杀毒软件是如何判断病毒（木马）？

杀毒软件是如何判断一个程序是病毒？
杀毒软件是根据提取一个程序的一部分特征码与杀毒软件中的病毒库中的代码来进行比较来判断一个程序是否是病毒/或木马的、
杀毒软件常见的查杀方法、
(1)文件查杀

是我们的病毒特征码与杀毒软件中的病毒库中的代码来进行比较，如果病毒库中有相同的特征码，就会认为这个是病毒特征码--通俗一点讲，比如你身上一个特征 它就会认识到这个特征就是你了 。所以，对于这样的查杀模式。但是只要改变特征码杀毒软件就会不认识了。

(2)内存查杀

其实内存查杀也是通过特征码的，和文件查杀基本上一样，一个区别就是它是通过内存特征码来查杀的。
(3)行为查杀

是通过判断程序的动作来进行定义，如果程序对某个地方进行动作就会被认为是病毒了，
特征码定义以及分类、
杀毒软件在对文件进行查杀的时候。会挑选文件内部的一句或者几句代码来作为它识别病毒的方式。这种代码就叫做病毒的特征码。
特征码可分为：
1：文件特征码
2：内存特征码
3：单一特征码
4：复合特征码 等、
当然还有许多其他知识是你现在还不懂的、

什么是木马
特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分 *** 作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。
从木马的发展来看，基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及，一些基于图形 *** 作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的 *** 作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。
所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。
如何识别木马
识别木马有新招，希望这篇文章对你有所帮助。
一、经常看到有玩家说，在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员，还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道，不管是传奇还是任何一款程序。它都是有他所特有的数据的（包括玩家的帐号、密码，等级装备资料等等）。这些数据都是会通过本机与游戏服务器取得了验证以后，玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~，以我自己的计算机知识，这种语句的大概意思应该是：当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说，其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多木马，EML和EXE木马，其中的木马其实很简单，就是把木马exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解，
简单防治的方法：
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸d和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。还有，不要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。
下边介绍一下木马和如何简单的检查一下是否中了木马。
木马程序一般分为服务器端程序和客户端程序两个部分，当服务器端程序安装在某台连接到网络的电脑后，就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是，木马是非法取得对对方电脑的控制权，一旦登陆成功，就可以取得管理员级的权利，对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用，因为一不小心就会引火上身，被对方反查过来就会偷鸡不成蚀把米了，一般他们都会采用只有服务器端的小木马，这类木马通常会把截取的密码发到一个免费邮箱里，不需要人为 *** 作，有空去收趟邮件就可以了，这种木马遍布互连网的各个角落，的确防不胜防，由于木马程序众多，加之不断有新版本、新品种产生，使得软件无法完全应付，所以手动检查清除是十分必要的。
木马会想尽一切办法隐藏自己，别指望在任务管理器里看到他们的踪影，有些木马更是会和一些系统进程寄生在一起的，如著名的广外幽灵就是寄生在MsgSrv32exe里；当然它也会悄无声息地启动，木马会在每次用户启动windows时自动装载服务端，Windows系统启动时自动加载应用程序的方法木马都会用上，如启动组、winini、systemini、注册表等等都是木马藏身之地；下边简单说一下如何检查，点开始-运行，输入：
msconfig回车 就会打开系统配置实用程序，先点systemini，看看shell=文件名，正确的文件名应该是“explorerexe”，如果explorerexe后边还跟有别的程序的话，就要好好检查这个程序了，然后点winini，“run=”和“load=”是可能加载“木马”程序的途径，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了，当然你也得看清楚，因为如“AOL木马”，它把自身伪装成commandexe文件，如果不注意可能不会发现它不是真正的系统启动文件；最后点“启动”，检查里面的启动项是不是有不熟悉的，如果你实在不清楚的话可以把他们全部取消，然后重新运行msconfig，看一下有没有取消的启动项重新被选中的，一般木马都会存在于内存中，（就是线程插入，然后隐藏进程的木马，DLL无进程木马就不会驻留在内存里面，我们在下一次中会讲到）所以发现你取消他的启动项就会自动添加上的，然后你就可以逐步添上你的输入法，音量控制，防火墙等软件的启动项了；还有一类木马，他是关联注册表的文件打开方式的，一般木马经常关联exe，点开始-运行，输入：regedit回车，打开注册表编辑器，点第一条，也就是HKEY_CLASSES_ROOT，找到exefile，看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" % ，如果是一个程序路径的话就一定是中木马了，另外配合两种以上的杀毒软件也是必要的，另外在windows下木马一般很难清除，最后重新启动到dos环境下再进行查杀。
防木马程序、防火墙、及杀毒软件介绍：
1、木马克星： 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
2、绿鹰PC万能精灵291 ：专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
3、Symantec AntiVirus：这个我就不用再介绍了吧，全球最大的杀毒软件！强力推荐81企业版。
4、天网防火墙251个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想，采用最底层的网络驱动隔绝，其作用层在网络硬件与Windows网络驱动之间，在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截，保护脆弱的Windows网络驱动不会崩溃 。

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接
服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般
会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这
就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客
户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100
的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程
的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖
矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术
扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99sh命名的文件来控制客户的linux服务器，看
里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，
导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe
bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让
客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，
仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查
当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病
毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，
客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击
状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开
发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重
的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，
SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器
一切稳定运行，网站打开正常。

按CTRL+ALT+DELETE调出任务管理器~看看有没有陌生的任务进程~CPU的使用率是否偏高（一般不会高过50）有的话说明机子中病毒了

也可以直接使用腾讯电脑管家杀毒软件，首先在“闪电式扫描”，其实就是普通杀软中的快速查杀功能；“全盘扫描”在全盘扫描中，由于电脑磁盘大小的影响，扫描速度也不会一成不变，用户可在具体的使用中得到集中体现。强芯的支持下，添加了杀毒修复功能，完美配合保障了电脑管家的杀毒运行。

具有“自学习能力”的腾讯自研第二代“鹰眼”引擎，业界首创将CPU虚拟执行技术运用到杀毒软件中，能够根除顽固病毒、大幅度提升深度查杀能力，并大大降低杀毒软件对用户电脑系统资源的占用率

希望可以帮到您了 您的采纳就是我回答的动力！

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：
一、Web Server（以Nginx为例）
1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）
2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）
3、path_info漏洞修正：
在nginx配置文件中增加：
if ($request_filename ~ ()\php) {
set $php_url $1;
　 }
if (!-e $php_urlphp) {
return 404;
}
4、重新编译Web Server，隐藏Server信息
5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。
二改变目录和文件属性，禁止写入
find -type f -name \php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
注：当然要排除上传目录、缓存目录等；
同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！
三PHP配置
修改phpini配置文件，禁用危险函数：
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四MySQL数据库账号安全：
禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。
五查杀木马、后门
grep -r –include=php ‘[^a-z]eval($_POST’ > greptxt
grep -r –include=php ‘file_put_contents($_POST\[\]);’ > greptxt
把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传肯定有也捆绑的，来次大清洗。
查找近2天被修改过的文件：
find -mtime -2 -type f -name \php
注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止
六及时给Linux系统和Web程序打补丁，堵上漏洞

最近某司网站主页被篡改了，找师傅帮忙看看怎么回事，师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后，又找师傅问了问关于溯源的技巧经验，于是就有了这篇小结。

看对方的目的是什么，就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么 *** 作 逆推回去。看看这些过程都会留下什么日志。

分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。

可以使用 D 盾查杀是否存在网站后门，如果存在 webshell，记录下该 webshell 的信息。

找到 webshell 后，就可以根据该文件的路径，在日志里查找有关信息，例如访问该文件的 IP、时间等。可以根据这些信息确定网站别入侵的时间，从而缩小搜索范围，运气好了可以直接根据 IP 找到黑客。

diff 工具推荐-diffmerge

可以根据被修改的文件的修改时间，缩小搜索范围。

可以根据文件的排序迅速找到被黑客修改的文件，从而找到入侵时间。

例：查看 10 分钟内修改过的文件

网站日志一般为

根据上一步分析网站源码得到的信息在对日志文件进行筛选分析，因为日志文件会记录很多信息，如果一条一条分析，不是很现实。

web-log 分析工具

系统日志分析

/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出，但是可以使用一些命令来查看，比如 w/who/finger/id/last/ac/uptime

该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息：

该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户：

如果指明了用户，则该命令只显示该用户的近期活动：

/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令：

4 id 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数：

检查服务器是否有黑客留下的木马程序。

指令：ps aux|grep ‘pid’

整理完这篇总结，感觉溯源是一个很细节的事情，需要注意每一个细节，这篇总结也可以是一个备忘，以后在遇到溯源的活，做的时候就可以更系统一些。第一次投稿写的不好，师傅们多多指教哈，嘻嘻。

---