摘自:月光520 一个成熟的病毒程序一般在破坏系统和对抗防毒软件时都会有以下行为: 1.阻止进程管理工具运行.阻止防毒软件(早期通过效验进程名.文件名来阻止特定程序运行)(向特定程序发送大量垃圾消息.造成程序无法处理.自行退出)典型:worm.whboy. 危害等级:★ (释放N个恶意的DLL动态链接库组件插入系统各个进程)可以较好的躲避查杀..隐藏自身.并绕过防火墙监视.典型:AV终结者. 危害等级:★★ (使用Rootkit技术.并把自己注册成一个服务或多个服务.启用多个进程互相监视.并会恶意修改注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder] 里面的相关键值,来屏蔽显示隐藏文件功能,这样无论用户在系统设置中如何显示隐藏文件,都无法看见病毒体,这就给用户的样本提取和上报带来了难度。典型:灰鸽子Backdoor/Huigezi 危害等级:★★★ (IEFO重定向劫持技术病毒通过修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\],来禁止常见的杀毒软件、防火墙软件和安全工具的运行,从而达到躲避查杀,隐藏自身的目的。 典型:映像劫持者 危害等级:★★★★ 恶意驱动技术:病毒会释放特殊的恶意驱动程序接管冰点或者硬盘保护卡对硬盘的读写操作.并替换系统关键程序 explorer.exe等.阻止安全软件以及还原软件.. 危害等级:★★★★★ 典型: 机器狗 还原“SSDT HOOK”技术(SSDT解释:http://www.killdu.cn/html/shuyujieshi/20080315/42.html):病毒首先会释放恶意驱动程序.会利用内核级的还原“SSDT HOOK”技术去恢复被感染计算机系统中的SSDT表(System Service Descriptor Table,系统服务描述表),导致大部分旧版安全软件和杀毒软件的监控与主动防御功能失效,结束这些旧版安全软件和杀毒软件的主程序进程与监控程序进程,达到自我保护的目的。危害等级:★★★★★★ 典型 SSDT杀手 2.破坏系统安全模式:病毒会删除注册表中安全模式的相关项.造成进入安全模式蓝屏.3..修改系统时间.使一些以时间为准的防毒软件失效4.借助ARP加速传播5.模拟鼠标操作.试图绕过主动防御6.系统autorun.inf 自动运行漏洞7.修改Host表屏蔽防毒软件升级地址以及主流的防毒软件官方网站8.和系统紧密捆绑.以保证不被清除.或者清除后情况更糟9.向机器内所有网页文件内插入挂马或其它恶意代码.实现访问网页的用户中毒目的 读后评: 本文列举了当前很多猖狂病毒木马的通用行为特征,比较详细,大家应该熟悉了解下,以便知己知彼,方便应对!