前沿拓展：

ghost win7**

其實(shí)目前網(wǎng)上供下載使用的XP/WIN 7系統(tǒng)文件，基本是大同小異?；謴?fù)系統(tǒng)制作者，為體現(xiàn)制作者的六更含十自己的個(gè)性，在對(duì)原系統(tǒng)優(yōu)化的同時(shí)，還會(huì)添加一些東西，這樣一些素培處希素省更偉益明殺毒軟件會(huì)把優(yōu)化或添加的東西視為**，提示你及時(shí)清除，如果迂到這種情且樣確預(yù)壓創(chuàng)況，要酌情處理。

**名的一般格式都是采用三段來(lái)標(biāo)識(shí)的：<**前綴>.<**名>.<**后綴> 。這里給大家列舉一小段掃描報(bào)告為例：Backdoor.Win32.Nuclear.~L@779798 E:\HACKER\TrojWare.Win32.PSW.LdPinch.~HP@1852437E:\HACKER\Backdoor.Win32.Nucleroot.NAB@89601 E:\HACKER\Backdoor.Win32.Bandok.j@5314232 E:\HACKER\Backdoor.Win32.Nuclear.ag@6194658 E:\HACKER\Backdoor.Win32.Nuclear.NAG@109155 E:\HACKER\Backdoor.Win32.Nuclear.NAG@149563 E:\HACKER\TrojWare.Win32.PSW.Delf.vg@5527870 E:\HACKER\UnclassifiedMalware@9221441 E:\HACKER\TrojWare.Win32.PSW.LdPinch.~HP@1852437 E:\HACKER\Backdoor.Win32.Bandok.AV@108534 E:\HACKER\**前綴是指一個(gè)**的種類(lèi)，他是用來(lái)區(qū)別**的種族分類(lèi)的。不同的種類(lèi)的**，其前綴也是不同的。比如我們常見(jiàn)的木馬**的前綴 Trojan ，蠕蟲(chóng)**的前綴是 Worm 等等還有其他的。 **名是指一個(gè)**的家族特征，是用來(lái)區(qū)別和標(biāo)識(shí)**家族的，如上述報(bào)告中的'Nuclear'、'Nucleroot'就是**名。**后綴是指一個(gè)**的變種特征，是用來(lái)區(qū)別具體某個(gè)家族**的某個(gè)變種的。一般都采用英文中的26個(gè)字母來(lái)表示，如 Worm.Sasser.b 就是指 振蕩波蠕蟲(chóng)**的變種B，因此一般稱(chēng)為 “振蕩波B變種”或者“振蕩波變種B”。如果該**變種非常多，可以采用數(shù)字與字母混合表示變種標(biāo)。如果跟簡(jiǎn)單一點(diǎn)的說(shuō)的話(huà)，那么拿灰鴿子舉例，灰鴿子之所以不斷可以逃過(guò)殺毒軟件的追殺，就是因?yàn)槠渥兎N不斷，如果我們比較其殺毒軟件提供的名稱(chēng)，會(huì)發(fā)現(xiàn)其前綴與**名是相同的，但是后綴不同。第一我們來(lái)大致了解一下前綴的區(qū)分，和**的分類(lèi)，這有利于我們判斷**的危害性具體的我會(huì)當(dāng)作附錄放在文章的最后面。系統(tǒng)**：前綴為Win32、PE、Win95、W32、W95，這些**的一般公有的特性是可以感染windows**作系統(tǒng)的 *.exe 和 *.dll 文件，并通過(guò)這些文件進(jìn)行傳播，當(dāng)然大多數(shù)時(shí)候是來(lái)表示該**的運(yùn)行環(huán)境。（Linux的不列舉，大家沒(méi)幾個(gè)用Linux的）。木馬**、黑客**Trojan、Hack，這類(lèi)**一般為遠(yuǎn)控木馬、**木馬、木馬插件等一系列木馬類(lèi)的**，該類(lèi)**大家接觸的最多，雖然不具有破壞性，但是會(huì)竊取資料。這里補(bǔ)充一點(diǎn)，**名中有PSW或者什么PWD之類(lèi)的一般都表示這個(gè)**有**的功能(這些字母一般都為“密碼”的英文“password”的縮寫(xiě))。腳本**腳本**的前綴是：Script。腳本**的公有特性是使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)進(jìn)行的傳播的**，如紅色代碼(Script.Redlof)。腳本**還會(huì)有如下前綴：VBS、JS(表明是何種腳本編寫(xiě)的)，如歡樂(lè)時(shí)光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。我想大家玩過(guò)一些強(qiáng)制關(guān)機(jī)，、倒計(jì)時(shí)關(guān)機(jī)一類(lèi)的VBS腳本文件，有的時(shí)候該類(lèi)文件也會(huì)被判斷為**的。宏**其實(shí)宏**是也是腳本**的一種，由于它的特殊性，因此在這里單獨(dú)算成一類(lèi)。宏**的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的**采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的**采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的**采用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的**采用Excel做為第二前綴，格式是：Macro.Excel，依此類(lèi)推。該類(lèi)**的公有特性是能感染OFFICE系列文檔，第二通過(guò)OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎(Macro.Melissa)。后門(mén)**后門(mén)**的前綴是：Backdoor。該類(lèi)**的公有特性是通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開(kāi)后門(mén)，給用戶(hù)電腦帶來(lái)安全隱患。如54很多朋友

遇到過(guò)的IRC后門(mén)Backdoor.IRCBot 。比我我示意免殺技術(shù)時(shí)用到的Bandook就屬于Backdoor一類(lèi)的。**種植程序**這類(lèi)**的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的**到系統(tǒng)目錄下，由釋放出來(lái)的新**產(chǎn)生破壞。如：冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.**ibag)等。破壞性程序**破壞性程序**的前綴是：Harm。這類(lèi)**的公有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶(hù)點(diǎn)擊，當(dāng)用戶(hù)點(diǎn)擊這類(lèi)**時(shí)，**便會(huì)直接對(duì)用戶(hù)計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤(pán)(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。玩笑**玩笑**的前綴是：Joke。也稱(chēng)惡作劇**。這類(lèi)**的公有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶(hù)點(diǎn)擊，當(dāng)用戶(hù)點(diǎn)擊這類(lèi)**時(shí)，**會(huì)做出各種破壞**作來(lái)嚇唬用戶(hù)，其實(shí)**并沒(méi)有對(duì)用戶(hù)電腦進(jìn)行任何破壞。如：女鬼(Joke.Girlghost)**。捆綁機(jī)**捆綁機(jī)**的前綴是：Binder。這類(lèi)**的公有特性是**作者會(huì)使用特定的捆綁程序?qū)?*與一些應(yīng)用程序如QQ、IE捆綁起來(lái)，表面上看是一個(gè)正常的文件，當(dāng)用戶(hù)運(yùn)行這些捆綁**時(shí)，會(huì)表面上運(yùn)行這些應(yīng)用程序，第二隱藏運(yùn)行捆綁在一起的**，從而給用戶(hù)造成危害。如：捆綁QQ(Binder.QQPass.QQBin)、系統(tǒng)殺手(Binder.killsys)等DDOS攻擊程序其前綴為：DoS，會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；溢出工具其前綴為：Exploit，會(huì)自動(dòng)通過(guò)溢出對(duì)方或者自己的系統(tǒng)漏洞來(lái)傳播自身，或者他本身就是一個(gè)用于Hacking的溢出工具；黑客工具其前綴為：HackTool，這一類(lèi)是我們最為常見(jiàn)的，也許本身并不破壞你的機(jī)子，但是會(huì)被別人加以利用來(lái)用你做替身去破壞別人。如啊D、明小子、HDSI、NBSI以及其他一些常用的黑客工具，有時(shí)其也會(huì)被標(biāo)識(shí)為Application,不過(guò)因?yàn)楹诳凸ぞ吖δ芊倍?，所以在主名稱(chēng)后會(huì)有附屬名稱(chēng)，我們可以通過(guò)其來(lái)判斷程序的功能。如：Inject為注入、Remote為遠(yuǎn)程連接等。當(dāng)然還有很多**的類(lèi)型，如下載**了啊、蠕蟲(chóng)**了啦什么的，不過(guò)太多也無(wú)法一一列舉（汗一個(gè)，主要是我沒(méi)那么些樣本）接下來(lái)是**的主名稱(chēng)，其標(biāo)識(shí)該**的名稱(chēng)或者家族名，我們可以通過(guò)它來(lái)判斷我們中了什么** 。**的主名稱(chēng)是由分析員根據(jù)**體的特征字符串、特定行為或者所使用的編譯平臺(tái)來(lái)定的，如果無(wú)法確定則可以用字符串”Agent”來(lái)代替主名稱(chēng)，小于10k大小的文件可以命名為“Samll”。 版本信息 版本信息只允許為數(shù)字，對(duì)于版本信息不明確的不加版本信息。 主名稱(chēng)變種號(hào) 如果**的主行為類(lèi)型、行為類(lèi)型、宿主文件類(lèi)型、主名稱(chēng)均相同，則認(rèn)為是同一家族的**，這時(shí)需要變種號(hào)來(lái)區(qū)分不同的**記錄。如果一位版本號(hào)不夠用則最多可以擴(kuò)展3位，并且都均為小寫(xiě)字母a—z，如：aa、ab、aaa、aab以此類(lèi)推。由系統(tǒng)自動(dòng)計(jì)算，不需要人工輸入或選擇。 附屬名稱(chēng) **所使用的有輔助功能的可運(yùn)行的文件，通常也作為**添加到**庫(kù)中，這種類(lèi)型的**記錄需要附屬名稱(chēng)來(lái)與**主體的**記錄進(jìn)行區(qū)分。附屬名稱(chēng)目前有以下幾種： Client 說(shuō)明：后門(mén)程序的控制端 KEY_HOOK 說(shuō)明：用于掛接鍵盤(pán)的模塊 API_HOOK 說(shuō)明：用于掛接API的模塊 Install 說(shuō)明：用于安裝**的模塊 Dll 說(shuō)明：文件為動(dòng)態(tài)庫(kù)，并且包含多種功能 空 說(shuō)明：沒(méi)有附屬名稱(chēng)，這條記錄是**主體記錄 附屬名稱(chēng)變種號(hào) 如果**的主行為類(lèi)型、行為類(lèi)型、宿主文件類(lèi)型、主名稱(chēng)、主名稱(chēng)變種號(hào)、附屬名稱(chēng)均相同，則認(rèn)為是同一家族的**，這時(shí)需要變種號(hào)來(lái)區(qū)分不同的**記錄。變種號(hào)為不寫(xiě)字母a—z，如果一位版本號(hào)不夠用則最多可以擴(kuò)展3位，如：aa、ab、aaa、aab以此類(lèi)推。由系統(tǒng)自動(dòng)計(jì)算，不需要人工輸入或選擇。 **長(zhǎng)度 **長(zhǎng)度字段只用于主行為類(lèi)型為感染型（Virus）的**，字段的值為數(shù)字。字段值為0，表示**長(zhǎng)度可變。由于**名稱(chēng)與后綴太多，而且變種的表示也比較繁雜，所以我們只需要將它們與前綴聯(lián)系起來(lái)，大致知道這是一個(gè)什么**，第二查詢(xún)一下解決方案。。當(dāng)然如果有興趣的童鞋可以自己做**分析來(lái)**一個(gè)**，也可以提交專(zhuān)業(yè)網(wǎng)站進(jìn)行分析。如

http://www.virscan.org/

最后個(gè)大家一些記錄，大家對(duì)照附錄與文章開(kāi)始**鑒別之旅吧（其實(shí)本文很沒(méi)技術(shù)含量的說(shuō)…）附錄：Backdoor，危害級(jí)別：1， 說(shuō)明： 中文名稱(chēng)—“后門(mén)”， 是指在用戶(hù)不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行可以對(duì)被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制，而且用戶(hù)無(wú)法通過(guò)正常的方法禁止其運(yùn)行?！昂箝T(mén)”其實(shí)是木**一種特例，它們之間的區(qū)別在于“后門(mén)”可以對(duì)被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制（如：文件管理、進(jìn)程控制等）。 Worm，危害級(jí)別：2， 說(shuō)明： 中文名稱(chēng)—“蠕蟲(chóng)”，是指利用系統(tǒng)的漏洞、外發(fā)郵件、共享目錄、可傳輸文件的軟件（如：MSN、OICQ、IRC等）、可移動(dòng)存儲(chǔ)介質(zhì)（如：U盤(pán)、軟盤(pán)），這些方式傳播自己的**。這種類(lèi)型的**其子型行為類(lèi)型用于表示**所使用的傳播方式。 Mail，危害級(jí)別： 1說(shuō)明：通過(guò)郵件傳播 IM，危害級(jí)別： 2，說(shuō)明：通過(guò)某個(gè)不明確的載體或多個(gè)明確的載體傳播自己 MSN，危害級(jí)別：3，說(shuō)明：通過(guò)MSN傳播 QQ，危害級(jí)別：4，說(shuō)明：通過(guò)OICQ傳播 ICQ危害級(jí)別：5，說(shuō)明：通過(guò)ICQ傳播 P2P，危害級(jí)別：6，說(shuō)明：通過(guò)P2P軟件傳播 IRC，危害級(jí)別：7，說(shuō)明：通過(guò)ICR傳播 其他，說(shuō)明：不依賴(lài)其他軟件進(jìn)行傳播的傳播方式，如：利用系統(tǒng)漏洞、共享目錄、可移動(dòng)存儲(chǔ)介質(zhì)。 Trojan，危害級(jí)別：3，說(shuō)明： 中文名稱(chēng)—“木馬”，是指在用戶(hù)不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行，而且用戶(hù)無(wú)法通過(guò)正常的方法禁止其運(yùn)行。這種**通常都有利益目的，它的利益目的也就是這種**的子行為。 Spy，危害級(jí)別：1，說(shuō)明：竊取用戶(hù)信息（如文件等） PSW，危害級(jí)別：2，說(shuō)明：具有竊取密碼的行為 DL，危害級(jí)別：3，說(shuō)明：下載**并運(yùn)行，判定條款：沒(méi)有可調(diào)出的任何界面,邏輯功能為:從某網(wǎng)站上下載文件加載或運(yùn)行. 邏輯條件引發(fā)的**: **1、.不能正常下載或下載的文件不能判定為** ，**作準(zhǔn)則:該文件不能符合正常軟件功能組件標(biāo)識(shí)條款的,確定為:Trojan.DL **2.下載的文件是**，**作準(zhǔn)則: 下載的文件是**,確定為: Trojan.DL IMMSG，危害級(jí)別：4，說(shuō)明：通過(guò)某個(gè)不明確的載體或多個(gè)明確的載體傳播即時(shí)消息（這一行為與蠕蟲(chóng)的傳播行為不同，蠕蟲(chóng)是傳播**自己，木馬僅僅是傳播消息） MSNMSG，危害級(jí)別：5，說(shuō)明：通過(guò)MSN傳播即時(shí)消息 QQMSG，危害級(jí)別：6，說(shuō)明：通過(guò)OICQ傳播即時(shí)消息 ICQMSG，危害級(jí)別：7，說(shuō)明：通過(guò)ICQ傳播即時(shí)消息 UCMSG，危害級(jí)別：8，說(shuō)明：通過(guò)UC傳播即時(shí)消息 Proxy，危害級(jí)別：9，說(shuō)明：將被感染的計(jì)算機(jī)作為**服務(wù)器 Clicker，危害級(jí)別：10，說(shuō)明：點(diǎn)擊指定的網(wǎng)頁(yè) ，判定條款：沒(méi)有可調(diào)出的任何界面,邏輯功能為:點(diǎn)擊某網(wǎng)頁(yè)。**作準(zhǔn)則：該文件不符合正常軟件功能組件標(biāo)識(shí)條款的,確定為:Trojan.Clicker。(該文件符合正常軟件功能組件標(biāo)識(shí)條款,就參考流氓軟件判定規(guī)則進(jìn)行流氓軟件判定) Dialer，危害級(jí)別：12，說(shuō)明：通過(guò)撥號(hào)來(lái)騙取Money的程序 ，注意：無(wú)法描述其利益目的但又符合木馬**的基本特征，則不用具體的子行為進(jìn)行描述 AOL、Notifier ，按照原來(lái)**名命名保留。 Virus，危害級(jí)別：4，說(shuō)明：中文名稱(chēng)—“感染型**”，是指將**代碼附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可運(yùn)行宏的文件）中，使**代碼在被感染宿主文件運(yùn)行時(shí)取得運(yùn)行權(quán)的**。 Harm，危害級(jí)別：5，說(shuō)明：中文名稱(chēng)—“破壞性程序”，是指那些不會(huì)傳播也不感染，運(yùn)行后直接破壞本地計(jì)算機(jī)（如：格式化硬盤(pán)、大量刪除文件等）導(dǎo)致本地計(jì)算機(jī)無(wú)**常使用的程序。 Dropper，危害級(jí)別：6，說(shuō)明：中文名稱(chēng)—“釋放**的程序”，是指不屬于正常的安裝或自解壓程序，并且運(yùn)行后釋放**并將它們運(yùn)行。 判定條款：沒(méi)有可調(diào)出的任何界面，邏輯功能為:自釋放文件加載或運(yùn)行。 邏輯條件引發(fā)的**: **1：.釋放的文件不是**。 **作準(zhǔn)則: 釋放的文件和釋放者本身沒(méi)邏輯關(guān)系并該文件不符合正常軟件功能組件標(biāo)識(shí)條款的,確定為:Droper **2：釋放的文件是**。 **作準(zhǔn)則: 釋放的文件是**，確定該文件為:Droper Hack，危害級(jí)別：無(wú) ，說(shuō)明：中文名稱(chēng)—“黑客工具”，是指可以在本地計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)攻擊其他計(jì)算機(jī)的工具。 Exploit，漏洞探測(cè)攻擊工具 DDoser，拒絕服務(wù)攻擊工具

Flooder，洪水攻擊工具 ，注意：不能明確攻擊方式并與黑客相關(guān)的軟件，則不用具體的子行為進(jìn)行描述 Spam，垃圾郵件 Nuker、Sniffer、Spoofer、Anti，說(shuō)明：免殺的黑客工具 Binder，危害級(jí)別：無(wú) ，說(shuō)明：捆綁**的工具 正常軟件功能組件標(biāo)識(shí)條款：被檢查的文件體內(nèi)有以下信息能標(biāo)識(shí)出該文件是正常軟件的功能組件：文件版本信息,軟件信息（注冊(cè)表鍵值、安裝目錄）等。 宿主文件 宿主文件是指**所使用的文件類(lèi)型，有是否顯示的屬性。目前的宿主文件有以下幾種。 JS 說(shuō)明：JavaScript腳本文件 VBS 說(shuō)明：VBScript腳本文件 HTML 說(shuō)明：HTML文件 Java 說(shuō)明：Java的Class文件 COM 說(shuō)明：Dos下的Com文件 EXE 說(shuō)明：Dos下的Exe文件 Boot 說(shuō)明：硬盤(pán)或軟盤(pán)引導(dǎo)區(qū) Word 說(shuō)明：MS公司的Word文件 Excel 說(shuō)明：MS公司的Excel文件 PE 說(shuō)明：PE文件 WinREG 說(shuō)明：注冊(cè)表文件 Ruby 說(shuō)明：一種腳本 Python 說(shuō)明：一種腳本 BAT 說(shuō)明：BAT腳本文件 IRC 說(shuō)明：IRC腳本

拓展知識(shí)：