電腦黑客病毒是指那些專(zhuān)門(mén)利用電腦網(wǎng)絡(luò)和系統(tǒng)安全漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人通過(guò)編寫(xiě)程序代碼來(lái)破壞計(jì)算機(jī)軟硬件，黑客們通過(guò)種種方法使得這個(gè)病毒不光傳染能力極強(qiáng)、速度極快，下面就由學(xué)習(xí)啦小編為你詳細(xì)的技術(shù)電腦黑客病毒吧!

　　電腦黑客病毒基本簡(jiǎn)介

　　病毒是一個(gè)蠕蟲(chóng)病毒，不會(huì)感染可執(zhí)行文件，病毒在被激活的過(guò)程中會(huì)把病毒體自身復(fù)制到 windows 的系統(tǒng)目錄中。在windows 9x 系統(tǒng)中復(fù)制自身到 windows\system\runouce.exe，在windows 2000和 windows NT系統(tǒng)中復(fù)制自身到winnt\system32\runouce.exe。然后運(yùn)行該程序。并且在注冊(cè)表中加入成自啟動(dòng)。使病毒體每次開(kāi)機(jī)時(shí)都被激活。在Windows 9x系統(tǒng)上該病毒利用了CIH病毒相同的手法切換到零環(huán)，使自己進(jìn)到系統(tǒng)級(jí)。然后復(fù)制78個(gè)字節(jié)到kernel32.dll的地址空間中。(在windows 98 與windows 95的系統(tǒng)中的偏移地址是 bff70400處。 然后通過(guò)CreateKernelThread函數(shù)建立一個(gè)內(nèi)核線(xiàn)程。 該線(xiàn)程的入口地址就是bff70400。這個(gè)內(nèi)核線(xiàn)程調(diào)用了WaitForSingleObject函數(shù)使自身進(jìn)入等待狀態(tài)，來(lái)等待父進(jìn)程的結(jié)束信號(hào)。如果父進(jìn)程被結(jié)束，則該內(nèi)核線(xiàn)程立即被喚醒。內(nèi)核線(xiàn)程馬上調(diào)用了WinExec函數(shù)，來(lái)重新啟動(dòng)病毒進(jìn)程。這樣，在殺毒軟件殺掉內(nèi)存中的病毒進(jìn)程后。病毒馬上又被激活。這樣造成殺不掉內(nèi)存中的病毒。在windows 2000操作系統(tǒng)上在explorer中注入線(xiàn)程。在explorer中的線(xiàn)程用來(lái)保護(hù)病毒進(jìn)程。 如果病毒進(jìn)程結(jié)束，則explorer中的病毒線(xiàn)程重新啟動(dòng)病毒進(jìn)程。

　　基本特征

　　1. 此病毒可以在Windows 95,Windows 98,Windows NT, Windows 2000,Windows XP,Windows Me等操作系統(tǒng)中運(yùn)行。

　　2. 病毒采用兩套不同技術(shù)來(lái)分別感染9X系列和NT系列系統(tǒng)的內(nèi)存。在9X系列操作系統(tǒng)下，病毒是利用CIH病毒的技術(shù)直接進(jìn)入系統(tǒng)的核心級(jí)，擁有操作系統(tǒng)的所有權(quán)限，可以為所欲為。在NT系列操作系統(tǒng)下，病毒將自身線(xiàn)程駐留在瀏覽器體內(nèi)來(lái)運(yùn)行自身，每當(dāng)用戶(hù)瀏覽文件時(shí)病毒便可取得控制權(quán)。病毒駐留內(nèi)存后，感染力會(huì)比一般病毒大得多。

　　3. 此病毒內(nèi)存駐留方面首次采用多線(xiàn)程守護(hù)的技術(shù)來(lái)保護(hù)自己。病毒進(jìn)入內(nèi)存后會(huì)產(chǎn)生兩個(gè)線(xiàn)程，一個(gè)核心線(xiàn)程，一個(gè)用戶(hù)線(xiàn)程，當(dāng)用戶(hù)線(xiàn)程被殺掉時(shí)，核心線(xiàn)程便會(huì)立刻產(chǎn)生一個(gè)新的用戶(hù)線(xiàn)程，導(dǎo)致一般殺毒軟件無(wú)法完全將此病毒從內(nèi)存中清除。

　　4. 此病毒會(huì)利用郵件系統(tǒng)進(jìn)行傳播。病毒自身內(nèi)置有SMTP引擎，主動(dòng)查找用戶(hù)的OUTLOOK地址薄，向外大量發(fā)送帶毒郵件。病毒還利用IFRAM郵件漏洞，只要用戶(hù)預(yù)病郵件病毒便可自動(dòng)運(yùn)行。

　　解決方法

　　手動(dòng)清除

　　1、病毒會(huì)生成以下信息的病毒郵件：寄件人：@yahoo.com 或者imissyou@btamail.net.cn標(biāo)題: is coming!

　　附件: PP.exe，如果用戶(hù)發(fā)現(xiàn)有此信息的郵件，則最好刪除，值得注意的是，請(qǐng)不要預(yù)覽此郵件，以防病毒自動(dòng)運(yùn)行。

　　2、 在有網(wǎng)頁(yè)文件的目錄下查找，如果存在有Readme.eml的文件，則極可能是病毒，可將此病毒郵件直接刪除。

　　3 、在WINDOWS安裝目錄下查找隱藏文件runouce.exe，如果查找，則可證明有病毒存在，請(qǐng)直接將此文件刪除。

　　4 、查看注冊(cè)表的HKEY_LOCAL_MACHINE\ SoftWare\Microsoft\Windows\CurrentVersion\Run\e項(xiàng)中是否有“runonce”的鍵值，如果有，看此鍵值的內(nèi)容是否有與“runouce.exe”相關(guān)的內(nèi)容(例如此鍵值的內(nèi)容為：C:\Winnt\System32\Runouce.exe)，如果有此內(nèi)容，則將“runouce.exe”鍵值刪除即可。

　　殺毒軟件查殺