最厉害的计算机病毒厉害到什么程度??
如题,我在思考有没有可能存在一种计算机病毒,利用计算机机器语言的本身漏洞作为攻击机理,使得其具备极强的杀伤力却又很难被反病毒软件清理? 我个人不懂,只是好奇。
u_105565398 2023-11-05 18:05 声名:以下病毒默认指代广义病毒,请扣字眼的杠精远离,不想为了基础概念而争辩。1、硅晶后门病毒:A2最厉害当属密歇根大学所研究出来的A2芯片后门了,这个后门不存在于应用程序里,也不是存在于操作系统里,当然也不是存在于固件之中,而是存在于芯片的晶圆中。这是第一款真正意义上的硅后门,隐藏于数亿晶圆之中,任何基于物理的分析方法(如对芯片进行视觉分析或功耗分析)都无法发现这个后门。该后门在芯片设计完成并准备好装配后,由间谍人员将一个恶意组件添加装配布局的蓝图里。恶意组件通过线路和晶体管来控制芯片的逻辑功能,同时其还隐秘的设计了一个用来临时储存电荷的电容器。当黑客给你一个网站链接时,你的系统中会执行网站上精心设计的脚本,让CPU执行时,这个电容器便会“窃取”少量电荷,而不会影响芯片的功能。脚本每重复执行一些操作,电容器都会获得更多电荷。当电荷量达到阈值后,恶意组件便会启用电路逻辑改变处理器的模式,并临时提升系统权限,这时恶意程序可以利用高权限执行一些恶意操作,如驻留高级恶意代码等。但是很快,电容器也会放电,之后系统恢复普通权限。2、区块链病毒当然还有感染比特币区块链的僵尸病毒ZombieCoin,病毒将自己写入到比特币区块链的每个区块上,永远无法被清除,也没法进行篡改,这意味着这个病毒将永生不灭。3、感染神经网络模型的病毒中科大做一个实验性的病毒,他们尝试在神经元中嵌入恶意软件,提出了一种利用神经网络模型进行恶意软件隐式传播的方法。通过这种方法,可以实现在几乎不影响模型效果的条件下实现恶意代码的隐蔽传播。4、跨设备追踪病毒首个具备跨设备追踪技术真实病毒,这是方程式组织的一款超复杂攻击武器。最早被发现于2011年,本人当时负责IOS样本的分析(一直未公开,是因为和GA签了保密协议,所有技术细节都得保密),这款病毒通过0day以root权限进入IOS系统,除了常规的用于窃取手机各种敏感信息外,最牛的技术是利用超声波驱动陀螺仪来进行各种设备之间的通信,实现夸设备追踪。比如你访问某个网站后,某个脚本播放一段超声波,这时病毒通过读取陀螺仪来得知你在访问什么网站。这种技术也被FBI用于追踪暗网中的犯罪分子。还有人怀疑这个不可能,可能是我描述的不够细,这技术当时我都已经实验过,后来又有很多研究团队实验验证过。比如18年的这篇论文《Zero-Permission Acoustic Cross-Device Tracking》思路基本上完全一样,他们称这种技术uXDT,不过这是5年后的事情了。1)首先现在几乎很垃圾的耳机都能发出超声波,竟然还有人怀疑电脑,手机的扬声器不能发出超声波。python两行代码就能发出,实际上超声波可以隐藏于音频,视频中,比如你看的视频广告,电视节目中,或者隐藏于网页的音频中。import winsoundwinsound.Beep(25000,2000)这段代码就可以发出25千赫兹的超声波,超声波频率为20-40千赫兹。2)然后一定频率的超声波可以与陀螺仪发生共振,这只需要你实验来测试陀螺仪的共振频率,也很简单,写过APP不断的读取陀螺仪的值,画个图就出来了。在共振频率和非共振频率间变换就能传递信息了。只是距离不能离得太远,太远干扰厉害。一般你拿着手机坐在电脑旁边这种距离通信还是比较安全的。还有很多你意想不到的病毒,比如我自己设计实现过一个汽车ECU病毒,有空再来补上……5、汽车发动机ECU病毒:ECU之门(ECU Gate)这是我17年设计的ECU后门,也是世上首款ECU病毒,我命名为ECU之门,英文名字为ECU Gate,前期工作就是把博世的发动机ECU给逆了一遍,前期基础工作见下文:汽车动力系统ECU固件逆向工程初探文章也点了下给ECU添加后们的事情。后期的工作就不公开了,怕造成恶劣的影响。工作原理大概如下:ECU Gate的感染器将写好的二进制代码插入ECU固件的空白处,同时写个钩子来劫持ECU的CAN协议处理代码,将CAN数据包的处理先交给后门处理,后门解析出CAN数据包的各传感器的数值作为后门功能的触发条件,如果满足条件执行相应指令,当时主要通过CAN模拟器来实验的,当油量小于10%时,模拟诊断协议清除诊断信息;当胎压小于2.3时,修改里程数,实际上还可以模拟诊断协议去读取、修改或重置CAN网络中的其他ECU(这里通过模拟CAN协议可以做很多事情,哪怕是让ECU崩溃就可能让汽车发生严重的安全事故)等。执行完成跳回到源CAN协议处理逻辑执行执行,未触发时不影响ECU正常工作。
倾笑一世暖阳 2023-11-05 18:08 病毒强不强跟计算机机器语言没有多大关系计算机分几个层面,硬件层,引导层,系统层,和后期的软件层越靠前权限和能力越强,硬件层不好弄,这个是厂家范围只有做了内鬼才有机会在这个地方上菜,比如之前超微曝光的主板芯片里被植入木马没有内鬼是无法接触这东西和植入到大量主板里的但是超微的审计工作做的足够好,也是没可能出现这个问题的而病毒之所以能大量植入和破坏,主要在系统层和引导层系统层方面的病毒已经发展了很多年,基于系统的一些漏洞或者弱点例如熊猫烧香是针对系统的映射文件的漏洞来做到杀不干净Win8已经基本解决这个问题了,Win10更是屏蔽了这个问题所以TM的谁用Win7中这个病毒,要么我收费很高,要么我直接放弃解决病毒修复系统要花1个小时以上,真的是太长了其实熊猫烧香和现在的病毒起步都是sys病毒,sys或者dll可认为是驱动文件病毒大多数伪装成驱动,驱动呢,还有隐藏的我们如上图打开设备管理器,这里可以显示隐藏的设备什么是隐藏的设备呢?就是这个设备没有接入到计算机的硬件接口上其实Win10在这个地方已经做了一些改进,如下图灰色显示的病毒伪装成一个预装的驱动,在服务层是激活的他的主要功能是一个下载者,接收指令然后调用一个病毒进程去下载,这个病毒可以是由这个dll来释放释放一个被杀了,根据时间判断无工作,释放另外一个升级版根据时间判断没有工作,又释放一个变种版绕过杀毒软件,下载一堆广告软件和病毒混合在一起很多时候杀毒软件会杀掉一些广告软件和部分病毒但有的病毒并没有被识别于是遗漏了但是用户会发现杀软干掉了广告软件和病毒,好厉害啊,棒棒哒点™36个赞都没用因为没提示有病毒不代表没有病毒<hr/>引导层我们一般也就接触到的是启动层,这层面本来是引导系统启动的他可以引导linux引导windows等多种系统早期的主板是BIOS里的COMS来引导,现在叫ufi或者uefi这里我不讲他的原理,有兴趣自己可以轻易查到能编写引导层方面的病毒呢,这个人的实力是很强的,在软件行业差不多就是他一个人能顶1000个人,10万个饭桶的水平你可以发现大多数实力比较强的公司创业期其实就是几个创始人,由其中一个或两个创始人编写的核心,改变了整个行业的方向,然后公司站起来。一般不会是三个人来写核心,三个人会没水吃所以能做这个事情的其实国家某些部门都是挂了名单的所以真正能做牛逼病毒的都是未入流的地下产业基础有一些,基本靠自学,没理论,没实践,工资低,天天加班所以他们的病毒大多数不是很稳定,但是破坏力就有点BT了你拿1块钱工资干1000块钱的活,你心理也会扭曲的所以病毒嘛,其实每个层面都可以入手,硬件层是杀毒软件解决不了的引导层倒是不一定能解决,因为解决的呢是俄罗斯的卡巴斯基,美国的赛门铁克如果上了年纪的互联网老人,大概应该记得这么两次事件,当然官方说法是乌龙实际想想应该也不是比如ufi一般是一个没用后缀的256k的引导文件(bcd文件)这256k是个空文件,文件本身是一个虚拟磁盘结构文件大小是可以改变的,但是改变起来很麻烦但这个大小也足够放病毒了但是这文件是明文保存在硬盘中的其实只要是硬盘中的病毒,都是可以被杀毒软件读取的,除非他没用读取权限好在这个文件可以被读取但是杀毒软件动这个文件,虽然可能清理了病毒,但是有很大几率导致系统重启后启动不起来因为有的是双系统,有的系统版本有所区别杀毒软件要杀要修复,流程就比较麻烦了所以一年100块钱不到的年费,杀毒软件不值得干这事,吃力不讨好还是要留给我们这种专业的一碗饭吃但是特殊机构的一些专用杀毒软件是可以做到提示这个引导文件被修改过,且存在木马代码然后配合人工来处理,就很方便了,也不会破坏系统好了,看不懂的打钱,勉强看懂的更要打钱<hr/>目前国内的病毒作者一般没用独立的加密能力,基本借用一些压缩壳来绕过病毒因为用的比骄多,反而使用这种壳压缩dll大小的一些正常软件被报毒然后呢,故事后面就比较奇葩了一方面正常软件的作者就申明这个是误杀,我只是为了体积小用了这种壳另外一方面小白不懂,看到又是免费的强行要用病毒作者™的简直看到了希望于是就把自己的病毒木马插入到这些免费软件里面即便提示病毒,还是要强行关闭杀毒软件来运行这tm就叫讳疾忌医但是杀毒软件又确实就是误报后来杀毒软件发展到沙盘杀毒的必经之路但是沙盘技术含量高,初期有很多杀毒软件是假沙盘但是真沙盘比较消耗资源,一般i7用起来才会轻松点所以科技公司搞了一个所谓的APT系统,不用你机器安装杀毒软件只要你的机器接入到有部署APT系统的网络里,就可以了这套系统是有几个部分:可以识别病毒的病毒库(有限能力)镜像系统沙盘系统养蛊系统(有的资金有限是没这个的,但这个其实还是很有用)数据绑定系统病毒库是把已知的直接数据传输层给你剪辑走了,比如你下一个文件,下到多少,突然任务就结束了,可能就部署了有这个系统,有的智能一些的会在剪接掉的地方给你插入一个空的长文件补进去。镜像系统会通过镜像流量把所有的数据都镜像一份,用来分析未知的病毒沙盘是对于一般的,全部到沙盘运行一次针对某些沙盘中没触发的可疑文件,有的会把拉到养蛊系统中养蛊系统是一个时光机,他会不断的运行文件,然后结束,然后修改时间点有的时光机是比我们常用的时间跑的更快,比如6倍,20倍等但这种其实没多少用处,因为现在病毒也变聪明了我先访问病毒服务器,获取时间,时间和本地匹配,或者误差几分钟好了,开始我的表演如果获取的时间和本地误差很大,甚至超前好了,病毒知道自己在一个蛊里面,开始自我保护静默休眠。你看这些流程你发现其实APT并不能用到我们正常的工作中你接收一个文件可能会收到一个提示,这个文件被拦截到实验室中给你化验下如果没问题,明天你就可以收到了但这种机制用到BM系统,还是很不错的
fyuqtd 2023-11-05 18:09 厉害到无害的程度我上中学的时候,发现几乎所有老师的U盘里面,只有EXE格式的文件,经常出现文件拖出去没法打开的狗币情况病毒大概运行过程是这样的1 把自己的EXE本体放进Windows启动文件夹里面并设置隐藏,这样每次开机病毒都会在后台挂着。还给自己做了不可写,哪怕开任务管理器秒进程也来不及直接删除它。哦对了,它还会把显示隐藏文件给锁死2 一旦有U盘接入电脑,它就会隐藏U盘里的所有文件,并且为所有隐藏的文件创建一个对应的EXE文件,并且反复执行隐藏文件拓展名的命令。当你打开某个文件对应的EXE时,它会重复一次1并且为你打开这个文件几乎,整个学校都是这个东西。它很少影响老师们课件的正常使用。在极少部分需要把U盘文件拖出去的场景,都会有还原软件的存在。/反正重启电脑课件就没了你拖进去干嘛/D盘不会被还原啊!/课件. ppt(. exe)被拖进D盘/网管!为什么这个课件打不开啊!我那时候被老师指定维护班里的电脑,也就是网管。(不然怎么会讲得那么清楚!)电脑老师:中毒了,拿360撒一下就好了嘛,你搞那么复杂班主任:撒!/EXE被全部清除,对应的文件全部设为隐藏且无法更改隐藏设定,显示隐藏文件被锁死,无法看到隐藏文件班主任:网管你撒毒把我文件都撒没了,我去DC城花了两百才把数据恢复我:...... (我应该打12315吗?)后来偶然在办公室听见,(360杀毒根本不靠谱,把我文件都删没了)。其实,进PE操作可以轻而易举的把病毒在启动文件夹的EXE删掉,但是架不住全校的U盘和电脑里都是这玩意,我刚删它就被其它人点开了!直到有一天,某个领导在上传某重要文件时拖了个EXE上去并且顺势爆破了教育局的部分电脑。/重装系统来解决问题吧,XP太老了老是中毒!/XP变Win7!/XX同学点开了自己U盘里的EXE/网管卒据某个小小学弟所说,病毒还在,就连那个装系统的老师的U盘里也全是EXE。因为根本不影响正常教学,所有人都选择了/秘奥义-换家绝学的现实应用-不管后来有幸见到一台干净的电脑在母校,嗯对那台机子USB口全坏传文件全靠网线(QQ)我神特么熟练的撬开讲台露出机箱后面板,告诉他们:这里能插U盘哼啊啊啊啊啊啊啊啊啊啊啊啊啊更新一下,病毒本体在电脑里是update. exe,在任务管理器里面可以看到,在Windows的启动文件夹里也有,找到的能不能发一个给我,我以前存的好像被杀了
泠无心 2023-11-05 18:13 我提一个,这个病毒厉害的地方不在于机器语言,而是人类语言。这个病毒叫做AV(Anti Virus)终结者首先请大家思考一个问题,怎么能够在网上搜索到这个病毒的专杀工具,并且过程中无论用户输入还是网站文字,都不可以出现这个病毒的名字、“病毒”、“杀毒”、“专杀”、各种主流杀毒软件的名字和网址等。结论上来说这是不可能的。这个病毒厉害的地方就在这里。当电脑感染病毒之后,AV终结者病毒首先会把所有杀毒软件干掉。之后通过主流手段保持运行,并且监视所有运行的程序和打开的窗口。只要一个程序或窗口出现列表中的关键字,这个程序就会立刻被关闭。例如,打开一个空白文本文档,没有问题,在其中输入“病毒”二字,这个文档立刻就会被关闭并且没有保存。浏览器也是同理,完全无法浏览任何带有“病毒”字样的页面,包括包含“病毒”的搜索结果。要杀掉这个病毒,除了重装系统之外,只能依赖专杀工具。这个专杀工具是特制的,里面不包含任何“杀毒”“专杀”之类的字,文件名是随机生成的,甚至文件大小都不同。感染病毒者需要找一台干净的电脑,下载这个专杀工具,然后复制到中毒的电脑上运行,即可杀掉病毒。想要靠中毒的电脑自己杀掉病毒,在当时是不可能的。
360U2953070344 2023-11-05 18:21 布线时杂乱无章,不留任何标记,再配合控制器编辑,比病毒都厉害。这是干这个活的人,留给自己的后门。最原始也最有效。发生问题,除了找到造这个屎山的人,自己搞还不如重新弄。这个一块就知道厉害。软件方面,造轮子的人留了什么,你永远不会知道,除非用得上的时候。
u_105565398 2023-11-05 18:05 声名:以下病毒默认指代广义病毒,请扣字眼的杠精远离,不想为了基础概念而争辩。1、硅晶后门病毒:A2最厉害当属密歇根大学所研究出来的A2芯片后门了,这个后门不存在于应用程序里,也不是存在于操作系统里,当然也不是存在于固件之中,而是存在于芯片的晶圆中。这是第一款真正意义上的硅后门,隐藏于数亿晶圆之中,任何基于物理的分析方法(如对芯片进行视觉分析或功耗分析)都无法发现这个后门。该后门在芯片设计完成并准备好装配后,由间谍人员将一个恶意组件添加装配布局的蓝图里。恶意组件通过线路和晶体管来控制芯片的逻辑功能,同时其还隐秘的设计了一个用来临时储存电荷的电容器。当黑客给你一个网站链接时,你的系统中会执行网站上精心设计的脚本,让CPU执行时,这个电容器便会“窃取”少量电荷,而不会影响芯片的功能。脚本每重复执行一些操作,电容器都会获得更多电荷。当电荷量达到阈值后,恶意组件便会启用电路逻辑改变处理器的模式,并临时提升系统权限,这时恶意程序可以利用高权限执行一些恶意操作,如驻留高级恶意代码等。但是很快,电容器也会放电,之后系统恢复普通权限。2、区块链病毒当然还有感染比特币区块链的僵尸病毒ZombieCoin,病毒将自己写入到比特币区块链的每个区块上,永远无法被清除,也没法进行篡改,这意味着这个病毒将永生不灭。3、感染神经网络模型的病毒中科大做一个实验性的病毒,他们尝试在神经元中嵌入恶意软件,提出了一种利用神经网络模型进行恶意软件隐式传播的方法。通过这种方法,可以实现在几乎不影响模型效果的条件下实现恶意代码的隐蔽传播。4、跨设备追踪病毒首个具备跨设备追踪技术真实病毒,这是方程式组织的一款超复杂攻击武器。最早被发现于2011年,本人当时负责IOS样本的分析(一直未公开,是因为和GA签了保密协议,所有技术细节都得保密),这款病毒通过0day以root权限进入IOS系统,除了常规的用于窃取手机各种敏感信息外,最牛的技术是利用超声波驱动陀螺仪来进行各种设备之间的通信,实现夸设备追踪。比如你访问某个网站后,某个脚本播放一段超声波,这时病毒通过读取陀螺仪来得知你在访问什么网站。这种技术也被FBI用于追踪暗网中的犯罪分子。还有人怀疑这个不可能,可能是我描述的不够细,这技术当时我都已经实验过,后来又有很多研究团队实验验证过。比如18年的这篇论文《Zero-Permission Acoustic Cross-Device Tracking》思路基本上完全一样,他们称这种技术uXDT,不过这是5年后的事情了。1)首先现在几乎很垃圾的耳机都能发出超声波,竟然还有人怀疑电脑,手机的扬声器不能发出超声波。python两行代码就能发出,实际上超声波可以隐藏于音频,视频中,比如你看的视频广告,电视节目中,或者隐藏于网页的音频中。import winsoundwinsound.Beep(25000,2000)这段代码就可以发出25千赫兹的超声波,超声波频率为20-40千赫兹。2)然后一定频率的超声波可以与陀螺仪发生共振,这只需要你实验来测试陀螺仪的共振频率,也很简单,写过APP不断的读取陀螺仪的值,画个图就出来了。在共振频率和非共振频率间变换就能传递信息了。只是距离不能离得太远,太远干扰厉害。一般你拿着手机坐在电脑旁边这种距离通信还是比较安全的。还有很多你意想不到的病毒,比如我自己设计实现过一个汽车ECU病毒,有空再来补上……5、汽车发动机ECU病毒:ECU之门(ECU Gate)这是我17年设计的ECU后门,也是世上首款ECU病毒,我命名为ECU之门,英文名字为ECU Gate,前期工作就是把博世的发动机ECU给逆了一遍,前期基础工作见下文:汽车动力系统ECU固件逆向工程初探文章也点了下给ECU添加后们的事情。后期的工作就不公开了,怕造成恶劣的影响。工作原理大概如下:ECU Gate的感染器将写好的二进制代码插入ECU固件的空白处,同时写个钩子来劫持ECU的CAN协议处理代码,将CAN数据包的处理先交给后门处理,后门解析出CAN数据包的各传感器的数值作为后门功能的触发条件,如果满足条件执行相应指令,当时主要通过CAN模拟器来实验的,当油量小于10%时,模拟诊断协议清除诊断信息;当胎压小于2.3时,修改里程数,实际上还可以模拟诊断协议去读取、修改或重置CAN网络中的其他ECU(这里通过模拟CAN协议可以做很多事情,哪怕是让ECU崩溃就可能让汽车发生严重的安全事故)等。执行完成跳回到源CAN协议处理逻辑执行执行,未触发时不影响ECU正常工作。
倾笑一世暖阳 2023-11-05 18:08 病毒强不强跟计算机机器语言没有多大关系计算机分几个层面,硬件层,引导层,系统层,和后期的软件层越靠前权限和能力越强,硬件层不好弄,这个是厂家范围只有做了内鬼才有机会在这个地方上菜,比如之前超微曝光的主板芯片里被植入木马没有内鬼是无法接触这东西和植入到大量主板里的但是超微的审计工作做的足够好,也是没可能出现这个问题的而病毒之所以能大量植入和破坏,主要在系统层和引导层系统层方面的病毒已经发展了很多年,基于系统的一些漏洞或者弱点例如熊猫烧香是针对系统的映射文件的漏洞来做到杀不干净Win8已经基本解决这个问题了,Win10更是屏蔽了这个问题所以TM的谁用Win7中这个病毒,要么我收费很高,要么我直接放弃解决病毒修复系统要花1个小时以上,真的是太长了其实熊猫烧香和现在的病毒起步都是sys病毒,sys或者dll可认为是驱动文件病毒大多数伪装成驱动,驱动呢,还有隐藏的我们如上图打开设备管理器,这里可以显示隐藏的设备什么是隐藏的设备呢?就是这个设备没有接入到计算机的硬件接口上其实Win10在这个地方已经做了一些改进,如下图灰色显示的病毒伪装成一个预装的驱动,在服务层是激活的他的主要功能是一个下载者,接收指令然后调用一个病毒进程去下载,这个病毒可以是由这个dll来释放释放一个被杀了,根据时间判断无工作,释放另外一个升级版根据时间判断没有工作,又释放一个变种版绕过杀毒软件,下载一堆广告软件和病毒混合在一起很多时候杀毒软件会杀掉一些广告软件和部分病毒但有的病毒并没有被识别于是遗漏了但是用户会发现杀软干掉了广告软件和病毒,好厉害啊,棒棒哒点™36个赞都没用因为没提示有病毒不代表没有病毒<hr/>引导层我们一般也就接触到的是启动层,这层面本来是引导系统启动的他可以引导linux引导windows等多种系统早期的主板是BIOS里的COMS来引导,现在叫ufi或者uefi这里我不讲他的原理,有兴趣自己可以轻易查到能编写引导层方面的病毒呢,这个人的实力是很强的,在软件行业差不多就是他一个人能顶1000个人,10万个饭桶的水平你可以发现大多数实力比较强的公司创业期其实就是几个创始人,由其中一个或两个创始人编写的核心,改变了整个行业的方向,然后公司站起来。一般不会是三个人来写核心,三个人会没水吃所以能做这个事情的其实国家某些部门都是挂了名单的所以真正能做牛逼病毒的都是未入流的地下产业基础有一些,基本靠自学,没理论,没实践,工资低,天天加班所以他们的病毒大多数不是很稳定,但是破坏力就有点BT了你拿1块钱工资干1000块钱的活,你心理也会扭曲的所以病毒嘛,其实每个层面都可以入手,硬件层是杀毒软件解决不了的引导层倒是不一定能解决,因为解决的呢是俄罗斯的卡巴斯基,美国的赛门铁克如果上了年纪的互联网老人,大概应该记得这么两次事件,当然官方说法是乌龙实际想想应该也不是比如ufi一般是一个没用后缀的256k的引导文件(bcd文件)这256k是个空文件,文件本身是一个虚拟磁盘结构文件大小是可以改变的,但是改变起来很麻烦但这个大小也足够放病毒了但是这文件是明文保存在硬盘中的其实只要是硬盘中的病毒,都是可以被杀毒软件读取的,除非他没用读取权限好在这个文件可以被读取但是杀毒软件动这个文件,虽然可能清理了病毒,但是有很大几率导致系统重启后启动不起来因为有的是双系统,有的系统版本有所区别杀毒软件要杀要修复,流程就比较麻烦了所以一年100块钱不到的年费,杀毒软件不值得干这事,吃力不讨好还是要留给我们这种专业的一碗饭吃但是特殊机构的一些专用杀毒软件是可以做到提示这个引导文件被修改过,且存在木马代码然后配合人工来处理,就很方便了,也不会破坏系统好了,看不懂的打钱,勉强看懂的更要打钱<hr/>目前国内的病毒作者一般没用独立的加密能力,基本借用一些压缩壳来绕过病毒因为用的比骄多,反而使用这种壳压缩dll大小的一些正常软件被报毒然后呢,故事后面就比较奇葩了一方面正常软件的作者就申明这个是误杀,我只是为了体积小用了这种壳另外一方面小白不懂,看到又是免费的强行要用病毒作者™的简直看到了希望于是就把自己的病毒木马插入到这些免费软件里面即便提示病毒,还是要强行关闭杀毒软件来运行这tm就叫讳疾忌医但是杀毒软件又确实就是误报后来杀毒软件发展到沙盘杀毒的必经之路但是沙盘技术含量高,初期有很多杀毒软件是假沙盘但是真沙盘比较消耗资源,一般i7用起来才会轻松点所以科技公司搞了一个所谓的APT系统,不用你机器安装杀毒软件只要你的机器接入到有部署APT系统的网络里,就可以了这套系统是有几个部分:可以识别病毒的病毒库(有限能力)镜像系统沙盘系统养蛊系统(有的资金有限是没这个的,但这个其实还是很有用)数据绑定系统病毒库是把已知的直接数据传输层给你剪辑走了,比如你下一个文件,下到多少,突然任务就结束了,可能就部署了有这个系统,有的智能一些的会在剪接掉的地方给你插入一个空的长文件补进去。镜像系统会通过镜像流量把所有的数据都镜像一份,用来分析未知的病毒沙盘是对于一般的,全部到沙盘运行一次针对某些沙盘中没触发的可疑文件,有的会把拉到养蛊系统中养蛊系统是一个时光机,他会不断的运行文件,然后结束,然后修改时间点有的时光机是比我们常用的时间跑的更快,比如6倍,20倍等但这种其实没多少用处,因为现在病毒也变聪明了我先访问病毒服务器,获取时间,时间和本地匹配,或者误差几分钟好了,开始我的表演如果获取的时间和本地误差很大,甚至超前好了,病毒知道自己在一个蛊里面,开始自我保护静默休眠。你看这些流程你发现其实APT并不能用到我们正常的工作中你接收一个文件可能会收到一个提示,这个文件被拦截到实验室中给你化验下如果没问题,明天你就可以收到了但这种机制用到BM系统,还是很不错的
fyuqtd 2023-11-05 18:09 厉害到无害的程度我上中学的时候,发现几乎所有老师的U盘里面,只有EXE格式的文件,经常出现文件拖出去没法打开的狗币情况病毒大概运行过程是这样的1 把自己的EXE本体放进Windows启动文件夹里面并设置隐藏,这样每次开机病毒都会在后台挂着。还给自己做了不可写,哪怕开任务管理器秒进程也来不及直接删除它。哦对了,它还会把显示隐藏文件给锁死2 一旦有U盘接入电脑,它就会隐藏U盘里的所有文件,并且为所有隐藏的文件创建一个对应的EXE文件,并且反复执行隐藏文件拓展名的命令。当你打开某个文件对应的EXE时,它会重复一次1并且为你打开这个文件几乎,整个学校都是这个东西。它很少影响老师们课件的正常使用。在极少部分需要把U盘文件拖出去的场景,都会有还原软件的存在。/反正重启电脑课件就没了你拖进去干嘛/D盘不会被还原啊!/课件. ppt(. exe)被拖进D盘/网管!为什么这个课件打不开啊!我那时候被老师指定维护班里的电脑,也就是网管。(不然怎么会讲得那么清楚!)电脑老师:中毒了,拿360撒一下就好了嘛,你搞那么复杂班主任:撒!/EXE被全部清除,对应的文件全部设为隐藏且无法更改隐藏设定,显示隐藏文件被锁死,无法看到隐藏文件班主任:网管你撒毒把我文件都撒没了,我去DC城花了两百才把数据恢复我:...... (我应该打12315吗?)后来偶然在办公室听见,(360杀毒根本不靠谱,把我文件都删没了)。其实,进PE操作可以轻而易举的把病毒在启动文件夹的EXE删掉,但是架不住全校的U盘和电脑里都是这玩意,我刚删它就被其它人点开了!直到有一天,某个领导在上传某重要文件时拖了个EXE上去并且顺势爆破了教育局的部分电脑。/重装系统来解决问题吧,XP太老了老是中毒!/XP变Win7!/XX同学点开了自己U盘里的EXE/网管卒据某个小小学弟所说,病毒还在,就连那个装系统的老师的U盘里也全是EXE。因为根本不影响正常教学,所有人都选择了/秘奥义-换家绝学的现实应用-不管后来有幸见到一台干净的电脑在母校,嗯对那台机子USB口全坏传文件全靠网线(QQ)我神特么熟练的撬开讲台露出机箱后面板,告诉他们:这里能插U盘哼啊啊啊啊啊啊啊啊啊啊啊啊啊更新一下,病毒本体在电脑里是update. exe,在任务管理器里面可以看到,在Windows的启动文件夹里也有,找到的能不能发一个给我,我以前存的好像被杀了
泠无心 2023-11-05 18:13 我提一个,这个病毒厉害的地方不在于机器语言,而是人类语言。这个病毒叫做AV(Anti Virus)终结者首先请大家思考一个问题,怎么能够在网上搜索到这个病毒的专杀工具,并且过程中无论用户输入还是网站文字,都不可以出现这个病毒的名字、“病毒”、“杀毒”、“专杀”、各种主流杀毒软件的名字和网址等。结论上来说这是不可能的。这个病毒厉害的地方就在这里。当电脑感染病毒之后,AV终结者病毒首先会把所有杀毒软件干掉。之后通过主流手段保持运行,并且监视所有运行的程序和打开的窗口。只要一个程序或窗口出现列表中的关键字,这个程序就会立刻被关闭。例如,打开一个空白文本文档,没有问题,在其中输入“病毒”二字,这个文档立刻就会被关闭并且没有保存。浏览器也是同理,完全无法浏览任何带有“病毒”字样的页面,包括包含“病毒”的搜索结果。要杀掉这个病毒,除了重装系统之外,只能依赖专杀工具。这个专杀工具是特制的,里面不包含任何“杀毒”“专杀”之类的字,文件名是随机生成的,甚至文件大小都不同。感染病毒者需要找一台干净的电脑,下载这个专杀工具,然后复制到中毒的电脑上运行,即可杀掉病毒。想要靠中毒的电脑自己杀掉病毒,在当时是不可能的。
360U2953070344 2023-11-05 18:21 布线时杂乱无章,不留任何标记,再配合控制器编辑,比病毒都厉害。这是干这个活的人,留给自己的后门。最原始也最有效。发生问题,除了找到造这个屎山的人,自己搞还不如重新弄。这个一块就知道厉害。软件方面,造轮子的人留了什么,你永远不会知道,除非用得上的时候。
