隐藏病毒木马的感染部署与常用处理方法（一）

本文介绍病毒木马的隐藏部署常见方法，面向很多个人计算机安全过多依赖杀毒软件和自己朋友的入门网友，让大家先了解一下常见的病毒木马感染途径及病毒立即部署方法，如何达到欺骗用户、夺取权限及操控客户端，再到再次感染。当然本文介绍的一些隐藏技术，很多都是老技术了，每种木马病毒使用的技术原理也不尽不相同，而且新的加载和隐藏方法也是层出不穷，但终究万变不离其宗，千万过程一个结果，万物本是如此。

不过，本文不会具体介绍告诉大家如何创建一个线程、如何LOAD一个DLL、如何使用API注册服务、如何捆绑到PE上去等等这些知识，提到的部署方法几乎都是常见方法，没有太高深技术，GG一下全部可以解决，对于爱研究学习的网友，似乎去寻找一个漏洞的过程更为精彩。

一、病毒木马的隐藏技术

1、隐藏文件

该项技术本来面向是方便用户操作的，为保护系统或重要文件不被用户误操作删除，一直到现在重要的系统文件也在使用，但似乎总是没病毒木马程序“发挥”的更好，目前病毒大都是把隐藏作为第一步基础技术并结合最新技术使用，当然明目张胆不隐藏狂挥大刀的也大有毒在，因为病毒执行过程时间非常短暂，只需要让杀毒软件和防火墙先休克一下，事情做完后可以再次放开，木马已经布局完毕，挂下DLL或DRV，原木马布局程序也就不再需要了。

2、隐藏窗口

隐藏窗口本身也是很普通的常用技术，很多交互式的后台程序都是没有窗口或需要暂时隐藏窗口的，所以病毒木马肯定会借鉴这个技术，毕竟搞这个东西不是什么光明正大的事情，当然恶作剧性的也可以跟用户露个面大声招呼也是大有毒在。

不过现在的病毒也不会只隐藏窗口的，隐藏窗口早以失去早期盛行时候的夸张作用，很多人都会习惯先到任务管理器里看看。

3、隐藏进程

对于本机病毒或木马本身，隐藏进程应该是病毒木马的终极表现形式了，所以无论病毒部署的过程有多复杂，最终无非两种：

A、非独立进程下的DLL、DRV.....挂载

B、感染系统文件之后自我毁灭掉，病毒与正常文件合二为一。

从整体发展来看，从最初最简单的一般属性隐藏，到现在的DLL进程隐藏和驱动级DRV，从OSI结构来看，DRV就快到底了，下一步应该是所有知识的综合运用了。从技术角度，系统永远都有漏洞，所以杀毒软件永远都有事做。

计算机病毒

二、病毒木马的常见部署过程

1、病毒感染到达用户计算机

要开始激活病毒部署，第一步就是如何把病毒先传输到用户计算机上，一般有浏览器漏洞（溢出、图片、加载......）、远程端口攻击、各种网络类漏洞（比如溢出、注入、跨站、共享、缺陷等等）、存储设备（autorun、autoexec.bat及感染病毒的文件等）、下载。目前来说大部分病毒都是通过以上方式感染到用户的计算机上。

一般来讲，任何一款新的病毒或木马在出来之前，病毒作者都会针对当前主流的杀毒软件进行测试查杀优化的，比如特征码打乱、加密、加壳等等方式避开杀毒软件的扫描，所以一旦放出来，几乎所有的主流杀毒软件都难幸免，所以有时使用名牌杀毒软件反而比非主流杀软更快的倒掉就是这个原因，并不代表该杀毒软件不好，而是因为太出名了。

另一方面，目前的杀毒软件仍然都是事后诸葛亮，虽然云技术已经投入使用，至少目前来讲效果并不明显。病毒或木马到达用户计算上之后，可以立即部署也可以设定触发条件部署。下面是一些常用的部署方法，当然这些技术很多现在照样继续使用，前提是只要把杀毒软件先搞定就可以了，因为很多漏洞或敏感技术都是杀毒软件的第一防范，要想部署成功，一般都需要把杀毒软件杀死、关闭或临时关闭掉（比如想注入进程、修改IE首页、设为启动项等等都是最为敏感的）。

关于杀毒软件和防火墙选择建议可参考：

如何选择安装合适的杀毒软件、防火墙

2、常用的病毒部署方法：

A、把自身注册为服务进程，使用该方法的进程在Windows 9x的任务管理器不显示出来，但是2K以上无效。

B、利用主程序线程注入系统程序，然后加载DLL后，主程序退出，达到隐藏自身进程目的，DLL注入有个缺点就是原进程多了一个加载模块，使用工具还是能够发现，所以该DLL一般还会起一个比较好听的系统链接库名字以便晃悠用户。

C、利用钩子HOOK捕获拦截消息触发加载病毒DLL，可以针对某个进程也可以针对所有进程。

D、写注册表（NT平台及以上），HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs，启动挂载病毒木马的DLL，该方法使用很容易把用户计算机拖死掉。

E、开启守护进程，交叉检查。

F、使用线程注入或BHO方式插入浏览器进程，很多网络病毒喜欢使用。一旦插入浏览器的进程，防火墙无法屏蔽掉，除非是不想上网了，大家经常遇到的机子用着用着就弹出个广告来，也没看到可疑的进程，那么就要怀疑浏览器被劫持了。

G、通过远程线程注入直接修改对方内存执行代码，隐蔽性非常好，但是设计不好就会把系统搞崩溃了。

H、直接修改系统进程的可执行程序（比如修改PE文件的输入地址等方式进行直接感染）或使用修改的山寨DLL替换系统真实的DLL，如果目标程序文件为重要文件，还可能会涉及到版本或函数地址偏移问题，不小心也会把系统替崩溃掉。

I、目前的大部分病毒或木马还会对进一步的感染做准备，比如使用驱动器autorun加载病毒文件仍然是非常方便传播方式。