暗云的木馬病毒有哪些特點

暗云的木馬病毒有以下特點：

• 隱蔽性非常高：通過Hook磁盤驅動實現對已感染的MBR進行保護，防止被安全軟件檢測和清除，并且使用對象劫持技術躲避安全人員的手工檢測。隱蔽性極高，截至目前為止，幾乎所有的安全軟件都無法檢測和查殺該木馬。

• 云思想在暗云木馬中的使用：木馬以輕量級的身軀隱藏于磁盤最前端的30個扇區中，這些常駐與系統中代碼并沒有傳統木馬的功能，這些代碼的功能僅僅是到執行的服務器（云端）下載其他功能代碼到內存中直接執行，這些功能模塊每次開機都由隱藏的模塊從云端下載。因此木馬體積小巧，且云端控制性強。

• Ring3與Ring0的通信方式：微軟正統的通信方式是Ring 0代碼創建驅動設備，Ring 3代碼通過打開Ring 0創建的設備開實現相互之間的通信。常見的木馬使用的通信方式則是在Ring 0對指定的API函數進行Hook，而暗云木馬是通過注冊回調的方式來實現。

• 操作系統全量兼容：一份BootKit同時兼容x86、x64兩種版本的操作系統，且能夠兼容win7、win10等當前主流的操作系統版本，因此影響范圍十分廣泛。在推廣獲利方面，該木馬也是涵蓋當前主流的推廣獲利渠道——推廣小網站、推廣手機應用、推廣游戲、大網站加推廣ID。

• 有效對抗殺軟：有于木馬的主體在內核中運行，且啟動時間比所有的安全軟件都早，因此大部分的安全軟件無法攔截和檢測該木馬的惡意行為。木馬能夠在內核中直接結束部分安全軟件進程，同時可以向任意安全軟件進程插入APC執行。插入的APC代碼不穩定，且會關閉安全軟件的設備句柄，會導致安全軟件崩潰或退出，大大減少了被檢測的機率。

防范木馬入侵的措施有以下這些：

• 不要執行任何來歷不明的軟件：對于從網上下載的軟件在安裝、使用前一定要用多幾種反病毒軟件，最好是專門查殺木馬的軟件進行檢查，確定無毒了再執行、使用。

• 不要認為郵箱不會收到垃圾和帶毒的郵件：千萬不要認為私人郵箱就不會收到垃圾和帶毒的郵件，即使從沒露過面的郵箱或是ISP郵箱也是有風險的，有些時候你永遠沒辦法知道別人如何得知你的mail地址的。

• 不要隨便留下個人資料：特別不要在聊天室內公開你的Email地址，更不要將重要口令和資料存放在上網的主機里，以防黑客侵入主機盜走一切個人信息。

• 不要隨便下載軟件：不要再不可靠的小FTP站點、公眾新聞級、論壇或BBS上下載軟件，因為這些地方正是新病毒發布的首選之地。

• 不要輕易打開廣告郵件中附件或點擊其中的鏈接：因為廣告郵件也是那些黑客程序依附的重要對象，特別是其中的一些鏈接，只要一點開，木馬病毒就會立馬入侵。

• 將windows資源管理器配置成始終顯示擴展名：因為一些擴展名為：VBS、SHS、PIF的文件多為木馬病毒的特征文件，更有些文件為又擴展名，更應重點查看，一經發現要立即刪除，千萬不要打開，只有實時顯示了文件的全名才能及時發現。

• 盡量少用共享文件夾：如果因工作等其它原因必需設置成共享，則最好單獨開一個共享文件夾，把所有需共享的文件都放在這個共享文件夾中，注意千萬不要系統目錄設置成共享，不然這樣被入侵的風險非常高

• 給電子郵件加密：為了確保郵件不被其它人看到，同時也為了防止黑客們的攻擊，可使用一些郵件加密軟件，提高安全性。

• 運行反木馬實時監控程序：還有最重要的一點，就是在上網時必需運行反木馬實時監控程序，可即時顯示當前所有運行程序并有詳細的描述信息，還可以外加一些專業的最新殺毒軟件、個人防火墻進行監。

回答所涉及的環境：聯想天逸510S、Windows 10。