)行腳本語言，而用什么來解釋執(zhí)行呢？系統(tǒng)也是在注冊表中尋找相應(yīng)程序的，比如：VBS、JScript等鍵，基本都在HKEY_CLASSES_ROOT主鍵下。

像卡巴、金山等殺毒程序會用自己的DLL在這幾個鍵下注冊，以便執(zhí)行腳本語言時先行檢查這些腳本語言是否具有病毒特征，但木馬同樣也會利用這幾個鍵，讓你一打開網(wǎng)站就執(zhí)行木馬。

好了，我們下面接著說一說影子程序（驅(qū)動）吧～因為它們經(jīng)常與這些觸發(fā)式的啟動機(jī)制合作，之所以它們總是合作，因為觸發(fā)式的可以躲過對啟動項、進(jìn)程、模塊的檢查，而影子程序卻可以躲過殺毒軟件的文件掃描。他們是如何緊密合作來躲過我們檢查的，讓我們下次再說～～～ ^-^

第五章 影子程序（驅(qū)動）

什么是影子程序呢？影子大家都了解吧～～即然有影子當(dāng)然也要有本體了，影子只是為了本體的存在而存在的，其它的工作一概不做。而影子程序呢？也就是為了木馬程序的存在而存在的，其本身并不從事任何木馬工作。

木馬為什么要搞一個影子程序或影子驅(qū)動呢？目的只有一個“保護(hù)主木馬程序不被清除。”

影子是如何來保護(hù)主木馬程序的呢？了解這個之前，我們先要了解一下殺毒軟件是如何殺毒的。

了解了殺毒軟件是如何殺毒之后，再談影子如何逃過殺毒軟件的查殺，就容易理解了。

大多數(shù)殺毒軟件都是依賴病毒特征碼殺毒的，所以都附帶了一個病毒庫，我們平時升級其實大多數(shù)是在升級病毒庫，病毒庫中存儲了病毒的特征碼，就像病毒檔案一樣（身高、體重、三圍、五官等..... ^-^ 差不多類似啦）如果一個程序與病毒庫中的某種病毒特征相吻合，就會被認(rèn)為是某種病毒而被查殺。病毒特征是如何來的呢？就是病毒分析師對病毒進(jìn)行分析后提取出來的，所以這種查殺方式查殺的都是有案底的，也就是以前犯過案的，被人留了底，再出來就是過街老鼠，人人喊打了。

這種按特征查殺，屬于硬特征，只要符合就OK了～～雖然有誤殺，但相對很少，畢竟完全相同的并不多。其查殺的準(zhǔn)確與否，誤殺率是否高，很大程度依賴于病毒分析師的提取水平。呵呵，偶們就見過某知名公司把一個驅(qū)動框架硬是報為ROOTKIT木馬的，顯然其特征碼存在嚴(yán)重問題。

還有一種是所謂的主動防卸型的，在比照特征碼的同時，還分析病毒木馬的行為特征，一個程序的行為符合特定行為的數(shù)量多到一定數(shù)值，就為被認(rèn)為是病毒，當(dāng)然了， 這種誤報率也相應(yīng)的增加了很多。這種查殺，沒案底也可以，就像你以前雖然沒有犯過事兒，也沒留案底，但你提著刀追著人家猛砍，當(dāng)然也會被逮住的，因為你的行為符合了病毒的行為特征。

當(dāng)前病毒的流行越來越大眾化，想獲取病毒源碼也并不是什么難事，一些小屁孩也能抄一段來散發(fā)個病毒，但是卻沒有能力更改代碼特征，使其躲過殺毒軟件的查殺。

所以，一些人開始拼命的找新殼，來為病毒加不同的殼，但殺毒軟件的脫殼技術(shù)也是越來越高了，想找到不被殺毒軟件所脫的殼也困難起來了。

接著又有些人想出一些其它的方式來躲避殺毒軟件的查殺。

影子程序就是其中的一種～～

病毒木馬的主程序，因為要工作，所以一些特征是很難去掉的。但影子程序卻不用去從事木馬工作，所以它本質(zhì)上就是一個正常的程序，不使用任何病毒技術(shù)，也不具備任何病毒特征，所以不會被殺毒軟件查殺。

這就是病毒木馬采取影子程序的目的，因為影子程序不具備病毒特征，可以躲過殺毒軟件的全盤文件掃描。

那它又是如何來保護(hù)主程序的呢？一般它是把病毒主程序做為資源放到了自己里面，再保險點(diǎn)就對主程序壓縮、加密后再以資源的形式放到自己的程序中。（資源就是一些數(shù)據(jù)啦～～比如，一個程序中用到的圖片，就屬于圖片資源）而殺毒軟件通常只是對代碼進(jìn)行檢查，而不檢查數(shù)據(jù)資源，其實查也查不出什么來～以純數(shù)據(jù)形式存在的資源，有N種方法改變。

這樣，影子程序通過資源存放的方式，解決了木馬程序在電腦中的生存問題，為木馬在您的電腦中留下了一個火種。

在木馬病毒被清掉之后，影子程序一旦發(fā)現(xiàn)木馬主程序不見了，就從自己的資源中重新釋放一份。使木馬病毒重新再生，使你殺不勝殺，直到殺得你心疲手軟自己放棄為止。

影子程序又是如何發(fā)現(xiàn)木馬主程序被清除的呢？

有兩種途徑，一是將自己也加在某一個啟動位置上，每次開機(jī)自動啟動，在啟動后如果發(fā)現(xiàn)木馬主程序已經(jīng)不在，就釋放一份，并將木馬啟動，接著自己就退出了。如果在，影子程序就直接退出了。

二是，利用觸發(fā)機(jī)制等待，等你觸發(fā)影子程序后，由影子程序去檢查木馬是否存在，如果不存在就釋放并啟動然后自己退出，如果在同樣也就直接退出了。

由于，影子程序只是運(yùn)行了那么零點(diǎn)零幾秒而已～～所以你的進(jìn)程檢查對它沒什么用處，因為它平時是不運(yùn)行的～

對付影子程序，只能由啟動項入手，而影子程序也注意到了這一點(diǎn)，所以很多就采取了觸發(fā)機(jī)制，因此，我們檢查時，也要注意檢查觸發(fā)式木馬。

呵，結(jié)論出來了，各位朋友不要看到進(jìn)程中的可疑進(jìn)程就眼紅紅的沖過去狂殺一通～～殺進(jìn)程、刪除文件、卸模塊只是治標(biāo)不治本的做法～～什么事情都要尋根求源，進(jìn)行“根治”～～否則，輕則病毒木馬是殺不完去不凈～～重則是系統(tǒng)被越殺越慢～～殺到最后，不得不重裝系統(tǒng)完事兒～～～

用GHOST恢復(fù)也很快？呵，難道你不知道熊貓燒香會刪除GHOST的備份文件么？熊貓能刪除～～其它的當(dāng)然也能刪～～刪個文件對它們來說絕不是什么難事兒～～

重裝系統(tǒng)就安全么？也不見得～～在網(wǎng)上搜一下兒～看看網(wǎng)上提供下載的操作系統(tǒng)風(fēng)險又有多大～很多木馬是在做操作系統(tǒng)安裝盤時就放進(jìn)去了～～

放進(jìn)去為什么查不到呢？

這就是另一個話題了～～文件修改替換型的木馬～～很讓人郁悶的一類木馬～～下次再說吧～～

汗～～想起來就頭大～

參照圖：CNNIC的影子驅(qū)動，藍(lán)色圈起來的是主驅(qū)動，紅色的是影子驅(qū)動，影子驅(qū)動的名字是隨機(jī)的，每次開機(jī)都不相同。

借這張圖把上次有朋友問的清除CNNIC的剩余問題給解答一下子：

在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot鍵下還有與驅(qū)動服務(wù)相匹配的一些鍵，如果用其它的清除工具，記得也要清了。如果是用5.0.0.7就不用了，清除驅(qū)動項時會自動清理那個鍵的。（注意：5.0.0.6版沒有相應(yīng)功能，汗～可能自動檢測影子驅(qū)動的功能也沒有～～手工刪除或找別的工具用吧，實在不行就等5.0.0.7出試用版吧～）

清的時候清干凈嘍～～否則～～嘿～～死恢復(fù)燃就是說這個的～～

CNNIC還有關(guān)機(jī)通知的功能～～別忘記了～～不然即使清干凈了，關(guān)機(jī)時它就又寫回去了～～

什么？不知道怎么對付～～汗～～～這個偶暫時也沒找到合適的工具，雖然寫程序?qū)Ω蹲詈唵危珱]有通用性，不值得為這一個家伙寫個程序。

暫時有兩個方法可以解決：

一個是笨辦法。關(guān)機(jī)時不是由系統(tǒng)通知它的么？偶們就連系統(tǒng)也不通知不就完了，直接按RESET鍵冷啟動機(jī)器就OK了～～ -_-!

二個是先恢復(fù)FSD的HOOK與INLINE-HOOK，然后把相關(guān)的程序文件、驅(qū)動文件、DLL文件全刪除了，然后重啟，再刪一遍啟動項，也就OK了～（注意，鎖定系統(tǒng)好像對CNNIC也不大好用的說～郁悶～）

為什么木馬程序（Gen:Trojan.Heur.RP.beW@aSsj2@p)殺不了？

木馬殺不掉一般是由于木馬病毒正在運(yùn)行，或者有其他的病毒進(jìn)程守護(hù)，回寫造成的。

如果遇到rootkit這類隱藏性很高的、又釋放驅(qū)動的病毒，很難處理。所以要先對病毒滅活，殺掉活體病毒之后就很容易查殺了。

第一步：下載金山互聯(lián)網(wǎng)安全組合套裝2011【百度搜索 金山毒霸2011套裝】 選擇下載

第二步 安裝完以后,打開金山網(wǎng)盾,點(diǎn)擊主界面右側(cè)的【一鍵修復(fù)】的按鈕,可以殺掉正在運(yùn)行的病毒和系統(tǒng)錯誤。

第三步 用金山毒霸2011 全盤殺毒 或者使用a金山衛(wèi)士的木馬查殺 進(jìn)行全盤查殺

另外，一般木馬病毒都會有一些插件釋放，可以使用插件清理工具，金山衛(wèi)士里的插件清理工具就很好用。

注意，360會攔截金山網(wǎng)盾安裝，如果你有360，請先先卸載360安全衛(wèi)士,毒霸2011互聯(lián)網(wǎng)套裝中金山衛(wèi)士可以完全替代360安全衛(wèi)士

J2簽證在美打工需要什么工作許可嗎？

1、是的！

如果持J2簽證的交流學(xué)生或訪問學(xué)者的家屬希望在美國打工，必須持有”工作許可“。

2、這里，貼上美領(lǐng)館網(wǎng)站所公布的、最為權(quán)威的信息：

”如果J-1簽證主申請人的配偶或21歲以下未婚子女希望在其留美期間前去陪伴或團(tuán)聚，應(yīng)申請J-2簽證。如果配偶或子女沒有與簽證主申請人一起在美國居住生活的計劃，只是希望利用假期探訪，也可以申請針對游客的(B-2)簽證。交流訪問學(xué)者的配偶和/或子女不得以J-2簽證身份在美國工作，除非其向美國公民及移民事務(wù)處(USCIS)提交I-765表申請工作許可證(Application for Employment Authorization)并獲得批準(zhǔn)，J-2簽證持有人只有在這種情況下才能工作“

怎樣辦美國j2簽證

1、有效護(hù)照：如果您的護(hù)照將在距您預(yù)計抵美日期的六個月內(nèi)過期、或已損壞、或護(hù)照上已無空白的簽證簽發(fā)頁, 請在前來面談之前先申請一本新護(hù)照。

2. DS-160表格確認(rèn)頁。請在上面注明您的中文姓名、您中文姓名的電報碼、中文家庭地址、公司名字及地址。請將您的表格確認(rèn)頁豎著打印在A4紙上。面談時請攜帶打印出來的DS-160表格確認(rèn)頁，不要使用傳真的確認(rèn)頁。范例請點(diǎn)擊這里(PDF-123KB)。如需查詢電碼，請點(diǎn)擊此處。

3. 一張照片：于6個月內(nèi)拍攝的2英寸x2英寸（51毫米x51毫米）正方形白色背景的彩色正面照。詳情請見照片要求。請用透明膠帶將您的照片貼在護(hù)照封面上.

4. 簽證申請費(fèi)收據(jù)原件: 您可以在中信銀行在中國的任何分行支付簽證申請費(fèi)966元人民幣（自2010年6月4日起執(zhí)行）。除H-4簽證和L-2簽證(1035元人民幣)請將收據(jù)用膠水或膠條粘貼在確認(rèn)頁的下半頁上。請點(diǎn)擊這里(PDF-123KB)看范例。

5. 含有以前赴美簽證的護(hù)照，包括已失效的護(hù)照。

6. 填寫完整的學(xué)生和交流訪問學(xué)者信息系統(tǒng)(SEVIS)表格：留學(xué)生家屬（F2或M2）必須出示家屬本人的I-20表；交流訪問學(xué)者家屬（J2）必須出示家屬本人的DS-2019表。表格必須經(jīng)學(xué)校指定官員（DSO）和申請人本人簽字。請點(diǎn)擊查看更多有關(guān)學(xué)生和交流訪問學(xué)者信息系統(tǒng)(SEVIS)的信息。

7. 親屬關(guān)系證明：與在美親屬的關(guān)系證明，如結(jié)婚證原件、子女出生證原件、來往書信和家庭合影等。

8. 家人在美合法身份證明：在美親屬的合法身份證明，如護(hù)照及美國簽證的復(fù)印件、留學(xué)生的I-20表、交流訪問學(xué)者的DS-2019表或短期工作人員的I-797表等。

9. 充足的資金證明：證明申請人赴美后不會成為美國公眾的負(fù)擔(dān)，證明文件包括在美家人的個人所得稅單（1040 表）、單位的收入稅單（1020表）、單位的季度報告（941表）、W-2稅表、銀行存款報告或個人資金支持宣誓書（I-134表）等。

j2@的介紹就聊到這里吧，感謝你花時間閱讀本站內(nèi)容。