本文目录一览:
- 1、木马病毒诈骗,原理,能通过什么手段
- 2、为什么我的“卡巴”已经实时监控了,病毒怎么还可以进来那么多啊?而且都是木马
- 3、什么是API函数?API函数是什么?
- 4、关于黑客的问题?????急
- 5、我同学说调用API是没实力的表现,是吗?
木马病毒诈骗,原理,能通过什么手段
木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来(在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是DynamicLinkLibrary(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cdC:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir*.exeexebackup.txtdir*.dlldllbackup.txt回车。这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行CMD—fcexebackup.txtexebackup1.txtdifferent.txtfcdllbackup.txtdllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。最后,防治木马的危害,专家建议大家应采取以下措施:第一,安装反病毒软件和个人防火墙,并及时升级。第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。第三,使用安全性比较好的浏览器和电子邮件客户端工具。第四,操作系统的补丁要经常进行更新。第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。相信大家只要做好安全防护工作,防治木马并不是那么可怕的。
为什么我的“卡巴”已经实时监控了,病毒怎么还可以进来那么多啊?而且都是木马
因为原网页打不开了,我原文拷贝你看:
木马入侵方式
1.修改批处理
很古老的方法,但仍有人使用。一般通过修改下列三个文件来作案:
Autoexec.bat(自动批处理,在引导系统时执行)
Winstart.bat(在启动GUI图形界面环境时执行)
Dosstart.bat(在进入MS-DOS方式时执行)
例如:编辑C:windowsDosstart.bat,加入:start Notepad,当你进入“MS-DOS方式”时,就可以看到记事本被启动了。
2.修改系统配置
常使用的方法,通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的,涉及范围有:
在Win.ini文件中:
[windows]
load=程序名
run=程序名
在System.ini文件中:
[boot]
shell=Explorer.exe
其中修改System.ini中Shell值的情况要多一些,病毒木马通过修改这里使自己成为Shell,然后加载Explorer.exe,从而达到控制用户电脑的目的。
3.借助自动运行功能
这是黑客最新研发成果,之前该方法不过被发烧的朋友用来修改硬盘的图标而已,如今它被赋予了新的意义,黑客甚至声称这是Windows的新BUG。
Windows的自动运行功能确实很烂,早年许多朋友因为自动运行的光盘中带有CIH病毒而中招,现在不少软件可以方便地禁止光盘的自动运行,但硬盘呢?其实硬盘也支持自动运行,你可尝试在D盘根目录下新建一个Autorun.inf,用记事本打开它,输入如下内容:
[autorun]
open=Notepad.exe
保存后进入“我的电脑”,按F5键刷新一下,然后双击D盘盘符,怎么样?记事本打开了,而D盘却没有打开。
当然,以上只是一个简单的实例,黑客做得要精密很多,他们会把程序改名为“ .exe”(不是空格,而是中文的全角空格,这样在Autorun.inf中只会看到“open= ”而被忽略,此种行径在修改系统配置时也常使用,如“run= ”(如图1);为了更好地隐藏自己,其程序运行后,还会替你打开硬盘,让你难以查觉。(示例请看)
由此可以推想,如果你打开了D盘的共享,黑客就可以将木马和一个Autorun.inf存入该分区,当Windows自动刷新时,你也就“中奖”了,因此,大家千万不要共享任何根目录,当然更不能共享系统分区(一般为C:)。
4.通过注册表中的Run来启动
很老套的方法,但80%的黑客仍在使用,通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值,可以比较容易地实现程序的加载,黑客尤其方便在带”Once”的主键中作手脚,因此带“Once”的主键中的键值,在程序运行后将被删除,因此当用户使用注册表修改程序查看时,不会发现异样。另外,还有这样的程序:在启动时删除Run中的键值,而在退出时(或关闭系统时)又添加键值,达到隐蔽自己的目的。(这种方法的缺点是:害怕恶意关机或停电,呵呵!)
5.通过文件关联启动
很受黑客喜爱的方式,通过EXE文件的关联(主键为:exefile),让系统在执行任何程序之前都运行木马,真的好毒!通常修改的还有txtfile(文本文件的关联,谁不用用记事本呢?)、regfile(注册表文件关联,一般用来防止用户恢复注册表,例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表,用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序,阻碍用户修复。
6.通过API HOOK启动
这种方法较为高级,通过替换系统的DLL文件,让系统启动指定的程序。例如:拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接,那么黑客就会替换这个DLL,当用户的应用程序调用这个API函数,黑客的程序就会先启动,然后调用真正的函数完成这个功能(特别提示:木马可不一定是EXE,还可以是DLL、VXD),这样既方便又隐蔽(不上网时根本不运行)。中此绝毒的虫子,只有两种选择:Ghost或重装系统,幸好此毒廖廖无几,实属万虫之幸!
API的英文全称为:Application Programming Interface,也就是应用程序编程接口。在Windows程序设计领域发展初期,Windows程序员所能使用的编程工具唯有API函数,这些函数是Windows提供给应用程序与操作系统的接口,他们犹如“积木块”一样,可以搭建出各种界面丰富,功能灵活的应用程序。所以可以认为API函数是构筑整个Windows框架的基石,在它的下面是Windows的操作系统核心,而它的上面则是所有华丽的Windows应用程序。
7.通过VXD启动
此法也是高手专用版,通过把木马写成VXD形式加载,直接控制系统底层,极为罕见。它们一般在注册表[HKEY_ LOCAL_MACHINESystemCurrentControlSetServicesVxD]主键中启动,很难发觉,解决方法最好也是用Ghost恢复或重新干净安装。
8.通过浏览网页启动
通过此种途径有两种方法:
利用MIME漏洞:这是2001年黑客中最流行的手法,因为它简单有效,加上宽带网的流行,令用户防不胜防,想一想,仅仅是鼠标变一下“沙漏”,木马就安装妥当,Internet真是太“方便”了!不过今年有所减少,一方面许多人都改用IE6.0;另一方面,大部分个人主页空间都不允许上传.eml文件了。
MIME被称为多用途Internet邮件扩展(Multipurpose Internet Mail Extensions),是一种技术规范,原用于电子邮件,现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的,在它出现前,邮件内容如果包含声音和动画,就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准,而接收方必须经过解码才可以获得声音和图画信息。MIME提供了一种可以在邮件中附加多种不同编码文件的方法,这与原来的邮件是大大不同的。而现在MIME已经成为了HTTP协议标准的一个部分。
9.利用Java applet
划时代的Java更高效、更方便——不过是悄悄地修改你的注册表,让你千百次地访问黄(黑)色网站,让你关不了机,让你……,还可以让你中木马。这种方法其实很简单,先利用HTML把木马下载到你的缓存中,然后修改注册表,指向其程序。
10.利用系统自动运行的程序
这一条主要利用用户的麻痹大意和系统的运行机制进行,命中率很高。在系统运行过程中,有许多程序是自动运行的,比如:磁盘空间满时,系统自动运行“磁盘清理”程序(cleanmgr.exe);启动资源管理器失败时,双击桌面将自动运行“任务管理器”程序(Taskman.exe);格式化磁盘完成后,系统将提示使用“磁盘扫描”程序(scandskw.exe);点击帮助或按F1时,系统将运行Winhelp.exe或Hh.exe打开帮助文件;启动时,系统将自动启动“系统栏”程序(SysTray.exe)、“输入法”程序(internat.exe)、“注册表检查” 程序(scanregw.exe)、“计划任务”程序(Mstask.exe)、“电源管理”程序等。
这为恶意程序提供了机会,通过覆盖这些文件,不必修改任何设置系统就会自动执行它们!而用户在检查注册表和系统配置时不会引起任何怀疑,例如“注册表检查” 程序的作用是启动时检查和备份注册表,正常情况不会有任何提示,那么它被覆盖后真可谓是“神不知、鬼不觉”。当然,这也许会被“系统文件检查器”检查(但勤快的人不多)出来。
黑客还有一高招“偷天换日”!不覆盖程序也可达到这个目的,方法是:利用System目录比Windows目录优先的特点,以相同的文件名,将程序放到System目录中。你可以试试,将Notepad.exe(记事本)复制到System目录中,并改名为Regedit.exe(注册表编辑器),然后从“开始”→“运行”中,输入“Regedit”回车,你会发现运行的竟然是那个假冒的Notepad.exe!同样,如果黑客将程序放到System中,然后在运行时调用真正的Regedit,谁知道呢?(这种方法由于大部分目标程序不是经常被系统调用,因此常被黑客用来作为被删除后的恢复方法,如果某个东东被删除了又出现,不妨检查检查这些文件。)
11.还有什么“高招”
黑客还常常使用名字欺骗技术和运行假象与之配合。名字欺骗技术如上述的全角空格主文件名“ .exe”就是一例,另外常见的有在修改文件关联时,使用“ ”(ASCII值255,输入时先按下Alt键,然后在小键盘上输入255)作为文件名,当这个字符出现在注册表中时,人们往往很难发现它的存在。此外还有利用字符相似性的,如:“Systray.exe”和“5ystray”(5与大写S相似);长度相似性的,如:“Explorer.exe”和“Explore.exe”(后者比前者少一个字母,心理学实验证明,人的第一感觉只识别前四个字母,并对长度不敏感);运行假象则是指运行某些木马时,程序给出一个虚假的提示来欺骗用户。一个运行后什么都没有的程序,地球人都知道不是什么好东西;但对于一个提示“内存不足的程序,恐怕还在埋怨自己的P4太差哩!
什么是API函数?API函数是什么?
API(Application Programming Interface,应用程序接口)函数是一些预先定义的函数。操作系统除了协调应用程序的执行、内存分配、系统资源管理外。
同时也是一个很大的服务中心,调用这个服务中心的各种服务(每一种服务是一个函数),可以帮助应用程序达到开启视窗、描绘图形、使用周边设备的目的。
例如,图形库中的一组API定义了绘制指针的方式,可于图形输出设备上显示指针。当应用程序需要指针功能时,可在引用、编译时链接到这组API,而运行时就会调用此API的实现(库)来显示指针。
扩展资料
应用:通过API文本查看器,可以方便地查找程序所需要的函数声明、结构类型和常数,然后将它复制到剪贴板,最后再粘贴到VB程序的代码段中。
在大多数情况下,只要确定了程序所需要的函数、结构和常数这三个方面后,就可以通过对API文本游览器的以上操作将他们加入到程序段中,从而程序中可以使用这些函数了。这些是学习API最基本的常识问题,它远远占不到API的庞大的体系内容。
参考资料来源:百度百科-API函数
关于黑客的问题?????急
很重要的是你要非常熟悉Windows操作系统(大部分操作系统吗),因为是你要破坏的东西,所以对它的结构,系统组成(程序),工作机制都要很了解。我建议你看的一些方面如下: 操作系统原理,进程与线程,WindowsAPI函数的调用,C语言,C++语言,汇编语言,网络通讯原理(例如各种网络协议,TCP,UDP等),熟悉病毒与木马的工作机制以及编写手法,还要熟练的驾驭它们,因为没有黑人先被别人黑了也不是占少数(一般是菜鸟黑客的捷径,但永远成不了真正的黑客,PS:没黑人),还要经常上黑客论坛,了解最新黑客技术,还是那句话,注意自己别被黑了.
我同学说调用API是没实力的表现,是吗?
你同学根本不知道什么叫API,所有的程序都是建立在API基础上的,没有一个程序是可以独立运行的(独立运行那是单片机程序),所有程序都需要依赖其他程序文件,驱动程序和操作系统,要用这些东西就要掉API,别无他法,因为API就是程序接口的名字,一个程序提供的所有能外部调用的方法都叫API。。。。就拿c语言中的函数,很多都是在调用API函数,比如最常见的printf,和scanf他们表面上看是C语言的东西,本质上是调用了,操作系统IO操作相关的内核对象,没有windows API你办不到,还有什么timer了,malloc了,都是一样在调用API实现的,在windows下工作,你都必须调用windows API,windows不提供其他方法,唯一的区别是人家编程软件提供的函数替你调用,还是你的亲自写代码调用,相比之下API显得更底层更高端。。。。
大多数情况不是不用API,是你没看到用API,这个不可能不用,他是不同程序之间相互调用的唯一方法,你写的日啊门口阿门如果打算让别的软件调用,就必须要写API(不写API就向汽车没装方向盘,没有刹车,没有方向盘,甚至连座位都没有),连API编写方法调用方法还是windows规定的,参数从右到左全部写入栈中,返回值放栈顶,不准按自己的方法做(汇编的要求,C++只用加上callback关键字就自动替你按API规则编译和调用)。。。。
就连你用的编程语言,编程工具都在调用API,居然到这说调用API没实力,那你是歧视网络黑客,还是歧视微软开发的MFC和.net,你只要让你同学学学windows操作系统编程,他就明白啥叫API,他在编程中的地位是啥,API是使用操作系统的唯一方法,你的键盘驱动,显卡驱动,鼠标都在调用API,没有API操作系统就没任何用处。。。。。