重装系统也无法解决中毒的几种技术

funzone

重装系统也无法解决中毒的几种技术                                                                                                                                                                                                                                                                                                                        现在是2008年11月22日
早在上个世纪CIH出世之日。。。。
重装万能论这种不着调的东西就应该结束了。。
但是没想到时至今日，依旧有无数人将其奉为真理
实行着裸奔的勇敢举动，认为出了事重装就行
于是，今天我就稍微总结下一些让重装万能论失效的东西

1 AUTORUN

已经是有点过时的东西了，但依旧有好多人中招
形式就是在磁盘的根目录下放入 AUTORUN.inf跟XXX.exe
AUTORUN.inf通常内容如下

[AutoRun]
sheLl\open\DEfAult=1
OpeN=xxx.exe
sheLL\exPLORE\CommaND=xxx.exe
sHELL\opeN\coMmand= xxx.exe
ShelL\AUtoPlay\cOmmanD= xxx.exe

这是随便找来的一个AUTORUN，指向xxx.exe
只要一双击盘符就会在那一瞬间运行xxx.exe
微软做这个功能出来当初是为了美化磁盘图标用的，所以我们有时候放入光盘时可以看到一些漂亮的图标，而且有些光盘盘符只要一双击里面的安装程序就会运行
很人性化的设定，但是不加思考的用在本地磁盘上就一点都不美了。。
当你重装完系统，无意中双击其他盘符的时候，绝望的一刻又来了
不光是本地磁盘，遭殃的还有U盘，U盘作为外存储设备，在不同的机器上拔拔插插是必不可免的。。。
于是，这也就成了U盘病毒传播的途径
典型代表。。。很多。。。。现在想的起来的只有飘雪

2 向第三方软件目录下下蛋

这个手法蛮新颖的，算是最近新出炉的。。。
很多人为了避免在C盘产生太多碎片都会选择将第三方软件装在非系统盘里，尤其是像QQ这种即时通讯工具，聊天记录是很珍贵的。。。
于是这就给了病毒复活的机会

方法就是 往特定软件下添加一些自制DLL文件
一般与一些系统DLL的名字相同，比如说WSOCK32.DLL
这跟WINDOWS的运行机制有关
可执行文件在运行的时候为了提升效率，会优先在本目录下寻找输入表中需要加载的DLL文件，在找不到的情况下才会去SYSTEM32目录下寻找，于是这就让一些病毒钻了空子，当你重装完系统，兴高采烈地打开QQ想跟人胡侃时。。。悲剧再现。。。
典型的代表有JAVQHC还有中华吸血鬼（这个东西是在所有文件夹目录下都放个WSOCK32.DLL）
说实话。。。有一点我到现在还有点迷糊的说
比如说QQ的FINEPLUS插件
只要运行了FINEPLUS.exe再运行QQ.exe
它就会自动加载FINEPLUS.dll，可是把FINEPLUS.dll删除，qq依旧可以运行
本来我以为应该是修改了可执行文件的输入表。。。
但是现在看下来，实际情况似乎不是这样的。。。。这里希望哪位能指教下

    3 感染型

前两种方法都是有一些取巧的成分在其中
但是感染型无疑是可以避免一切意外情况的发生（除非你就只有一个系统盘）
感染型又分两种
1 添加型感染
这种无非就是在程序头部或者尾部加点料而已，稍微高超点的往空白段里加（不过应该是只对特定程序有效。。。。）
程序一般来说还是可以运行的
只要有大蜘蛛在手，一般都能轻松搞定

下载大蜘蛛全盘扫描

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe或者
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

2 覆盖型感染
这个无疑是最强悍的，理论上来说。。彻底没有修复的可能，只能删除
不过原理说实在的我也不是很清楚
我不知道那些病毒它覆盖的到底是哪段的程序，比如上次我实验“在线修复KAV”的时候，过了几个月我都给忘了，重装虚拟机后运行在D盘的SSM安装文件，依旧可执行
只是进度条到一半卡死了。。。
系统再度中毒。。。
典型代表：熊猫烧香，小浩（[:27:]）

总体来说感染型有几个规律
1 只感染非系统盘的可执行文件
2 运行中的程序不感染
3 压缩包内的程序不感染（这点也不是做不到，而是工作量实在太庞大。。。而且最重要的一点。。。就是不知道哪个EXE对应哪个RAR文件）

以上几点总结完毕，还有一些非主流的技术太过于依赖RP，一些太牛X的技术我也不是很懂（比如在不可见扇区里塞东西：引导型病毒）。。。。所以就不讲了

写这篇东西只是为了告诫大家为了您的爱机着想，千万不要裸奔
。OVER
欢迎大家拍砖

英子

好厉害 学习了

zgy2002

中毒过深的，还是格式化硬盘来得彻底。

satan_9

总结的不错，支持了

gehaigang

不错，了解一下，见识了！

得巴

用小红伞后见U盘都是直接双击，就想中个毒，可一直都没中。

运动一族

裸奔的后果，是自己没事找事干的家伙。

somescor

没裸奔过，很依赖杀毒软件，中毒后重装系统，先装杀毒软件全盘杀毒再开其他盘。

绿茶

中了招就换新机器  





可能么 还是穿上盔甲吧

tod20010_ren

有道理,还是稳妥点好