办公室翻到一本旧的计算机教材,是关于计算机病毒的,清华大学1996年出的教材。1996年,想想中国计算机教材的滞后性(早年更严重,看看计算机等级考试中DOS考了几年)就知道这里面讲述的内容有多老,基本都是DOS下的内容,虽然那时windows95这个划时代产品已经问世。
不过,技术这东西还是有通用性的,看了看,果然有收获,虽然书上说当时全世界的病毒只有1318种(当时的杀毒软件厂商一定很闲):
1、感染可执行文件病毒,原来在电脑“远古”时代就有了,虽然是在DOS下的,但其插入EXE、COM文件的技术已经出现。完了,李俊最后的遮羞布也被扯掉了,熊猫烧香的技术水平大打折扣。
...代码:X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 上面这段代码相信常访问IT网站或社区的网友们并不陌生,而且往往被灌上神秘的色彩,将这段代码复制到Google的搜索框,敲回车,有41000个网页收录了这样的信息,其中首当其冲的就是太平洋和中关村,然后太平洋的出处表明是网易,作者是佚名;然后中关村的出处又是hacker.cn,又不清楚这个网易和hacker.cn的出处又是哪里了??这个和很多假新闻类似。……
[Symantec Eraser Control driver / eeCtrl]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys><Symantec Corporation>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>
Cmicnfg.cpl是C-Media程序文件﹑声卡驱动文件。
[XPROTECTOR / XPROTECTOR][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\Xprotector.sys><N/A>
网上该文件的相关信息:
一、老外的XPROTEXTOR加壳保护的软件。
这个和DBPE保护层次上差不多,但狠毒劲则比DBPE过之。
总体上来说:
1、XPRO与DBPE一样,都是利用驱动程序来在WINNT系统上获得R0级权限。
...
瑞星的卡卡助手6.0的文件,插入注册表的AppInit_Dlls,而不是以前版本的ieprot.dll。有的杀毒软件或安全工具会对kmon.dll报警,因为AppInit_Dlls是注册表敏感位置,默认值为空,很多病毒会在此处加入自己的文件、用于启动,但卡巴斯基、卡卡等安全程序也会在此处插入自己的文件。
