C U S T O M E R
S E R V I C E
C E N T E R
客户服务中心
典型病毒分析
——计算机病毒基础知识
一,木马病毒的隐藏性 伪装成系统文件 将木马病毒的服务端伪装成系统服务 将木马程序加载到系统文件中 Win.ini,system.ini 充分利用端口隐藏 隐藏在注册表中 自动备份 木马程序于其它程序绑定 "穿墙术" 利用远程线程的方式隐藏 通过拦截系统功能调用的方式来隐藏自己 攻击杀毒软件
1,隐藏在注册表 RUN 键值中
2,正常进程空间内存情况
第 1/9 页
北京瑞星信息技术有限公司
C U S T O M E R
S E R V I C E
C E N T E R
客户服务中心
3,染毒后的对比
3,最基本的隐藏:不可见窗体+隐藏文件 木马程序无论如何神秘,但归根究底,仍是 Win32 平台下的一种程序.Windows 下常见的 程序有两种: 1.Win32 应用程序(Win32 Application) 比如 QQ,Office 等都属于此行列 2.Win32 控制台程序(Win32 Console)比如硬盘引导修复程序 FixMBR 4,"进程隐藏"技术 在 Windows 中,每个进程都有自己的私有内存地址空间,当使用指针访问内存时,一个进 程无法访问另一个进程的内存地址空间, 这样做同时也保证了程序的稳定性, 如果你的进程
第 2/9 页 北京瑞星信息技术有限公司
C U S T O M E R
S E R V I C E
C E N T E R
客户服务中心
存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存.
二,什么是进程插入
1. 线程与进程的关系
2.
如何插入进程 (1) 使用注册表插入 DLL [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的.缺点是不实时, 修改注册表后需要重新启动才能完成进程插入. (2)使用挂钩(Hook)插入 DLL 通过系统的挂钩机制来插入进程,需要调用 SetWindowsHookEx 函数(也是一个 Win32 API 函数).缺点是技术门槛较高,程序调试困难,这种木马的制作者必须具 有相当的 Win32 编程水平.
三,反杀毒软件外壳
1. 要躲过杀毒软件的追杀, 很多木马就被加了壳, 但有部分杀毒软件会尝试对常用壳 进行脱壳,然后再查杀. 2. 对抗杀毒软件的外壳:木马在加了这种壳之后,一旦运行,则外壳先得到程序控制 权, 由其通过各种手段对系统中安装的杀毒软件进行破坏, 最后在确认安全后由壳释放 包裹在自己"体内"的病毒体并执行.对付这种木马的方法是使用具有脱壳能力的杀毒 软件对系统进行保护.
四,计算机木马的通讯方式
1,使用 TCP 协议,服务端侦听,客户端连接. 服务端在宿主机器上开一个 TCP 端口,然后等待客户端的连接,在通过对客户端的认证后, 客户端就可以控制服务端了. 2,使用 TCP 协议.
第 3/9 页
北京瑞星信息技术有限公司
C U S T O M E R
S E R V I C E
C E N T E R
客户服务中心
客户端侦听,服务端连接.即所谓的反向连接技术 .为了克服服务端在某一端口上侦听易 被发现这一缺点,现在服务端不再侦听端口,而是去连接客户端在侦听的某一端口. 3.使用 UDP 协议. 4.解决防火墙问题. 在服务端和客户端试图建立连接时都会引起防火墙得报警. 解决防火墙报警是服务端必须要 解决的一个问题. 一种方法是代码注入, 服务端将自己注入到一个可以合法的与外界进行网 络通讯的进程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS 等)的地址空间中,然后或者可以以一 个新线程的形式运行,或者只是修改宿主进程,截获宿主进程的网络系统调用(WinSock).
五,典型木马病毒分析——灰鸽子
1,灰鸽子木马分两部分:客户端和服务端. 黑客操纵着客户端,利用客户端配置生成出一个服务端程序,默认为 G_Server.exe,然后开后 门.开后门的手段:诱骗下载 文件捆绑 IE 漏洞 2,灰鸽子感染结构 G_Server.exe

下一页