广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2205 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 杀毒软件信任危机
文章来源:赛迪网技术社区
作者:smtk

如今,谈马可谓色变。木马的确比常规病毒更狠,监控你的操作,吞噬你的隐私,破坏你的数据。我们安装了最新的杀毒软件,每天进行补丁的更新,还有防火墙的时时保护,但——为什么还会中木马?

  因为,有一种木马叫免杀!

  首先提醒大家的是,免杀是个相对词,针对目前的技术而言,木马免杀成功率并不高(以多引擎检测为依据)。但用户安装的安全软件相对单一,所以具有针对性的制作免杀木马,对于个人用户而言就是绝对的免杀。

  接下来我们就看看黑客们是通过何种方法达到免杀目的的。

  我们首先制作一个普通的灰鸽子木马服务端,然后在VirusTotal的多引擎系统中扫瞄,可以发现,绝大多数的杀毒引擎都能够识别出该木马程序。

  免杀方法大体上分为加密代码、花指令、加壳、修改程序入口以及手工DIY PE。至于纯手工操作并不推荐,因为这种方法制作出的程序效果虽好,但太过复杂,需要很强的汇编语言基础,并对Windows内核有一定认识。

  1.代码

  MaskPE内含多种信息模块,可以方便的修改程序指令,打乱源代码,针对利用代码识别病毒的安全软件很有效果。Load File以后选择一种Information模式,最后Make File即可。

  2.花指令

  花指令就是一些汇编指令。原本用在Crack中,但目前更多的引入到木马修改上。这种方法使得杀毒软件不能正常的判断病毒文件的构造。对于采用文件头提取特征码的杀毒软件有特殊的杀伤力。

  添加花指令方法可以采用调试工具,由于我们在后期还要加壳处理,实际上直接用超级花指令的方法修改就可以了,模块自行选择。

  3.加壳

  其实目前的加壳对于很多杀毒软件的防范用处并不大,不仅仅是由于杀毒软件自身识壳能力增强,更多的是加壳后对木马本身的伤害很大,尤其是有些木马的服务端默认已经作过加壳操作,如果进行二次加壳,很有可能造成程序启动异常。

  流行的方法可以选择一些非常规壳:比如NsPack或者Private exe Protector。我们采用Private exe Protector对服务端进行处理。选择「保护并压缩资源」以及「反调试与跟踪」选项。

  4.入口点

  最后修改程序入口点,它的目的和加壳相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。修改方式可以使用FEPB、Ollydbg或者PEditor等。载入程序后找到「入口点」信息,接着在原来的数值的基础上加上个整数值后保存。

  现在已经完成了免杀过程,再次进入VirusTotal扫瞄,发现能识别为病毒的杀毒引擎已经不多了。

  几点提示:

  1.免杀处理后的程序最好在虚拟机或者沙盘系统中测试一下,因为自动加密方式很有可能造成程序异常。如果出现异常,可以在操作过程中更换加密模块。
  2.本文提到的方法对不同版本木马的修改结果不一致,请用户自行尝试。
  3.任何免杀都不可能做到100%,所以我们防范免杀木马的最好办法就是安装主动型防御软件。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2007-12-18 11:12 |
BrianFan
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x5 鲜花 x13
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

所以说还是防不胜防啦!
不然还能怎么样!
只好该装的装不该装的也给他装啦!


献花 x0 回到顶端 [1 楼] From:台湾新世纪 | Posted:2008-06-19 14:00 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.013352 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言