鬼影病毒源碼
⑴ 「鬼影病毒」的運行原理如何清除
鬼影病毒偽裝為某共享軟體,欺騙用戶下載安裝。病毒運行後,會釋放2個驅動到用戶電腦中,並載入。驅動會修改系統的引導區,並將b驅動寫入磁碟,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統後,病毒載入入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。 重啟系統後,存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統載入ntldr文件時,插入惡意代碼,使其載入寫入引導區第五個扇區的b驅動。b驅動載入起來後,會監視系統中的所有進程模塊,若存在安全軟體的進程,直接結束。
至於如何清除嘛。我們知道,「鬼影」病毒是以隱蔽性著稱的,而「鬼影3」則將其隱蔽性更提升了一個層次,普通安全工具要想找出「鬼影3」的全部隱藏行為那是十分困難的,但是通過PowerTool
這款軟體就可以輕松把「鬼影3」的尾巴揪出來。
詳細的:清除「鬼影3」病毒
在PowerTool的檢測下,「鬼影3」的隱藏手段暴露無遺。其實病毒並不可怕,只要我們能發現其隱藏手段,那麼清除起來是相當容易的。我們可以按照以下步驟使用PowerTool清除「鬼影3」病毒:
1)結束進程:在病毒進程上點右鍵,選擇「結束進程」。
2)恢復隱藏文件擴展名:右鍵→「修復」。
3)刪除病毒文件:右鍵→「刪除且不可還原」。
4)刪除快捷方式:右鍵→「修復以及刪除關聯文件」。
5)恢復鉤子:右鍵→「摘除鉤子」。
6)恢復MBR:點擊「自動修復MBR」按鈕即可。
還望採納!
BY:Terminator
⑵ 電腦中了鬼影病毒怎麼辦
利用金山急救箱進行殺毒。
1首先我們得有一個金山毒霸,然後在百寶箱一欄中找到金山急救箱,點擊下載,完事後打開即可。
⑶ 誰有鬼影病毒或者一些破壞力很強的木馬樣本本人想做研究,有的話發我 好人一生平安
這些病毒在卡飯和精睿的樣本區都有,不過實驗這種病毒真心的危險,個人還是建議不要嘗試,萬一電腦崩潰了就虧了;
而且研究這東西目前也沒有啥用,中這種病毒並非無解,騰訊電腦管家等查殺能力強的殺毒軟體都是可以清除的
⑷ 鬼影病毒是什麼、mbr是什麼
工具/原料金山毒霸步驟/方法鬼影病毒的主要代碼是寄生在硬碟的主引導記錄(MBR),即使受害者格式化硬碟重裝系統,鬼影病毒也無法清除。鬼影病毒是國內首個引導區下載者病毒,它具備「三無」特徵—— 無文件、無系統啟動項、無進程模塊,而且即使用戶重格式硬碟和重裝系統也依然無效。使用專業的安全軟體即可徹底清理掉鬼影病毒。 注意事項電腦中了鬼影病毒最好使用專業的安全軟體進行清理,不建議手動清除。
⑸ 鬼影病毒
無需寄主結束所有殺毒軟體。
該病毒一旦進入電腦,就像惡魔一樣,隱 藏在系統之外,無文件、無系統啟動項、 無進程模塊,比系統運行還早,結束所有 殺毒軟體,下載av終結者,盜號木馬,ie 主頁修改等大量多品種病毒。
顛覆傳統重裝系統無法清除。
一般的電腦病毒是Windows系統下的應用 程序,在Windows載入之後才運行。而「鬼 影」病毒的主要代碼是寄生在硬碟的主引導 記錄(MBR),即使用戶重裝了系統,仍 無法將其完全清除。當系統再次重啟時, 該病毒會早於操作系統內核先行載入。而 當病毒成功運行後,在進程中、系統啟動 載入項里找不到任何異常,病毒就象「鬼影 」一樣在中毒電腦上「陰魂不散」。「鬼影」病 毒是國內首個引導區下載者病毒,顛覆了 傳統病毒的感染特點以及用戶處理病毒問 題的思維定勢,不僅做到了「三無」特性——無文件、無系統啟動項、無進程模塊, 而且即使用戶重裝了系統,該病毒依然會 再次進入用戶新系統。
安全軟體失效電腦明顯變慢
「鬼影」病毒入侵後,會釋放驅動程序改寫 硬碟MBR(主引導記錄),驅動程序在開 機過程中攻擊眾多殺毒軟體,令殺毒軟體 失效,再下載傳統的AV終結者木馬下載器 ,最終目的依然是通過傳播盜號木馬,竊 取用戶虛擬財產牟利。中毒後,最直觀的 現象是安全軟體無法正常運行,電腦明顯 變慢,IE主頁被改。
出現症狀
1、電腦非常卡,操作程序有明顯的停滯 感,常見殺毒軟體無法正常打開,同時發 現反復重裝系統後問題依舊無法解決。
⑹ 鬼影病毒是什麼急!
概念
[1]鬼影病毒是指寄生在磁碟主引導記錄(MBR),即使格式化重裝系統,也無法清除的病毒。當系統再次重啟時,該病毒會早於操作系統內核先行載入。而當病毒成功運行後,在進程中、系統啟動載入項里找不到任何異常,病毒就象「鬼影」一樣在中毒電腦上「陰魂不散」。
編輯本段來源介紹
「鬼影」病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術主要在國外技術論壇傳播,在「鬼影」病毒之前,這一技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師說,目前「鬼影」病毒只針對WinXP系統,該病毒尚不能破壞Vista和Windows
7系統。
另據金山安全實驗室研究人員透露,在目前國內安全廠商和民間反病毒高手中,能夠完整分析「鬼影」病毒的人屈指可數。因病毒寄生於硬碟的主引導記錄(MBR),病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除,金山已經推出了鬼影專殺工具。
金山毒霸已經升級,可查殺傳播「鬼影」病毒的母體文件,避免更多用戶受「鬼影」病毒之害,用戶只需要在線升級即可獲得相應防禦能力。金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表,防止更多用戶下載這個神秘的「鬼影」病毒。
編輯本段特徵
無需寄主
結束所有殺毒軟體。
該病毒一旦進入電腦,就像惡魔一樣,隱藏在系統之外,無文件、無系統啟動項、無進程模塊,比系統運行還早,結束所有殺毒軟體,下載av終結者,盜號木馬,ie主頁修改等大量多品種病毒。
顛覆傳統
重裝系統無法清除。
一般的電腦病毒是Windows系統下的應用程序,在Windows載入之後才運行。而「鬼影」病毒的主要代碼是寄生在硬碟的主引導記錄(MBR),即使用戶重裝了系統,仍無法將其完全清除。當系統再次重啟時,該病毒會早於操作系統內核先行載入。而當病毒成功運行後,在進程中、系統啟動載入項里找不到任何異常,病毒就象「鬼影」一樣在中毒電腦上「陰魂不散」。「鬼影」病毒是國內首個引導區下載者病毒,顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,不僅做到了「三無」特性——無文件、無系統啟動項、無進程模塊,而且即使用戶重裝了系統,該病毒依然會再次進入用戶新系統。
安全軟體失效
電腦明顯變慢
「鬼影」病毒入侵後,會釋放驅動程序改寫硬碟MBR(主引導記錄),驅動程序在開機過程中攻擊眾多殺毒軟體,令殺毒軟體失效,再下載傳統的AV終結者木馬下載器,最終目的依然是通過傳播盜號木馬,竊取用戶虛擬財產牟利。中毒後,最直觀的現象是安全軟體無法正常運行,電腦明顯變慢,IE主頁被改。
編輯本段出現症狀
1、電腦非常卡,操作程序有明顯的停滯感,常見殺毒軟體無法正常打開,同時發現反復重裝系統後問題依舊無法解決。
2、系統文件被感染殺毒查殺以後提示找不到相應的dll或者系統功能不正常。目前rpcss.dll,ddraw.dll是盜號木馬現在常修改的系統dll。
3、QQ號碼被盜,可被黑客用來傳播廣告等。魔獸、DNF、天龍八部、夢幻西遊等游戲賬號被盜。
4、進程中存在iexplor.exe進程並指向一個不正常的網站。
5、現在鬼影共同特徵就是進程里有ali.exe
6、你的電腦桌面上出現了一個討厭的「播放器」快捷方式,而且刪不掉。
7、現在的鬼影還有一個特徵就是任何軟體(有些例外如360急救箱),會在7——12秒內自動關閉,一些鬼影病毒可以屏蔽一些「純鬼影專殺」,當啟動專殺時,會發現專殺驅動無法成功啟動。只有一些強制性的殺毒軟體(如金山系統急救箱),才可以清除。
編輯本段工作原理
鬼影病毒偽裝為某共享軟體,欺騙用戶下載安裝。病毒運行後,會釋放2個驅動到用戶電腦中,並載入。驅動會修改系統的引導區(mbr),並將b驅動寫入磁碟,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統後,病毒載入入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
重啟系統後,存在於引導區中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統載入ntldr文件時,插入惡意代碼,使其載入寫入引導區第五個扇區的b驅動。b驅動載入起來後,會監視系統中的所有進程模塊,若存在安全軟體的進程,直接結束。b驅動會下載av終結者到電腦中,並運行。av終結者會修改系統文件,對安全軟體進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統。
編輯本段處理方法重裝系統
格式化C盤,進入dos狀態,運行fdisk/mbr
命令,用以清除掉主引導區的病毒引導代碼,這時候重裝系統就可以了,但是這是在完全安裝起作用的,如果你用是GHOST安裝系統那麼還要多做以下幾步:
1、通過GHOST系統盤進入PQ/PM分區工具,一般GHOST系統盤都帶的。
2、
右擊c盤,選擇進階-設為作用,這樣就把MBR引導層重新寫了一遍,這樣在引導層中的病毒也自然被剔除了。
3、
直接用GHOST系統盤安裝系統就OK了。
查殺方法
DOS下手動查殺方法
第一步:找專殺工具:這里推薦使用「一鍵GHOST「,其中的DOS工具箱自帶的小工具DISKRW就可以完美解決。
第二步:殺除MBR病毒
1、清除MBR以外的硬碟保留扇區。安裝或製作好「一鍵GHOST」,開機進入一鍵GHOST,最終出現紅色界面時按ESC鍵退回到主菜單,按方向鍵選擇「DOS工具箱」-->「DISKRW"
-->
"3.清除"
-->
"清除(2)「
-->
確定。(注意,盡量使用2010版,更早的版本不能保證有此功能)。
2、修復MBR(關鍵一步,必須做),接著下一步,選擇「4.修復」-->
「修復(F)「
-->
確定。
第三步:重裝或恢復系統。在第二步完成後,千萬不要重啟電腦進入WINDOWS了,否則會二次感染。正確的方法是,將系統安裝光碟放入光碟機中,重裝系統。或者如果你有本地的系統備份(當然是沒感染病毒之前做過的備份),也可以用「一鍵恢復系統」功能進行恢復。
第四步:全盤殺毒。返回WINDOWS後,需要升級你的殺毒軟體到最新版本(最新病毒庫),然後進行「全盤查殺」,這樣可以把殘留在非系統盤(比如D盤、E盤、F盤)里的病毒寄主文件殺掉,以做到「斬草除根」。
WindowsXP下MBRFix配合360安全衛士查殺
步驟一:開機打開任務管理器,結束(nat.exe)
步驟二:打開360安全衛士,選擇系統修復來修復系統
步驟三:在網上下載一個工具(MBRFix),在XP下運行「CMD」進入DOS模式,運行(MBRFix
/drive
0
fixmbr
/yes)
重啟後OK
編輯本段專殺工具
「鬼影」病毒的特徵之一是安全軟體不能正常運行,該病毒目前的累計感染量約30萬台。若網民發現自己電腦上安裝的安全軟體莫名其妙不能正常運行,常見的修復工具也不能正常運行,請嘗試使用金山安全中心發布的「鬼影」病毒專殺工具檢查修復。目前此工具適用於尚未變種的鬼影病毒,一旦該病毒變種,該專殺將會無效,這里提醒大家要注意上網時的網路防護,要定期開啟殺軟掃描,目前金山毒霸已能夠殺滅鬼影母體。「鬼影」病毒傳播的廣度分析金山雲安全系統分析該惡意軟體的下載頻率,結
合傳播病毒的網站流量分析,評估該病毒的日下載量大約為2-3萬之間。
編輯本段未來
鬼影病毒開創了中國惡意軟體編寫的先河,預計該病毒的源文件將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟體利用「鬼影」病毒的MBR-rootkit技術長期駐留用戶電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已
⑺ 跪求鬼影病毒易語言源碼,最好連源文件都有
鬼影病毒、不是用易語言寫的,也不會有人專門用易語言給你寫出來!這種病毒,比較厲害、所以找到源代碼是很難的,除非是作者。
⑻ 請問哪位有鬼影病毒的源碼
這個還真沒有,連聲稱最先獲取病毒樣本的金山都沒這本事弄出鬼影的源碼,而且連樣本都是機密中的機密,要是泄露了,網上的人多做幾個病毒變種,那些殺軟也夠喘的了。
⑼ 誰有「鬼影」病毒及熊貓燒香病毒的代碼
製作"鬼影"的颶風工作室已經解散(至少對外宣稱是這樣),所以,找代碼是找不到的(當然,不解散估計也是找不到的...不然怎麼賣錢...)。
「鬼影」是一個感染MBR的病毒,所以,你可以從其他的MBR病毒學習它的編程精神,這里有一個視頻,視頻的前半部分是驅動結束進程的,後半部分是MBR的內容。至於語言,這個視頻是C和匯編混搭的。
主要原理是這樣的:
1.使用NASM編譯實模式的COM文件
2.使用WinHex提取C代碼的ShellCode
3.通過CreateFile打開"\\\\.\\PHYSICALDRIVE0"設備
4.把ShellCode寫到設備中
鏈接不能亂貼,發你消息了。
熊貓燒香比較簡單,是DELPHI寫的,這也讓DELPHI火了好一陣子,不過現在已經降溫了,其作者李俊出獄後找不到工作也可見一斑。代碼么,我沒有,不過可以大致梳理一下這個病毒:
1.搜索常用的殺軟進程,並向其窗口發出退出消息(這個比較低級,現在這種方法已經無效了,但當時還是很邪惡的...)
2.感染文件,替換圖標(據說本來只是想感染文件,但解決不了感染後圖標失真問題,所以乾脆給替換成了自己的圖標),及簡單的隱藏。
3.區域網搜索其它機器弱口令,通過文件共享的方式感染區域網
4.聯網下載其他病毒
大致就這4點,你可以用任何一種語言編寫同類程序。
最重要的一點,只學技術,不做違法的事。