AV终结者(名称很杂,无统一标准)
该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来**用户有价值的信息和某些帐号;能通过可移动存储介质传播。中毒现象:
1生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口d出来。为该病毒的下一步破坏打开方便之门。
5破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复
6当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7在本地硬盘、U盘或移动硬盘生成autoruninf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
8病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
“熊猫烧香”(WormNimaya)
该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。目前多家著名网站已经遭到此类攻击,而相继被植入病毒
灰鸽子(TrojanHuigezi)
灰鸽子是国内一款著名后门病毒。2007年2月21日,灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下 *** 作:编辑注册表;上传下载文件;查看系统信息、进程、服务;查看 *** 作窗口、记录键盘、修改共享、开启代理服务器、命令行 *** 作、监视远程屏幕、 *** 控远程语音视频设备、关闭、重启机器等。
蠕虫“小浩”(WormXiaoHaoA)
被感染后文件图标变“浩”字,与“熊猫烧香”相似该蠕虫和之前出现的蠕虫“熊猫烧香”具有相似的特点,都可以感染可执行文件(后缀名为EXE)。与其不同的是,被感染后的可执行文件将无法正常运行和恢复。蠕虫运行后,会在受感染计算机系统中的每个磁盘根目录下释放两个病毒文件,使文件感染成为新的病毒文件,同时被感染后的文件图标变为一个“浩”字的图样。另外,蠕虫还会利用Windows系统的自动播放功能并结合U盘来进行病毒传播。一旦计算机双击染有该蠕虫的U盘,系统就会受到感染
威金蠕虫(WormViking)
该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力非常强。采用Delphi语言编写,并经过加壳处理在Windows目录下释放病毒文件。修改注册表,实现开机自启。在每个被感染过的文件目录下生成_desktopini文件,文件里标记着病毒发作日期。感染用户计算机上的可执行文件,并通过密码字典破解弱密码,利用网络共享感染局域网内的其它计算机,具有很强的破坏性。当用户的计算机被“威金”变种atk感染后,会导致大部分应用程序不能正常使用。
新欢乐时光(ScriptRedLof )感染这个病毒后有两个明显的表现:a在每个目录中都会生成folderhtt(带毒文件)和desktopini(目录配置文件);b电脑运行速度明显变慢,在任务列表中可以看到有大量的Wscriptexe程序在运行。 用VBS编写的多变形、加密病毒,感染扩展名html, htm, asp, php, jsp, htt和vbs文件,同时该病毒会大量生成folderhtt和desktopini,并在%windir%System中生成一个名字叫Kerneldll的文件(Windows 9x/Me)或kernel32dll(Windows NT/2000),修改dll文件的打开方式,感染Outlook的信纸文件。
ANI蠕虫 (Trojan-DownloaderWin32Ani)
ANI病毒是一个Win32平台下的感染型蠕虫,可感染本地磁盘、可移动磁盘及共享目录中大小在10K---10M之间的所有exe文件,感染扩展名为ASP、JSP、PHP、HTM、ASPX、HTML的脚本文件,并可连接网络下载其他病毒。
MSN骗子(Wormmsnfunny)
病毒会通过QQ和MSN发送大量的垃圾信息和“Funnyexe”病毒文件,同时用病毒文件替换系统文件,造成某些用户重启机器之后无法正常开机,给用户带来了非常大的困扰。
QQ尾巴(WormQQTailEKS)
该病毒可通过QQ发送消息自动传播,而且病毒运行后会自动更新,并不断d出一些垃圾网页
爱情后门(WormLovgate)
一个集蠕虫后门黑客于一身的病毒。当病毒运行时,将自己复制到windows目录下,文件名为:WinRpcsrvexe并注册成系统服务。然后把自己分别复制到system目录下,文件名为syshelpexe,WinGateexe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程,并对其殖入远程后门代码。(该代码,将响应用户tcp请求建方一个远程shell进程。win9x为commandcom,NT,WIN2K,WINXP为cmdexe)之后病毒将自身复制到windows目录并尝试在winini中加入run=rpcsrvexe。并进入传播流程。
马吉斯(WormMagistr)
病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。病毒源文件为bootexe,由用户从U盘上提取。病毒感染文件时,会将原文件最后一个节增大,将病毒代码写入被感染文件的代码节,修改入口点指向病毒代码并保存原来的入口点地址,然后将被覆盖的原来文件的代码、病毒的dll、sys文件压缩保存在文件最后一个节中增大的地方。被感染的文件运行时,病毒代码先被运行,释放C:\WINNT\linkinfodll和%SystemRoot%\system32\drivers\IsDrv118sys并加载,然后调用linkinfodll的序号为101的函数。病毒代码最后会恢复原文件被覆盖的代码并跳回原文件的入口开始运行原来的文件。
FAT 概述文件配置表(英文:File Allocation Table,首字母缩略字:FAT)又称文档分配表,是一种由微软发明并拥有部分专利的文档系统,供MS-DOS使用,也是所有非NT内核的微软窗口使用的文件系统。FAT文档系统考虑当时计算机性能有限,所以未被复杂化,因此几乎所有个人计算机的 *** 作系统都支持。 历史FAT文件系统遵行已用了多年的软件方法来进行规范。它在1977年由比尔·盖茨和马斯·麦当劳为了管理磁盘而发明,并在1980年被添·彼得逊的86-DOS *** 作系统采用。这也是86-DOS *** 作系统与CP/M *** 作系统最大的不同点,若非此项差异,86-DOS *** 作系统与CP/M *** 作系统几乎可说完全相同。 FAT12 初期的FAT就是现在俗称的FAT12。作为软盘的文件系统,它有几项限制:不支持分层性结构,丛集寻址只有12位(这使得控制FAT有些棘手)而且只支持最多32M(216)的分区。 当时入门级的磁盘是525"、单面、40磁道、每个磁道8个扇区、容量略少于160KB。上面的限制超过了这个容量一个或几个数量级,同时允许将所有的控制结构放在第一个磁道,这样在读写 *** 作时移动磁头。这些限制在随后的几年时间里被逐步增大。 由于唯一的根目录也必须放在第一个磁道,能够存放的文件个数就限制在了几十个。 目录 为了很好地支持以带有10MB硬盘为特色的IBM PC XT新计算机,在1983年年初MS-DOS 20几乎与该计算机在同时发布,它引进了层次目录结构。除了允许更好地组织文件外,目录允许在硬盘上存储更多的文件,这是因为最大文件个数不再受制于(仍然是固定的)根目录大小。这个数目现在能够等同于簇的数目(甚至更大,这是考虑到长度为0的文件并不占据任何FAT簇)。 FAT本身的格式并没有改变。PC XT的10MB的硬盘有4KB大小的簇。如果后来安装了一个20MB的硬盘,并且使用MS-DOS 20格式化,最后的簇大小将变为8KB,硬盘容量将变为159MB。 FAT16的开始 在1984年,IBM发布PC AT,这是一个20 MB的硬盘。微软公司也同步发布了MS-DOS 30。簇集地址增加至16位,允许更大数量的簇(最大 65,517),所以有更大的文件系统大小。但是,最大数量磁区及最大分割区(相当于磁盘)的大小仍是32 MB。所以,尽管技术上已经是“FAT16”,这种格式并不是我们今天常见到的这个名字所代表的格式。在MS-DOS 30格式化一个20 MB的硬盘,这硬盘将不能被MS-DOS 20或之前的版本所存取。当然,MS-DOS 30 仍然可存取MS-DOS 20的格式(8 KB簇的分割区)。 MS-DOS 30也开始支持高密度12MB 525"磁盘,最著名的是每个磁道有15个扇区,这样就允许FAT有更大的空间。这或许促进了一个对于簇大小的不确定的优化,簇大小从2个扇区减到1个。这样做的最后结果是高密度磁盘比旧的双密度磁盘的速度大幅度降低。 扩展分区和逻辑驱动器 除了改进FAT文件系统本身的结构之外,一个并行的提高FAT存储空间的开发路线是支持多个磁盘分区。最初,由于主引导分区中文件分配表的固定结构的原因一个硬盘只能使用多达4个分区。然而,由于DOS设计要求只能有一个分区标识为“活动的”,它也是主引导代码启动所用的分区。使用DOS工具不可能创建几个“主”DOS分区,并且第三方的工具也至少会警告这样一个机制将与DOS不兼容。 为了用一种兼容的方式使用更多的分区,一种新的分区类型被开发出来(1986年]1月的MS-DOS 32),扩展分区它实际上是另外称为逻辑分区的一个容器。最初它里面只允许有一个逻辑分区、支持最大64MB的硬盘。在MS-DOS 33(1987年8月)这个限制更改到24个分区;它可能来自于强制性的C:-Z:的磁盘命名规则。逻辑分区表使用盘上的数据结构来描述,可能是为了简化编码它与主引导记录非常相似,并且它们组织成类似于俄罗斯套娃那样的结构。系统中只能有一个扩展分区。 在扩展分区引入之前,一些硬盘控制器(当时是独立的板子,因为还没有IDE标准)能够将大硬盘显示为两个独立的硬盘。作为一种选择,如Ontrack[1]的磁盘管理员这样的一些特殊软件可以用于同样目的。 最终的FAT16 1987年11月我们今天称为FAT的格式最终到来,它在康柏 DOS 331中去掉了磁盘扇区的16位计数器。这个结果曾经一度被称为DOS 331大文件系统。尽管看起来磁盘上的变动很小,这个DOS的磁盘代码都必须检查并转换到32位的扇区数,由于它全部是16位的汇编语言这样一个现实,这项工作就变得非常复杂。 1988年这项改进通过MS-DOS 40得到广泛应用。现在分区大小受限于每个簇的8位有符号扇区计数,它最大能达到2的64次方,对于一个常用的有32KB个簇每扇区512字节的硬盘来说,将FAT16分区大小的“明显”限制扩充到2GB。在磁光盘媒体上,它能使用1或者2KB的扇区,这样大小限制也就成比例地增大。 后来,视窗NT通过将每个簇的扇区数当作无符号数将最大的簇大小增加到64KB。然而这个格式与当时其它的任何FAT实现都不兼容并且产生了大量内部碎片。视窗98也支持这种格式的读写 *** 作但是它的磁盘管理工具不支持这种格式。 长文件名(VFAT, LFN) Windows 95设计人员的一个用户体验目标就是除了传统的83文件名以外在新 *** 作系统中使用长文件名(LFN)。长文件名通过在目录条目排列时使用一个工作区来实现(参见下面)。按照Windows 95VxD设备驱动程序的命名规则这个新扩充的文件系统通常称为VFAT。 有意思的是,VFAT驱动在早于Windows 95的Windows for Groups 311中就已经出现,但它仅仅用于实现32位文件访问,一个绕过DOS的视窗自带高性能保护模式文件管理系统,它能够直接使用BIOS或者更好的32位磁盘访问,如视窗自带的保护模式磁盘驱动程序。它是一个后门;微软为Windows for Groups 311所作的广告说32位文件访问基于“芝加哥项目的32位文件系统”。 在Windows NT中,FAT文件系统对于长文件名的支持从35版就已经开始了。 FAT32 为了解决FAT16对于卷大小的限制同时让DOS的真实模式在非必要情况下不减少可用常规内存状况下处理这种格式,微软公司决定实施新一代的FAT,它被称为FAT32,带有32位的簇数,目前用了其中的28位。 理论上,这将支持总数达268,435,438(<228)的簇,允许磁盘容量达到2字节。然而,由于微软公司scandisk工具的限制,FAT不能大于4,177,920(<222)个簇,这将卷的容量限制在了12455GB,除非不再使用“scandisk”。[2] FAT32随着视窗95 OSR2发布,尽管需要重新格式化才能使用这种格式并且DriverSpace 3(视窗95 OSR2和视窗98所带版本)从来都不支持这种格式。视窗98提供了一个工具用来在不丢失数据的情况下将现有的硬盘从FAT16转到FAT32格式。在NT产品线上对于它的支持从视窗2000开始。 视窗2000和视窗XP能够读写任何大小的FAT32文件系统,但是这些平台上的格式化程序只能创建最大32GB的FAT32文件系统。Thompson and Thompson (2003)写道“奇怪的是微软公司说这种现象是故意设计的”[3] 微软公司知识库文章 184006[4]的确是这么说的,但是没有提出任何关于这个限制的合理解释。Peter Norton的观点是“微软公司在有意地削弱FAT32文件系统”[5]。 第三方支持 其它IBM PC的可选 *** 作系统—如Linux、FreeBSD和BeOS—都支持FAT格式,并且大部分都在相应的视窗版本发布以后很快就支持VFAT和FAT32格式。早期的Linux发布版本还包括称为UMSDOS的格式,它是保存在一个独立的称为--linux----的带有Unix文件属性(如长文件名和访问许可)的FAT。UMSDOS在VFAT发布以后就不再使用从Linux内核257开始就禁止了这项功能。Mac OS X *** 作系统在除启动盘之外的其它卷上也支持FAT文件系统。 FAT和其它数据流 FAT文件系统本身不是为支持ADS而设计的,但是一些高度依赖它们的 *** 作系统创造出不同的方法在FAT驱动器上处理它们。这些方法或者在额外的文件或路径中存储附加的信息(Mac OS),或者给那些磁盘数据结构中以前没有使用的变量赋予新的含义(OS/2和视窗NT)。第二种设计,尽管想象起来会更有效率,但是它们不能被不认识这种格式的工具复制或者备份;使用不能识别这种格式的磁盘工具(如碎片整理或CHKFSK)控制这些磁盘可能会破坏这些信息。 Mac OS使用PC Exchange存储不同的数据,文件属性和文件名存在一个名为FINDERDAT的隐藏文件中,资源分支(ADS)存在名为RESSOURCEFRK的子目录中,这些数据都存在使用它们的每个目录中。从PC Exchange 21开始,它们将Mac OS的长文件名保存为标准的FAT长文件名,并且将超过31个字符的FAT长文件名转换为唯一的31字符能够被Macintosh应用程序识别的文件名。 Mac OS X将元数据(资源分支、不同的ADS、文件属性)保存在与所有人相同并以“_”开始的名字的隐藏文件中,并且Finder将一些文件夹和文件元数据存在名为“DS_Store”的隐藏文件中。 OS/2高度依赖于扩展属性(EA)并且将它们存在位于FAT12或FAT16的根目录下名为“EA DATA SF”的隐藏文件中。这个文件使用以前文件(或者目录)的目录清单中的两个保留字节索引。在FAT32格式中,这些字节中存有文件或者目录开始簇号的高16位,这样就使它难于在FAT32上保存EA。扩展属性可以通过Workplace Shell桌面、REXX脚本、许多系统图形用户接口和命令行工具(如4DOS|4OS2]]来访问。 Windows NT支持HPFS、NTFS和FAT中所有扩展属性的处理(所用处理机制完全类似于OS/2),但是不能处理其它一些存于NTFS驱动器的ADS数据。试图从复制带有与NTFS驱动器属性不同扩展属性的ADS到FAT驱动器将报告一个警告信息提示ADS将会丢失。 Windows 2000以后产品的处理类似于视窗NT但复制到FAT32时它们没有显示任何警告信息直接丢弃扩展属性(但报告其它象“Macintosh Finder Info”和“Macintosh Resource Fork”这些ADS引起的警告)。 前景 微软公司最近获得了VFAT和FAT32的专利(但没有得到最初的FAT的专利),这引起人们对于微软将会寻求从Linux OS发布和初始化他们产品的媒体厂商收取专利费的担忧(参见下面的FAT授权协议)。尽管最初的裁定不利于微软公司,但是微软仍然取得了胜利并且得到了专利授权。 由于微软公司已经宣布不再开发基于MS-DOS的消费用 *** 作系统视窗Me的后续版本,所以不再有可能会有新版的FAT。对于大多数用途来说,为视窗NT系列开发的NTFS文件系统从效率、性能和可靠性来说都优于FAT;它的主要缺点是小容量文件所占的额外空间以及除了基于NT的视窗之外的很少有其他 *** 作系统支持。由于确切的规范是微软公司的商业秘密,这就使得使用一个DOS软盘用于恢复目的很困难。微软公司提供了一个恢复界面来解决这个问题,由于安全的原因它严重限制了缺省情况下它能解决的问题。 FAT仍然是活动媒体的常用文件系统(CD和DVD是例外),软碟使用的是FAT12,其它多数活动媒体用的是FAT16(如用于数位相机的快闪记忆卡和USB随身碟)。许多活动媒体还没有达到能够享用FAT32。出于兼容性和存储空间利用率的考虑FAT仍然用在这些驱动器上,同时也是由于这些活动媒体上的文件的许可更容易遇到麻烦而不是更重要这样一个事实。 视窗2000和XP支持的FAT32格式化的限制是32GB,这非常有效地强迫使用现代硬盘的用户或者使用NTFS或者在视窗之外格式化驱动器。一个解决的办法是使用从Linux移植到视窗平台的一个工具version of mkdosfs。 这里也有一个自由开源的工具。
可以设置路由器,可以用代理
如何关闭端口前些日子网上闲聊,认识一网络管理员,在聊中才知道,他居然不知道怎么关闭端口?真令我大吃一惊,自己这样的菜鸟都懂得如何关闭端口?身为网络管理员却不知道…………不过话说回来了,每个人都有自己的长处,下在我简单的介绍一下如何关闭端口。大虾们就不要看了,看了也不要喷我,哪个高手没有经过菜鸟这一阶段呢? 在默认情况下,Windows许多端口是开着的,应该关封一些不常用的端口。如:135 137 138 139 445 1025 2475 3127 6129 3389 593 ………………总之很多吧,总之看自己的意愿了。不想上网连80也关了吧,呵呵,保证没有攻击了你的计算机………… 打开控制面板(不要说不知道怎么打开控制面板啊,如果是那样,我…………)管理工具,选中“IP安全策略”,在“本地计算机”右边的窗口空白的位置右击鼠标,d出快捷菜单,选择“创建IP安全策略”d出一个向导,点击“下一步”,为新的安全策略命名,点击“下一步”出现安全信息请求,在列表中把“激活默认相应规则”前边的勾去掉。 右击该IP安全策略,属性——去掉“使用添加向导”左边的勾,添加——添加——d出IP筛选器,在列表中把“使用添加向导”左边的勾去掉,点击右边“添加”按钮。 进入筛选器属性对话框,“源地址”选“任何IP地址”“目标”选择“我的IP地址” 点击“协议”选项卡,在协议选项卡类型下拉列表选“TCP”然后在“到此端口”中输入要屏敝的端口135 点击“确定”。这样就关掉了135端口。 点击确定后,回到“筛选”窗口对话框,可以看到已经添加了一条策略,重复以上的方法陆继关闭其它要关闭的端口,建立好筛选器。 在“新规则属性对话框”选择“新IP地址列表”,点击左边的圆圈加一个点,表示已经激活。点击“筛选器 *** 作”,在“筛选器 *** 作”选项卡中把“使用添加向导”左边的勾去掉,点击“添加”添加“阻止” *** 作,在新筛选器的属性部分“安全措施”选项卡中选择“阻止”,然后点击“确定”。 进入“新规则属性”对话框,点击“新筛选器 *** 作”,将左边的圆圈加了一个点,表示已经激活。点击“关闭”按钮,最后回到“新IP安全策略”属性窗口对话框,在“新的IP筛选器列表”左边打勾,按确定。关闭对话框,在“本地IP安全策略”窗口,用鼠标右击新添加的IP安全策略,选择“指派”。重启电脑既可。 虽说写了不少,但步聚不多,写的不好之处还望多加提出,感谢大家对“神之家”的支持!
一、灰鸽子病毒简介
(1)灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的 *** 作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的 *** 作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具,。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
因涉及互联网安全法律纠纷问题,自2007年3月21日起灰鸽子已全面停止开发和注册[1]。互联网上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。
(2)作者葛军(1982- )安徽潜山人,灰鸽子工作室管理员,精通Delphi、ASP、数据库编程,2001年首次将反d连接应用在远程控制软件上,随后掀起了国内远程控制软件使用反d连接的热潮,2005年4月,将虚拟驱动技术应用到灰鸽子屏幕控制上,使灰鸽子的屏幕控制达到了国际先进水平。
葛军,“灰鸽子工作室”的创办者,一个低调而又引人注目的程序员。
(3)服务端:
配置出来的服务端文件文件名为G_Serverexe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Serverexe程序。
G_Serverexe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Serverdll和G_Server_Hookdll到windows目录下。G_Serverexe、G_Serverdll和G_Server_Hookdll三个文件相互配合组成了灰鸽子服务端, G_Server_Hookdll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKeydll的文件用来记录键盘 *** 作。注意,G_Serverexe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为Aexe时,生成的文件就是Aexe、Adll和A_Hookdll。
Windows目录下的G_Serverexe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Serverdll和G_Server_Hookdll并自动退出。G_Serverdll文件实现后门功能,与控制端客户端进行通信;G_Server_Hookdll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hookdll有时候附在Explorerexe的进程空间中,有时候则是附在所有进程中。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
[编辑本段]灰鸽子给黑客带来的经济效益
黑客可以在灰鸽子工作室的网站上花100元下载灰鸽子,在网上花200元就可以找师傅学灰鸽子使用技巧。而黑客一天可以控制上百个用户,网民称之“肉鸡”。据黑客王某说,他一天可以抓200只鸡,在江浙发达地区的肉鸡可以一只卖3至4块,普通地区卖1块,一天盗几十个号,好号可以卖几十元甚至1000元,普通的也能是几块钱。平均每月3000元,据王某称这还是小的,有的骇客甚至一月上万元。
个别有不良思想的公司会请黑客们入侵另一家公司,攻击或者窃取资料,然后会付给一些报酬。网上也会有一些人想要“逗逗”朋友或者其他用途,都想恶作剧。常常造成严重的后果。
灰鸽子-变种来袭
国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了“灰鸽子”的新变种。专家指出,该变种在受感染计算机系统中运行后,会将病毒文件复制到系统的指定目录下,并将文件属性设置为只读、隐藏或存档,使得计算机用户无法发现并删除。该变种还会修改受感染系统注册表中的启动项,使得变种随计算机系统启动而自动运行。
另外,该变种还会在受感染 *** 作系统中创建新的IE进程,并设置其属性为隐藏,然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统,那么受感染的 *** 作系统会主动连接互联网络中指定的服务器,下载其他病毒、木马等恶意程序,同时恶意攻击者还会窃取计算机用户的键盘 *** 作信息(如:登录账户名和密码信息等),最终造成受感染的计算机系统被完全控制,严重威胁到计算机用户的系统和信息安全。
[编辑本段]二、灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在 *** 作系统的安装目录下生成一个以“_hookdll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的 *** 作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的 *** 作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hookdll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hookdll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_HookDLL是灰鸽子的文件,则在 *** 作系统安装目录下还会有Gameexe和Gamedll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘 *** 作的GameKeydll文件。
经过这几步 *** 作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
[编辑本段]三、灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下 *** 作,主要有两步:
1、清除灰鸽子的服务;
2、删除灰鸽子程序文件。
注意:为防止误 *** 作,清除前一定要做好备份。
(一)、清除灰鸽子的服务
注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙 *** 作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regeditexe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“gameexe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Gameexe的一项,将Gameexe项删除即可。
(二)、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Gameexe、Gamedll、Game_Hookdll以及Gamekeydll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。
四、防止中灰鸽子病毒需要注意的事项
1 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
2 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护
4 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
下载HijackThis扫描系统
与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。专家称,“熊猫烧香”还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者却毫不知情。从某种意义上讲,“灰鸽子”的危害及危险程度超出“熊猫烧香”10倍。
“灰鸽子”如何控制电脑牟利
“黑客培训班”教网民通过“灰鸽子”控制别人电脑,“学费”最高200元,最低需要50元,学时一周到一个月不等。
黑客通过程序控制他人电脑后,将“肉鸡”倒卖给广告商,“肉鸡”的价格在1角到1元不等。资深贩子一个月内可以贩卖10万个“肉鸡”。
被控制电脑被随意投放广告,或者干脆控制电脑点击某网站广告,一举一动都能被监视。
直接把文件的路径复制到 Killbox里删除
通常都是下面这样的文件 "服务名"具体通过HijackThis判断
C:\windows\服务名dll
C:\windows\服务名exe
C:\windows\服务名bat
C:\windows\服务名keydll
C:\windows\服务名_hookdll
C:\windows\服务名_hook2dll
举例说明:
C:\WINDOWS\setemykeydll
C:\WINDOWS\setemydll
C:\WINDOWS\setemyexe
C:\WINDOWS\setemy_hookdll
C:\WINDOWS\setemy_hook2dll
用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了
[2][3]灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
1网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;
2邮件传播:灰鸽子被捆绑在邮件附件中进行传播;
3IM聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
4非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
以上他们做了命名规则解释,去下载一个木马杀客灰鸽子专杀,清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件,参见上面回答者
软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具
界面语言: 简体中文
软件类型: 国产软件
运行环境: /Win9X/Me/WinNT/2000/XP/2003
授权方式: 免费软件
软件大小: 414KB
软件简介: 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
运行DelHgzvip2005Serverexe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserverexe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务
[编辑本段]四、灰鸽子的公告声明
灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均为商业化的远程控制软件,主要提供给网吧、企业及个人用户进行电脑软件管理使用;灰鸽子软件已获得国家颁布的计算机软件著作权登记证书,受著作权法保护。
然而,我们痛心的看到,目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为,这些行为严重影响了灰鸽子远程管理软件的声誉,同时也扰乱了网络秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。
应该表明的是,灰鸽子工作室自成立以来恪守国家法律和有关网络管理的规定,具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动,在此,我们郑重声明,自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册,以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为,并诚恳接受广大网民的监督。
灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为,对于此类行为,灰鸽子工作室发布了灰鸽子服务端卸载程序,以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。卸载程序下载页面。
[编辑本段]五、灰鸽子工作室
灰鸽子工作室于2003年 初成立,定位于远程控制,远程管理,远程监控软件开发,主要产品为灰鸽子远程控制系列,2005年6月,正式推出使用驱动技术捕获屏幕的远程控制软件,捕获屏幕速度开始超越国外远程控制软件,灰鸽子开始被喻为远程控制的代名词。我们希望,用我们的技术和经验,打造出最好的远程控制软件,推动远程控制技术的发展!
2007年3月21日
八、 灰鸽子工作室成员介绍
葛军:2003年初,与好友黄土平创建了灰鸽子工作室。2001年挺进版率先在远程控制软件上开发和使用了反d连接技术。
黄土平:2003年初,与好友葛军创建了灰鸽子工作室。
灰鸽子是同类软件的祖先。
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自 熊猫烧香病毒
我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷,由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码 。计算机病毒最早出现在70年代 David Gerrold 科幻小说 When HARLIE was One最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似生物病毒是把自己注入细胞之中。
编辑本段预防
电脑病毒
病毒往往会利用计算机 *** 作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
编辑本段产生
病毒不是来源于突发或偶然的原因。一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,出于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒.
编辑本段特点
计算机病毒具有以下几个特点:
寄生性
计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
传染性
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫 计算机网络
痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序;
潜伏性
有些病毒像定时炸d一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。 潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的 *** 作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等;
隐蔽性
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
破坏性
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏 。通常表现为:增、删、改、移。
可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
编辑本段分类
根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:
按病毒存在的媒体
根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
按病毒传染的方法
根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到 *** 作系统中去,他处于激活状态,一直到关机或重新启动非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
按病毒破坏的能力
无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型:这类病毒在计算机系统 *** 作中造成严重的错误。 非常危险型: 这类病毒删除程序、破坏数据、清除系统内存区和 *** 作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它 *** 作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
按病毒的算法
伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPYEXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。 寄生型病毒 除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。 诡秘型病毒 它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。 变型病毒(又称幽灵病毒) 这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
编辑本段发展
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。 *** 作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播; 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”;
DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。 1990年,发展为复合型病毒,可感染COM和EXE文件。
伴随、批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS *** 作系统中,一些伴随型病毒利用 *** 作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。
幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
生成器,变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空 *** 作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器” ,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。
网络,蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进在非DOS *** 作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
视窗阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。 宏病毒阶段 1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言、编写容易、感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的病毒也归为此类,由于Word文档格式没有公开,这类病毒查解比较困难。
互连网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒;
邮件炸d阶段
1997年,随着万维网(Wold Wide Web)上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。
编辑本段行为
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,而且难以做全面的描述,根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下: 攻击系统数据区,攻击部位包括:硬盘主引寻扇区、Boot扇区、FAT表、文件目录等。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。 攻击文件,病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件等。攻击内存,内存是计算机的重要资源,也是病毒攻击的主要目标之一,病毒额外地占用和消耗系统的内存资源,可以导致一些较大的程序难以运行。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存等。干扰系统运行,此类型病毒会干扰系统的正常运行,以此作为自己的破坏行为,此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、使文件打不开、使内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串行口、并行口等。 速度下降,病毒激活时,其内部的时间延迟程序启动,在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。攻击磁盘,攻击磁盘数据、不写盘、写 *** 作变读 *** 作、写盘时丢字节等。 扰乱屏幕显示,病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。 键盘病毒,干扰键盘 *** 作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。 喇叭病毒,许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音,有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富,已发现的喇叭发声有以下方式:演奏曲子、警笛声、炸d噪声、鸣叫、咔咔声、嘀嗒声等。 攻击CMOS , 在机器的CMOS区中,保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。 干扰打印机,典型现象为:假报警、间断性打印、更换字符等。
编辑本段危害
计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,随着信息化社会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络,致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了“小球”病毒,它对统计系统影响极大,此后由计算机病毒发作而引起的“病毒事件”接连不断,前一段时间发现的CIH、美丽莎等病毒更是给社会造成了很大损失。
编辑本段症状
1计算机系统运行速度减慢。 2计算机系统经常无故发生死机。 3计算机系统中的文件长度发生变化。 4计算机存储的容量异常减少。 5系统引导速度减慢。 6丢失文件或文件损坏。 7计算机屏幕上出现异常显示。 8计算机系统的蜂鸣器出现异常声响。 9磁盘卷标发生变化。 10系统不识别硬盘。 11对存储系统异常访问。 12键盘输入异常。 13文件的日期、时间、属性等发生变化。 14文件无法正确读取、复制或打开。 15命令执行出现错误。 16虚假报警。 17换当前盘。有些病毒会将当前盘切换到C盘。 18时钟倒转。有些病毒会命名系统时间倒转,逆向计时。 19WINDOWS *** 作系统无故频繁出现错误。 20系统异常重新启动。 21一些外部设备工作异常。 22异常要求用户输入密码。 23WORD或EXCEL提示执行“宏”。 24是不应驻留内存的程序驻留内存。
编辑本段出现
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是: (1)计算机病毒是计算机犯罪的一种新的衍化形式 计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现; (2)计算机软硬件产品的脆弱性是根本的技术原因 计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式, 效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
编辑本段方式
命名
很多时候大家已经用杀毒软件查出了自己的机子中了例如BackdoorRmtBomb12 、TrojanWin32SendIP15 等等这些一串英文还带数字的病毒名,这时有些人就蒙了,那么长一串的名字,我怎么知道是什么病毒啊? 其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了:一般格式为:<病毒前缀><病毒名><病毒后缀> 木马病毒
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 WormSasserb 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振 CIH病毒
荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多,可以采用数字与字母混合表示变种标识。 主名称 病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。 版本信息 版本信息只允许为数字,对于版本信息不明确的不加版本信息。 主名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 附属名称 病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种: Client 说明:后门程序的控制端 KEY_HOOK 说明:用于挂接键盘的模块 API_HOOK 说明:用于挂接API的模块 Install 说明:用于安装病毒的模块 Dll 说明:文件为动态库,并且包含多种功能 (空) 说明:没有附属名称,这条记录是病毒主体记录 附属名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 病毒长度 病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
途径
计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种: (1)通过软盘 通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 (2)通过硬盘 硬盘
通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。 (3)通过光盘 因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写 *** 作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。 (4)通过网络 这种传染扩散极快, 能在很短时间内传遍网络上的机器。 随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。
Adware- 不经允许而安装广告软件。(这里AD是广告的意思,ware就不用说了)
Downloader- 从 Internet 下载软件,通常传送后门程序和密
码盗窃程序,有时也传送病毒
=============================
附:病毒命名规则
我们的防病毒软件通常遵循业界通用的命名惯例来表示它检测和
清除的病毒。某些病毒名称偶尔也会有别于严格的业界标准。
如果某种新病毒具有一系列具体特征并表明它是一个全新品种,我
们会将它冠名为某某“系列”。病毒研究人员根据病毒的某些特点
或表现(例如文本串或有效负载影响)来确定这一系列的名称。
系列名称可以包括用来指定病毒字节大小的数值型字串。研究人员
使用这个名称可以方便地区别类似的病毒变种。
在病毒系列中,变种的名称由系列名称和后缀组成,例如
BadVirusa。后缀按字母顺序排列,到 z 为止,然后再开始按 aa
形式排列,直到 az。再后来的病毒变种将使用后缀 ba 到 bz,
依次类推,直到 zz。如果以后又出现新的变种,则使用后缀 aaa。
随着新病毒变形的不断出现,业界的命名惯例也开始采用越来越多
的信息。例如,某些名称包括表示病毒运行平台的信息。
防病毒厂商采用的病毒名称可以包括前缀、中缀和后缀。
前缀
前缀指明病毒感染的文件类型或可能有害的软件运行的平台。感染
DOS 可执行文件的病毒没有前缀。我们的命名惯例包括下列前缀:
A97M/ 感染 Microsoft Access 97 文件的宏病毒。
APM/ 感染 Ami Pro 文档和模板文件的宏病毒或特洛
伊木马程序。
Bat/ 批处理文件病毒或特洛伊木马程序。这些病毒通常
作为批处理或脚本文件运行,可能会影响需要解释
脚本或批处理命令的某些程序。这些病毒流动性很
强,几乎能够影响可以运行批处理或脚本文件的所
有平台。这些文件本身通常使用 BAT 扩展名。
CSC/ 感染 Corel Draw 文档文件、模板文件和脚本
的 Corel Script 病毒或特洛伊木马程序。
IRC/ Internet Relay Chat 脚本病毒。这种病毒使
用早期版本的 mIRC 客户端软件分发病毒或有效
负载。
JS/ 用 JavaScript 语言编写的脚本病毒或特洛伊
木马程序。
JV/ 可能有害的 Java 应用程序或小程序。
Linux/以 ELF 文件格式编写的、作用于 Linux *** 作
系统的病毒或特洛伊木马程序。
LWP/ 可能对 Lotus WordPro 有害的软件。
MacHC/作用于 Apple Macintosh HyperCard 脚本
语言的病毒或特洛伊木马程序。
MacOS/作用于 Apple Macintosh OS 6 至 9 的病毒
或特洛伊木马程序。
MSIL/ 用 Microsoft Intermediate Language 框
架(也称为 NET)编写的应用程序。
P98M/ 感染 Microsoft Project 文档和模板的宏病
毒或特洛伊木马程序。
PalmOS/ 作用于 Palm Pilot 的病毒或特洛伊木马程序。
PDF/ 感染 Adobe PDF 文件的程序。
Perl/ 用 Perl 语言编写的脚本病毒或特洛伊木马程序。
PHP/ 用 PHP 语言编写的脚本病毒或特洛伊木马程序。
PP97M/宏病毒。感染 Microsoft PowerPoint 97 文件。
SunOS/可能对 Sun Solaris 有害的软件。
SWF/ 可能对 Shockwave 有害的软件。
Unix/ 作用于某个版本的 UNIX 的程序或 Shell 脚本。
V5M/ 感染 Visio VBA (Visual Basic for
Applications) 宏或脚本的宏或脚本病毒或特
洛伊木马程序。
VBS/ 用 Visual Basic Script 语言编写的脚本病
毒或特洛伊木马程序。
W16/ 在 16 位 Microsoft Windows 环境 (Windows
31x) 中运行的感染文件的病毒。
W2K/ 可能对 32 位 Microsoft Windows 环境(尤
其是 Windows NT、2000 或 XP)有害的软件。
W32/ 在 32 位 Microsoft Windows 环境(Windows
95、Windows 98 或 Windows NT)中运行的
感染文件或引导区的病毒。
W95/ 在 Microsoft Windows 95、Windows 98 和
Windows ME 环境中运行的感染文件的病毒。
W97M/ 感染 Microsoft Word 97 文件的宏病毒。
WHLP/ 可能对 32 位 Microsoft Windows 环境中
Windows HLP 文件有害的软件。
WM/ 感染 Microsoft Word 95 文件的宏病毒。
X97M/ 感染 Microsoft Excel 97 文件的宏病毒。
XF/ 通过 Excel 公式感染 Microsoft Excel 95 或
97 的宏病毒。
XM/ 感染 Microsoft Excel 95 文件的宏病毒。
特洛伊木马程序类的前缀
BackDoor- 这样的名称表示属于类似特洛伊木马程序的可能有害
软件。紧跟在类名称后的附加字符表示一个系列(例如
BackDoor-JZ)或一个名称(例如 BackDoor-Sub7)。
AdClicker-
重复访问广告赞助的网站。
Adware- 不经允许而安装广告软件。
BackDoor-
通过 Internet 或网络进行远程访问或控制。
Dialer-
不经允许而播打电话。
DDoS- 作为“分布式拒绝服务”组件运行。
Del- 删除文件。
Downloader-
从 Internet 下载软件,通常传送后门程序和密
码盗窃程序,有时也传送病毒。
Exploit- 利用某个薄弱环节或软件的某个缺陷。
FDoS- 表示“数据泛滥拒绝服务”组件。
KeyLog-
记录击键以立即或以后传送给攻击者。
Kit- 表示为制造病毒或特洛伊木马程序而设计的程序。
MultiDropper-
留下几个特洛伊木马程序或病毒(通常是几个不同
的“后门”)。
Nuke- 利用远程计算机上某个软件的缺陷将计算机关闭。
ProcKill-
终止防病毒和安全产品的进程,并可能删除与这些
应用程序相关联的文件。
PWS- 盗窃密码。
Reboot- 重新启动计算机。
Reg- 不加询问而以您不需要的方式修改注册表。例如,
降低安全设置或产生异常关联或设置。
Spam- 作为垃圾邮件发送工具运行。
Spyware- 监控浏览行为或其他行为并向外发送信息,通常是
未被请求的广告。
Uploader-
向外发送计算机中的文件或其他数据。
Vtool-表示病毒作者或黑客使用的软件开发程序。
Zap- 清空硬盘的部分或全部内容。
中缀
这些名称通常出现在病毒名称的中间。ERT 指定的这些名称可
能与业界惯例不同。
cmp 被病毒添加到现有可执行文件中的伴随文件。我们
的防病毒软件会删除伴随文件以防止它们进一步
感染。
mp DOS 下的古董级多重分裂病毒。
ow 覆盖型病毒。表示会覆盖文件数据而且造成无法挽
回的损失的病毒。必须删除这个文件。
后缀
这些名称通常出现在病毒名称的最后。病毒名称可以有多个后缀。
例如,一个后缀可能表示病毒变种,而其他后缀负责提供附加信息。
@M 速度比较慢的邮件发送程序。这种病毒通过电子邮
件系统传播。它通常会立刻回复收到的邮件、将自
身附加在要发送的邮件中或者只发送到一个电子
邮件地址。
@MM 发送大量邮件。这种病毒不但能用标准技术自行传
播,也能通过电子邮件系统传播。
a - zzz
病毒变种。
根据 CARO(计算机防病毒研究组织)命名惯例,厂商可以采用以
! 字符开头的后缀。我们的软件使用下列后缀:
apd 附加的病毒。可以将其代码附加到文件中、但不能
正确复制的病毒。
bat 用 BAT 语言编写的软件组件。
cav 钻空病毒。这表示将自己复制到程序文件“空洞”
部分(例如全是零的区域)中的病毒。
cfg Internet 特洛伊木马程序(前缀通常为
BackDoor-)的配置组件。
cli Internet 特洛伊木马程序(前缀通常为
BackDoor-)的客户端组件。
dam 损坏的文件。因感染病毒而损坏或破坏的文件。
demo 执行可能有害的 *** 作(例如如何利用安全隐患)的
程序。
dr 负责放置病毒的文件。这个文件负责将病毒引入到
宿主程序中。
gen 常规检测。我们的软件程序不使用特定的代码串即
可检测到这种病毒。
ini 当它是另一种病毒的一个组成部分时,是一个
mIRC 或 pIRCH 脚本。
intd “故意”的病毒。这种病毒具有普通病毒的大部分
特征,但不能正确复制。
irc 可能有害的软件的 IRC 组件。
js JavaScript 中的可能有害的软件组件。
kit 用“病毒设计工具”编写的病毒或特洛伊木马程序。
p2p 通过点对点通讯功能发挥作用的可能有害的软件。
例如 Gnutella 和 Kazaa。
sfx 特洛伊木马程序的自解压缩安装实用程序。
src 病毒源代码。它通常不能复制或感染文件,但负责
放置病毒的某些程序会将这些代码添加到文件中
从而使文件感染病毒。我们的产品通常会标记带有
这种附加代码的文件,以便将其删除。
sub 替代病毒。它会替代宿主文件,这样感染了病毒的
所有宿主都会具有同样的大小,而且变成真正的病
毒。(即覆盖型病毒的一个子类。)
svr Internet 特洛伊木马程序(前缀通常为
BackDoor)的服务器端组件。
vbs 用 Visual Basic Script 语言编写的可能有
害的软件组件。
worm 一种能够自我复制的非寄生性病毒,或是一种可以
通过将自身复制到远程计算机进行传播或以任何
文件传输方式(例如远程共享、点对点、即时通讯、
IRC 文件传输、FTP 以及 SMTP)在网络中传
播的病毒。
一、trojan表示该病毒是个木马,如果后面加a,说明该木马的第一个变种。
wm代表着word宏病毒;
w97m代表着word97宏病毒;
xm代表着excel宏病毒;
x97m代表着在excel97下制作完成的excel宏病毒;
xf代表着excel程式(excel formula)病毒;
am代表着在access95下制作完成并传播发作的access的宏病毒;
a97m代表着在access97下制作完成并传播发作的access的宏病毒;
w95代表着windows95病毒;
win代表着感染windows3x *** 作系统文件的病毒;
wnt代表着感染32位windows nt *** 作系统的病毒。
二、系统病毒
系统病毒的前缀为:win32、pe、win95、w32、w95等。这些病毒的一般共有的特性是可以感染windows *** 作系统的 exe 和 dll 文件,并通过这些文件进行传播。如cih病毒。
三、蠕虫病毒
蠕虫病毒的前缀是:worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
扩展资料
常见的手机病毒:
1、CCa tx A
该系列木马:会私自对外发送一条注册短信,短信内容包含IMSI以及渠道标识。
危害:用户毫不知情下,造成资费消耗。
2、MLC gy A
该系列木马:私自对外向多个号码发送大量短信。
危害:恶意消耗资费。
3、CCRa A
该系列木马:私自创建其推广软件下载链接的桌面快捷方式,并私自联网下载安装。
危害:误导用户下载安装,造成资费消耗。
九门
词语:九门
释义:1、相传古天子九门。2、九天之门。3、指北京九门,即正阳门、崇文门、安定门、宣武门、德胜门、东直门、西直门、朝阳门、阜城门。4、地名。战国赵邑。
出处:1、《礼记·月令》:“毋出九门。”郑玄注:“天子九门者,路门也,应门也,雉门也,库门也,皋(皋,gāo,义:水边的高地)门也,城门也,近郊门也,远郊门也,关门也。”
2、李白《梁甫吟》:“阊阖(阊阖,chāng hé,义:传说中的天门)九门不可通,以额扣关阍(阍,hūn,义:宫门)怒。”
3、见《清通典·职官九》。
4、见《史记·赵世家》
想当年刘伯温修建北京城,共设了九个城门,就是人们常说的北京“内九城”。
今天京都九门中虽大多无存,但回忆九门的历史掌故,别有一番情趣。 内城九门的特殊用途 前边讲述北京的门的历代演变过程。现在说说这些门的作用,主要讲明清时期各门的特点、作用。
朝阳门:元称齐化门,门内九仓之粮皆从此门运至,故瓮城门 洞内刻有谷穗一束,逢京都填仓之节日,往来粮车络绎不绝。"朝阳 谷穗"为南粮北运的第一位喜迎神。 走粮车。过去那阵子,没有铁路交通。南方出产的粮食往北京调运,必须走通惠河,通过水路运到北京东边的通州(就是现在的通县)。顺便说一句,通州又分南通州和北通州,有个著名的对子“南通州北通州南北通州通南北”,说的就是这档子事儿。粮食到了通州以后,再装车进城。进城走的就是朝阳门。所以,朝阳门的城门洞顶上,刻着一个谷穗儿。粮食进了朝阳门,就存放在附近的粮仓之中。现在朝阳门内的地名还有“禄米仓”、 “海运仓”、“新太仓”等,那都是当年存放粮食的仓库。
崇文门:元称文明门,俗称"哈德门","海岱门"。崇文门以瓮 城左首镇海寺内镇海铁龟著名。此外崇文门税关之苛也使外埠客 商望门生畏。"崇文铁龟"之名遍响京都。走酒车,城外是酒道,当年的美酒佳酿大多是从河北涿州等地运来,进北京自然要走南路。运酒的车先进了外城的左安门,再到崇文门上税。清朝那时候京城卖酒的招牌得写“南路烧酒”,意思就是说,我上过税了,我的酒不是盗版,当然,那时候还没有产权一说呢,呵呵。清末的杨柳青年画,有一幅叫做《秋江晚渡》。它的画面上画着酒幌,上面写着“南路”、“于酒”等字样,反映的就是这种全民纳税的良好风尚。以前的崇文门外,东北方向有一只铁龟,造型很是古朴,据说这一段儿护城河的桥下有一个海眼,于是人们就用一只乌龟来镇住海眼,保护北京城的平安。
正阳门:元称丽正门,京人俗称"前门",与地安门(俗称后门) 南北呼应。瓮城中关帝庙为九门之首,故人称"正阳关帝"。正阳门因皇帝龙车出入此门,正阳门又称"国门"。走“龙车”。正阳门位于内城南垣的正中,是皇帝专用的,皇上每年两次出正阳门,一次是冬季,到天坛祭天,另一次是惊蛰,到先农坛去耕地。这两次出行,都是要走正阳门。正阳门也叫前门,1949年2月3日北平解放,人民解放军举行入城式就是在这里。“大前门”香烟也是由此而得名,您还记得那烟盒上的图案吗?对,那就是威风凛凛的正阳门,反面的图是建于明正统4年(1439年)的箭楼。
宣武门:元称顺承门(讹传顺治门),宣武门外为菜市口刑场, 囚车从此门经常出入,人称"死门",令人回味的是:瓮城上的 午炮每日一响,声震京华,京人以此对时,人称:"宣武午炮"。走囚车。因为刑场设在宣武门外的菜市口。犯人经刑部审核确定,从宣武门出去,在菜市口问斩。宣武门的城门洞顶上刻着三个大字儿:“后悔迟”,可不是后悔迟嘛,都要问斩了,再后悔哪儿还来得及啊。菜市口是北京的闹市,从南方各省来的人,过卢沟桥,进广安门,再进入北京内城大都要经过这里。这里很早以前就是有名的杀人地方了,菜市口没有什么固定的地方作刑场,一般都是在菜市口路北的商户或者药店门口,设下监斩官的坐案。宋末元初,被元朝统治者关了四年的宋朝丞相文天祥,因为不肯屈服,最后在菜市口被杀死。他在刑场上,态度庄严地监斩官说:“我为宋朝能做的事,现在终于做完了”,然后慷慨就义。戊戌六君子之一的谭嗣同也曾在这里喊出了“有心杀贼,无力回天,死得其所,快哉快哉”的豪迈遗言,更是为这刑场增添了一股子肃杀之气。
阜城门:元为平则门,与朝阳门东西两方遥遥相对,京西门头 沟,斋堂的煤车多出入此门,故瓮城门洞内由煤栈客商募捐刻梅花 一束记之。"梅"与"煤"谐音,每当北风呼号,漫天皆白,烘炉四周之 人皆赞:"阜成梅花报暖春"。走煤车。因为北京西面的门头沟一带是产煤之地,北京城所用的煤全是打那边儿运过来的。门头沟的煤要进北京,最近的门儿就是阜城门。
西直门:元称和义门,是东直门的姐妹门,"高亮赶水"的传说 人人皆知,更兼玉泉山到皇城的御水车都走此门,故瓮城门洞中刻 有汉白玉水纹石雕一块,京人皆知"西直水纹"。走水车。西直门的城门洞上面刻着水的波纹。过去的皇帝,不喝城里的水,嫌城里水苦,专门喝玉泉山的水。您听听,玉泉山,这水听着就让人觉出一股子甜味儿来。乾隆皇帝曾夸北京玉泉山的泉是天下第一泉。这不是传说,现在科学进步了,人们专门把这水送去鉴定,的确是杂质少,味道纯正。
德胜门:元为健德门,为出兵征战之门,寄语于"德胜"二字。乾 隆四十三年,天大旱颗粒无收,年末清高宗去明陵,至德胜门,时逢 大雪纷飞,除去一年之暑气,高宗龙颜大悦作御诗立"祈雪"碑碣一 通,有黄顶碑楼,碑之高大,令其它诸门的石刻难以比拟,故人称: "德胜祈雪"。走兵车。北方按星宿属玄武。玄武主刀兵,所以出兵打仗,一般从北门出城。之所以取名叫德胜门。德胜门东边的城墙上放着一尊炮,不过,这炮不是打仗用的,是报时用的。每日午时,德胜门和宣武门同时一声火炮,城内的老百姓听炮对时。可是,北京城人称“宣武午炮”却不说“德胜午炮”,估计可能是宣武门杀人总在午时,炮声一响人头落地,比德胜门有名的缘故吧。德胜门瓮城内的珍品,应当要数立在中间的一座碑亭。亭中矗立着一座高大石碑,镌有乾隆帝六十二岁时(1797年)的御制诗。这位当时的太上皇回忆往昔的峥嵘岁月,在“德胜”二字上很是抒发了一回豪情。
安定门:元称安贞门。此门为出兵征战得胜而归收兵之门,京 都九门中有八门瓮城内建筑关帝庙,唯安定门内建真武庙,在诸门 中独具一格,从1924年拍摄的照片看,建筑整洁,布局精练。"安定 真武"在诸门中颇有独特风格。 安定门走什么车呢?北京的说法是兵车回城走安定门——出兵得胜,收兵呢,自然安定了。那要是打了败仗呢?瞧瞧,您又抬杠。打败仗也得回安定门。这次没胜,下次再安定也不迟。还有种说法儿是清朝八旗精兵全扎营在安定门,所以回兵走这里。实际上压根儿就不是那么回事儿。清朝在北京实行的是旗、民分城制。八旗分为满八旗、蒙八旗和汉八旗,一共是是正黄、正白、正红、正蓝和镶黄、镶白、镶红、镶蓝八种颜色。八旗官兵及其家属进驻北京以后,清廷下令圈占内城的房舍给旗人居住。以前在内城的汉民、回民等一律搬到外城居住。内城以皇城为中心,由八旗分立四角八方——两黄旗居北:镶黄旗驻安定门内,正黄旗驻德胜门内;两白旗居东:镶白旗驻朝阳门内,正白旗驻东直门内;两红旗居西:镶红旗驻阜成门内,正红旗驻西直门内;两蓝旗居南:镶蓝旗驻宣武门内,正蓝旗驻祟文门内。那儿用得着收兵全走安定门啊。实际上,安定门走的是粪车,因为以前地坛附近是北京主要的粪场。之所以说成兵车回城,其实是一种名称的雅化,就跟臭皮胡同改成受壁胡同,臭皮厂改成寿比胡同,牛蹄胡同改成留题胡同,粪厂大院改成奋章大院是一个意思。
东直门:元祟仁门,此门为京华九门中最贫之门,以郊外盆窑小贩,日用杂品占据瓮城为主,但瓮城庙中的药王雕像极为精细, 市人称"东直雕像"。走砖瓦、木材车。过去的砖窑都设在东直门外,从南方运来的木材也从东直门进城。实际上,东直门不仅仅只是走砖瓦、木材车,它走各种各样的车,要是硬给起个名字,那就是,东直门走百姓车。最早的东直门大街其实是现在的东直门外小街,整条大街大概有三里多长,地上铺的是石板路,一共有一百五十多家买卖铺子,过了冰窖口,茶米油盐酱醋茶,只要是老百姓日常生活所必需的,无论是吃的、用的,都可以在这条街上找到。
以上就是关于病毒名称全部的内容,包括:病毒名称、FAT结构!、怎么对付Tini这个后门程序等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)