打开APP
userphoto
未登录

开通VIP,畅享免费电子书等14项超值服

开通VIP
隐藏病毒木马的感染部署与常用处理方法
 

本文介绍病毒木马的隐藏部署常见方法,面向很多个人计算机安全过多依赖杀毒软件和自己朋友的入门网友,让大家先了解一下常见的病毒木马感染途径及病毒立即部署方法,如何达到欺骗用户、夺取权限及操控客户端,再到再次感染。当然本文介绍的一些隐藏技术,很多都是老技术了,每种木马病毒使用的技术原理也不尽不相同,而且新的加载和隐藏方法也是层出不穷,但终究万变不离其宗,千万过程一个结果,万物本是如此。

不过,本文不会具体介绍告诉大家如何创建一个线程、如何LOAD一个DLL、如何使用API注册服务、如何捆绑到PE上去等等这些知识,提到的部署方法几乎都是常见方法,没有太高深技术,GG一下全部可以解决,对于爱研究学习的网友,似乎去寻找一个漏洞的过程更为精彩。

一、病毒木马的隐藏技术

1、隐藏文件

该项技术本来面向是方便用户操作的,为保护系统或重要文件不被用户误操作删除,一直到现在重要的系统文件也在使用,但似乎总是没病毒木马程序“发挥”的更好,目前病毒大都是把隐藏作为第一步基础技术并结合最新技术使用,当然明目张胆不隐藏狂挥大刀的也大有毒在,因为病毒执行过程时间非常短暂,只需要让杀毒软件和防火墙先休克一下,事情做完后可以再次放开,木马已经布局完毕,挂下DLL或DRV,原木马布局程序也就不再需要了。

2、隐藏窗口

隐藏窗口本身也是很普通的常用技术,很多交互式的后台程序都是没有窗口或需要暂时隐藏窗口的,所以病毒木马肯定会借鉴这个技术,毕竟搞这个东西不是什么光明正大的事情,当然恶作剧性的也可以跟用户露个面大声招呼也是大有毒在。

不过现在的病毒也不会只隐藏窗口的,隐藏窗口早以失去早期盛行时候的夸张作用,很多人都会习惯先到任务管理器里看看。

3、隐藏进程

对于本机病毒或木马本身,隐藏进程应该是病毒木马的终极表现形式了,所以无论病毒部署的过程有多复杂,最终无非两种:

A、非独立进程下的DLL、DRV.....挂载

B、感染系统文件之后自我毁灭掉,病毒与正常文件合二为一。

从整体发展来看 ,从最初最简单的一般属性隐藏,到现在的DLL进程隐藏和驱动级DRV,从OSI结构来看,DRV就快到底了,下一步应该是所有知识的综合运用了。从技术角度,系统永远都有漏洞,所以杀毒软件永远都有事做。

二、病毒木马的常见部署过程

1、病毒感染到达用户计算机

要开始激活病毒部署,第一步就是如何把病毒先传输到用户计算机上,一般有浏览器漏洞(溢出、图片、加载......)、远程端口攻击、各种网络类漏洞(比如溢出、注入、跨站、共享、缺陷等等)、存储设备(autorun、autoexec.bat及感染病毒的文件等)、下载。目前来说大部分病毒都是通过以上方式感染到用户的计算机上。

一般来讲,任何一款新的病毒或木马在出来之前,病毒作者都会针对当前主流的杀毒软件进行测试查杀优化的,比如特征码打乱、加密、加壳等等方式避开杀毒软件的扫描,所以一旦放出来,几乎所有的主流杀毒软件都难幸免,所以有时使用名牌杀毒软件反而比非主流杀软更快的倒掉就是这个原因,并不代表该杀毒软件不好,而是因为太出名了。

另一方面,目前的杀毒软件仍然都是事后诸葛亮,虽然云技术已经投入使用,至少目前来讲效果并不明显。病毒或木马到达用户计算上之后,可以立即部署也可以设定触发条件部署。下面是一些常用的部署方法,当然这些技术很多现在照样继续使用,前提是只要把杀毒软件先搞定就可以了,因为很多漏洞或敏感技术都是杀毒软件的第一防范,要想部署成功,一般都需要把杀毒软件杀死、关闭或临时关闭掉(比如想注入进程、修改IE首页、设为启动项等等都是最为敏感的)。

关于杀毒软件和防火墙选择建议可参考:

如何选择安装合适的杀毒软件、防火墙

2、常用的病毒部署方法:

A、把自身注册为服务进程,使用该方法的进程在Windows 9x的任务管理器不显示出来,但是2K以上无效。

B、利用主程序线程注入系统程序,然后加载DLL后,主程序退出,达到隐藏自身进程目的,DLL注入有个缺点就是原进程多了一个加载模块,使用工具还是能够发现,所以该DLL一般还会起一个比较好听的系统链接库名字以便晃悠用户。

C、利用钩子HOOK捕获拦截消息触发加载病毒DLL,可以针对某个进程也可以针对所有进程。

D、写注册表(NT平台及以上),HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs,启动挂载病毒木马的DLL,该方法使用很容易把用户计算机拖死掉。

E、开启守护进程,交叉检查。

F、使用线程注入或BHO方式插入浏览器进程,很多网络病毒喜欢使用。一旦插入浏览器的进程,防火墙无法屏蔽掉,除非是不想上网了,大家经常遇到的机子用着用着就弹出个广告来,也没看到可疑的进程,那么就要怀疑浏览器被劫持了。

G、通过远程线程注入直接修改对方内存执行代码,隐蔽性非常好,但是设计不好就会把系统搞崩溃了。

H、直接修改系统进程的可执行程序(比如修改PE文件的输入地址等方式进行直接感染)或使用修改的山寨DLL替换系统真实的DLL,如果目标程序文件为重要文件,还可能会涉及到版本或函数地址偏移问题,不小心也会把系统替崩溃掉。

I、目前的大部分病毒或木马还会对进一步的感染做准备,比如使用驱动器autorun加载病毒文件仍然是非常方便传播方式。

.......

所以,综上所述,病毒木马在机子上的表现形式无非有是有文件和没文件的区别,没文件实际上还是有文件的,不过是标准的系统文件被替换成带毒的文件。解决方法就是修复或替换该带毒文件。对于隐藏进程的DLL病毒或驱动级病毒,如何找到隐藏进程背后的DLL或DRV。

 

之前天缘发了《隐藏病毒木马的感染部署与常用处理方法(一)》一文,今天我们来看一下隐藏病毒木马的常用处理方法,所谓知己知彼,方能应对自如,实际上现在的真正的有点水准的病毒和木马程序都是相当难写的,因为自从VISTA开始内核管理策略做了很大调整,WINDOWS 7上更是如此,审查和分级会越来越严格,现在广泛流行的ROOTKIT、HOOK内核等技术,要在VISTA和WINDOWS 7上运用自如已经不是一件简单的事情。

当然了,道告一尺魔高一丈,办法总是有的,但对病毒作者的编程水平要求也越来越高,半道出家的病毒“名人”也将会越来越少,除非是发现了系统的重大漏洞,至少他应该熟悉汇编、C、内核管理、内存管理等方面的知识,同时为了支撑病毒或木马的传播,还需要具备网络基础、网络语言等知识,更多请阅读:

隐藏病毒木马的感染部署与常用处理方法(一)

编写一个病毒木马程序不是那么容易的事情,但是要想杀掉一个病毒木马要要简单的多,很多人感到困难是因为没有能力判断出正确的病毒文件。

一、病毒木马的典型外部特性

1、商业利益企图

该类病毒或木马只要上身后,都会有明显的一些特征,比如莫名弹窗、修改首页、莫名访问(肉鸡)、浏览器插件等等,大部分特征我们都可以从WINDOWS 窗口和防火墙、浏览器上体现出来,如果是被装上灰鸽子或后台窃号木马,如果杀毒软件没有提示可能根本“看不出来”,只能通过系统使用感觉、防火墙规则以及可疑模块等方式判断。

还有以攻击或协助攻击为主要目标的木马程序,这类程序不是一般病毒木马程序,单纯是为了窃取用户资料或协助攻击,一般事情做完之后会自动卸掉所有可能的蛛丝马迹,普通用户一般没这个运气碰上。

2、损人不利己和恶作剧

这类程序现在已经很少了,90年代的时候最多,后来这些作者都钻到钱眼里头去了,现在少有闲人在做。

 

下面看一下常用的处理方法,天缘只根据经验尽可能的多列一些,实际使用都需要综合运用。

二、面向新手的方法

1、安全模式下启动杀毒软件扫描,一般发现或提示病毒,请记住该病毒的文件名(如果可以的话),如果重启机子后没有清理掉,可以查看该文件是否仍然存在,如果还存在就使用下面方式针对性的删除。

2、使用流氓软件清理软件,网上很多大师、助手之类的都可以使用,这个根据个人习惯选用,下载时候注意来源最好官方,如果可以升级病毒库,最好先升级后再查杀。

4、如果上面的两个方法还是不行,一般来讲,你想更换杀毒软件是很难的,病毒大都会检测防病毒程序的安装启动情况,可以直接KILL掉,即使你GHOST还原系统分区也未必就可以清理掉,所以天缘也只能说声抱歉,最好还是找找身边懂电脑的朋友,实在找不到就再试一下:

三招搞定计算机上的病毒、木马、插件

 

三、稍有经验的网友

1、首先定位病毒文件,把驱动器根目录下的文件包括隐藏文件检查一下,回想一下刚刚防病毒程序的提示,根据中毒前操作情况检查IE TEMP目录、WINDOWS TEMP目录下的临时可执行程序,把能看到的可以程序都放回收站去,然后开始干干净净检查任务管理器是否存在可疑进程或使用tasklist和taskkill,尽量在机子未重启时候清理,有些非即插即用驱动类病毒不启动机子也没办法生效的。如果有可疑进程,应先终止进程删除文件,下面方法可以综合运用,目的就是干掉进程文件。

2、如果任务管理器没有发现可疑进程,就使用隐藏进程查看器(很多软件都带,网上也有专门的),查看可疑的DLL或DRV驱动。常用软件ICESWORD、UNLOCKER、Wsyscheck......,在VISTA和WINDOWS 7上,目前也有病毒或木马照样过冰忍的,所以一种软件没查出来可以考虑更换另一种,下载请参考:

两款免费的强制删除卸载工具——Unlocker和IceSword冰刃

3、运行msconfig查看启动项,注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun查看启动项。

4、控制面板——管理工具里或注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services查看可疑服务。

5、如果是GHOST还原系统,还原后第一次最好直接进安全模式或PE系统下,检查其它驱动器下是否存在AUTORUN,从我的电脑到驱动器操作,慎用鼠标双击,而改用鼠标右键打开。

6、有些驱动病毒程序加载之后(安全模式照样可以加载),无法KILL掉(系统再保护这些内核级驱动)。是因为系统服务在保护着病毒文件不被删除,该病毒启动程序有可能还会检测后台服务的启动状态。驱动病毒一般系统驱动WINDOWS\system32\drivers下的SYS文件,尝试先在控制面板——管理工具——设备管理器,右键查看显示隐藏设备中,查找并停用掉可疑的非即插即用驱动程序,然后检查注册表中的对应的加载项并删除之,回头再来卸载掉设备。驱动类病毒还有drv或vxd等格式,drv一般是运行在ring3级的比较好搞定。vxd虽然是ring0级,但是面向Win9x之前使用的驱动程序,现在少用了。.sys则是NT内核驱动(NT/2K+),运行在ring0级,也是最高级,想删除是要费点功夫。

7、在删除驱动级病毒文件时可能会出现权限不足问题,尤其是再VISTA和WINDOWS 7上尤其明显(NTFS),这时候就需要进行提权操作后删除,提权方法请参考:

Windows 7提权办法图解

8、如果病毒DLL或驱动SYS被强制删除后,最好检查一下注册表项里时候还有加载设置,否则再次启动系统可能会因为找不到该病毒程序而出现加载错误。

9、还有一个办法就是通过检查系统目录下文件的修改时间来定位病毒文件,删除还可以通过双系统交叉定位删除等方式。

 
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报
打开APP,阅读全文并永久保存 查看更多类似文章
猜你喜欢
类似文章
【热】打开小程序,算一算2024你的财运
清除多进程关联型木马 - 木马 - PCW网站软件与及技巧频道
极虎病毒
木马各种隐藏技术披露
【分享】卡巴斯基与国内杀毒软件鲜明对比之我见
电脑上网的常用知识与维护(必知篇)
开机提示系统lsass.exe出错的解决办法
更多类似文章 >>
生活服务
热点新闻
分享 收藏 导长图 关注 下载文章
绑定账号成功
后续可登录账号畅享VIP特权!
如果VIP功能使用有故障,
可点击这里联系客服!

联系客服