今天,我们就以一个病毒防备工作者的角度来做我们的免杀工作,丽江旅游俱乐部。想不被杀,就要先知道是怎么杀的,还不太懂的朋友赶快偷偷借机恶补吧。
通常,一个病毒防御工作者拿到一个截获或上报上来的病毒时,先是分析这个病毒文件履行后的动作,所谓“动作”,就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等,丽江自助游攻略。
搞清楚这些后,下一步个别会研究这个病毒的文件构造,然后找出不同凡响的处所,将其定义为特征码。而这个特征码定义的高超与否,就要看他定义的位置是否刁钻,例如他假如定义的是病毒文件更改注册表键值那局部代码的话,这显然不会太难!由于只有病毒文件更改键值,99%的情形下这个文件里一定存在被更改键值的字符串,所以找到这段字符串的地位就能够定义特征码了。然而针对这种特征码做免杀是十分容易的,只要找到相应的位置,并更改字母的大小写即可。而如果从文件头找出一段特征码就是无比不轻易的事件了……除此之外,所定义的特征码还有一个分支,即内存特征码。所谓内存特征码就是指木马文件运行后开释到内存时所存在的特征,它的原理大体与上面介绍的文件特征码一样。当特征码定义出来之后,就会被提交到另外的一个部分,然落后入病毒定义库,当用户更新后,当前杀毒软件在遇到合乎要求的文件时就会将其绝不愁闷的杀掉!也就是说,杀毒软件只认特征码,不认文件。由此可见,病毒防备工作者寻找特征码的方法也不外如斯,但这只是定义病毒文件特征码的工作,别的例如修复被沾染文件等技巧步骤跟本文无关,在这也就不先容了,有兴致的友人可以自己研讨一下。
我们再来看看免杀分类,免杀的方法有许多,无奈没见哪为朋友综合系统的介绍,也苦了新手们求学无门,丽江户外俱乐部,只好掏银子找“师傅”,所以我就自告奋勇站出来一次,不足之处还请各位高手多多包涵……我个人总结的免杀方法总共分两类,也就是主动免杀与被动免杀。我们先来说说主动免杀
一、主动免杀:
1.修改字符特征:自动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与门路、注入的过程名等动作,也包含运行进程中可能呈现或一定会涌现的字符等文件特征。然后找出这些字符,并将其修改。
2. 修改输入表:查找此文件的输入表函数名(API Name),并将其移位。
3. 打乱文件结构:利用跳转(JMP),打乱文件原有结构。
4. 修改入口点:将文件的进口点加1。
5. 修改PE段:将PE段挪动到空缺位置
二、被动免杀
1. 修正特征码:用一些工具找出特征码并针对特点码做免杀处置。
2. 用Vmprotect:应用Vmprotect加密区段。
3. 文件加壳:可以用一些比较冷僻的壳对木马文件进行掩护。
下面先随意举例阐明演习下
好,下面我们仍然以一个病毒防御工作者的角度来考虑我们每一步应当做什么,然后在应用逆向思维分而治之
当初如果咱们拿到一个木马样本灰鸽子,首先当然要剖析它毕竟有什么功效,怎么运行以及怎样维护本人等。实在这一步请求的专业常识是良多的,但斟酌到我们的读者,我们暂且用一个比拟简略易行的方式――运行木马AND查看此程序的辅助文档。我们翻开RegSnap,新建一个快照,打开RegSnap后,点击[新建快照_按钮,在弹出的对话框中抉择[天生所有项目标快照_,而后保存快照,现在已经将RegSnap配置好了,下面运行我们的木马程序(提示:做免杀时,必定要记住养好随时备分的好习惯,以避免修改过错或是试验运行时损坏、删除木马)。木马运行结束后,我们在依照上面的办法从新做一个快照并保存,然后按快捷键F5,在弹出的“比较快照”对话框中取舍方才保存的快照,在“第一个快照”中挑选我们刚才第一次保留的快照,而“第二个快照”选择我们后保存的快照存档,很快成果就出来了。
有的朋友对使用RegSnap收集到的信息觉得无力分析,埋怨收集到的货色太多,在这里我简单的介绍一下,首先应留神的是生成做对照的两个快照之间的时光要尽可能短,另外要消除带有OpenSaveMRU的注册表键值,还要排除有关*.rsnp文件的创立读写等操作记录。下面我们就将有用的信息提掏出来,逐个分析。
文件列表于 C:\WINDOWS\*.*
新增文件
木马.exe
注册表讲演
新增主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe
键值: 字符串:"复件 Server02"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
键值: 字符串:"LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
键值: 字符串:"{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService
键值: 字符串:"木马服务"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description
键值: 字符串:"灰鸽子服务端程序。远程监控治理."
……
这里我只摘录了部门要害性的木马动作记载,全体记载请见光盘。通过文件列表我们可以晓得木马在WINDOW目录下生成了一个新文件,而通过注册表的监控信息我们也知道了木马是怎样将自己注册为体系服务并主动运行的。
将注册表的某个字符定义为特征码,从上面RegSnap分析出来的记录来看,他们的选择真的是太多了!那么他们究竟会用到哪些呢?其实,就做为一个黑客来讲,丽江自助游,只要不影响服务端畸形运行,就应该尽量多的改掉木马的所有字符,[URL=http://www.lj157.com]丽江自助游攻略[/URL],当然全部转变是不可能的,除非你自己编写木马。
这篇就先介绍到这了
相关的主题文章:
留言列表
