如果用戶對木馬病毒當前使用的隱身穿墻術有一定的了解,就可以知道該從哪些方面去防范,以及出現問題時該從何處著手處理。這樣,再與各類安全工具相結合,就有可能將木馬病毒帶來的安全威脅降至我們能夠接受的水平以內。接下來鄭州北大青鳥的網絡專家將以Windows XP系統為平臺,分別對現階段木馬病毒常用的隱身術和穿透防火墻方法進行簡單的描述,并給出相應的處理方法:
一、修改木馬程序特征碼
當用戶使用殺毒軟件查殺木馬時,殺毒軟件就是通過分析用戶系統中的各種文件的特征碼來與病毒庫中的各種特征碼進行比對,當發現了相似的就認為是某種木馬并查殺。現在特征碼查殺技術有文件特征碼和內存特征碼查殺這兩種方式。修改木馬程序的特征碼,就是為了躲避通過特征碼查殺的殺毒軟件的檢測,這樣就等同于在殺毒軟件面前隱身了。
現在,互聯網上已經存在有許多可以用來提取程序特征碼的軟件,例如MYCCL。要修改某個木馬的特征碼,可以通過MYCCL不斷地提取它的特征碼,然后用要躲過的殺毒軟件來查殺,直到這些殺毒軟件不能檢測到它就是一個某個木馬為止。然后,再通過一些二進制提取和編輯工具(例如Uedit32),對這個木馬中發現了的特征碼段進行修改,就可以在這些殺毒軟件面前隱身了。有的時候,對于某些殺毒軟件,例如諾頓殺毒軟件,甚至只要修改了木馬的PE頭就可以不會被檢測到。而修改程序的PE頭,可以通過Peditor或YC保護專家就可以做到。因此,特征碼修改是現在木馬用來躲避檢測的常用方法之一。但是,要成功修改木馬的特征碼而不損壞它的功能,也是需要一定的匯編技術的,并不是一般的攻擊者就可以完成的任務。
二、木馬加殼
給程序加殼,包括加密殼和壓縮殼兩種。程序一旦被加殼保護后,如果不使用與此相應的脫殼軟件進行脫殼處理,一些反匯編程序是不能正確讀取到其真正的代碼的。這樣,就能保護程序不會被破解。同樣,木馬程序一旦也經過了加殼保護,殺毒軟件如果不具有給程序脫殼功能,那么也就不可能識別出它就是木馬的,也就是說達到了木馬隱身的目的。
如今,通過Aspack或UPX給木馬加上殼是非常容易的,因此,一此攻擊者是會通過使用一些不常用的加殼軟件來對木馬加殼處理的。這些不常見的加殼軟件,一般都是出現在一些國外的安全類網站當中,其中比較常用的有Private exe Protector軟件,它原本是一個非常好用的程序保護軟件,但同樣也可以用來保護木馬。而且,對木馬進行加殼,往往還會加多重殼,以進一步增加被識別出來的難度,但加多重殼要比加單一的殼要復雜得多。只是,程序加殼只是對木馬的程序文件進行了保護而已,且有時加殼會損壞木馬的一些功能,而且,單獨使用加殼保護木馬是達不到理想的保護效果的。因此,攻擊者往往在對木馬加殼保護之前,還會對它使用如程序加密之類的處理工作的。
鄭州北大青鳥網絡專家做出總結:對木馬進行加殼保護,只對木馬文件有效,對于已經加載到內存中的木馬程序段,由于木馬在運行時已經自行脫殼處理了,也就失去了保護作用,此時就可以通過對內存檢測的方式來查殺。PEID和PESCAN是兩個常用的用來查看程序加殼情況的軟件,對于普通的用戶,使用超級巡警虛擬自動脫殼機就能夠很好地解決這些問題。同樣,使用主動防御功能的安全軟件也可以檢測到這種類型的木馬。
鄭州北大青鳥解密木馬病毒隱身穿墻術
2010-07-06 17:53 來源:鄭州北大青鳥
------分隔線----------------------------
- 上一篇:企業公司數據泄露了怎么辦?
- 下一篇:如何在Linux操作系統下設置Telnet
- 聯系鄭州北大青鳥
-
- 學校地址:鄭州市金水區文化路90號河南財經政法大
- 學文南校區1號樓(文化路與儉學街路交叉口文化路
- 向北300米)
- 咨詢熱線:0371-63383521 63383522
- 6路,28路,966路到文化路與儉學街站下車
