国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP
高級(jí)木馬的自我保護(hù)技術(shù)與查殺之策(圖文詳解)
為什么要“手工”查殺木馬呢?答案是因?yàn)榕疾恍湃?,不信任什么?不信任自?dòng)殺毒殺木馬軟件告訴我的結(jié)果,它們說(shuō)我的電腦很干凈沒有病毒木馬,但事實(shí)是電腦越來(lái)越難用、不但速度慢還彈廣告;還有,新病毒木馬出來(lái)了,我又很幸運(yùn)的中招了,但這時(shí)專殺工具還未出來(lái)。所以我們要手工查殺。  
    
  怎么知道電腦中是否有病毒或木馬呢?  
  答案是:檢查。  
  用什么檢查?專業(yè)工具!  
  檢查什么?依次檢查這幾項(xiàng):?jiǎn)?dòng)項(xiàng)、進(jìn)程、模塊、內(nèi)核、服務(wù)函數(shù)、聯(lián)網(wǎng)情況與端口。  
  如何檢查?  
  我來(lái)就是教你的!  
  這里以CNNIC為例來(lái)講解全套的木馬所采用的技術(shù)及破解之道,為什么以它為例,因?yàn)樗玫募夹g(shù)比較高級(jí)并且是木馬經(jīng)常會(huì)采用的,真的很高級(jí)么?不信你可以去網(wǎng)上搜啊~看看都是如何評(píng)價(jià)它所采用的技術(shù)的。  
    
  第一項(xiàng),我們先檢測(cè)啟動(dòng)項(xiàng):

如上圖所示:我們找到了可疑的啟動(dòng)項(xiàng)。(把拉條向下拉還會(huì)看到七八個(gè)可疑的)  
  所用的查找工具其功能需滿足以下兩點(diǎn):  
  1、能夠?qū)φ业降膯?dòng)項(xiàng)進(jìn)行數(shù)字簽名認(rèn)證,以防木馬改成與系統(tǒng)一樣的名字蒙混過關(guān)。  
  2、能對(duì)付木馬的各種隱藏啟動(dòng)項(xiàng)的技術(shù),以防隱藏型木馬被漏查。(什么樣的工具能對(duì)付什么樣的技術(shù),請(qǐng)稍等,我會(huì)在后面講解木馬的隱藏技術(shù)時(shí)詳細(xì)解釋)  
    
  第二項(xiàng),我們?cè)贆z查進(jìn)程。

從上圖可以看到,我們找到了可疑的進(jìn)程   ,而且這個(gè)進(jìn)程與某一啟動(dòng)項(xiàng)中的文件是同一文件,一個(gè)可疑進(jìn)程要求自啟動(dòng),顯然符合一定的木馬特征。  
    
  對(duì)工具的要求是與上面相同:要求能進(jìn)行數(shù)字簽名認(rèn)證以防木馬改名字;要求能列出隱藏進(jìn)程(什么工具能查出什么樣的隱藏進(jìn)程   ,請(qǐng)看后面的木馬進(jìn)程隱藏技術(shù)詳解)
找到了,我們是否就可以刪除了呢?試試看~  

進(jìn)程無(wú)法中止!  
  這是恐怕有朋友就說(shuō)了,找強(qiáng)力工具一下兒就殺掉了!  
  是的,找個(gè)強(qiáng)力工具是可以殺掉,但殺掉進(jìn)程就是清除了木馬么?這兩者之間肯定是無(wú)法劃等號(hào)的。  
  而在后面我要講解的就是這些為什么殺不掉~而強(qiáng)力工具為什么又能殺掉,什么樣的工具能殺掉什么樣的進(jìn)程,讓您明白了原理之后,自然就透徹的了解了木馬,而再遇到新的、未知的也就不怕了,能殺了。  
  我們?cè)僭囋噭h除啟動(dòng)項(xiàng)是否可以:  

啟動(dòng)項(xiàng)也無(wú)法刪除!  
  此時(shí)基本可以確定一點(diǎn)了,我們的確是中招了!  
  是否可以任它留在我們的機(jī)器上呢?還是找個(gè)強(qiáng)力工具把他殺掉呢?  
  肯定有一部分朋友想到了冰刃~這個(gè)大名頂頂?shù)膹?qiáng)力工具,用冰刃來(lái)結(jié)束這個(gè)進(jìn)程并刪除這個(gè)進(jìn)程的啟動(dòng)項(xiàng)是否可行呢?  
  友情提示,冰刃與CNNIC用到了相同的技術(shù),所以會(huì)有沖突,可能會(huì)導(dǎo)至系統(tǒng)藍(lán)屏。
  為什么會(huì)這樣呢?為什么我們殺不掉它的進(jìn)程、刪除不掉它的啟動(dòng)項(xiàng)、并且運(yùn)行冰刃會(huì)藍(lán)屏呢?  
  看看這張圖,然后我們開始講解,木馬的隱藏與保護(hù)技術(shù)!

上面的圖是一個(gè)SSDT檢查圖,右邊顯示的結(jié)果是CdnProt.sys這個(gè)驅(qū)動(dòng)HOOK了一堆的服務(wù)函數(shù)。  
  是不是開始有點(diǎn)兒暈了?一堆名詞,可能會(huì)讓大多數(shù)人發(fā)暈.  
  下面我用一個(gè)比喻來(lái)形容一下兒這些電腦名詞與木馬技術(shù)的實(shí)現(xiàn)機(jī)制。  
  Windows(操作系統(tǒng))就像一個(gè)為我們服務(wù)的管理公司,這個(gè)公司呢幫我們管理著我們的電腦。一個(gè)公司當(dāng)然不會(huì)是一個(gè)人,他們有很多人來(lái)完成不同的工作。  
  他們的工作流程是這樣的,有一個(gè)服務(wù)員是跟在我們身邊,當(dāng)我們有什么事情要辦的時(shí)候呢,就把事情告訴這個(gè)服務(wù)員,服務(wù)員就把我們的要求報(bào)上去,交給負(fù)責(zé)此事的部門去處理。再把結(jié)果告訴我們。  
    
SSDT是什么呢?就是一個(gè)指示路標(biāo),告訴服務(wù)員什么事情應(yīng)該交給哪個(gè)部門去做。我們想結(jié)束進(jìn)程,然后會(huì)把這個(gè)任務(wù)交給服務(wù)員,服務(wù)員查看SSDT這個(gè)路標(biāo),上面寫著,“結(jié)束進(jìn)程是由NtTerminateProcess這個(gè)部門負(fù)責(zé)的”,然后服務(wù)員就會(huì)把工作交給這個(gè)NtTerminateProcess來(lái)處理。再把結(jié)果帶回給我們。  
    
HOOK是什么呢?HOOK是一種技術(shù),這種技術(shù)就是改變SSDT的路標(biāo)內(nèi)容,改為“結(jié)束進(jìn)程是由木馬負(fù)責(zé)的”,這時(shí),服務(wù)員就會(huì)把我們的結(jié)束進(jìn)程的工作交給木馬去處理了,木馬會(huì)查看我們要結(jié)束的是誰(shuí),如果與它無(wú)關(guān),它就接著行使服務(wù)員的工作,再把工作傳給NtTerminateProcess,然后把結(jié)果告訴服務(wù)員,由服務(wù)員再告訴我們。如果是結(jié)束它自己呢?它就不把工作向上報(bào)了,直接告訴服務(wù)員,這個(gè)工作是無(wú)法完成的。然后服務(wù)員再把結(jié)果告訴我們,我們就看到最上面的那個(gè)錯(cuò)誤提示了“無(wú)法完成操作”。  
    
  對(duì)付HOOK-SSDT的技術(shù)呢,我們只需要把SSDT給恢復(fù)了就行了,恢復(fù)的操作就是用原始的SSDT來(lái)重新把正確的路標(biāo)寫回去。一般這一層次的木馬這樣做完之后,就可以刪除結(jié)束木馬了。  
    
  我們選擇上圖中的“恢復(fù)全部-SSDT-HOOK”,恢復(fù)完以后呢,我們?cè)龠x擇“SSDT   檢查”,看看是不是已經(jīng)真的恢復(fù)了。  
  然后,我們得到了這個(gè)圖:  

從圖中可以看到,與上面HOOK-SSDT的圖幾乎一樣,唯一不同的是HOOK類型變?yōu)榱薎NLINE-HOOK!  
  如果這時(shí)你沒有再次檢查,而是直接去結(jié)束進(jìn)程   ,那你得到的仍然是錯(cuò)誤!  
    
  INLINE-HOOK是比HOOK更高一層的技術(shù),那么什么又是INLINE-HOOK呢?我們?nèi)匀灰陨厦娴睦觼?lái)解釋:  
    
  服務(wù)員查過路標(biāo)后,將把工作交給特定的部門去做,一個(gè)部門也不會(huì)是一個(gè)人,流程會(huì)是這樣:交給部門的接待員,再由接待人員報(bào)上去、報(bào)給部門經(jīng)理的秘書、部門經(jīng)理的秘書再報(bào)給部門經(jīng)理,再由部門經(jīng)理實(shí)際分派人手去做。  
  而INLINE-HOOK技術(shù)呢?就是木馬打份成了接待人員并把真的接待人員給替換了。  
木馬如果是替換的接待人員,那是最初級(jí)的INLINE-HOOK,如果它更高級(jí)還可以替換秘書、副經(jīng)理等,但它必竟不是接待人員也不是秘書不是副經(jīng)理,但它在那個(gè)位置上則必須要做那個(gè)位置的工作,所以,一些跟殺它無(wú)關(guān)的工作,本來(lái)它也想做好的工作,卻可能由于業(yè)務(wù)能力不足(INLINE-HOOK的技術(shù)不足),而做壞,導(dǎo)致正常工作總是出錯(cuò),無(wú)法也正常人員在位時(shí)相比。(表現(xiàn)為機(jī)器總是莫名奇妙的出問題、死機(jī)或藍(lán)屏)  
    
  是否理解什么是HOOK、什么又是INLINE-HOOK、為什么機(jī)器總是出問題了?  
    
 
通過上面的講解,我們知道了為什么無(wú)法結(jié)束進(jìn)程、無(wú)法刪除啟動(dòng)項(xiàng)了。我們只要再把INLINE-HOOK恢復(fù)了,就可以順利的結(jié)束進(jìn)程并刪除啟動(dòng)項(xiàng)了。  
  當(dāng)我們把進(jìn)程結(jié)束了,把啟動(dòng)項(xiàng)刪除了后,想刪除文件時(shí),是不是發(fā)現(xiàn)文件無(wú)法刪除呢?這就是CNNIC用到的另一種文件保護(hù)技術(shù)了,F(xiàn)SD-HOOK、FSD-INLINE-HOOK,這兩個(gè)又是什么東西呢?  
  我們先看一張圖:  

看上圖,前面的是FSD-HOOK,后面的是FSD-INLINE-HOOK
現(xiàn)在對(duì)上面的一些專業(yè)名詞進(jìn)行一下兒解釋:
什么是FSD呢?FSD是英文單詞的開頭字母縮寫,即:文件系統(tǒng)驅(qū)動(dòng)(File   System   Driver)  
  再用上面的例子舉例:  
一般性的工作呢~我們會(huì)交給Windows的一般部門去完成。但文件相對(duì)于電腦就像是我們的資產(chǎn),是有形的東西、貴重的東西。所以,Windows就專門成立了一個(gè)更深層次的部門來(lái)負(fù)責(zé)對(duì)文件的管理,其它部門接到與文件有關(guān)的工作時(shí),都會(huì)轉(zhuǎn)交給文件部來(lái)負(fù)責(zé)處理。  
  FSD-HOOK呢,就是把文件部的門牌換到了木馬門前,其它部門就把工作交給了木馬,木馬會(huì)進(jìn)行過濾,發(fā)現(xiàn)沒有刪除自己的操作時(shí),再把工作轉(zhuǎn)交給文件部。如果有,當(dāng)然就不轉(zhuǎn)交了。  
  FSD-INLINE-HOOK呢,不用我說(shuō),大家也都知道吧,就是把文件部的工作人員直接替換了,部門還是那里,但人變了。效果一樣,但隱蔽性更強(qiáng),同樣,也更不穩(wěn)定了。  
    
這里再插上一句講一講為什么不穩(wěn)定了,上面說(shuō)過,當(dāng)在裝有CNNIC的機(jī)器上運(yùn)行IceSword(冰刃)時(shí),會(huì)導(dǎo)至藍(lán)屏死機(jī),其原因,就是因?yàn)镃NNIC為了保護(hù)自己的進(jìn)程不被結(jié)束,INLINE-HOOK了兩個(gè)與進(jìn)程有關(guān)的服務(wù)。而Ice也為了自己的進(jìn)程不被結(jié)束,INLINE-HOOK了同樣的服務(wù)。如果他們采用的INLINE-HOOK是一樣的,那只是前面的被后面的取代,也不會(huì)崩潰。但遺憾的是,他們雖然用的同一技術(shù),HOOK的同一地方,但卻并不完全一樣。CNNIC   HOOK了7個(gè)字節(jié),而Ice   HOOK了5個(gè)字節(jié),想一想如果兩個(gè)都存在這成什么了,系統(tǒng)不崩潰才怪呢。 
  所以,機(jī)器的崩潰是隨機(jī)的,只要你用到了某一有沖突的軟件,隨機(jī)將變?yōu)楸厝弧? 
    
  好了,我們恢復(fù)FSD的HOOK及INLINE-HOOK,然后再刪除文件試試,結(jié)果如何?  
  是不是,有的可以刪除了,但有的DLL文件卻仍然無(wú)法刪除?  
  進(jìn)程被結(jié)束了,HOOK被恢復(fù)了,為什么仍然無(wú)法刪除呢?  
  這就是CNNIC用到的另一項(xiàng)技術(shù)了,曾經(jīng)流行一時(shí)的無(wú)進(jìn)程木馬采用的主要手段“DLL進(jìn)程注入”!  
  汗~~CNNIC用到的技術(shù)還真多啊~~現(xiàn)在知道為什么我會(huì)拿它作例子來(lái)講高級(jí)木馬的隱藏保護(hù)技術(shù)了吧?  
  下面我們就接著講什么是“DLL進(jìn)程注入”,先來(lái)看圖:  

看到上面的圖沒?  
  這些就是CNNIC注入到其它進(jìn)程中的模塊,雖然在進(jìn)程列表中你看不到它們,但它們的的確確的正在工作,正在使用中的文件,當(dāng)然你刪除不了啦~  
  DLL文件是指擴(kuò)展名為.DLL的文件即“動(dòng)態(tài)鏈接庫(kù)”,(注:擴(kuò)展名只是外在形式,只要格式對(duì),起什么名字都可以的,不能作準(zhǔn))  
  每個(gè)進(jìn)程都用到了幾個(gè)到上百個(gè)不等的動(dòng)態(tài)庫(kù),每個(gè)動(dòng)態(tài)庫(kù)都完成了某一部分特定的功能。  
  一臺(tái)電腦中的動(dòng)態(tài)加載的模塊至少幾百多則上千,從中找出哪些是木馬的是有點(diǎn)困難。當(dāng)然了,我們的困難也是木馬鐘情于這種技術(shù)的原因。  
    
  用“搜索可疑模塊”可以把可疑的全部列出來(lái),看到上圖沒?這就是我機(jī)器上的所有可疑模塊了。  
  不好意思,偶的機(jī)器比較干凈,所以除了CNNIC的就沒有其它的了。  
    
  找到了就簡(jiǎn)單了,“卸載”+“刪除”就搞定了!  
    
好了。至此,你已經(jīng)破除了CNNIC的大部分保護(hù)技術(shù)了。之所以說(shuō)大部分,是因?yàn)檫€有一些小技術(shù)的存在。比如說(shuō):每次啟動(dòng)電腦都隨機(jī)改名的影子驅(qū)動(dòng),影子驅(qū)動(dòng)嘛當(dāng)然是做為主驅(qū)動(dòng)的保護(hù)者備份者而存在啦,當(dāng)你只刪除了主驅(qū)動(dòng)而遺漏了影子驅(qū)動(dòng)時(shí)工作就等于沒做。還有電源關(guān)閉通知技術(shù):就是關(guān)機(jī)時(shí),WINDOWS會(huì)通知CNNIC,偶要關(guān)機(jī)啦~~你還有什么事情要做不?CNNIC會(huì)說(shuō),稍等一等,等我檢查一下子我的啟動(dòng)項(xiàng)是不是還在~~呵,也就是說(shuō),即使你刪除了,但一重啟它就又出來(lái)了。因?yàn)殛P(guān)機(jī)時(shí)它又重新寫回去了。  
    
  呵,這些就不多講了,必竟,這些都沒啥子太高深的技術(shù)含量~含金量偏低,不值的研究~考驗(yàn)的是清除的人是否心細(xì)而已  
    
  一個(gè)CNNIC囊括了當(dāng)前絕大多數(shù)流行的高級(jí)木馬技術(shù)~好東西啊~~  
  CNNIC只是保護(hù)了自己不被刪除,但這種技術(shù)同樣可以隱藏自己不被發(fā)現(xiàn)。知道了存在刪除不了,當(dāng)然郁悶!  
  但不知道的你的電腦中到底有多少不速之客的存在呢?不知道還會(huì)郁悶嗎?是不是感到渾身發(fā)冷了?還是接著欺騙自己?  
  據(jù)最新統(tǒng)計(jì),全球大約有1.3億臺(tái)電腦是被黑客控制的,這里面包括你的么?自己花錢買的電腦,別人想怎么用就怎么用,而自己又不知道,你什么心情?            
      
  好了,到此結(jié)束了,希望對(duì)各位有所幫助~~~
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
手工查殺木馬病毒3
NT內(nèi)核簡(jiǎn)介:HIPS與現(xiàn)代木馬
內(nèi)核編程之SSDTHook(1)原理
應(yīng)急響應(yīng)常用工具
牛年第一毒
木馬各種隱藏技術(shù)披露
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服