今天,我们就以一个病毒防御工作者的角度来做我们的免杀工作。想不被杀,就要先知道是怎么杀的,还不太懂的朋友赶快偷偷借机恶补吧。
通常,[URL=http://www.tkbaba.com/]淘宝商城女装[/URL],一个病毒防备工作者拿到一个截获或上报上来的病毒时,先是分析这个病毒文件履行后的动作,所谓“动作”,就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、翻开什么端口等等。
搞清楚这些后,下一步个别会研讨这个病毒的文件构造,然后找出不同凡响的处所,将其定义为特征码。而这个特征码定义的高超与否,就要看他定义的位置是否刁钻,例如他如果定义的是病毒文件更改注册表键值那部门代码的话,这显然不会太难!由于只要病毒文件更改键值,99%的情形下这个文件里必定存在被更改键值的字符串,所以找到这段字符串的位置就可以定义特征码了。然而针对这种特征码做免杀是十分容易的,只要找到相应的位置,并更改字母的大小写即可。而假如从文件头找出一段特征码就是无比不轻易的事件了……除此之外,所定义的特征码还有一个分支,即内存特征码。所谓内存特征码就是指木马文件运行后开释到内存时所存在的特征,它的原理大体与上面介绍的文件特征码一样。当特征码定义出来之后,就会被提交到另外的一个部分,然落后入病毒定义库,当用户更新后,当前杀毒软件在遇到合乎请求的文件时就会将其绝不愁闷的杀掉!也就是说,杀毒软件只认特征码,不认文件。由此可见,淘宝网十字绣,病毒防御工作者寻找特征码的方法也不外如斯,但这只是定义病毒文件特征码的工作,别的例如修复被沾染文件等技巧步骤跟本文无关,在这也就不介绍了,有兴致的朋友可以自己研究一下。
我们再来看看免杀分类,[URL=http://www.tkbaba.com/]淘宝网女装夏装新款[/URL],免杀的方式有良多,无奈没见哪为友人综合体系的先容,也苦了新手们求学无门,只好掏银子找“师傅”,所以我就自告奋勇站出来一次,不足之处还请各位高手多多包涵……我个人总结的免杀办法总共分两类,也就是主动免杀与被动免杀。咱们先来说说自动免杀
一、主动免杀:
1.修改字符特征:主动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与门路、注入的过程名等动作,也包含运行进程中可能涌现或一定会呈现的字符等文件特征。然后找出这些字符,并将其修改。
2. 修改输入表:查找此文件的输入表函数名(API Name),并将其移位。
3. 打乱文件结构:利用跳转(JMP),打乱文件原有结构。
4. 修改进口点:将文件的入口点加1。
5. 修正PE段:将PE段挪动到空缺地位
二、被动免杀
1. 修改特征码:用一些工具找出特点码并针对特征码做免杀处置。
2. 用Vmprotect:使用Vmprotect加密区段。
3. 文件加壳:可以用一些比较冷僻的壳对木马文件进行掩护。
下面先随意举例阐明演习下
好,下面我们仍然以一个病毒防备工作者的角度来斟酌我们每一步应当做什么,而后在应用逆向思维分而治之
当初如果我们拿到一个木马样本灰鸽子,首先当然要分析它究竟有什么功效,怎样运行以及怎样维护自己等。其实这一步要求的专业常识是许多的,但考虑到我们的读者,我们暂且用一个比较简单易行的方法――运行木马AND查看此程序的辅助文档,[URL=http://www.tkbaba.com/]今年最流行的夏装[/URL]。我们打开RegSnap,新建一个快照,打开RegSnap后,点击[新建快照_按钮,在弹出的对话框中选择[生成所有项目标快照_,然后保存快照,现在已经将RegSnap配置好了,下面运行我们的木马程序(提示:做免杀时,一定要记住养好随时备分的好习惯,以避免修改过错或是试验运行时损坏、删除木马)。木马运行结束后,我们在依照上面的方法从新做一个快照并保存,然后按快捷键F5,在弹出的“比拟快照”对话框中挑选方才保存的快照,在“第一个快照”当选择我们刚才第一次保存的快照,而“第二个快照”取舍我们后保留的快照存档,很快成果就出来了。
有的朋友对应用RegSnap收集到的信息觉得无力分析,埋怨收集到的货色太多,在这里我简略的介绍一下,首先应留神的是生成做对照的两个快照之间的时光要尽可能短,另外要排除带有OpenSaveMRU的注册表键值,还要消除有关*.rsnp文件的创立读写等操作记录。下面我们就将有用的信息提掏出来,逐个分析。
文件列表于 C:\WINDOWS\*.*
新增文件
木马.exe
注册表讲演
新增主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe
键值: 字符串:"复件 Server02"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
键值: 字符串:"LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
键值: 字符串:"{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService
键值: 字符串:"木马服务"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description
键值: 字符串:"灰鸽子服务端程序。远程监控治理."
……
这里我只摘录了局部要害性的木马动作记载,全体记载请见光盘。通过文件列表我们能够知道木马在WINDOW目录下天生了一个新文件,而通过注册表的监控信息我们也晓得了木马是怎么将本人注册为系统服务并主动运行的。
将注册表的某个字符定义为特征码,从上面RegSnap剖析出来的记录来看,他们的抉择真的是太多了!那么他们毕竟会用到哪些呢?实在,就做为一个黑客来讲,淘宝网女装夏装新款,只有不影响服务端畸形运行,就应该尽量多的改掉木马的所有字符,当然全部转变是不可能的,除非你自己编写木马。
这篇就先介绍到这了
相关的主题文章:
通常,[URL=http://www.tkbaba.com/]淘宝商城女装[/URL],一个病毒防备工作者拿到一个截获或上报上来的病毒时,先是分析这个病毒文件履行后的动作,所谓“动作”,就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、翻开什么端口等等。
搞清楚这些后,下一步个别会研讨这个病毒的文件构造,然后找出不同凡响的处所,将其定义为特征码。而这个特征码定义的高超与否,就要看他定义的位置是否刁钻,例如他如果定义的是病毒文件更改注册表键值那部门代码的话,这显然不会太难!由于只要病毒文件更改键值,99%的情形下这个文件里必定存在被更改键值的字符串,所以找到这段字符串的位置就可以定义特征码了。然而针对这种特征码做免杀是十分容易的,只要找到相应的位置,并更改字母的大小写即可。而假如从文件头找出一段特征码就是无比不轻易的事件了……除此之外,所定义的特征码还有一个分支,即内存特征码。所谓内存特征码就是指木马文件运行后开释到内存时所存在的特征,它的原理大体与上面介绍的文件特征码一样。当特征码定义出来之后,就会被提交到另外的一个部分,然落后入病毒定义库,当用户更新后,当前杀毒软件在遇到合乎请求的文件时就会将其绝不愁闷的杀掉!也就是说,杀毒软件只认特征码,不认文件。由此可见,淘宝网十字绣,病毒防御工作者寻找特征码的方法也不外如斯,但这只是定义病毒文件特征码的工作,别的例如修复被沾染文件等技巧步骤跟本文无关,在这也就不介绍了,有兴致的朋友可以自己研究一下。
我们再来看看免杀分类,[URL=http://www.tkbaba.com/]淘宝网女装夏装新款[/URL],免杀的方式有良多,无奈没见哪为友人综合体系的先容,也苦了新手们求学无门,只好掏银子找“师傅”,所以我就自告奋勇站出来一次,不足之处还请各位高手多多包涵……我个人总结的免杀办法总共分两类,也就是主动免杀与被动免杀。咱们先来说说自动免杀
一、主动免杀:
1.修改字符特征:主动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与门路、注入的过程名等动作,也包含运行进程中可能涌现或一定会呈现的字符等文件特征。然后找出这些字符,并将其修改。
2. 修改输入表:查找此文件的输入表函数名(API Name),并将其移位。
3. 打乱文件结构:利用跳转(JMP),打乱文件原有结构。
4. 修改进口点:将文件的入口点加1。
5. 修正PE段:将PE段挪动到空缺地位
二、被动免杀
1. 修改特征码:用一些工具找出特点码并针对特征码做免杀处置。
2. 用Vmprotect:使用Vmprotect加密区段。
3. 文件加壳:可以用一些比较冷僻的壳对木马文件进行掩护。
下面先随意举例阐明演习下
好,下面我们仍然以一个病毒防备工作者的角度来斟酌我们每一步应当做什么,而后在应用逆向思维分而治之
当初如果我们拿到一个木马样本灰鸽子,首先当然要分析它究竟有什么功效,怎样运行以及怎样维护自己等。其实这一步要求的专业常识是许多的,但考虑到我们的读者,我们暂且用一个比较简单易行的方法――运行木马AND查看此程序的辅助文档,[URL=http://www.tkbaba.com/]今年最流行的夏装[/URL]。我们打开RegSnap,新建一个快照,打开RegSnap后,点击[新建快照_按钮,在弹出的对话框中选择[生成所有项目标快照_,然后保存快照,现在已经将RegSnap配置好了,下面运行我们的木马程序(提示:做免杀时,一定要记住养好随时备分的好习惯,以避免修改过错或是试验运行时损坏、删除木马)。木马运行结束后,我们在依照上面的方法从新做一个快照并保存,然后按快捷键F5,在弹出的“比拟快照”对话框中挑选方才保存的快照,在“第一个快照”当选择我们刚才第一次保存的快照,而“第二个快照”取舍我们后保留的快照存档,很快成果就出来了。
有的朋友对应用RegSnap收集到的信息觉得无力分析,埋怨收集到的货色太多,在这里我简略的介绍一下,首先应留神的是生成做对照的两个快照之间的时光要尽可能短,另外要排除带有OpenSaveMRU的注册表键值,还要消除有关*.rsnp文件的创立读写等操作记录。下面我们就将有用的信息提掏出来,逐个分析。
文件列表于 C:\WINDOWS\*.*
新增文件
木马.exe
注册表讲演
新增主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe
键值: 字符串:"复件 Server02"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
键值: 字符串:"LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
键值: 字符串:"{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService
键值: 字符串:"木马服务"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description
键值: 字符串:"灰鸽子服务端程序。远程监控治理."
……
这里我只摘录了局部要害性的木马动作记载,全体记载请见光盘。通过文件列表我们能够知道木马在WINDOW目录下天生了一个新文件,而通过注册表的监控信息我们也晓得了木马是怎么将本人注册为系统服务并主动运行的。
将注册表的某个字符定义为特征码,从上面RegSnap剖析出来的记录来看,他们的抉择真的是太多了!那么他们毕竟会用到哪些呢?实在,就做为一个黑客来讲,淘宝网女装夏装新款,只有不影响服务端畸形运行,就应该尽量多的改掉木马的所有字符,当然全部转变是不可能的,除非你自己编写木马。
这篇就先介绍到这了
相关的主题文章:
全站熱搜
留言列表
