元征x431无法开机-元征电脑系统崩溃开不了机
1.计算机的传播途径有哪些?
2.历史上有哪些特殊的电脑
3.如何设计新手用户引导
4.电脑
计算机的传播途径有哪些?
计算机主要通过以下途径传播:
1、通过使用外界被感染的软盘;2、通过硬盘传染;3、通过光盘传播,因为光盘容量大,能存储海量的可执行文件;4、通过网络传播,这种方式扩散极快,能在很短时间内传遍网络上的机器。
计算机(ComputerVirus)指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。
计算机具有传染性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机的生命周期:开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期。
历史上有哪些特殊的电脑
最早的电脑
1983年11月3日美国计算机专家首次提出了计算机的概念并进行了验证。1987年,计算机主要是引导型,具有代表性的是“小球”和“石头”。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播.1989年,引导型发展为可以感染硬盘,典型的代表有“石头2”。 DOS可执行阶段1989年,可执行文件型出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”,代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型,可感染COM和EXE文件。 伴随,批次型阶段1992年,伴随型出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,就取得控制权.这类的特点是不改变原来的文件内容,日期及属性,解除时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型是工作在DOS下的和“海盗旗”类似的一类。 幽灵,多形阶段1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵就是利用这个特点,每感染一次就产生不同的代码。例如“一半”就是产生一段有上亿种可能的解码运算程序,体被隐藏在解码前的数据中,查解这类就必须能对这段数据进行解码,加大了查毒的难度。多形型是一种综合毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种往往要两段以上的子程序方能解除。 生成器,变体机阶段1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为时,就产生了这种复杂的“生成器” ,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“制造机” VCL,它可以在瞬间制造出成千上万种不同的,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解。 网络,蠕虫阶段1995年,随着网络的普及,开始利用网络进行传播,它们只是以上几代的改进.在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 视窗阶段1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。 宏阶段1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制,这种使用类Basic语言,编写容易,感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的也归为此类,由于Word文档格式没有公开,这类查解比较困难 互连网阶段19年,随着因特网的发展,各种也开始利用因特网进行传播,一些携带的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒. 爪哇(Ja),邮件阶段19年,随着万维网(Wold Wide Web)上Ja的普及,利用Ja语言进行传播和资料获取的开始出现,典型的代表是JaSnake,还有一些利用邮件服务器进行传播和破坏的,例如Mail-Bomb,它会严重影响因特网的效率.
危害最大的十个
1. CIH (1998年) 感染 Win95/98 中的可行性文件, 这种在Windows环境下传播, 其实时性和隐蔽性都特别强, 变种可以重写 BIOS。大约在世界范围内造成了两千万到八千万美元的损失。
2.梅利莎 (Melissa,1999年) Melissa是一种迅速传播的宏, 它作为电子邮件的附件进行传播, 尽管Melissa不会毁坏文件或其它, 但是它可能会使企业或其它邮件服务端程序停止运行, 因为它发出大量的邮件形成了极大的电子邮件信息流。1999年3月26日爆发, 感染了 15%-20% 的商业电脑, 带来了三千万到六千万美元的损失。
3. 爱虫 (I love you, 2000年) 和 Melissa 一样通过电子邮件传播, 而其破坏性要比 Melissa 强的多, 可以删除本地部分和文本, 大约造成了一千万到一千五百万美元的损失。
4. 红色代码 (Code Red, 2001年) Code Red 是一种蠕虫, 本质上是利用了缓存区溢出攻击方式, 使用服务器的端口80进行传播, 而这个端口正是Web服务器与浏览器进行信息交流的渠道。与其它不同的是, Code Red 并不将信息写入被攻击服务器的硬盘, 它只是驻留在被攻击服务器的内存中。 大约在世界范围内造成了二百八十万美元的损失。
5. SQL Slammer (2003年) Slammer 是一款DDOS恶意程序, 透过一种全新的传染途径, 取分布式阻断服务攻击感染服务器, 它利用 SQL Server 弱点取阻断服务攻击1434端口并在内存中感染 SQL Server, 通过被感染的 SQL Server 再大量的散播阻断服务攻击与感染, 造成 SQL Server 无法正常作业或宕机, 使内部网络拥塞。和 Code Red 一样, 它只是驻留在被攻击服务器的内存中. 大约在世界范围内造成了五十万台服务器当机, 让韩国整个网络瘫痪了12个小时。
6. 冲击波 (Blaster, 2003年) 冲击波是利用微软公司在当年7月21日公布的 RPC 漏洞进行传播的, 只要是计算机上有 RPC 服务并且没有打安全补丁的计算机都存在有 RPC 漏洞, 该感染系统后, 会使计算机产生下列现象: 系统被大量占用, 有时会弹出 RPC 服务终止的对话框, 并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页, 复制粘贴等操作受到严重影响, DNS 和 IIS 服务遭到非法拒绝等. 这个该是近期国内比较熟悉一个大范围影响的了。大约造成了二百万到一千万美元的损失, 而事实上受影响的电脑则是成千上万, 不计其数。
7. 大无极.F (Sobig.F, 2003年) 这是 Sobig 蠕虫的第5个变种, 具有非常强的感染能力, 因此将会发生庞大的电子邮件传输, 使全球各地的电子邮件服务器当机, 由于其特性, 还将会极其危险的泄漏本地数据。大约造成了五百万到一千万美元的损失, 有超过一百万台电脑受感染。
8. 贝革热 (Bagle, 2004年) Bagle 也被称为 Beagle, 是一种透过电子邮件散布的蠕虫, 它通过远程访问网站利用电子邮件系统进行散布, 并在 Windows 系统建立 backdoor, 至今为止, 这个蠕虫可能是程度最严重, 传播范围最广泛的蠕虫, 其影响仍然处于上升趋势。目前已经造成了上千万美元的损失, 而且仍然在继续。
9. MyDoom (2004年) 该用的是和垃圾邮件相结合的战术, 可以迅速在企业电子邮件系统中传播开来, 导致邮件数量暴增, 从而阻塞网络。不管是还是垃圾邮件, 无论哪一样在去年都给用户造成了足够多的烦恼, 而如今这两者的结合更是来势凶猛, 再加上大多数用户对此并不知情, 使得这种的传播速度突破了原来的各种的传播速度。根据 MessageLabs 调查公司的数据显示, 在MyDoom发作的高峰时刻, 每10封邮件中就有一封被此种感染, 而对于前一年肆虐的Sobig, 每17封邮件中才会有一封邮件被感染。在其爆发最严重的时候, 让全球的网络速度大幅度价低。
10. 震荡波 (Sasser, 2004年) 震荡波会在网络上自动搜索系统有漏洞的电脑, 并直接引导这些电脑下载文件并执行, 因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网, 就有可能被感染。这样子的发作特点很像当年的冲击波, 会让系统文件崩溃, 造成电脑反复重启。目前已经造成了上千万美元的损失。
如何设计新手用户引导
如何设计新手用户指南
一个新的网络产品或者一个全新的功能要想吸引用户的使用兴趣,就要让用户在接触到它的时候迅速知道它是什么,它能做什么,并立即开始一些简单的操作。如果你很久都没有想通这一点,你很可能会彻底放弃。所以,设计对新手用户的指导,是设计用户之前使用产品一两次时的体验,设计目标是让新手用户快速、无痛苦地成为中级用户。
一、设计中的注意事项
无论是什么样的产品,新手用户在尝试的时候都会有一些共同的情感体验:会对新的产品和功能产生一些好奇和困惑,希望快速了解它的概念和范围。在尝试使用的时候会比较敏感,容易受挫。如果你有一个非常了解产品的专家用户,你一般会相信这个专家用户对产品的介绍和判断。
针对新手用户的这些情感特征,我们尝试提出一些设计新手用户指南时的注意事项。
1.尽可能少的新手任务
首先,我们想让新手快速了解产品是什么,能做什么,快速上手,所以完成这个过程必须经历的任务一定不能太多,而且要特别有针对性。引导用户阅读说明书或尝试操作都围绕“理解产品的概念和范围”这一目标,新手任务尽量不超过三个。"把用户想象成非常聪明,但是非常忙碌的人."──艾兰·库伯.
2.最好的指引是无形的
如果一个产品的用户界面足够好,能够反映出用户的心智模型,那么就不需要设计所谓的新手用户指南,用户只要一看到就能知道如何操作。另一方面,在新产品中延续用户在其他同类产品中的使用习惯,也是一种化引导为无形的手段。
3.易于查找和理解
当新功能确实复杂到需要专门的指导时,我们需要让指导信息便于用户查找和理解,提供清晰的操作入口。
4.适当夸大用户的成功。
当一个新手还比较敏感和沮丧的时候,给她一些鼓励和正面的反馈,可以帮助她建立使用的信心。这种做法在游戏中尤为常见。新手的任务一般都比较简单,加分会来得比较容易。一旦开始,就会越来越难。为用户设定符合她使用水平的任务,帮助她成长,也符合MihalyiCasikszentmilhalyi的流量理论。
流动
5.原谅用户犯错。
用户最有可能在不知情的情况下在产品中闲逛,所以产品需要提供一个安全的、可探索的环境。系统提供了防错、纠错、帮助从错误中恢复等机制,可以让新手用户的任务更加细致周到,成本更高。
二、设计思路
以上注意事项应该如何体现在产品中?我们查阅了一些资料,了解了目前热门网站的常见做法。在此基础上,提出了我们的设计思路。离设计方法还很远,因为还很不严谨。只是想提出来讨论一下,拍砖也可以。暂且称之为“新手任务为中心”的设计思路。
1.确定新手任务
说到关注新手任务,首先要确定什么是新手任务。我们知道,产品设计永远以中间用户为中心,不会单独为新手用户设计一款产品。在为中级用户设计界面的基础上,提炼出一些新手任务,帮助新手用户成长。如前所述,最好的引导是无形的。如果实现了引导,就不需要设置专门的新手任务,但是很多时候新手任务是必须的。
首先我们为产品整理出一个功能列表,然后筛选出新手用户的任务。
根据以下原则:
使用产品前3次需要操作的任务;
完成必不可少的任务,否则无法继续使用产品;
专注于不超过3个新手任务。
2.分析任务特征
新手任务确定后,分析任务的特点。我们从任务难度和操作频率两个维度来分析一个任务。以SNS网站为例,下图列出了四个任务,分别对应四种不同的任务特征:
报名:难度低,操作频率低;
建立个人资料:难度高,操作频率低;
博客:低难度,操作频率高;
建立朋友圈:高难度,高操作频率。
3.分析用户类型
根据用户使用产品目的的明确性,我们将用户分为三种类型:无向型、探索型和导向型。
无方向:没有目标,不知道自己想要什么;会偶尔发现有趣的信息;所用产品的粘度较低。
探索型:有模糊的目标,但无法准确表达;目标范围太广,无法快速确定;所用产品粘度一般,可能选用竞争对手的产品。
定向:有、有目的的访问网站,有时甚至知道怎么做;要有耐心和包容;对所用产品有很强的粘性。
按照上述方法对新手任务的特点和用户类型进行粗略的分析归类后,接下来就是确定如何在界面上展示这些任务来引导用户一步步操作,也就是任务的具体表现方法。我们总结了七种常见的表达方式,并与任务特征和用户类型一一对应。
三、表演方法
1.大喊大叫
利用视觉等手段达到“喊”新手任务的效果,旨在吸引新手用户立即行动。
:Backpackit
适用任务特点:独立主任务或分步简单任务,运行频率低;
适用用户类型:非定向和探索性。
2.填充空白式
利用人的本能填充未完成的心理,在界面上创造空白色,吸引新用户填充内容。
:Flickr
适用任务特点:独立主任务或步骤简单任务,操作频率可高可低;
适用的用户类型:探索型和非定向型。
3.全球导游
引导用户按照设定的路径一步步阅读产品功能描述,并尝试操作,逐步向用户介绍产品的概念、范围和核心功能。
:新浪轻博客
适用任务特点:任务复杂,步骤多,操作频率低;
适用用户类型:定向型和探索型。
4.任务导向的
将一个大的复杂任务拆分成多个子任务,用步骤条引导用户一步一步操作。
来源:脸书
适用任务特点:操作步骤复杂,操作频率低;
适用用户类型:面向。
5.新手练手
引导用户在明确的指导下尝试第一次完成一项任务。
:360全景摄影社区
适用任务特点:任务复杂,操作频率高;
适用用户类型:定向型和探索型。
6.模型驱动的
利用新手用户相信专家户的心理特点,用中高级用户的成功案例来鼓励新手用户,引起她学习新产品的兴趣。
:Shrimp
任务特点:任务复杂,操作频率高;
用户类型:非定向和探索型。
7.嵌入式帮助类型
在用户操作过程中,适时在场景中提供帮助,通常是短文本信息。
:Taobao
任务特点:任务简单,可以依靠短帮完成操作,操作频率可高可低;
用户类型:定向型和探索型。
最后总结了七种表现方法。根据新手任务和不同类型用户的特点,可以选择相应的表现方式。
以上是我们总结的关于设计中引导新用户的一些想法。还是那句话,不是严谨的设计方法,欢迎讨论,拍砖也可以。
重印
元征PADV引导功能怎么用?
方法/步骤1、将制作好的u深度U盘启动盘连接电脑USB接口,重启电脑,屏幕出现开机logo时按下启动快捷键,选择U盘启动,进入u深度主菜单,选择02运行u深度win8PE装机维护版(新机器),2、进入到win8pe系统后,依次点击“开始菜单——磁盘管理——bootice引导管理”,3、在bootice界面中,首先点击“目标磁盘”进行磁盘选择,选定后点击“主引导记录”,4、在弹出的窗口中点击选择“windowsNT5.x/6.xMBR”,然后点击下方的“安装/配置”,5、随后弹出选择窗口,如果使用的是windowsxp系统则选择NT5.x,使用Win7系统则选择NT6.x,工具会提示是否成功,6、返回到bootice工具的主菜单,目标磁盘保持不变,点击“分区引导记录”,7、在弹窗中,win7用户点击选择“bootmgr引导程序”,xp用户则点击NTLDR引导程序,选完点击“安装/配置”,8、出现重命名窗口我们不做修改,点击“确定”即可,成功了会再次弹窗提示。
装系统选择引导驱动器这一项怎么选?
选择UEFI+GPT分区模式。
1、具体步骤由ESP中的引导文件负责引导各分区中的系统,先挂载ESP,再引导驱动器指定到挂载好的ESP分区。
2、装系统U深度装系统是指对计算机的操作系统进行安装。当用户误操作或、木马程序的破坏,系统中的重要文件受损导致错误甚至崩溃无法启动,而不得不安装;一些喜欢操作电脑者,在系统运行正常情况下为了为了对系统进行优化,使系统在最优状态下工作,而进行安装。
3、电脑重装机指南针对已经安装Windows操作系统的电脑,需要重新安装操作系统时,U盘系统大师通过如下步骤可以完成电脑重装机工作:Windows下驱动备份、系统安装、Windows下驱动还原。
电脑
1、最初"计算机"这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书,书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并称之为计算机。
2、贝尔实验室的三位年轻程序员也受到冯?诺依曼理论的启发,发明了“磁芯大战”游戏。
3、1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机的概念,并进行了演示。
4、世界上公认的第一个在个人电脑上广泛流行的是1986年初诞生的大脑(C-Brain),编写该的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了“大脑(Brain)”,又被称为“巴基斯坦”。该运行在DOS操作系统下,通过软盘传播,只在盗拷软件时才发作,发作时将盗拷者的硬盘剩余空间吃掉。
5、1988年11月美国国防部的军用计算机网络遭受莫里斯袭击,致使美国Internet网络上6000多计算机感染,直接经济损失9600万美元。莫里斯是由康乃尔大学23岁的罗特?莫里斯制作。后来出现的各类蠕虫,都是仿造了莫里斯蠕虫,以至于人们将该的编制者莫里斯称为“蠕虫之父”。
6、1999年 Hy99、美丽杀手(Melissa)等完全通过Internet传播的的出现标志着Internet将成为新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使在极短的时间内遍布全球。
7、CIH是继DOS的第四类新型,CIH这三个字母曾经代表着灾难。1998年8月从台湾传入大陆,共有三个主要版本:1.2版/1.3版/1.4版,发作时间分别是4月26日、6月26日、每月26日。该是第一个直接攻击、破坏硬件的计算机,是迄今为止破坏最为严重的。
CIH制造者 陈盈豪 曾有两次精神科门诊记录,被人们认为是“电脑鬼才”。
8、2000年的5月,通过电子邮件传播的"爱虫"迅速在世界各地蔓延,更大规模的发作,造成全世界空前的计算机系统破坏。 I LOVE YOU爱虫是使用VB Script程序语言编写的,它主要是通过一封信件标题为“I LOVE YOU"的电子邮件传播的。一旦执行附加文件,会获取Outlook通讯录的名单,并自动发出“I LOVE YOU”电子邮件,从而导致网络阻塞。破坏性:爱虫的传播会导致网络瘫痪,发作时,还会把*.mp3、*.jpg等10种文件改为*.vbs,并传染覆盖这些文件。
与爱虫相似的网络还有Melissa(美丽杀手)等。
9、著名的“黑色星期五”在逢13号的星期五发作。
10、2001年9月18日出现的Nimda则是演变过程中的另一个里程碑,它首次利用了系统中的漏洞对互联网发起攻击,具备了典型的黑客特征。它的出现意味着,混合着多种黑客手段的从此诞生。
尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫,它通过网络进行传播。尼姆达总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封“来历不明”的电子邮件,就会发现随信有一个名为readme.exe(即可执行自述文件)的附件,如果该附件被打开,尼姆达就顺利地完成了侵袭电脑的第一步。接下来,该不断搜索局域网内共享的网络,将文件复制到用户计算机中,并随机选择各种文件作为附件,再按照用户储存在计算机里的邮件地址发送,以此完成传播的一个循环过程。
11、2002年,求职信Klez,邮件,主要影响微软的Outlook Express用户。
12、“附件在哪啊?你找到我吗?放心打开来,这是一个重要文件,可以查杀QQ的专杀工具请查收附件。”如果你收到一封这样的电子邮件,千万不要打开,这是国内第一例中文混合型,会导致电脑里的各种密码,包括操作系统、网络游戏、电子邮件的各种密码被窃取。
13、冲击波,2003年8月11日,冲击波席卷全球,利用微软网络接口RPC漏洞进行传播,造成众多电脑中毒,机器不稳定,重启,死机,部分网络瘫痪,没打过补丁的WINDOWS操作系统很难逃出它的魔爪。
14、震荡波:具有类似冲击波的表现形式,感染的系统重新启动计算机,原因是给蠕虫导致系统文件lsess.Exe的崩溃。
15、小球,作为Dos时代的老牌,它也是国内流行起来的第一例电脑。小球可以险恶地控制电脑,使程序运行缓慢甚至无法运行。
特洛伊木马,一经潜入,后患无穷
据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有的攻击,一度使伊拉克的国防通讯陷于瘫痪。
1、MSN小丑(MsnFunny),自动向用户的msn发送消息和
2、Word文档杀手:破坏文档数据,记录管理员密码。
3、雏鹰(BBeagle):木马程序,电子邮件传播,监测系统时间,2004年2月25日则自动退出。
4、好大(Sobig):1分钟300封邮件
5、红色代码(I-Worm Redcode):感染对象,服务器,修改服务器网站网页
6、蓝色代码(Bluecode):启动多个进程,系统运行速度非常慢,cpu占用率急速上升,甚至瘫痪
7、密码杀手2004:通过键盘记录技术截取几乎所有登录窗口的输入信息,通过电子邮件发送给作者。
8、挪威客(Mydoom.e):疯狂发送带毒邮件,随机删除计算机数据。
9、网络天空(Netsky):带毒邮件大量传播,消耗网络,影响企业的邮件服务器
10、武汉男生:qq发送诱惑信息,**密码以邮件形式发给盗密码者,并结束多种反软件。
11、证券大盗(PSW.Soufan):特洛伊木马,**多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已形式发送。
2008年度十大/木马
根据危害程度、感染率以及用户的关注度,计算出综合指数,最终得出以下十大/木马为2008年最具影响的十大/木马。
1、 机器狗系列
关键词:底层穿磁盘 感染系统文件
机器狗因最初的版本用电子狗的照片做图标而被网民命名为“机器狗”,该变种繁多,多表现为杀毒软件无法正常运行。该的主要危害是充当木马下载器,通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给广大网民的网络虚拟财产造成巨大威胁。
机器狗直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染,无法通过还原来保证系统的安全;通过修复SSDT、映像挟持、进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
2、AV终结者系列
关键词:杀毒软件无法打开 反复感染
AV终结者最大特点是禁用所有杀毒软件以及大量的安全工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除;强行关闭带有字样的网页,只要在网页中输入“”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;在磁盘根目录下释放autorun.Inf,利用系统自播放功能,如果不加以清理,重装系统以后也可能反复感染。
2008年年末出现的“超级AV终结者”结合了AV终结者、机器狗、扫荡波、autorun的特点,是金山毒霸“云安全”中心捕获的新型计算机。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。
3、onlinegames系列
关键词:网游 盗号
这是一类盗号木马系列的统称,这类木马最大的特点就是通过ShellExecuteHooks启动,**流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类本身一般不会对抗杀毒软件,但经常伴随着超级Av终结者、机器狗等出现。
4 、HB蝗虫系列木马
关键词:网游盗号
HB蝗虫新型变种是金山毒霸“云安全”中心截获的年末最“牛”的盗号木马。该系列盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
该类木马主要通过网页挂马、流行下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。
5 、扫荡波
关键词:新型蠕虫 漏洞
这是一个新型蠕虫。是微软“黑屏”后,出现的最具攻击性的之一。“扫荡波”运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者,而下载者还会下载“扫荡波”,同时再下载一批游戏盗号木马。被攻击的计算机中“扫荡波”而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫一般通过自身传播,而扫荡波则通过下载器进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反工程师确认为新型蠕虫。
微软宣布“黑屏”后的第3天,紧急发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,“扫荡波”正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实“扫荡波”实为一个新型蠕虫,并发布周末红色预警。
6、QQ盗圣
关键词:QQ盗号
这是QQ盗号木马系列,通常释放体(类似于UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安装目录(C:\Program Files\Internet Explore\),通过注册表Browser Helper Objects实现开机自启动。当它成功运行后,就把之前生成的文件注入进程,查找QQ登陆窗口,监视用户输入**的帐号和密码,并发送到木马种植者指定的网址。
7、RPC盗号者
关键词:不能复制粘贴
该系列木马用替换系统文件,达到开机启动的目的,由于替换的是RPC服务文件rpcss.dll ,修复不当,会影响系统的剪切板、上网等功能。部分版本加入了反调试功能,导致开机的时候系统加载缓慢。
8、伪QQ系统消息
关键词:QQ系统消息,杀毒软件不能使用
经金山毒霸“云安全”检测为钓鱼程序,最大的特点是伪装QQ系统消息,用户一旦点击,钱财及电脑安全将面临巨大威胁。
该的综合破坏能力比较强,它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。还带有下载器的功能,可下载其它木马到电脑中运行。
9、QQ幽灵
关键词:QQ 木马下载器
此查找QQ安装目录,并在其目录释放一个精心修改psapi.dll,当QQ启动的时候将会将这个dll文件加载(程序加载dll文件的顺序1:应用程序的安装目录2:当前的工作目录3:系统目录4:路径变量),从而执行恶意代码下载大量到用户电脑。
10、磁碟机
关键词:无法彻底清除 隐蔽
磁碟机与AV终结者、机器狗极为相似。最大特点是导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;而且更为严重的是,由于Exe文件被感染,重装系统仍无法彻底清除。
磁碟机主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播,而且非常隐蔽,在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,**用户虚拟资产和其他机密信息;同时该会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳,导致用户很难彻底清除。
二、2008年计算机、木马的特点分析
2008年是、木马异常活跃的一年。从传播的角度看2008年大量的通过网页挂马方式进行传播,主要利用的是realplay,adobe flash和IE漏洞进行传播。从的运作模式看2008年大量用的方式是下载器对抗安全软件,关闭安全软件然后下载大量盗号木马到用户电脑--**用户网游的账号发送到黑客的数据库。从的危害来看2008年绝大多数流行的都为网游盗号类木马,其次是远程控制类木马。
1、制造进入“机械化”时代
由于各种制作工具的泛滥和制作的分工更加明细和程式化,作者开始按照既定的制作流程制作。制造进入了“机械化”时代。
这种“机械化”很大程度上得益于制作门槛的降低和各种制作工具的流行。“制造机”是网上流行的一种制造的工具,作者不需要任何专业技术就可以手工制造生成。金山毒霸全球反监测中心通过监测发现网络上有诸多此类广告,作者可根据自己对的需求,在相应的制作工具中定制和勾选功能。傻瓜式制作导致进入“机械化”时代。
的机械化生产导致数量的爆炸式增长。反厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的。金山毒霸2009依托于“云安全”技术,一举实现了库样本数量增加5倍、日最大处理能力提高100倍 、紧急响应时间缩短到1小时以内,给用户带来了更好的安全体验。
2、制造的模块化、专业化特征明显
团伙按功能模块发外包生产或购技术先进的功能模块,使得的各方面功能都越来越“专业”,技术得以持续提高和发展,对网民的危害越来越大,而解决问题也越来越难。例如年底出现的“超级AV终结者”集技术之大成,是模块化生产的典型代表。
在专业化方面,制造业被自然的分割成以下几个环节:制作者、批发商、传播者、“箱子”批发商、“信封”批发商、“信封”零售终端。作者包括有“资深程序员”,甚至可能有逆向工程师。批发商购买源码,并进行销售和生成木马。传播者负责将通过各种渠道传播出去,以**有价值的QQ号码、游戏帐号、装备等。“箱子”批发商通过出租或者销售“箱子”(即可以**虚拟资产的木马,可以将**的号码收集起来)牟利,他们往往拥有自己的木马或者木马生成器。“信封”批发商通过购买或者租用“箱子”,通过出售收获的信封牟利。“信封”零售终端负责过滤“信封”中收集到的有价值的虚拟资产并进行销售。每个环节各司其职,专业化趋势明显。
3、“运营”模式互联网化
团伙经过2008一年的运营已经完全转向互联网,攻击的方式一般为:通过网站入侵—>写入恶意攻击代码–>利用成为新型网络传播的主要方式,网民访问带有挂马代码的‘正常网站’时,会受到漏洞攻击而‘不知不觉’中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营(可像互联网厂商一样精确统计收益,进行销售分成)。
例如 “机器狗”,“商人”购买之后,就可以通过“机器狗”招商。因为机器狗本身并不具备“偷”东西的功能,只是可以通过对抗安全软件保护,因此“机器狗”就变成了的渠道商,木马及其他都纷纷加入“机器狗”的下载名单。要想加入这些渠道商的名单中,必须缴纳大概3000块钱左右的“入门费”。而“机器狗”也与其他类似的“下载器”之间互相推送,就像正常的商业行为中的互换。这样,加入了渠道名单的就可以通过更多的渠道进入用户的电脑。通过哪个渠道进入的,就向哪个渠道缴费。
此外,的推广和销售都已经完全互联网化。推广的手法包括通过一些技术论坛进行推广,黑客网站也是推广的重要渠道,此外还包括百度贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化,销售的典型渠道包括:公开拍卖网站,比如淘宝、易趣等。还有通过QQ直销,或者通过专门网站进行销售。
4、团伙对于“新”漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到内部实现更广泛的传播。而年底出现的IE0day漏洞,挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。
此外,2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中,通过漏洞下载木马入侵用户系统,进行远程控制、盗窃用户帐号和密码等,从而使用户遭受损失。
金山毒霸团队密切关注windows系统软件漏洞和第三方应用软件漏洞信息,及时更新漏洞库信息,同时金山清理专家用P2SP技术,大大提高了补丁下载的速度,减少了用户电脑的风险暴露时间。
5、 与安全软件的对抗日益激烈
在产业链分工中,下载器扮演了‘’的角色,它结束并破坏杀毒软件,穿透还原软件,‘保护’盗号木马顺利下载到用户机器上,通过‘保护费’和下载量分脏。下载者在2008年充当了急先锋,始终跑在对抗杀毒软件的第一线,出尽风头且获得丰厚回报。
从‘AV终结者’的广泛流行就不难看出,对抗杀毒软件已经成为下载者的‘必备技能’。
纵观08年的一些流行,如机器狗、磁碟机、AV终结者等等,无一例外均为对抗型。而且一些制作者也曾扬言“饿死杀毒软件”。对抗杀毒软件和破坏系统安全设置的以前也有,但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀的力度,使得为了生存而必须对抗杀毒软件。这些使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。
金山毒霸通过强化自保护功能,提高攻击的技术门槛。目前,金山毒霸云安全体系可以做到样本的收集、库更新测试和升级发布全无人值守,自动化的解决方案以应对传播制作者不断花样翻新的挑战。
三、2009年计算机、木马发展趋势预测
1、0Day漏洞将与日俱增
2008年安全界关注的最多的不是Windows系统漏洞,而是每在微软发布补丁随后几天之后,黑客们放出来的0Day 漏洞,这些漏洞由于处在系统更新的空白期,使得所有的电脑都处于无补丁的可补的危险状态。
黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘,2009年可能会出现大量新的0day漏洞(含系统漏洞及流行互联网软件的漏洞),团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。
2、网页挂马现象日益严峻
网页挂马已经成为木马、传播的主要途径之一。入侵网站,篡改网页内容,植入各种木马,用户只要浏览被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。
2008年,网站被挂马现象屡见不鲜,大到一些门户网站,小到某地方电视台的网站,都曾遭遇挂马问题。伴随着互联网的日益普及,网页挂马已经成为木马、传播的主要途径之一的今天,金山毒霸反工程师预测2009年网络挂马问题将更加严峻,更多的网站将遭遇木马攻击。
3、与反厂商对抗将加剧
随着反厂商对于安全软件自保护能力的提升,的对抗会越发的激烈。不再会局限于结束和破坏杀毒软件,隐藏和局部‘寄生’系统文件的弱对抗毒将会大量增加。
4、新平台上的尝试
、木马进入新经济时代后,肯定是无孔不入;网络的提速让更加的泛滥。因此在2009年,我们可以预估vista系统,windows 7系统的将可能成为作者的新宠;当我们的智能手机进入3G时代后,手机平台的/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为/木马最主要的传播手段。
四、2009年反技术发展趋势
在制作门槛的逐步降低,、木马数量的迅猛增长,反厂商与之间的对抗日益激烈的大环境下,传统“获取样本->特征码分析->更新部署”的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。在海量、木马充斥互联网,制作者技术不断更新的大环境下,反厂商必须要有更有效的方法来弥补传统反方式的不足,“云安全”应运而生。
金山毒霸“云安全”是为了解决木马商业化的互联网安全形势应运而生的一种安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。“云安全”是现有反技术基础上的强化与补充,最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。
首先稳定高效的智能客户端,它可以是独立的安全产品,也可以作为与其他产品集成的安全组件,比如金山毒霸 2009和百度安全中心等,它为整个云安全体系提供了样本收集与威胁处理的基础功能;
其次服务端的支持,它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术,同时它和客户端协作,为用户提供云安全服务;
最后,云安全需要一个开放性的安全服务平台作为基础,它为第三方安全合作伙伴提供了与对抗的平台支持,使得缺乏技术储备与设备支持的第三方合作伙伴,也可以参与到反的阵线中来,为反产业的下游合作伙伴提供商业上的激励,摆脱目前反厂商孤军奋战的局面。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
