freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

維修第六課(已改無錯(cuò)字)

2023-07-08 19:13:43 本頁面
  

【正文】 可以瞬間自動(dòng)完成更新。 ? 五、病毒的破壞性 ? 在破壞性上,“熊貓燒香”和“磁碟機(jī)”都能夠感染電腦內(nèi)的可執(zhí)行文件和網(wǎng)頁文件,導(dǎo)致系統(tǒng)運(yùn)行緩慢,不同的是,“磁碟機(jī)”在感染文件過程中對感染文件進(jìn)行了加密存放,使得清除病毒難度更大。兩者都可以鏈接到惡意網(wǎng)頁下載木馬病毒,但在下載的木馬病毒數(shù)量上,“磁碟機(jī)”遠(yuǎn)超過“熊貓燒香”,“磁碟機(jī)”能夠下載二十余種木馬病毒,“熊貓燒香”只能下載一個(gè)或幾個(gè)木馬。 ? 而“磁碟機(jī)”借助 ARP病毒給企業(yè)局域網(wǎng)用戶帶來了巨大的災(zāi)難性事故,由于“磁碟機(jī)”可以借助 ARP方式瞬間感染所有局域網(wǎng)內(nèi)電腦,因此許多單位的工作因此中斷,造成了不可估量的損失。 ? 六、病毒的表現(xiàn)形式 ? 在表現(xiàn)形式上,“熊貓燒香”的表現(xiàn)十分明顯,感染可執(zhí)行文件生成“熊貓燒香”的圖案,十分易于判斷。而“磁碟機(jī)”的感染則十分低調(diào)隱蔽。他千方百計(jì)隱藏自身的行蹤,普通用戶從表面看很難發(fā)現(xiàn)有中毒的痕跡,很多用戶中毒后尚不自知,除了感覺系統(tǒng)似乎變慢外無其它明顯異常癥狀。 ? 而“磁碟機(jī)”病毒也正是在這種刻意低調(diào)的偽裝下,伺機(jī)竊取用戶的隱私敏感信息,包括游戲帳號和網(wǎng)上銀行、網(wǎng)上證券交易等帳號密碼,這比“熊貓燒香”明目張膽的打劫更可怕。 ? 病毒運(yùn)行原理 ? 病毒運(yùn)行后首先會在 C盤根目錄下釋放病毒驅(qū)動(dòng) , 該驅(qū)動(dòng)用來恢復(fù) SSDT, 把殺毒軟件掛的鉤子全部卸掉。然后在 System32路徑下的 文件夾中釋放病毒文件 、 、 、 。 ? 然后該程序退出,運(yùn)行剛剛釋放的 。 ? ,會在 文件夾下重新釋放剛才所釋放的文件,同時(shí)會在 system32文件夾下釋放一個(gè)新的動(dòng)態(tài)庫文件 , 然后生成兩個(gè)隨機(jī)名的 log文件該文件是 ,然后進(jìn)行以下操作: ? 1. 從以下網(wǎng)址下載腳本 .....。 ? 2. 生成名為” MCI Program Com Application”的窗口。 ? 3. 程序會刪除注冊表 SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)下的所有鍵值。 ? 4. 查找?guī)б韵玛P(guān)鍵字的窗口,查找?guī)б韵玛P(guān)鍵字的窗口,如果找到則向其發(fā)消息將其退出: RsRavMon、 McShield、 PAVSRV… ? 5. 啟動(dòng) ,把動(dòng)態(tài)庫 。 ? 6. 遍歷磁盤,在所有磁盤中添加 , 使得用戶打開磁盤的同時(shí)運(yùn)行病毒。 ? 7. 通過 calcs命令啟動(dòng)病毒進(jìn)程得到完全控制權(quán)限,使得其他進(jìn)程無法訪問該進(jìn)程。 ? 8. 感染可執(zhí)行文件,當(dāng)找個(gè)可執(zhí)行文件時(shí),把正常文件放在自己最后一個(gè)節(jié)中,通過病毒自身所帶的種子值對正常文件進(jìn)行加密。 ? ? ,程序運(yùn)行后會進(jìn)行以下操作: ? 1.創(chuàng)建一個(gè)名為 xgahrez的互斥體,防止進(jìn)程中有多個(gè)實(shí)例運(yùn)行。 ? 2.然后創(chuàng)建一個(gè)名為 MSICTFIME SMSS的窗口,該窗口會對三種消息做出反應(yīng): ? 1. WM_QUERYENDSESSION: 當(dāng)收到該消息時(shí),程序會刪除注冊表 SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)下的所有鍵值。 ? 2. WM_TIMER: 該程序會設(shè)置一個(gè)時(shí)鐘,每隔 “ MCI Program Com Application”窗口,如果找不到則運(yùn)行病毒程序。 ? 3. WM_CAP_START: 當(dāng)收到該消息時(shí),向其發(fā)送退出消息。 ? 3.把 C盤根目錄下命名為 , 同時(shí)把該文件拷到啟動(dòng)目錄下實(shí)現(xiàn)自啟動(dòng)。 ? ,把自己注到所有進(jìn)程中,該動(dòng)態(tài)庫主要用來 HOOK API和重寫注冊表。動(dòng)態(tài)庫被加載后會進(jìn)行以下操作: ? 1. 判斷自己所在進(jìn)程是否是 、 、 , 如果是則退出。 ? 2. HOOK EnumProcessModules、 OpenProcess和 CloseHandle這幾個(gè) API使得殺毒軟件無法查殺病毒進(jìn)程。 ? 3. 遍歷進(jìn)程如果進(jìn)程名為 、 、 ,如果是其他進(jìn)程則創(chuàng)建一個(gè)線程,該線程每隔 2秒進(jìn)行以下操作: ? 1.修改以下鍵值使得用戶無法看到隱藏的受保護(hù)的系統(tǒng)文件 ? HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced ? ShowSuperHidden = 0 ? 2. 刪除以下注冊表鍵值使得用戶無法進(jìn)入安全模式 ? HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ ? HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ ? HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\ ? HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ ? 3. 刪除以下注冊表項(xiàng),使得鏡像劫持失效 ? HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\ ? Image File Execution Options ? 4. 讀取以下注冊表鍵值,判斷當(dāng)前系統(tǒng)是否允許移動(dòng)設(shè)備自動(dòng)運(yùn)行,如果不允許則修改為允許 ? HKEY_LOCAL_MACHINE Softwar
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1