鬼影病毒源码
⑴ “鬼影病毒”的运行原理如何清除
鬼影病毒伪装为某共享软件,欺骗用户下载安装。病毒运行后,会释放2个驱动到用户电脑中,并加载。驱动会修改系统的引导区,并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。 重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
至于如何清除嘛。我们知道,“鬼影”病毒是以隐蔽性着称的,而“鬼影3”则将其隐蔽性更提升了一个层次,普通安全工具要想找出“鬼影3”的全部隐藏行为那是十分困难的,但是通过PowerTool
这款软件就可以轻松把“鬼影3”的尾巴揪出来。
详细的:清除“鬼影3”病毒
在PowerTool的检测下,“鬼影3”的隐藏手段暴露无遗。其实病毒并不可怕,只要我们能发现其隐藏手段,那么清除起来是相当容易的。我们可以按照以下步骤使用PowerTool清除“鬼影3”病毒:
1)结束进程:在病毒进程上点右键,选择“结束进程”。
2)恢复隐藏文件扩展名:右键→“修复”。
3)删除病毒文件:右键→“删除且不可还原”。
4)删除快捷方式:右键→“修复以及删除关联文件”。
5)恢复钩子:右键→“摘除钩子”。
6)恢复MBR:点击“自动修复MBR”按钮即可。
还望采纳!
BY:Terminator
⑵ 电脑中了鬼影病毒怎么办
利用金山急救箱进行杀毒。
1首先我们得有一个金山毒霸,然后在百宝箱一栏中找到金山急救箱,点击下载,完事后打开即可。
⑶ 谁有鬼影病毒或者一些破坏力很强的木马样本本人想做研究,有的话发我 好人一生平安
这些病毒在卡饭和精睿的样本区都有,不过实验这种病毒真心的危险,个人还是建议不要尝试,万一电脑崩溃了就亏了;
而且研究这东西目前也没有啥用,中这种病毒并非无解,腾讯电脑管家等查杀能力强的杀毒软件都是可以清除的
⑷ 鬼影病毒是什么、mbr是什么
工具/原料金山毒霸步骤/方法鬼影病毒的主要代码是寄生在硬盘的主引导记录(MBR),即使受害者格式化硬盘重装系统,鬼影病毒也无法清除。鬼影病毒是国内首个引导区下载者病毒,它具备“三无”特征—— 无文件、无系统启动项、无进程模块,而且即使用户重格式硬盘和重装系统也依然无效。使用专业的安全软件即可彻底清理掉鬼影病毒。 注意事项电脑中了鬼影病毒最好使用专业的安全软件进行清理,不建议手动清除。
⑸ 鬼影病毒
无需寄主结束所有杀毒软件。
该病毒一旦进入电脑,就像恶魔一样,隐 藏在系统之外,无文件、无系统启动项、 无进程模块,比系统运行还早,结束所有 杀毒软件,下载av终结者,盗号木马,ie 主页修改等大量多品种病毒。
颠覆传统重装系统无法清除。
一般的电脑病毒是Windows系统下的应用 程序,在Windows加载之后才运行。而“鬼 影”病毒的主要代码是寄生在硬盘的主引导 记录(MBR),即使用户重装了系统,仍 无法将其完全清除。当系统再次重启时, 该病毒会早于操作系统内核先行加载。而 当病毒成功运行后,在进程中、系统启动 加载项里找不到任何异常,病毒就象“鬼影 ”一样在中毒电脑上“阴魂不散”。“鬼影”病 毒是国内首个引导区下载者病毒,颠覆了 传统病毒的感染特点以及用户处理病毒问 题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块, 而且即使用户重装了系统,该病毒依然会 再次进入用户新系统。
安全软件失效电脑明显变慢
“鬼影”病毒入侵后,会释放驱动程序改写 硬盘MBR(主引导记录),驱动程序在开 机过程中攻击众多杀毒软件,令杀毒软件 失效,再下载传统的AV终结者木马下载器 ,最终目的依然是通过传播盗号木马,窃 取用户虚拟财产牟利。中毒后,最直观的 现象是安全软件无法正常运行,电脑明显 变慢,IE主页被改。
出现症状
1、电脑非常卡,操作程序有明显的停滞 感,常见杀毒软件无法正常打开,同时发 现反复重装系统后问题依旧无法解决。
⑹ 鬼影病毒是什么急!
概念
[1]鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
编辑本段来源介绍
“鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对WinXP系统,该病毒尚不能破坏Vista和Windows
7系统。
另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山已经推出了鬼影专杀工具。
金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。
编辑本段特征
无需寄主
结束所有杀毒软件。
该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒。
颠覆传统
重装系统无法清除。
一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),即使用户重装了系统,仍无法将其完全清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统。
安全软件失效
电脑明显变慢
“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
编辑本段出现症状
1、电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发现反复重装系统后问题依旧无法解决。
2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。目前rpcss.dll,ddraw.dll是盗号木马现在常修改的系统dll。
3、QQ号码被盗,可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。
4、进程中存在iexplor.exe进程并指向一个不正常的网站。
5、现在鬼影共同特征就是进程里有ali.exe
6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式,而且删不掉。
7、现在的鬼影还有一个特征就是任何软件(有些例外如360急救箱),会在7——12秒内自动关闭,一些鬼影病毒可以屏蔽一些“纯鬼影专杀”,当启动专杀时,会发现专杀驱动无法成功启动。只有一些强制性的杀毒软件(如金山系统急救箱),才可以清除。
编辑本段工作原理
鬼影病毒伪装为某共享软件,欺骗用户下载安装。病毒运行后,会释放2个驱动到用户电脑中,并加载。驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
重启系统后,存在于引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。b驱动会下载av终结者到电脑中,并运行。av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。
编辑本段处理方法重装系统
格式化C盘,进入dos状态,运行fdisk/mbr
命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是GHOST安装系统那么还要多做以下几步:
1、通过GHOST系统盘进入PQ/PM分区工具,一般GHOST系统盘都带的。
2、
右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。
3、
直接用GHOST系统盘安装系统就OK了。
查杀方法
DOS下手动查杀方法
第一步:找专杀工具:这里推荐使用“一键GHOST“,其中的DOS工具箱自带的小工具DISKRW就可以完美解决。
第二步:杀除MBR病毒
1、清除MBR以外的硬盘保留扇区。安装或制作好“一键GHOST”,开机进入一键GHOST,最终出现红色界面时按ESC键退回到主菜单,按方向键选择“DOS工具箱”-->“DISKRW"
-->
"3.清除"
-->
"清除(2)“
-->
确定。(注意,尽量使用2010版,更早的版本不能保证有此功能)。
2、修复MBR(关键一步,必须做),接着下一步,选择“4.修复”-->
“修复(F)“
-->
确定。
第三步:重装或恢复系统。在第二步完成后,千万不要重启电脑进入WINDOWS了,否则会二次感染。正确的方法是,将系统安装光盘放入光驱中,重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份),也可以用“一键恢复系统”功能进行恢复。
第四步:全盘杀毒。返回WINDOWS后,需要升级你的杀毒软件到最新版本(最新病毒库),然后进行“全盘查杀”,这样可以把残留在非系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉,以做到“斩草除根”。
WindowsXP下MBRFix配合360安全卫士查杀
步骤一:开机打开任务管理器,结束(nat.exe)
步骤二:打开360安全卫士,选择系统修复来修复系统
步骤三:在网上下载一个工具(MBRFix),在XP下运行“CMD”进入DOS模式,运行(MBRFix
/drive
0
fixmbr
/yes)
重启后OK
编辑本段专杀工具
“鬼影”病毒的特征之一是安全软件不能正常运行,该病毒目前的累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙不能正常运行,常见的修复工具也不能正常运行,请尝试使用金山安全中心发布的“鬼影”病毒专杀工具检查修复。目前此工具适用于尚未变种的鬼影病毒,一旦该病毒变种,该专杀将会无效,这里提醒大家要注意上网时的网络防护,要定期开启杀软扫描,目前金山毒霸已能够杀灭鬼影母体。“鬼影”病毒传播的广度分析金山云安全系统分析该恶意软件的下载频率,结
合传播病毒的网站流量分析,评估该病毒的日下载量大约为2-3万之间。
编辑本段未来
鬼影病毒开创了中国恶意软件编写的先河,预计该病毒的源文件将会成为黑色产业链中的抢手货,未来可能会有更多恶意软件利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒,都会令安全厂商头疼不已
⑺ 跪求鬼影病毒易语言源码,最好连源文件都有
鬼影病毒、不是用易语言写的,也不会有人专门用易语言给你写出来!这种病毒,比较厉害、所以找到源代码是很难的,除非是作者。
⑻ 请问哪位有鬼影病毒的源码
这个还真没有,连声称最先获取病毒样本的金山都没这本事弄出鬼影的源码,而且连样本都是机密中的机密,要是泄露了,网上的人多做几个病毒变种,那些杀软也够喘的了。
⑼ 谁有“鬼影”病毒及熊猫烧香病毒的代码
制作"鬼影"的飓风工作室已经解散(至少对外宣称是这样),所以,找代码是找不到的(当然,不解散估计也是找不到的...不然怎么卖钱...)。
“鬼影”是一个感染MBR的病毒,所以,你可以从其他的MBR病毒学习它的编程精神,这里有一个视频,视频的前半部分是驱动结束进程的,后半部分是MBR的内容。至于语言,这个视频是C和汇编混搭的。
主要原理是这样的:
1.使用NASM编译实模式的COM文件
2.使用WinHex提取C代码的ShellCode
3.通过CreateFile打开"\\\\.\\PHYSICALDRIVE0"设备
4.把ShellCode写到设备中
链接不能乱贴,发你消息了。
熊猫烧香比较简单,是DELPHI写的,这也让DELPHI火了好一阵子,不过现在已经降温了,其作者李俊出狱后找不到工作也可见一斑。代码么,我没有,不过可以大致梳理一下这个病毒:
1.搜索常用的杀软进程,并向其窗口发出退出消息(这个比较低级,现在这种方法已经无效了,但当时还是很邪恶的...)
2.感染文件,替换图标(据说本来只是想感染文件,但解决不了感染后图标失真问题,所以干脆给替换成了自己的图标),及简单的隐藏。
3.局域网搜索其它机器弱口令,通过文件共享的方式感染局域网
4.联网下载其他病毒
大致就这4点,你可以用任何一种语言编写同类程序。
最重要的一点,只学技术,不做违法的事。