廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2207 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 殺毒軟件信任危機
文章來源:賽迪網技術社區
作者:smtk

如今,談馬可謂色變。木馬的確比常規病毒更狠,監控你的操作,吞噬你的隱私,破壞你的數據。我們安裝了最新的殺毒軟件,每天進行補丁的更新,還有防火牆的時時保護,但——為什麼還會中木馬?

  因為,有一種木馬叫免殺!

  首先提醒大家的是,免殺是個相對詞,針對目前的技術而言,木馬免殺成功率並不高(以多引擎檢測為依據)。但用戶安裝的安全軟件相對單一,所以具有針對性的製作免殺木馬,對於個人用戶而言就是絕對的免殺。

  接下來我們就看看黑客們是通過何種方法達到免殺目的的。

  我們首先製作一個普通的灰鴿子木馬服務端,然後在VirusTotal的多引擎系統中掃瞄,可以發現,絕大多數的殺毒引擎都能夠識別出該木馬程序。

  免殺方法大體上分為加密代碼、花指令、加殼、修改程序入口以及手工DIY PE。至於純手工操作並不推薦,因為這種方法製作出的程序效果雖好,但太過複雜,需要很強的彙編語言基礎,並對Windows內核有一定認識。

  1.代碼

  MaskPE內含多種信息模塊,可以方便的修改程序指令,打亂源代碼,針對利用代碼識別病毒的安全軟件很有效果。Load File以後選擇一種Information模式,最後Make File即可。

  2.花指令

  花指令就是一些彙編指令。原本用在Crack中,但目前更多的引入到木馬修改上。這種方法使得殺毒軟件不能正常的判斷病毒文件的構造。對於採用文件頭提取特徵碼的殺毒軟件有特殊的殺傷力。

  添加花指令方法可以採用調試工具,由於我們在後期還要加殼處理,實際上直接用超級花指令的方法修改就可以了,模塊自行選擇。

  3.加殼

  其實目前的加殼對於很多殺毒軟件的防範用處並不大,不僅僅是由於殺毒軟件自身識殼能力增強,更多的是加殼後對木馬本身的傷害很大,尤其是有些木馬的服務端默認已經作過加殼操作,如果進行二次加殼,很有可能造成程序啟動異常。

  流行的方法可以選擇一些非常規殼:比如NsPack或者Private exe Protector。我們採用Private exe Protector對服務端進行處理。選擇「保護並壓縮資源」以及「反調試與跟蹤」選項。

  4.入口點

  最後修改程序入口點,它的目的和加殼相似,就是讓殺毒軟件無法從黑客程序的入口點來獲取源代碼。修改方式可以使用FEPB、Ollydbg或者PEditor等。載入程序後找到「入口點」信息,接著在原來的數值的基礎上加上個整數值後保存。

  現在已經完成了免殺過程,再次進入VirusTotal掃瞄,發現能識別為病毒的殺毒引擎已經不多了。

  幾點提示:

  1.免殺處理後的程序最好在虛擬機或者沙盤系統中測試一下,因為自動加密方式很有可能造成程序異常。如果出現異常,可以在操作過程中更換加密模塊。
  2.本文提到的方法對不同版本木馬的修改結果不一致,請用戶自行嘗試。
  3.任何免殺都不可能做到100%,所以我們防範免殺木馬的最好辦法就是安裝主動型防禦軟件。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣 | Posted:2007-12-18 11:12 |
BrianFan
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x5 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

所以說還是防不勝防啦!
不然還能怎麼樣!
只好該裝的裝不該裝的也給他裝啦!


獻花 x0 回到頂端 [1 樓] From:臺灣新世紀 | Posted:2008-06-19 14:00 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.062011 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言