Txt病毒

已于 2023-10-25 17:09:53 修改
阅读量740 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 病毒木马查杀实战 文章标签: 1024程序员节
于 2023-10-24 22:22:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssss39/article/details/134022856
博客介绍了.txt病毒原理,利用翻转字符串混淆伪装,如更改图标、重命名并使用转义字符RLO。还提到利用RLO与注册表生成伪装程序,以及其他字符陷阱,如修改hosts文件、替换字符等,强调了杀软检测病毒特征码的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.txt病毒原理

利用翻转字符串的方法 混淆伪装  (jpg 、doc、ppt 等)

(1)更改程序图标

 可以使用Resource Hacker将该程序的图标修改为文本文档的图标:

(2)将程序重命名 readtxt.exe

鼠标放到 read 与 txt 中间 设置格式为 RLO

 // 这个“RLO”是一个转义字符,只要在一行字符前面加上它,就可以实现文本的反向排列。它是Unicode为了兼容某些文字的阅读习惯而设计的一个转义字符

二、RLO与注册表

利用转义字符原理生成 伪装成正常的程序

三、其它的字符陷阱

有些病毒为了实现网站的劫持,会把想要劫持的网站重定向到自己指定的地址。

通常的做法是修改Windows系统里位于%SystemRoot%\system32\drivers\etc目录下的hosts文件。

而病毒作者是不希望我们找到真实的hosts文件,以进行进一步的解析,于是病毒作者可以将真实的hosts文件设置为隐藏,再伪造一个hosts文件出来。

而伪造的方式,可以使用上述转义字符的方法,或者采用将原始的文件名中的英文字符替换为其它容易造成混淆的字符

例如: 将“kernel32.dll”中“32”前面的“l”改为“1”,从而变成“kerne132.dll”,“kerne132.dll”正是一个恶意的动态链接库程序。

具体到hosts这个例子:首先在“记事本”中输入“hosts”这几个字符,然后保存为Unicode的形式。接着使用十六进制编辑工具打开这个文本文档,查看其十六进制代码:

       上图红框中的“6f 00”(注意这里是小端显示),也就是Unicode码的0x006f,表示的就是小写英文字母的“o”,那么这里我们将其修改为“3e 04”,也就是Unicode码的0x043e,它表示的是俄文字符的“o”:

保存后,再使用“记事本”打开,可以发现原来的“o”变成了一个怪怪的俄文字符:

将上述字符复制粘贴,使其成为一个文件的名称,并拷贝到真实的hosts文件目录中:

注意:

杀软并不会依据程序的名称进行杀毒,而是依靠病毒体内的特征码检测等方式来识别病毒的。而对于我们伪装的“熊猫烧香”病毒样本,即便是我们之前所编写的简陋的主动防御系统,也是能够将其制止住的。这也就凸显了杀软的重要性。

TXT文件病毒
weixin_48195660的博客
01-19 1157
"TXT",即大家最熟悉的纯文本格式,它是一种最基本的文本文件保存格式。有体积小、兼容性好、无病毒等优点。实话说树大招风,黑客们却利用人们对TXT这份信任搞起了TXT"炸弹"。TXT炸弹其实是披着".txt"外皮的"碎片对象"(扩展名为SHS)的文件,它通过邮件附件的形式,悄悄的进入你的系统。善良的人们以为光临的是TXT文件,没有任何的考虑便双击运行。这时这只披着羊皮的"老狼",却脱掉"羊皮",露出原形,干起破坏计算机系统的勾当。为了保护自身的安全,摸清的"对方"的底细。今天我们向大家展示如何制作一个格式化
清除病毒.txt
05-19
@echo off @echo 本程式专杀copy.exe. host.exe. rose.exe和RavMonE.exe病毒,在杀毒之前请确认wf.reg文件与本程式在同一个目录下。 @ECHO. @echo 本程式能够查杀所有盘符内的病毒,包括软驱。 @ECHO. @Pause @ECHO. @ECHO. @ECHO. @echo ------------正在停止病毒进程...------------ @taskkill /im temp1.exe /f /t @taskkill /im temp2.exe /t /f @echo ------------停止病毒进程成功!------------ @ECHO. @echo ---------正在删除关键性病毒文件--------- @ del c:\windows\xcopy.exe /a /f @ del c:\windows\svchost.exe /a /f @ del c:\windows\systen32\temp1.exe /a /f @ del c:\windows\systen32\temp2.exe /a /f @ del d:\windows\xcopy.exe /a /f @ del d:\windows\svchost.exe /a /f @ del d:\windows\systen32\temp1.exe /a /f @ del d:\windows\systen32\temp2.exe /a /f @ del e:\windows\xcopy.exe /a /f @ del e:\windows\svchost.exe /a /f @ del e:\windows\systen32\temp1.exe /a /f @ del e:\windows\systen32\temp2.exe /a /f @ del f:\windows\xcopy.exe /a /f @ del f:\windows\svchost.exe /a /f @ del f:\windows\systen32\temp1.exe /a /f @ del f:\windows\systen32\temp2.exe /a /f @ del g:\windows\xcopy.exe /a /f @ del g:\windows\svchost.exe /a /f @ del g:\windows\systen32\temp1.exe /a /f @ del g:\windows\systen32\temp2.exe /a /f @echo -------关键性病毒文件删除成功!--------- @echo. @echo ---------正在删除病毒文件...------------- @ del a:\autorun.inf /a /f @ del a:\copy.exe /a /f @ del a:\host.exe /a /f @ del a:\rose.exe /a /f @ del b:\autorun.inf /a /f @ del b:\copy.exe /a /f @ del b:\host.exe /a /f @ del b:\rose.exe /a /f @ del c:\autorun.inf /a /f @ del c:\copy.exe /a /f @ del c:\host.exe /a /f @ del c:\rose.exe /a /f @ del d:\autorun.inf /a /f @ del d:\copy.exe /a /f @ del d:\host.exe /a /f @ del d:\rose.exe /a /f @ del e:\autorun.inf /a /f @ del e:\copy.exe /a /f @ del e:\host.exe /a /f @ del e:\rose.exe /a /f @ del f:\autorun.inf /a /f @ del f:\copy.exe /a /f @ del f:\host.exe /a /f @ del f:\rose.exe /a /f @ del g:\autorun.inf /a /f @ del g:\copy.exe /a /f @ del g:\host.exe /a /f @ del g:\rose.exe /a /f @ del h:\autorun.inf /a /f @ del h:\copy.exe /a /f @ del h:\host.exe /a /f @ del h:\rose.exe /a /f @ del i:\autorun.inf /a /f @ del i:\copy.exe /a /f @ del i:\host.exe /a /f @ del i:\rose.exe /a /f @ del j:\autorun.inf /a /f @ del j:\copy.exe /a /f @ del j:\host.exe /a /f @ del j:\rose.exe /a /f @ del k:\autorun.inf /a /f @ del k:\copy.exe /a /f @ del k:\host.exe /a /f @ del k:\rose.exe /a /f @ del l:\autorun.inf /a /f @ del l:\copy.exe /a /f @ del l:\host.exe /a /f @ del l:\rose.exe /a /f @ del m:\autorun.inf /a /f @ del m:\copy.exe /a /f @ del m:\host.exe /a /f @ del m:\rose.exe /a /f @ del n:\autorun.inf /a /f @ del n:\copy.exe /a /f @ del n:\host.exe /a /f @ del n:\rose.exe /a /f @ del \autorun.inf /a /f @ del \copy.exe /a /f @ del \host.exe /a /f @ del \rose.exe /a /f @ del p:\autorun.inf /a /f @ del p:\copy.exe /a /f @ del p:\host.exe /a /f @ del p:\rose.exe /a /f @ del q:\autorun.inf /a /f @ del q:\copy.exe /a /f @ del q:\host.exe /a /f @ del q:\rose.exe /a /f @ del r:\autorun.inf /a /f @ del r:\copy.exe /a /f @ del r:\host.exe /a /f @ del r:\rose.exe /a /f @ del s:\autorun.inf /a /f @ del s:\copy.exe /a /f @ del s:\host.exe /a /f @ del s:\rose.exe /a /f @ del t:\autorun.inf /a /f @ del t:\copy.exe /a /f @ del t:\host.exe /a /f @ del t:\rose.exe /a /f @ del u:\autorun.inf /a /f @ del u:\copy.exe /a /f @ del u:\host.exe /a /f @ del u:\rose.exe /a /f @ del v:\autorun.inf /a /f @ del v:\copy.exe /a /f @ del v:\host.exe /a /f @ del v:\rose.exe /a /f @ del w:\autorun.inf /a /f @ del w:\copy.exe /a /f @ del w:\host.exe /a /f @ del w:\rose.exe /a /f @ del x:\autorun.inf /a /f @ del x:\copy.exe /a /f @ del x:\host.exe /a /f @ del x:\rose.exe /a /f @ del y:\autorun.inf /a /f @ del y:\copy.exe /a /f @ del y:\host.exe /a /f @ del y:\rose.exe /a /f @ del z:\autorun.inf /a /f @ del z:\copy.exe /a /f @ del z:\host.exe /a /f @ del z:\rose.exe /a /f @echo -----------病毒文件删除成功!------------- @ECHO. @echo -------------正在修复注册表...------------ @regedit /s wf.reg @echo -------------注册表修复成功! ------------ @ECHO. SET /p c=重新启动计算机后才会生效, 是否重新启动? [y,n] if "%c%"=="y" shutdown /r /t 0 if "%c%"=="Y" shutdown /r /t 0
自己编一个小病毒
s2015_818的博客
05-04 168
1.新建一个txt,输入“%0 | %0”,保存,再换成.bat格式,双击运行。2.点“WIN”键+“R”键,输入“cmd”,点回车↩︎再输入“”,再把它转成.vbs的格式就行了。4.新建一个txt,输入“
病毒木马查杀实战第022篇:txt病毒研究
热门推荐
Gleam的专栏
04-20 1万+
前言       反病毒爱好者们很喜欢讨论的一个问题就是,如今什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所讲解的都是Ring3层的病毒,所以有些朋友可能会认为,那么Ring0层的病毒其实才是最厉害的,也是病毒发展的主流;或者有朋友可能认为,采取了五花八门的隐藏技术的病毒才是最难对付的。诚然,大家的观点都很有道理,病毒编写者往往也会用复杂高深的技术来武装自己的恶意
运行txt文本也可能中毒!微软急修“文本病毒”漏洞
weixin_33971205的博客
09-14 973
记事本文本(txt)一向被人们视为不可能带毒的安全文件,然而最新曝出的Windows漏洞(MS11-071)却使“文本病毒”成为现实。360安全中心提醒网民,针对Windows漏洞制作“文本病毒”的方法已在网上公开,将威胁到国内绝大多数电脑。微软于北京时间9月14日凌晨发布的9月补丁中,已修复了这一严重漏洞,建议广大网民尽快予以修复。 据360安全专家石晓虹博士介绍,“文...
苏拉病毒批处理脚本.txt,苏拉病毒的清除方式,DOS
09-10
苏拉病毒(SOLA)是一种以批处理脚本(.bat)形式传播的恶意软件,主要利用DOS命令行环境来执行其恶意操作。在这个批处理脚本中,病毒可能会执行一系列的操作,如隐藏文件、篡改系统设置、感染其他文件或者收集用户...
亲手编制Word病毒─自己动手txt
01-05
在探讨《亲手编制Word病毒—自己动手txt》这一主题时,我们不得不深入到宏病毒的世界,这是一种通过利用Microsoft Office应用程序中的宏功能来进行传播和执行恶意操作的计算机病毒。标题和描述明确指向了“亲手编制...
勒索病毒解密.txt
04-22
### 勒索病毒概述与防范措施 #### 一、勒索病毒定义及危害 勒索病毒(Ransomware)是一种恶意软件,它通过加密受害者电脑上的文件或锁定系统,以此来勒索赎金。此类攻击往往利用社会工程学、钓鱼邮件等手段传播,...
苏拉病毒批处理脚本.txt,苏拉病毒的清除方式,DOS源码.zip
10-15
苏拉病毒,全名Sulafat,是一种古老但极具破坏性的计算机病毒,主要通过可移动存储设备传播,尤其在DOS系统环境下活跃。本文将详细介绍苏拉病毒的危害、清除方法以及如何使用批处理脚本来防范和清除这种病毒。 苏拉...
文本分割工具(anysoft_txt
04-09
"文本分割工具(anysoft_txt)"就是这样一款专为解决这一问题而设计的实用软件。它能够快速、稳定地对文本进行分割,确保数据完整无丢失,极大地提高了工作效率。 首先,我们来了解一下“文本分割”的概念。文本...
C#编写病毒文本文档
11-26
初学者 一般的都不懂,这个源码基本都可以懂 虽然没有杀伤力,但是也不错了
教你赶走无法删除病毒的小技巧.txt
07-05
教你赶走无法删除病毒的小技巧.txt教你赶走无法删除病毒的小技巧.txt
文本病毒病毒新理论)
唯一谣|Airs|走尽天涯路|极地阳光
05-02 1001
   以往大家谈到病毒的时候都要区分是文本还是可执行文件,理论就是病毒是程序代码,所以要是可执行文件才能传染,文本,图象等数据文件就不可能传毒。 但我认为数据文件也可以传毒的。病毒是代码,这是对的。但代码的理解应该广一点并不是一定要是计算机能理解的汇编代码。流传广泛的宏病毒就是一例,这 些 实际是一种解释语言,也是一种代码。我原来的《注意解释代码与CPU代码结合的新型病毒》就阐明了这种解释语言也是
披着“羊皮”的狼 TXT下的病毒阴谋
李寻欢的BLOG
01-21 858
一种在Windows中被称作“碎片对象”(扩展名为“.SHS”)的文件可能正披着雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通过电子邮件附件),然后轻松破坏你的计算机系统。它之所以这样可怕,有三点主要原因:   1.该文件在Windows中的默认图标与记事本非常类似。  2.在Windows的默认状态下,“碎片对象”文件的扩展名(“.SHS”)是隐藏的,即使你在“资源管理器/工具/
c语言txt病毒,用C语言写病毒【转】
weixin_32375895的博客
05-22 458
C,是程序员最常用的编程语言之一。类似C等高级编程语言为开发人员提供了大量的内置函数,可以方便程序员编写各种跨平台的安心的应用编程。对于编写病毒而言,也方便了程序员来用自己擅长的语言来编写,但同时也带来了很多弊端。第一,许多高级语言的编程并不基于底层系统,即使是C也不太容易。这就导致这类的大都数病毒的传播机制十分原始(通常是通过重写来实现);另一方面的不足是,大多用高级语言编写的病毒至少有10K,...
病毒源代码
Zengkaichen的博客
10-14 5835
咳咳!作者又发文章啦! 这篇文章我给大家提供几个攻击力强的病毒。(有一个是可以通过邮件传播的蠕虫病毒) 请勿用作非法事件!!!可以整朋友,但造成后果与本人无关。 废话不多说,上代码!! On Error Resume Next Set fs=CreateObject("Scripting.FileSystemObject") Set dir1=fs.GetSpecialFolder(0) Set dir2=fs.GetSpecialFolder(1) Set so=CreateObject("Sc
感染所有html病毒代码,非常简单的病毒代码汇总
weixin_35933239的博客
06-10 7200
你知道最简单的电脑病毒代码是什么吗!简单的代码不容易被杀毒软件发现!下面由学习啦小编给你做出详细的最简单的电脑病毒代码介绍!希望对你有帮助!最简单的电脑病毒代码介绍:绕过杀毒软件防御:运行 (“taskkill /f /im kavsvc.exe”, 假, 1)运行 (“taskkill /f /im KVXP.kxp”, 假, 1)运行 (“taskkill /f /im Rav.exe”, 假...
txt病毒
最新发布
07-08
### 什么是txt病毒txt病毒是一种以文本文件(.txt)为载体进行传播的恶意程序。它通常利用用户对.txt文件的信任,将恶意代码嵌入或附加在文本文件中,诱导用户打开或执行这些文件。尽管.txt文件本身并不具备可执行能力,但攻击者通过一些技巧可以实现其目的。 一种常见的方式是将恶意脚本与.txt文件结合,例如将批处理文件(.bat)或PowerShell脚本伪装成.txt文件。当用户误以为该文件是纯文本而运行时,脚本便会启动,从而下载并安装恶意软件。此外,某些txt病毒还可能利用Windows的文件关联漏洞,比如通过精心构造的快捷方式(.lnk)或HTML帮助文件(.chm)来触发代码执行[^1]。 这种类型的病毒之所以值得关注,是因为它们往往依赖于社会工程学手段,而不是复杂的加密技术或内核级隐藏机制。因此,即便是在Ring3层(用户模式),txt病毒仍然具有极高的威胁性,并且能够绕过部分安全防护措施。 ### 如何防范txt病毒? 防范txt病毒的关键在于提高安全意识和技术层面的防护措施: 1. **提高警惕性**:不要随意打开来源不明的.txt文件,尤其是通过电子邮件、即时通讯工具或不可信网站下载的文件。即便是看似来自可信来源的文件,也应先验证其安全性。 2. **检查文件扩展名**:攻击者经常使用双扩展名欺骗用户,例如“document.txt.bat”这样的文件名可能会被显示为“document.txt”,但实际上是一个可执行脚本。确保系统设置为显示完整的文件扩展名[^1]。 3. **启用杀毒软件和EDR解决方案**:现代终端检测与响应(EDR)工具能够识别可疑行为,例如非预期的脚本执行或异常网络通信。及时更新反病毒定义库以应对新型威胁[^2]。 4. **限制用户权限**:采用最小权限原则,避免普通用户账户拥有不必要的系统权限,从而降低恶意脚本对系统的破坏程度。 5. **启用应用程序白名单策略**:通过配置如Windows AppLocker等工具,限制仅允许执行已知安全的应用程序和脚本,防止未知脚本运行。 6. **定期备份重要数据**:即使遭遇勒索性质的txt病毒,也可以通过恢复备份减少损失。建议采用“3-2-1”备份策略,即三份副本、两种介质、异地存储[^3]。 7. **监控系统日志与网络活动**:对于企业环境,应建立完善的日志审计机制,识别异常行为如非授权访问、大量文件加密操作等,并结合SIEM系统进行集中分析[^2]。 8. **补丁管理与漏洞修复**:及时修补操作系统及第三方软件的安全漏洞,防止攻击者利用已知漏洞传播txt病毒。 ### 示例:如何检查文件扩展名是否被隐藏 以下是一个简单的PowerShell命令,用于显示当前目录下所有文件的真实扩展名: ```powershell Get-ChildItem -Path "C:\path\to\directory" | Select-Object Name, Extension ``` 通过对比Name与Extension字段,可以发现是否存在隐藏的第二扩展名。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

斜躺青年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值