国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

木馬病毒隱身穿墻術解密之花指令和終止進程
比特網作者：劉源

 [導讀]兩種攻擊者喜歡使用的木馬隱身技術：給木馬程序加花指令和終止安全軟件進程。
　　比特網專家：在上一篇木馬病毒隱身穿墻術解密中，已經對修改木馬特征碼和加殼方式和應對之策做了一個大致的了解，但木馬的隱身和穿墻術遠不止這兩種，今天我們要了解的，就是另外兩種攻擊者喜歡使用的木馬隱身技術：給木馬程序加花指令和終止安全軟件進程。

　　一、對木馬使用花指令

　　花指令就是指程序中包括了跳轉指令及一些無用的指令在內的匯編指令段，有加區(qū)加花和去頭加花兩種，通常是用來改變程序的入口點或打亂整個程序的順序。而一些殺毒軟件在進行木馬查殺工作時，都是按從程序的開頭到結尾的順序進行檢測的，以此來找到與病毒庫中某一特征碼相似的特征。甚至一些殺毒軟件就是以程序的入口點作為特征碼的。因此，如果木馬的程序順序被打亂，或者程序的入口點被修改，那么，殺毒軟件也就很難檢測出它來，于是就達到了隱身的目的。能完成這些工作的，就是在木馬程序中使用花指令。

　　要在木馬程序中使用花指令，可以有兩種方式，一種是使用互聯(lián)網上現(xiàn)成的，另一種是攻擊者自己編寫或者使用花指令生成軟件。由于互聯(lián)網上現(xiàn)成的花指令同樣會被殺毒軟件廠商所得到，因此不會有什么好的保護效果。對于有一定匯編技術的攻擊者來說，就會使用自己編寫花指令的方式，還可以使用一些花指令生成軟件，如超級加花器和花蝴蝶等。

　　正是由于給木馬添加不易被檢測到的花指令需要高超的編程技術，也就很少有普通的攻擊者使用這種方式，至少在沒有陌生的花指令生成軟件出現(xiàn)之前，是不太喜歡使用它的。

　　并且，由于對木馬使用花指令也只是對其可執(zhí)行文件本身有效，當其加載至內存后，這種隱身方式將失去作用。因此，使用具有內存查殺功能的殺毒軟件，就能夠非常容易地檢測到只使用這種隱身方式的木馬病毒的。

　　在當前具有內存查殺功能的安全軟件之中，查殺花指令保護木馬比較好的就是EWIDO了。也可以使用Ollydbg程序先將木馬加入到內存中后再查殺。同時，還可以使用像“花指令清除器”一類的花指令檢測軟件，來識別和除去花指令。

　　二、終止安全軟件進程

　　現(xiàn)在，幾乎所有的木馬都在使用一種十分有效的、躲避安全檢測軟件的方法，就是終止系統(tǒng)中所有安全軟件的進程，從而達到了不會被查殺的目的。

　　而要實現(xiàn)這種功能，只要木馬能夠枚舉系統(tǒng)中的所有正在運行的進程，然后從中找到匹配的安全軟件進程名，通過發(fā)送一個終止進程的Windows消息給它，就可以結束這些正在運行的安全軟件。

　　還可以通過掛起安全軟件的所有子進程，以此來凍結其父進程?；蛘咄ㄟ^查找并修改安全軟件已經加載在內存中的代碼，讓安全軟件的進程崩潰而退出運行。

　　有時，為了防止由于終止安全軟件進程而引起計算機用戶的注意，會在系統(tǒng)任務欄的托盤區(qū)產生與安全軟件圖標相似的圖標來欺騙用戶，以此來延長在系統(tǒng)中存活的時間。所有的種種，都是為了達到不被查殺的目的。

　　要防范這種方式的木馬攻擊。首先，殺毒軟件等安全軟件本身要已經具有忽略來自系統(tǒng)結束任務消息的功能，以防止通過Windows消息來結束安全運行進程的攻擊。另外，最好的方法就是系統(tǒng)用戶自己在平時使用計算機過程當中，要不斷查看系統(tǒng)中安全軟件或其它進行的運行情況，一旦發(fā)現(xiàn)原本開機啟動的安全軟件沒有運行或啟動不了，就應該懷疑是否已經有木馬在系統(tǒng)中運行了。此時，應當檢測系統(tǒng)中所有正在運行的進程是否有可疑的，例如使用IceSword和ProceXP這兩款軟件來檢測，或通過查看系統(tǒng)日志來發(fā)現(xiàn)可疑問題。

　　三、修改安全軟件的配置文件

　　每一個安全軟件，都會將它的安全設置放入到一個配置文件當中，然后在每次系統(tǒng)啟動時讀取這個文件，并以這個文件中的設置內容來設置保護方式。這些配置文件，對于單機版的安全軟件來說，一般都是保存在用戶系統(tǒng)硬盤當中的某個位置的。因此，在系統(tǒng)中運行的木馬程序也是可以獲得這些安全軟件的配置文件的，然后就可以對這些文件中的配置內容進行修改。例如修改防火墻對所有的程序都放行，修改殺毒軟件在任何時候都不進行系統(tǒng)掃描檢測。這樣就能躲避殺毒軟件，又能穿過防火墻與攻擊者進行網絡連接。

　　但是，對于這些配置文件，安全軟件也是會對它們進行加密的。因此，要修改這些配置文件也不是那么容易就實現(xiàn)的。不過，木馬還是會通過一些方法來完成修改安全軟件配置文件的任務的。例如進行反向連接，然后由攻擊者通過遠程控制修改安全軟件的設置。還可以通過對安全軟件已經加載到內存中與配置相關的位置進行填充或修改等等。尤其是對于哪些將安全設置項寫入到注冊表中的，要修改就更加容易一些了。不過，攻擊者不會常用這種方式，畢竟實現(xiàn)起來比其它要麻煩得多。

　　要防止這種木馬攻擊，使用主動防御型殺毒軟件(如Mcafee)和防火墻( 如Tiny Firewall)，能達到一定的預防效果。還可以使用Filemon和Regmon軟件對系統(tǒng)文件和注冊表進行監(jiān)控，以此來提醒用戶有某種非法文件修改行為在發(fā)生，以及哪些文件和注冊表項被修改了。

原文出自【比特網】，轉載請保留原文鏈接：http://sec.chinabyte.com/419/11175919.shtml

本站僅提供存儲服務，所有內容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權內容，請點擊舉報。