Txt病毒

已于 2023-10-25 17:09:53 修改
阅读量630 收藏
点赞数
分类专栏: 病毒木马查杀实战 文章标签: 1024程序员节
于 2023-10-24 22:22:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ssss39/article/details/134022856
版权

一.txt病毒原理

利用翻转字符串的方法 混淆伪装  (jpg 、doc、ppt 等)

(1)更改程序图标

 可以使用Resource Hacker将该程序的图标修改为文本文档的图标:

(2)将程序重命名 readtxt.exe

鼠标放到 read 与 txt 中间 设置格式为 RLO

 // 这个“RLO”是一个转义字符,只要在一行字符前面加上它,就可以实现文本的反向排列。它是Unicode为了兼容某些文字的阅读习惯而设计的一个转义字符

二、RLO与注册表

利用转义字符原理生成 伪装成正常的程序

三、其它的字符陷阱

有些病毒为了实现网站的劫持,会把想要劫持的网站重定向到自己指定的地址。

通常的做法是修改Windows系统里位于%SystemRoot%\system32\drivers\etc目录下的hosts文件。

而病毒作者是不希望我们找到真实的hosts文件,以进行进一步的解析,于是病毒作者可以将真实的hosts文件设置为隐藏,再伪造一个hosts文件出来。

而伪造的方式,可以使用上述转义字符的方法,或者采用将原始的文件名中的英文字符替换为其它容易造成混淆的字符

例如: 将“kernel32.dll”中“32”前面的“l”改为“1”,从而变成“kerne132.dll”,“kerne132.dll”正是一个恶意的动态链接库程序。

具体到hosts这个例子:首先在“记事本”中输入“hosts”这几个字符,然后保存为Unicode的形式。接着使用十六进制编辑工具打开这个文本文档,查看其十六进制代码:

       上图红框中的“6f 00”(注意这里是小端显示),也就是Unicode码的0x006f,表示的就是小写英文字母的“o”,那么这里我们将其修改为“3e 04”,也就是Unicode码的0x043e,它表示的是俄文字符的“o”:

保存后,再使用“记事本”打开,可以发现原来的“o”变成了一个怪怪的俄文字符:

将上述字符复制粘贴,使其成为一个文件的名称,并拷贝到真实的hosts文件目录中:

注意:

杀软并不会依据程序的名称进行杀毒,而是依靠病毒体内的特征码检测等方式来识别病毒的。而对于我们伪装的“熊猫烧香”病毒样本,即便是我们之前所编写的简陋的主动防御系统,也是能够将其制止住的。这也就凸显了杀软的重要性。

TXT文件病毒
weixin_48195660的博客
01-19 1114
"TXT",即大家最熟悉的纯文本格式,它是一种最基本的文本文件保存格式。有体积小、兼容性好、无病毒等优点。实话说树大招风,黑客们却利用人们对TXT这份信任搞起了TXT"炸弹"。TXT炸弹其实是披着".txt"外皮的"碎片对象"(扩展名为SHS)的文件,它通过邮件附件的形式,悄悄的进入你的系统。善良的人们以为光临的是TXT文件,没有任何的考虑便双击运行。这时这只披着羊皮的"老狼",却脱掉"羊皮",露出原形,干起破坏计算机系统的勾当。为了保护自身的安全,摸清的"对方"的底细。今天我们向大家展示如何制作一个格式化
病毒木马查杀实战第022篇:txt病毒研究
墨鱼菜鸡
04-20 171
前言 反病毒爱好者们很喜欢讨论的一个问题就是,如今什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所讲解的都是Ring3层的病毒,所以有些朋友可能会认为,那么Ring0层的病毒其实才是最厉害的,也是病毒发展的主流;或者有朋友可能认为,采取了五花八门的隐藏技术的病毒才...
C++卡存储小病毒(使用时需谨慎)
最新发布
c_pas的博客
02-04 181
今天,给大家分享一个我的发明------卡存储病毒这个小型病毒的工作原理是在指定路径创建一个.txt格式(text文档),然后疯狂往文件里输入东西来占存储空间,让磁盘卡满导致系统无法运行。
运行txt文本也可能中毒!微软急修“文本病毒”漏洞
weixin_33971205的博客
09-14 931
记事本文本(txt)一向被人们视为不可能带毒的安全文件,然而最新曝出的Windows漏洞(MS11-071)却使“文本病毒”成为现实。360安全中心提醒网民,针对Windows漏洞制作“文本病毒”的方法已在网上公开,将威胁到国内绝大多数电脑。微软于北京时间9月14日凌晨发布的9月补丁中,已修复了这一严重漏洞,建议广大网民尽快予以修复。 据360安全专家石晓虹博士介绍,“文...
文本病毒病毒新理论)
唯一谣|Airs|走尽天涯路|极地阳光
05-02 982
   以往大家谈到病毒的时候都要区分是文本还是可执行文件,理论就是病毒是程序代码,所以要是可执行文件才能传染,文本,图象等数据文件就不可能传毒。 但我认为数据文件也可以传毒的。病毒是代码,这是对的。但代码的理解应该广一点并不是一定要是计算机能理解的汇编代码。流传广泛的宏病毒就是一例,这 些 实际是一种解释语言,也是一种代码。我原来的《注意解释代码与CPU代码结合的新型病毒》就阐明了这种解释语言也是
苏拉病毒批处理脚本.txt,苏拉病毒的清除方式,DOS
09-10
苏拉病毒(SOLA)是一种以批处理脚本(.bat)形式传播的恶意软件,主要利用DOS命令行环境来执行其恶意操作。在这个批处理脚本中,病毒可能会执行一系列的操作,如隐藏文件、篡改系统设置、感染其他文件或者收集用户...
亲手编制Word病毒─自己动手txt
01-05
在探讨《亲手编制Word病毒—自己动手txt》这一主题时,我们不得不深入到宏病毒的世界,这是一种通过利用Microsoft Office应用程序中的宏功能来进行传播和执行恶意操作的计算机病毒。标题和描述明确指向了“亲手编制...
勒索病毒解密.txt
04-22
### 勒索病毒概述与防范措施 #### 一、勒索病毒定义及危害 勒索病毒(Ransomware)是一种恶意软件,它通过加密受害者电脑上的文件或锁定系统,以此来勒索赎金。此类攻击往往利用社会工程学、钓鱼邮件等手段传播,...
清除病毒.txt
05-19
@echo off @echo 本程式专杀copy.exe. host.exe. rose.exe和RavMonE.exe病毒,在杀毒之前请确认wf.reg文件与本程式在同一个目录下。 @ECHO. @echo 本程式能够查杀所有盘符内的病毒,包括软驱。 @ECHO. @Pause @ECHO. @ECHO. @ECHO. @echo ------------正在停止病毒进程...------------ @taskkill /im temp1.exe /f /t @taskkill /im temp2.exe /t /f @echo ------------停止病毒进程成功!------------ @ECHO. @echo ---------正在删除关键性病毒文件--------- @ del c:\windows\xcopy.exe /a /f @ del c:\windows\svchost.exe /a /f @ del c:\windows\systen32\temp1.exe /a /f @ del c:\windows\systen32\temp2.exe /a /f @ del d:\windows\xcopy.exe /a /f @ del d:\windows\svchost.exe /a /f @ del d:\windows\systen32\temp1.exe /a /f @ del d:\windows\systen32\temp2.exe /a /f @ del e:\windows\xcopy.exe /a /f @ del e:\windows\svchost.exe /a /f @ del e:\windows\systen32\temp1.exe /a /f @ del e:\windows\systen32\temp2.exe /a /f @ del f:\windows\xcopy.exe /a /f @ del f:\windows\svchost.exe /a /f @ del f:\windows\systen32\temp1.exe /a /f @ del f:\windows\systen32\temp2.exe /a /f @ del g:\windows\xcopy.exe /a /f @ del g:\windows\svchost.exe /a /f @ del g:\windows\systen32\temp1.exe /a /f @ del g:\windows\systen32\temp2.exe /a /f @echo -------关键性病毒文件删除成功!--------- @echo. @echo ---------正在删除病毒文件...------------- @ del a:\autorun.inf /a /f @ del a:\copy.exe /a /f @ del a:\host.exe /a /f @ del a:\rose.exe /a /f @ del b:\autorun.inf /a /f @ del b:\copy.exe /a /f @ del b:\host.exe /a /f @ del b:\rose.exe /a /f @ del c:\autorun.inf /a /f @ del c:\copy.exe /a /f @ del c:\host.exe /a /f @ del c:\rose.exe /a /f @ del d:\autorun.inf /a /f @ del d:\copy.exe /a /f @ del d:\host.exe /a /f @ del d:\rose.exe /a /f @ del e:\autorun.inf /a /f @ del e:\copy.exe /a /f @ del e:\host.exe /a /f @ del e:\rose.exe /a /f @ del f:\autorun.inf /a /f @ del f:\copy.exe /a /f @ del f:\host.exe /a /f @ del f:\rose.exe /a /f @ del g:\autorun.inf /a /f @ del g:\copy.exe /a /f @ del g:\host.exe /a /f @ del g:\rose.exe /a /f @ del h:\autorun.inf /a /f @ del h:\copy.exe /a /f @ del h:\host.exe /a /f @ del h:\rose.exe /a /f @ del i:\autorun.inf /a /f @ del i:\copy.exe /a /f @ del i:\host.exe /a /f @ del i:\rose.exe /a /f @ del j:\autorun.inf /a /f @ del j:\copy.exe /a /f @ del j:\host.exe /a /f @ del j:\rose.exe /a /f @ del k:\autorun.inf /a /f @ del k:\copy.exe /a /f @ del k:\host.exe /a /f @ del k:\rose.exe /a /f @ del l:\autorun.inf /a /f @ del l:\copy.exe /a /f @ del l:\host.exe /a /f @ del l:\rose.exe /a /f @ del m:\autorun.inf /a /f @ del m:\copy.exe /a /f @ del m:\host.exe /a /f @ del m:\rose.exe /a /f @ del n:\autorun.inf /a /f @ del n:\copy.exe /a /f @ del n:\host.exe /a /f @ del n:\rose.exe /a /f @ del \autorun.inf /a /f @ del \copy.exe /a /f @ del \host.exe /a /f @ del \rose.exe /a /f @ del p:\autorun.inf /a /f @ del p:\copy.exe /a /f @ del p:\host.exe /a /f @ del p:\rose.exe /a /f @ del q:\autorun.inf /a /f @ del q:\copy.exe /a /f @ del q:\host.exe /a /f @ del q:\rose.exe /a /f @ del r:\autorun.inf /a /f @ del r:\copy.exe /a /f @ del r:\host.exe /a /f @ del r:\rose.exe /a /f @ del s:\autorun.inf /a /f @ del s:\copy.exe /a /f @ del s:\host.exe /a /f @ del s:\rose.exe /a /f @ del t:\autorun.inf /a /f @ del t:\copy.exe /a /f @ del t:\host.exe /a /f @ del t:\rose.exe /a /f @ del u:\autorun.inf /a /f @ del u:\copy.exe /a /f @ del u:\host.exe /a /f @ del u:\rose.exe /a /f @ del v:\autorun.inf /a /f @ del v:\copy.exe /a /f @ del v:\host.exe /a /f @ del v:\rose.exe /a /f @ del w:\autorun.inf /a /f @ del w:\copy.exe /a /f @ del w:\host.exe /a /f @ del w:\rose.exe /a /f @ del x:\autorun.inf /a /f @ del x:\copy.exe /a /f @ del x:\host.exe /a /f @ del x:\rose.exe /a /f @ del y:\autorun.inf /a /f @ del y:\copy.exe /a /f @ del y:\host.exe /a /f @ del y:\rose.exe /a /f @ del z:\autorun.inf /a /f @ del z:\copy.exe /a /f @ del z:\host.exe /a /f @ del z:\rose.exe /a /f @echo -----------病毒文件删除成功!------------- @ECHO. @echo -------------正在修复注册表...------------ @regedit /s wf.reg @echo -------------注册表修复成功! ------------ @ECHO. SET /p c=重新启动计算机后才会生效, 是否重新启动? [y,n] if "%c%"=="y" shutdown /r /t 0 if "%c%"=="Y" shutdown /r /t 0
C#编写病毒文本文档
11-26
初学者 一般的都不懂,这个源码基本都可以懂 虽然没有杀伤力,但是也不错了
教你赶走无法删除病毒的小技巧.txt
07-05
教你赶走无法删除病毒的小技巧.txt教你赶走无法删除病毒的小技巧.txt
披着“羊皮”的狼 TXT下的病毒阴谋
李寻欢的BLOG
01-21 841
一种在Windows中被称作“碎片对象”(扩展名为“.SHS”)的文件可能正披着雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通过电子邮件附件),然后轻松破坏你的计算机系统。它之所以这样可怕,有三点主要原因:   1.该文件在Windows中的默认图标与记事本非常类似。  2.在Windows的默认状态下,“碎片对象”文件的扩展名(“.SHS”)是隐藏的,即使你在“资源管理器/工具/
c语言txt病毒,用C语言写病毒【转】
weixin_32375895的博客
05-22 444
C,是程序员最常用的编程语言之一。类似C等高级编程语言为开发人员提供了大量的内置函数,可以方便程序员编写各种跨平台的安心的应用编程。对于编写病毒而言,也方便了程序员来用自己擅长的语言来编写,但同时也带来了很多弊端。第一,许多高级语言的编程并不基于底层系统,即使是C也不太容易。这就导致这类的大都数病毒的传播机制十分原始(通常是通过重写来实现);另一方面的不足是,大多用高级语言编写的病毒至少有10K,...
简单的自制病毒
2401_82964428的博客
02-20 490
两分钟内,电脑会蓝屏。实际危害并不大,会被自动修复。1.先新创建一个txt文件。2.打开并输入%0|%0。4.修改后缀名为bat。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1444
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

斜躺青年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值