基于心跳规律的木马查杀
基于木马心跳规律的木马防御系统
基于木马心跳规律的木马查杀
一
(一)初识木马
木马:利用计算机程序漏洞侵入后窃取文件的程序被称为木马.,它是一种具有隐藏性的,自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
现在的木马一般主要以窃取用户相关信息为主要目的,相对病毒而言,我们可以简单地说,病毒破坏你的信息,而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。
病毒:在计算机程序中插入的破坏计算机功能,或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者“程序代码”,
(1),病毒必须满足两个条件:它必须自行执行。它通常将自己的代码置于另一个程序执行路径中;
(2).他必须能自我复制,,它可能用病毒感染的文件副本替代其他的可执行文件,病毒既可以感染桌面计算机也可以感染网络服务器;
蠕虫:蠕虫也可以算是病毒的一种,但是和病毒有着很大的区别,一般认为蠕虫是一种通过网路传播的恶性病毒,它和病毒具有一些共性,如隐蔽性,传播性,破坏性。同时具有自己的特征,如不利用文件进行寄生,(有的只存在内存中),对网络造成拒绝访问,以及和黑客技术相结合,普通病毒需要传播受驻留的病毒的文件进行复制,而而蠕虫不使用驻留文件可在系统之间进行自我复制,普通病毒的感染能力的只是对计算机内文件系统而言,而蠕虫病毒的传染目标是整个互联网,可以将自己从一台计算机复制到另一台计算机,更危险的是还可以进行大量的复制,蠕虫病毒不是普通病毒所能比拟的,网络的发展使蠕虫可以在短时间内蔓延整个网络,造成网络瘫痪,局域网下共享文件,电子邮件Email,网络中的恶意网页,
存在大量漏洞的服务器,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延到全球,蠕虫的主动攻击性和突然爆发性使得人们束手无措,蠕虫还会消耗内存或网络宽带,
从而可能导致计算机崩溃。他的传播不必通过宿主程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机,这也是它额破坏力远远大于病毒!
一般来讲普通病毒和部分种类的蠕虫和所有的木马是额无法进行自我传播的,感染方式:目前主要的感染方式,通过(1)运行的感染病毒和木马的程序(2)浏览网页,邮件时,利用浏览器的漏洞,病毒或木马自动进行下载运行!
木马的子类:(1)dowmloader,一种能够从internet下载的其他的恶意程序
(2)dropper一种设计一种设计用于将其他恶意软件放入所破坏的
计算机的木马
(3)backdoor一种与远程攻击者通信,允许它们获得系统的访问权
限
(4)keylogger-(按键记录程序)是一种记录用户键入的每个按键的信
息,并将信息发送给远程攻击者的程序
(5),dialer,用于连接附加计费号码的程序
(二)木马的原理简介
木马的原理:一个木马由硬件部分软件部分和具体连接部分
1.硬件部分,建立木马连接所必须的硬件实体,控制端:对服务端进行远程控制的一方。Internet:控制端对服务端进行远程控制,数据传输的网络载体
2.软件部分;实现远程控制所必须的软件程序,(1)控制端程序:控制端用于远程控制的程序,(2)木马程序:进入服务端内部,或取其操作权限的程序、(3)木马配置程序,配置木马程序的端口号,触发条件,木马名称等,使其在服务器端藏的更隐蔽的程序。
3.具体连接部分:通过internet在服务端与控制端之间建立一条木马通道所必须的元素。控制端IP,,服务端IP:即控制端,服务端的网络地址,也是木马传输地址的目的地,控制端端口,木马端口:即控制端的数据入口,服务端数据入口通过这个入口,数据可直达控制端程序或木马程序
一般黑客对网络的攻击大致有六部
配置木马一般设计成熟的木马都有配置主要是用于以下两方面的功能
(1)木马的伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,
(2)信息反馈:木马配置程序将就信息反馈的方式进行或地址进行配置
如设置信息反馈的邮件地址,IRC号,ICQ号等等
木马和远程控制
1,常规远程控制软件与木马都是用一个客户端通过网络来控制服务端客户端可以是web或者是手机,电脑,可以说控制端植入哪里,哪里就可以成为客户端
2.远程控制软件与木马都可以进行远程资源管理,比如文件长传下载和修改3。都可以进行远程屏幕监控,键盘记录,进程和窗口查看
远程控制与木马的区别
1,木马有攻击性,比如(1)DDOS攻击(分布式决绝服务器攻击,就是很多的dos一起对某台服务器进行攻击,就组成了DDOS攻击),
通常的Dos攻击方式就是利用合理的服务请求占有过多的服务资源,从而使服务器无法处理用户的指令,就是如果计算机的处理能力增强了,利用多态傀儡机对计算机进行攻击
(2)格式化硬盘
(3)肉鸡(成为肉鸡后的自救方法
正在上网的用户,发现异常马上断开连接或者中毒后马上备份,转移文档与邮
2,木马具有隐蔽性
(三)木马的传播方式
目前主要有两种,一种是通过E-mail,控制端将木马程序以附件的形式夹在用邮件中发出去,收信人只要打开附件系统就会感染木马:另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在程序上,下载后,只要一运行这些程序,木马就会自动运行
(四)伪装方式
1,修改图标,例如将木马名改为,常用的文件类型
2,捆绑文件,这种手段将木马捆绑到一个安装程序上,木马在用户毫无察觉的情况下,偷偷的进入系统,至于被捆绑的文件一般式可执行文件
3,出错提示,一般打开一个文件弹出信息,当用户以为是真的时候,木马确悄悄的进入了系统,
4,定制端口,很多老式木马的端口都是固定的只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦
5,自我销毁木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
6,木马更名。安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
(五)运行方式
(1)服务端用户运行木马或捆绑木马的程序后,木马进行自动安装首先将自身拷贝到windows的系统文件夹中(C:windows或c:windowssystem目录下),然后再注册表,启动组,非启动组中设置好木马的触发条件木马安装就完成了,安装就可以启动木马了
备注:
1.注册表:打开HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersion 下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。
2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mci],[drivers32]中有命令行,在其中寻找木马的启动命令。
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
5.*.INI:
木马病毒刺穿
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
6.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件
②由触发式激活木马
1.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”改为
“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明的是不光是TXT 文件,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以试着去找一下。
2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
3:自动播放式本是用于光盘的,当插入一个电影光盘到光驱时,系统会自动播放里面的内容,这就是自动播放的本意,播放什么是由光盘中的AutoRun.inf文件指定的,修改AutoRun.inf 中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘,在U 盘或硬盘的分区,创建Autorun.inf文件,并在Open中指定木马程序,这样,当你打开硬盘分区或U盘时,就会触发木马程序的运行。
(2)木马的运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备和控制端建立连接,这时服务端用户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,
(同情!被黑客控制了..应该有办法让黑客不控制你电脑,在我的电脑点右键-属性-远程-允许计算机远程连接到此计算机(把勾勾掉)。然后马上下个木马专杀,因为黑客就是通过木马知道你IP的!杀干净点······真的被控制了?
(3)信息泄露:一般来说,设计成熟的木马都有一个信息反馈机制
所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICQ的方式告知控制端用户。从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况,系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立连接,具体的连接方法我们会在下一节中讲解。
(4)建立连接
所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICQ的方式告知控制端用户。从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况,系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立连接,具体的连接方法我们会在下一节中讲解。假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626
是处于开放状态的,所以现在A机只要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后,开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了
(六)远程控制
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易被窃取。(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
(七)防治方法
现在我们来说防范木马的方法之一,就是把windows\system\mshta.exe文件改名,改成什么自己随便(xp和win2000是在system32下) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。还有windows\command\debug.exe和windows\ftp.exe都给改个名字(或者删除)一些最新流行的木马最有效果的防御~~比如网络上流行的木马smss.exe这个是其中一种木马的主体潜伏在98/winme/xp c:\windows目录下2000 c:\winnt .....假如你中了这个木马首先我们用进程管理器结束正在运行的木马smss.exe 然后在C:\windows 或c:\winnt\目录下创建一个假的smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式的话那就更好可以用“安全设置” 设置为读取)这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马都很有效果的经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理临时文件夹和IE随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
目前的常见的木马
远程控制的木马有:冰河,灰鸽子,上兴,PCshare,网络神偷,FLUX
DDL木马
排查电脑木马
1、集成到程序中由于用户一般不会主动程序,而种木马者为了吸引用户运行,他们会将木马文件和其它应用程序进行捆绑,用户看到的只是正常的程序。但是你一旦运行之后,不仅该正常的程序运行,而且捆绑在一起的木马程序也会在后台偷偷运行。这种隐藏在其它应用程序之中的木马危害比较大,而且不容易发现。如果捆绑到系统文件中,那么则会随Windows启动而运行。不过只要我们安装个人防火墙或者启用Windows XP SP2中的Windows防火墙,那么在木马服务端试图连接种木马的客户端时,则会询问是否放行,据此即可判断出自己有无中木马。
2隐藏在媒体文件中这种类型严格上说,用户还没有中木马。不过它的危害容易被人忽略。因为大家对影音文件的警惕性不高。它的常用手段是在媒体文件中插入一段代码,代码中包含了一个网址,当播放到指定时间时即会自动访问该网址,而该网址所指页面的内容却是一些网页木马或其它危害。因此,当我们在播放网上下载的影片时,如果发现突然打开了窗口,那么切不可好奇而应将其立即关闭,然后跳过该时间段影片的播放。
3,隐藏在System.ini
4.隐藏在Win.ini与System.ini相似,Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件,然后查看[Windows]区域“load=”和“run=”,正常情况下它们后面应该是空白,如果你发现它们后面加了某个程序,那么加载的程序则可能是木马,需要将它们删除。
5、隐藏在Autoexec.bat在C盘根目录下有一个Autoexec.bat文件,这里的内容将会在系统启动时自动运行。与该文件类似的还有Config.sys。因为它自动运行,因此也成为木马的一个藏身之地。对此我们同样需要打开这两个文件,检查里面是否加载了来历不明的程序在运行。
6、任务管理器部分木马运行后我们可以在任务管理器中找出它的踪迹。在任务栏上右击,在弹出的菜单中选择“任务管理器”,将打开的窗口切换到“进程”标签,在这里查看有没有占用较多资源的进程,有没有不熟悉的进程。若有,可以先试着将它们关闭。另外要特别注意Explorer.exe这类进程,因为很多木马会使用Exp1orer.exe进程名,即把l换成1,用户不仔细查看,还以为是系统进程呢。
7、启动在Windows XP中,我们可以运行“msconfig”,将打开的窗口切换到“启动”标签,在这里可以看到所有启动加载的项目,此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消,然后再作进一步的处理。
8,注册表我们程序的运行控制大多是由注册表控制的,因此我们有必要对注册表进行检查。运行“regedit”打开注册表编辑器,然后依次检查如下区域:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion,看看这三个区域下所有以“run”开头的键值,如果键值的内容指向一些隐藏的文件或自己从未安装过的程序,那么这些则很可能是木马了。木马之所以能够为非作歹,正是因为其善于隐藏自己。不过我们掌握了其藏身之处,那么则可以将其一一清除。当然,木马在实际的伪装隐藏自己中,可能会综合使用上面一种或几种方法来伪装,这就需要我们在检查清除时,不能只检查其中的部分地点。
如何快速查杀
新人快速上手指南之电脑木马查杀大全常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?一、手工方法:1、检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。3、检查系统启动项由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如
有这样的内容,那这里的file.exe就是木马程序了!4、检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。1、运行任务管理器,杀掉木马进程。2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。3、删除上述可疑键在硬盘中的执行文件。4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具:查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
常见木马开放端口
三、以下是常见的木马所默认开放的端口,如果你扫出你的机子开放了下面的端口(请参见fport),那么你就要注意了呀:你可以试着找一下这匹马,用它的客户端来连一下看是否可以连接。然后再想办法清除。然而要注意多数木马的客户端可以改动端口号,所以这个办法成功率不算高。-------------------------------------------------------------------------------------------BO jammerkillahV 121Hackers Paradise 456Stealth Spy 555Phase0 555Satanz Backdoor 666Attack FTP 666Silencer 1001WebEx 1001Doly Trojan 1011 Netspy 1033Psyber Stream Server 1170Streaming Audio Trojan 1170Ultors Trojan 1234SubSeven 1243, 6667GWGirls 6267VooDoo Doll 1245GabanBus 1245 NetBus 1245V odoo 1245FTP99CMP 1492Psyber Streaming Server 1509 Shivka-Burka 1600Shiva Burka 1600SpySender 1807Shockrave 1981 BackDoor 1999Trojan Cow 2001TrojanCow 2001Ripper 2023Pass Ripper 2023Bugs 2115Deep Throat 2140The Invasor 2140Striker 2565 Wincrash2 2583Phineas Phucker 2801Phineas 2801Portal of Doom 3700 WinCrash 4092ICQTrojan 4590IcqTrojen 4950IcqTrojan 4950Sockets de Troie 5000Sockets de Troie 1.x 5001Firehotcker 5321Blade Runner 5400 BladeRunner 5400Blade Runner 1.x 5401Blade Runner 2.x 5402Robo-Hack 5569
RoboHack 5569Wincrash 5742The tHing 6400DeepThroat 6670DeepThroat 6771Indoctrination 6939GateCrasher 6969Priority 6969Remote Grab 7000 NetMonitor 7300NetMonitor 1.x 7301NetMonitor 2.x 7306NetMonitor 7306 NetMonitor 3.x 7307NetMonitor 4.x 7308ICKiller 7789ICQKiller 7789Portal of Doom 9872PortalOfDoom 9872Portal of Doom 1.x 9873Portal of Doom 2.x 9874Portal of Doom 3.x 9875Portal of Doom 9875iNi-Killer 9989InIkiller 9989Portal of Doom 4.x 10067Portal of Doom 5.x 10167Senna Spy 11000 Senna Spy Trojans 11000Progenic trojan 11223ProgenicTrojan 11223Gjamer 12076Hack?99 KeyLogger 12223NetBus 1.x 12346Whack-a-mole 12361 Whack-a-mole 1.x 12362Priority 16969Priotrity 16969Millenium 20000 Millennium 20001NetBus 2 Pro 20034NetBus Pro 20034GirlFriend 21544 GirlFriend 21554Prosiak 22222Prosiak 0.47 22222Evil FTP 23456Ugly FTP 23456WhackJob 23456UglyFtp 23456Delta 26274Subseven 27374 NetSphere 30100Masters Paradise 30129Socket23 30303Kuang 30999Back Orifice 31337Back Orifice 31338DeepBO 31338NetSpy DK 31339BOWhack 31666Prosiak 33333BigGluck 34324Tiny Telnet Server 34324The Spy 40412 TheSpy 40412Masters Paradise 40421Masters Paradise 1.x 40422Masters Paradise 2.x 40423Master Paradise 40423Masters Paradise 3.x 40426Sockets de Troie 50505Fore 50766Fore, Schwindler 50766Remote Windows Shutdown 53001 RemoteWindowsShutdown 53001Telecommando 61466Devil 65000Devil 1.03 65000
修改注册表增强系统对木马病毒的防御
通常木马病毒是通过注册表来启动服务的,所以注册表对于系统防御病毒有着比较重要的意义。按照理论上来说,我们可以通过修改注册表的属性来预防病毒和木马,实际上亦可行,具体的实施方法如下:Windows2000/XP/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读,防止木马、病毒以"服务"方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用gpedit.msc)
3、手工操作可以通过regedt32(Windows2000系统,在菜单“安全”下的“权限”)或regedit(Windows2003/XP,在“编辑”菜单下的“权限”)如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。
二,当前常用杀毒软件的查杀方式
卡帕斯基
瑞星
金山
诺顿
小红伞
360
病毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与反病毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。
一、杀毒软件的工作流程对于一款杀毒软件来说,一次成功的病毒查杀过程,通常都要经历病毒识别、病毒报警、病毒清除、文件或系统复原这几个过程。最关键的应该是杀毒引擎技术,从广义上来讲,是指通过文件、网页监视等实时监控行为,运用文件识别技术来完成病毒扫描、识别、报警以及清除,甚至防御的一整套的机制,因此引擎技术也决定了杀毒软件的优劣
特征代码法:这种方法根据正常程序与病毒程序代码的差别来识别病毒文件。有人认为,对于已知病毒来说,这种方法是最简单、最直接的方法,这种方法的优、缺点都很突出。优点:检测的准确率较高,误报率低。缺点:查杀速度慢,由于已知病毒越来越多,因此病毒特征码也随之增加,因此查杀速度也会越来越慢。不能检测未知病毒和多态性病毒以及隐蔽性病毒。另外这种检测方法也不适合网络版杀毒软件采用,因为它会消耗我们宝贵的网络资源
校验和法:此法计算文件的校验和(只要知道是一种算法就可以了)并保存,可定期或调用文件时进行对比,从而判断文件是否被病毒感染。虽然此法可以发现未知病毒,但由于其较高的误报率,已经逐渐不被采用。优点:可发现未知病毒。缺点:无法报出病毒名称,误报率高,当软件更新,口令修改或修改文件内容时,校验和法都可能会误报,因为这种方法无法区分文件内容的变化是不是属于正常的程序使用引起的。
行为监测法:此法根据病毒的行为特征来识别病毒,这需要对病毒行为进行详细的分类和研究,分析那些病毒共同的行为,以及正常程序的罕见行为,根据程序运行时的行为进行病毒判断和预警。优点:由于其归纳和总结各种病毒的共同特征,因此可以发现未知病毒,对于多数未知病毒预报非常有效。缺点:对于未知行为病毒,不能有效检测,同时也存在误报现象,对查到的未知病毒,不能识别病毒名称,因此普通用户不能对发现的未知病毒进行有效的清除。
软件模拟法:这种方法通过模拟病毒运行的方式来检测病毒特征,由于特征码法无法检测多态性病毒,虽然行为监测法可以发现病毒,但是无法确定病毒名称,也无法对其进行相应的杀除,因此产生了软件模拟法。优点:可识别未知病毒,病毒定位准确,
误报率低。缺点:检测速度受到一定影响,消耗系统资源较高。
上述几种检测方法各有所长,往往都不能单纯使用一种方法完成大规模病毒的检测报警工作,通常都是几种技术相结合,根据实际情况和应用场合配合运用相应的检测手段。四、清除病毒和文件还原正确地识别出了病毒后,接着就需要对其进行清除了。此时,又分为两种情况。对于那些尚未感染文件或展开破坏行为的病毒,在这种情况下杀毒引擎只需要简单删除文件就可以了。然而用户遇到最多的,还是已经被病毒感染的情况,此时,杀毒引擎将根据病毒特征库中记录的病毒行为来判断当前系统环境遭受破坏的情况并进行恢复。对于受病毒感染的文件,杀毒引擎必须根据一定的算法在文件体内找出病毒代码寄生的部分并给予清除,这个过程必须非常谨慎,否则直接的后果就是导致原文件被破坏,这样的杀毒就毫无意义了(很多朋友也许都遇到过查杀大量的受感染的系统文件后,系统无法正常启动的情况,其实就是因为查杀病毒的过程中,系统文件也遭到了破环!)。而对于非文件型的木马和恶意程序,由于它们会通过各种方式篡改系统注册表或系统文件,从而达到加载自身(也就是平常所说的自启动)之目的,杀毒引擎在清除了这些病毒后,需要准确、有效的恢复受破坏的系统环境,这也是对杀毒引擎的最大挑战。而对于那些不能识别名称的病毒,虽然无法对其进行精确的清除,但很多杀毒软件也可以将其放入“病毒隔离区”,通过禁止其运行的方法来抑制病毒的扩散和传播。病毒隐藏技术已经从最初的简单加载单一启动项,演化到今天的多重启动项、进程互相保护、线程监视、远程注射、可执行文件关联、服务项目加载、驱动形式加载等方式,甚至采用多项结合的方法,使得查杀工作变得十分困难,甚至只要遗漏了一个文件未能清除,病毒便能卷土重来,因此,如何有效准确的判断和修复受损环境,也是衡量杀毒引擎技术是否成熟的关键。五、未来之路目前,虚拟机、实时监控、主动防御等技术均已经渐渐成为主流。除此之外,还有两种处于试验阶段的新技术,分别是智能码标识技术和行为拦截技术。智能码标识技术:这种技术如同给各种程序分配一个可以对其进行唯一识别的ID,这样对付那些非法的木马、后门等程序就变得简单了很多,即使是文件或程序遭到病毒感染,杀毒软件也可以根据那一串智能识别码对其进行拦截和阻击。目前,此项技术还处于理论阶段,还没有哪个安全公司的产品中已经包含了此技术的模块。行为拦截技术:从概念上来说,这优点类似主动防御的概念。这里的行为拦截指的是即时的监控执行应用程序行为,并且拦截显示恶意的程序活动。如果有必要,甚至可以对系统的API进行阻挡,但同时也表现出来一定的负面影响,如果错误的拦截了合法程序的正常执行行为,将导致系统运行的异常,轻则系统的某些功能无法使用,重则引起系统的瘫痪,对于那些对于操作系统知之甚少的用户来说,这一点尤为突出。虽然目前很多软件(如:NOD32、AVAST等)都已经开始尝试使用这种技术,但很有很多内容需要研究。最近,看到很多国内的杀毒软家厂商借助各种媒体,宣传自己又通过了某某认证,虽然通过某些权威机构的认证,可以作为自己产品质量的佐证,也许这些只能证明过去。面对层出不穷的病毒、日新月异的攻击,不断完善已有的技术和开发研究新技术同样重要。其实杀毒软件更贴切的称呼应为“反病毒软件”,因为越来越多的产品已经向防病毒的思想迈进。防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由网络或文件等多种方式进行的传输;能够在病毒侵入系统是发出警报,并记录携带病毒的文件,即时清除其中的病毒。结束语:很多用户在挑选杀毒软件的时候,都有无所适从的感觉,其实杀毒软件的引擎实现技术无非也就那么几个
三
基于木马心跳规律的木马查杀
是根据木马病毒三个重要特点:①它必须与外界主控机进行通信交流,接受指令并发送所窃取到的重要信息;②它会读取用户关键资料,如密码口令或其它敏感信息文件等;⑧它会千方百计将自己隐藏到系统文件(如:注册表、DLL文件,甚至是设备驱动等)中,来实现对木马病毒,尤其对新出现木马病毒的自动识别;
软件大数据脱敏方法与设计方案
本技术公开了一种软件大数据脱敏方法,其特征在于,所述方法包括如下步骤:S1:在数据采集后将采集的数据进行检测,通过预先输入数据库的特征码与采集的数据进行的特征码进行比对,将采集数据的特征码与数据库内预存的特征码一致的数据进行列出;S2:将列出的数据进行的预存特征码进行删除,并保留数据的其他数据源代码,将处理后的数据与原数据进行数据对比,将对比结果输出至外部设备;S3:通过外部设备进行反馈,并根据反馈结果进行下一步操作,若反馈结果为终止,则停止对处理后的数据进行脱敏,直接将处理后的数据发送至数据库内进行存储,若反馈结果需要进行脱敏,进入步骤S4;S4:将处理后的数据中加入数据变形码。 技术要求 1.一种软件大数据脱敏方法,其特征在于,所述方法包括如下步骤: S1:在数据采集后将采集的数据进行检测,通过预先输入数据库的特征码与采集的数据 进行的特征码进行比对,将采集数据的特征码与数据库内预存的特征码一致的数据进行 列出; S2:将列出的数据进行的预存特征码进行删除,并保留数据的其他数据源代码,将处理 后的数据与原数据进行数据对比,将对比结果输出至外部设备; S3:通过外部设备进行反馈,并根据反馈结果进行下一步操作,若反馈结果为终止,则 停止对处理后的数据进行脱敏,直接将处理后的数据发送至数据库内进行存储,若反馈 结果需要进行脱敏,进入步骤S4; S4:将处理后的数据中加入数据变形码,将处理后的数据进行变形,将变形后的数据发 送至数据库内进行存储。 2.根据权利要求1所述的一种软件大数据脱敏方法,其特征在于,所述数据变形码采用分段结构,在采集数据中任意一个字节位置加入一段掩码字节,通过掩码字节对目标数据 代码进行掩藏。
木马免杀技术
木马免杀技术 一、杀毒软件的查杀模式 杀毒软件的查杀模式分三种 1.文件查杀 2.内存查杀 3.行为查杀 这三种是目前杀毒软件常用的杀毒模式。 所谓的文件查杀就是杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀。 内存查杀是杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。现在最厉害的内存查杀当然是瑞星了,其他杀毒软件也有内存查杀但比不上瑞星的厉害。 行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。行为杀毒的典型杀毒软件—绿鹰PC万能精灵。 二.根据杀毒软件的查杀模式总结出免杀方法 主要针对文件的文件查杀和内存查杀 1.文件查杀 A.加壳免杀 B.修改壳程序免杀 C.修改文件特征代码免杀 D.加花指令免杀 2.内存查杀 A.修改内存特征代码 B.阻止杀毒软件扫描内存 ====================================================== ================ A.加壳免杀建议你选择一些生僻壳、茾@恰⑿驴牵 蛘呒佣嘀乜牵 馍钡氖奔洳怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。 B.修改壳程序免杀主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。 C.修改文件特征代码免杀,此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。以前常用的工具有CCL特征码定位器,不过现在用起来不是那么方便了,比如黑防鸽子他有多出特征代码,给新手学习定位增加了一定的难度,现在主要推荐的是MYCCL特征码定位器,个人感觉定位速度快,准确率高,尤其对那些有多处特征码的定位。如黑防鸽子的卡巴文件特征代码: 特征码物理地址/物理长度如下: [特征] 000A0938_00000002 [特征] 000A0B26_00000002 [特征] 000A0E48_00000002
木马病毒的行为分析样本
西安翻译学院XI’AN FANYI UNIVERSITY 毕业论文 题目: 网络木马病毒的行为分析专业: 计算机网络技术 班级: 姓名: 彭蕊蕊 指导教师: 朱滨忠 5月 目录学号: 院系: 诒华
1 论文研究的背景及意义........................... 错误!未定义书签。 2 木马病毒的概况................................. 错误!未定义书签。 2.1 木马病毒的定义............................ 错误!未定义书签。 2.2 木马病毒的概述............................ 错误!未定义书签。 2.3 木马病毒的结构............................ 错误!未定义书签。 2.4 木马病毒的基本特征........................ 错误!未定义书签。 2.5木马病毒的分类............................. 错误!未定义书签。 2.6木马病毒的危害............................. 错误!未定义书签。 3 木马程序病毒的工作机制......................... 错误!未定义书签。 3.1 木马程序的工作原理........................ 错误!未定义书签。 3.2 木马程序的工作方式........................ 错误!未定义书签。 4 木马病毒的传播技术............................. 错误!未定义书签。 4.1 木马病的毒植入传播技术.................... 错误!未定义书签。 4.2 木马病毒的加载技术........................ 错误!未定义书签。 4.3 木马病毒的隐藏技术........................ 错误!未定义书签。 5 木马病毒的防范技术............................. 错误!未定义书签。 5.1防范木马攻击............................... 错误!未定义书签。 5.2 木马病毒的信息获取技术.................... 错误!未定义书签。 5.3 木马病毒的查杀............................ 错误!未定义书签。 5.4 反木马软件................................ 错误!未定义书签。 6 总结........................................... 错误!未定义书签。
网络渗透攻击实训项目
安全技术及应用实训报告 项目一:网络渗透攻击实训项目 学号:09011319 姓名:雷超 信息技术分院 计算机技术机网络技术
目录 任务1 社会工程学 (1) 1.1 “社会工程学”概述 (1) 1.2 “社会工程学”特点 (1) 1.3“社会工程学”的3个步骤 (1) 1.4 知识运用 (1) 任务2 木马免杀 (1) 2.1 木马免杀概述 (1) 2.2 木马免杀原理 (2) 2.3 木马免杀的实现步骤 (2) 任务3 木马捆绑 (3) 3.1 木马捆绑概述 (3) 3.2 木马捆绑原理 (3) 3.2 实验步骤 (3) 任务4 木马植入 (4) 4.1 木马植入的方式 (4) 4.2 实验步骤 (4) 任务5 远程控制 (5) 5.1 远程控制的概念 (5) 5.2 远程控制原理 (6) 5.3 远程控制运用 (6) 5.4 实验步骤 (6) 任务6 主机发现 (6) 6.1 主机发现概述 (6) 6.2 主机发现原理 (6) 6.3 主机发现的实现 (6) 6.4 实验步骤 (7)
任务7 端口扫描 (7) 7.1 口扫描原理 (7) 7.2 实现步骤 (7) 任务8 漏洞扫描 (8) 8.1 漏洞扫描概述 (8) 8.2 漏洞扫描原理 (9) 8.3 实现步骤 (9) 任务9 缓冲区溢出 (10) 9.1 缓冲区溢出概述 (10) 9.2 缓冲区溢出原理 (10) 9.3 缓冲区溢出危害 (10) 任务10 ARP 欺骗 (11) 10.1 ARP欺骗定义 (11) 10.2 ARP欺骗原理 (11) 10.3 ARP命令解释 (12) 任务11 网络嗅探 (12) 11.1 网络嗅探概述 (12) 11.2 网络嗅探原理 (12) 11.3 实现步骤 (13)
木马免杀之汇编花指令技巧(精)
木马免杀之汇编花指令技巧 作者:逆流风 (发表于《黑客X档案》07.07,转载注明出处) 相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知识,改花指令,改特征码的技巧和编写自己的花指令。 一、免杀必备的汇编知识 push 压栈,栈是一种数据结构,记住四个字:先进后出。压栈就是把数据放如栈中,从栈顶放如,出栈的时候也是从栈顶取出,所以会有先进后出的特点!先进后出我们可以这样理解,例如:一个乒乓球筒,我们放入乒乓球,然后取出乒乓球,取出的都是就后放进的球。就如我们放入球的顺序是球1、2、3、4,取出的顺序是球4、3、2、1。 pop 出栈,与push相对应。 mov a,b 把b的值送给a,把它看作编程中的赋值语句就是b赋值给a,这时a的值就是b了。 nop 无作用,就是什么也没做。 retn 从堆栈取得返回地址并跳到该地址执行。 下面是一些算术运算指令: ADD 加法 sub 减法 inc 加1 dec 减1 最后是跳转指令: jmp 无条件跳 je 或jz 若相等则跳
jne或jnz 若不相等则跳 jb 若小于则跳 jl 若小于则跳 ja 若大于则跳 jg 若大于则跳 jle 若小于等于则跳 jge 若大于等于则跳 这些就是我们需要掌握的,怎么样不多吧,一些指令可能看不明白,看了后面的就会清楚了。对了,忘了讲寄存器了,寄存器是中央处理器内的其中组成部份。寄存器是有限存贮容量的高速存贮部件,它们可用来暂存指令、数据和位址。我们需要了解的是8个通用寄存器:EAX,EBX,ECX,EDX,ESI,EDI,EBP,ESP 二、特征码和花指令的修改 特征码我就不多说了,大家都知道的,现在杀毒软件查杀都用特征码查杀,改了木马的特征码,杀毒软件就查不出我们的木马,这样就达到免杀的效果。而花指令是程序中的无用代码,程序多它没影响,少了它也能正常运行。加花指令后,杀毒软件对木马静态反汇编使,木马的代码就不会正常显示出来,加大杀毒软件的查杀难度。花指令的原理是堆栈平衡。前面介绍push说了,堆栈平衡可以这样理解,有进有出,不管花指令怎么写,我们要达到的目的是加花后,堆栈与未加之前一样。 网上的花指令因为是公布出来的,所以免杀周期不长,一般公布出来不久就会被杀毒软件查杀,但是我们只要简简单单的修改一两句就可以达到免杀了。下面我们来看看5种修改方法。(也适用于特征码修改) 我们先看看木马彩衣(金色鱼锦衣花指令 1、push ebp 2、mov ebp,esp 3、add esp,-0C 4、add esp,0C
一个简单木马程序的设计与开发.
一个简单木马程序的设计与开发 1 前言 1.1 课题背景随着互联网技术的迅猛发展,网络给人们带来了很多便利,但是也带来了许多麻烦。各种网页木马,后门,下载者,病毒,利用各种系统漏洞,网站漏洞,程序漏洞,邮箱漏洞,U 盘及社会工程学等在网上横行,给广大用户带来了重要资料丢失,机密文件提前泄密,邮箱帐号,游戏帐号,各类照片被人恶意修改后传播到网上,系统被格盘,系统被监视,摄像头被人暗中开启并录像传播等非常严重的后果。使得许多朋友,闻木马,就变色。为了使更多朋友了解木马病毒,通过编写一个简单的木马,来分析它及其的变形,提出相应的防范措施。 1. 2 国内外研究现状从有关的资料看,国内外的windows系统下的木马,功能已经从简单发展到全面,大致包括以下功能:上传下载文件,删除文件,复制文件,粘贴文件,文件编辑,文件重命名,文件剪切,新建文件,修改文件,修改文件的创建时间等;获得目标主机名,IP地址,以及目标主机地理位置,系统打了多少补丁,安装了些什么软件,MAC地址,安装了几个处理器,内存多大,网速多快,系统启动时间,系统目录,系统版本等;取得目标主机的CMD权限,添加系统管理员,对目标主机进行注册表操作,开启目标主机3389端口,软件自动更新,使目标主机成为HTTP,SOCK5代理服务器,对目标主机的服务进行操作,对目标主机的开机自启动项进行操作,目标主机主动向控制端发起连接,也可主动向目标主机发起连接等,暗中打开用户摄像头,监控,录制用户隐私生活,对用户进行屏幕监控等。木马的隐蔽性更强了,从原来的单纯隐藏在某个目录中,发展到了替换系统文件,修改文件修改时间等。木马从EXE文件靠注册表启动,发展到了DLL文件远程线程插入,替换修改系统DLL文件,靠驱动文件等高级水准,更有写入系统核心中的。木马深藏在系统中,甚至在许多杀毒软件启动前启动,或者是绑定到杀毒软件上,或者修改杀毒软件规则,使得杀毒软件误以为它是合法文件,或者是将木马DLL文件插入到WINLOGON.EXE 中,以至于在安全模式下也无法删除。有的病毒会在系统部分盘中,创建Autorun.inf文件,然后把病毒也复制到该目录下隐藏着,使得用户双击该盘时,运行该病毒,对此,某些用户格式化了系统盘再重装系统,也无法删除它。更有木马,病毒会感染某些盘中的EXE文件,COM文件,使得用户重装系统后,运行该文件后又运行病毒。木马中招的方式包括:访问不安全网站,访问某些被入侵后的安全网站,在不同机子上使用U盘,通过U盘传播的木马病毒也越来越多,对系统或是一般程序进行溢出后,上传木马,对网络中的主机进行漏洞扫描,然后利用相关漏洞自动传播,利用邮箱漏洞配合网页木马,使用户中招,直接通过QQ等聊天软件传给用户,并叫其运行,在QQ等聊天软件中发布网址给好友,好友不知情下点击中招,通过物理接触主机以及远程破解主机密码等手段中招。木门在被杀毒软件查杀后,一般马上就会有变种或是升级版本流传,通过对木马进行加壳,修改木马特征码,修改程序等手段使木马免杀。木马还包括ASP和PHP以及ASPX,JSP木马,它们能过网页的形式存在,也可以有很多功能,如常见的ASP木马就有如下功能:登录验证,上传下载文件,删除,复制,移动,编辑文件,新建文件,新建目录,搜索文件,更改文件名,查看文件修改时间,serv_u漏洞提权,查看服务器信息,查看环境变量,注册表操作,探查网站是否支持PHP,查找网站上已经存在的木马,包括已经加密后的,对服务器上所有盘的文件操作,对数据库进行操作,对网站
木马免杀全攻略和特征码替换大全
木马免杀全攻略和特征码替换 简而告之…… 1.杀毒原理 通常,一个病毒防御工作者拿到一个截获或上报上来的病毒时,先是分析这个病毒文件执行后的动作,所谓“动作”,就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。 搞明白这些后,下一步一般会研究这个病毒的文件结构,然后找出与众不同的地方,将其定义为特征码。而这个特征码定义的高明与否,就要看他定义的位置是否刁钻,例如他如果定义的是病毒文件更改注册表键值那部分代码的话,这显然不会太难!因为只要病毒文件更改键值,99%的情况下这个文件里一定存在被更改键值的字符串,所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码做免杀是非常容易的,只需找到相应的位置,并更改字母的大小写即可。而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外,所定义的特征码还有一个分支,即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征,它的原理大体与上面介绍的文件特征码一样。 当特征码定义出来之后,就会被提交到另外的一个部门,然后进入
病毒定义库,当用户更新后,以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉!也就是说,杀毒软件只认特征码,不认文件。 由此可见,病毒防御工作者寻找特征码的方式也不过如此,但这只是定义病毒文件特征码的工作,别的例如修复被感染文件等技术步骤和本文无关,在这也就不介绍了,有兴趣的朋友可以自己研究一下。 2.免杀分类 免杀的方法有很多,无奈没见哪为朋友综合系统的介绍,也苦了小菜们求学无门,只好掏银子找“师傅”,所以我就自告奋勇站出来一次,不足之处还请各位高手多多包涵…… 我个人总结的免杀方法总共分两类,即主动免杀与被动免杀。 一、主动免杀 1.修改字符特征:主动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作,也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符,并将其修改。 2.修改输入表:查找此文件的输入表函数名(API Name),并将其移位。 3.打乱文件结构:利用跳转(JMP),打乱文件原有结构。 4.修改入口点:将文件的入口点加1。 5.修改PE段:将PE段移动到空白位置
详细修改特征码方法
[个人心得] 个人详细修改特征码方法分享(有耐心看的进) (原创)自己码字非论坛转载码字很累希望给大家一点帮助也希望给我点回帖谢谢了--------------------------------------------------------------------------------------------------------------------------------------------------想了想还是不继续发免杀DAT了因为免杀了也许过几天就被杀了俗话说:授人与鱼不如授人与渔。所以我今天发个详细修改特征码的帖子(我机子卡做不了教程抱歉了哈)希望对大家有 帮助的! ------------------------------------------------------------------------------ ----------- 大家都知道杀毒软件依靠特征码来查杀木马。俗话说:哪里有压迫哪里就有反抗(嘿嘿) 所以免杀的 浪潮冲击着每个玩黑的朋友。 我不大懂编程(在学习中)不象坛主老熊可以修改远控代码来免杀(不呵呵他如果不 公布的话估 计永远不杀的)好了废话不说我今天主要讲如何修改特征码。 ------------------------------------------------------------------------------ ----------- 首先:修改特征码需要熟练掌握的全部汇编知识(要有耐心看下去!) 今天先讲讲介绍点常见的指令 cmp a,b 比较a和b大小意思(cmp是英文compare 比较的意思) mov a,b 把b的值传送给a (mov是英文move 移动的意思) nop (no operation)意思是什么事都没做(do nothing)常用的修改指令 call 调用子程序 pop 出栈 push 压栈 跳的分几种:je 或jz 若相等则跳 jne或jnz 若不相等则跳 jmp 无条件跳转 jb 若小于则跳 ja 若大于则跳 jg 若大于则跳 jge 若大于等于则跳 jl 若小于则跳 jle 若小于等于则跳 ADD 加法.
木马病毒的行为分析
西安翻译学院 XI’AN FANYI UNIVERSITY 毕业论文 题 目: 网络木马病毒的行为分析 专 业: 计算机网络技术 班 级: 103120601 姓 名: 彭蕊蕊 指 导 教 师: 朱滨忠 2013年5月 学号:10312060108 院系: 诒华学院 成绩:
目录 1 论文研究的背景及意义...................................................................................... - 3 - 2 木马病毒的概况 .................................................................................................. - 4 - 2.1 木马病毒的定义......................................................................................... - 4 - 2.2 木马病毒的概述......................................................................................... - 4 - 2.3 木马病毒的结构......................................................................................... - 4 - 2.4 木马病毒的基本特征................................................................................. - 5 - 2.5木马病毒的分类.......................................................................................... - 5 - 2.6木马病毒的危害.......................................................................................... - 6 - 3 木马程序病毒的工作机制.................................................................................. - 6 - 3.1 木马程序的工作原理................................................................................. - 6 - 3.2 木马程序的工作方式................................................................................. - 7 - 4 木马病毒的传播技术.......................................................................................... - 7 - 4.1 木马病的毒植入传播技术......................................................................... - 8 - 4.2 木马病毒的加载技术................................................................................. - 9 - 4.3 木马病毒的隐藏技术................................................................................ - 11 - 5 木马病毒的防范技术......................................................................................... - 11 - 5.1防范木马攻击............................................................................................. - 11 - 5.2 木马病毒的信息获取技术...................................................................... - 12 - 5.3 木马病毒的查杀...................................................................................... - 12 - 5.4 反木马软件............................................................................................... - 12 - 6 总结 .................................................................................................................... - 13 -
杀毒软件查杀原理
1.3杀毒软件查杀原理 杀毒软件是根据什么来进行病毒判断并查杀的呢?在讲这个问题之前首先要弄清楚杀毒软件检测病毒的方法,在与病毒的对抗中,及早发现病毒有重要。早发现,早处理,可以减少损失。检测病毒的方法有:特征码法、校验和法、行为检测法、软件模拟法。这些方法依据原理不同,实现时所需开销不同,检测范围不同,各有所长。 1.3.1 特征码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征码法是检测已知病毒的最简单、开销最小的方法,特征码法的实现步凑如下: 1、抽取的代码比较特殊,不大可能与普通正常程序代码吻合。 2、抽取的代码要适当长度,一方面维持特征码的唯一性,另一方面又不要有太大 的空间与时间的开销。如果一种病毒的特征码增强一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征码长度短些。 杀毒软件在扫描文件的时候,在文件中搜索是否含有病毒数据库中的病毒特征码。如果发现病毒特征码,由于特征码与病毒一一对应,便可以断定为病毒。 这里的特征码分为两个部分,第一个是特征码位置;第二部分是狭义上的特征码。 杀毒软件运用特征码扫描确定某文件为病毒时,这个文件需要满足两个条件: 1、该文件中的某一位置与杀毒软件病毒库的某一位置相对应。 2、该位置上存放的代码与病毒库中定义的该位置上的代码相同。 采用病毒特征码法的检测工具,面对不断出现的新病毒必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征码法对从未见过的新病毒,自然无法知道其特征码,因而无法去检测这些新病毒。 特征码法的优点是检测准确快速、可识别病毒的名称、误报率低、依据检测结果可做解毒处理。缺点是不能检测未知病毒、搜集已知病毒的特征码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。特征码分为文件特征码和内存特征码两种。内存特征码是程序载入内存之后所具有的特征码,在非运行状态下是不可发觉的。关于有关特征码的知识,笔者会在后面的章节中详细介绍。 特征码的特点:
木马特征码的一般修改
1、定位在cmp或test后的判断跳转,je、jz如此之类的... 遇到这样的,我一般都会把它们改成jmp就能过,当然也要看看上下代码的意思,不然可能出错...个人认为这样修改的效果还是不错 的.. 2、定位在跳转后的地址,如je xxxxxxxx ,jmp xxxxxxxx 之类的xxxxxxxx上... 一般遇到是判断跳转的je,jnz的...按照第一个方法把跳转符改改就能过...如把je改成jmp...遇到是jmp xxxxxxxx的,就试试看下 面有没有空 位构造下push xxxxxxxx ret 或者可以把jmp xxxxxxxx ,用跳转转移到其它地方... 3、定位在call eax之类上... 把它改成push eax或其它... 4、定位在call上的... 先跟进call后面的地址看看,因为有时候那里往上拉一句就可能会有NOP之类的语句,那么我们把call后面的地址向前移一位就可以 过... 如果没有NOP,我们可以用跳转转移... 5、定位在OR或者XOR上... 把OR改XOR或者XOR改OR... 6、定位在mov语句上,如MOV DWORD PTR SS:[ESP+14],ESI... 我们可以把它改成mov esp,esi add esp,14 7、定位在cmp语句,如cmp eax,esp jnz xxxxxxxx 那么遇到这样的,我们可以把这两句NOP掉,然后加上jmp xxxxxxxx ,这里意思就是我们不要那个比较,把代码直接跳到xxxxxxxx上 运行.... 遇到test 这样的也可以试试这个方法... 8、定位在字符串上,但是不能用改大小写的方法修改,修改就出错... 例如pcshare有一个定位在“%s%s%s”上的...我们可以首先用C32把“%s%s%s”向前移一位,然后用OD载入,右键,超级字符串参考
修改特征码
首先声明,这个文章虽然是我原创,但思路并不是我出的,是我看了爱国者黑客上的一个视频。后来有小菜问我免杀,能不能不用jmp的汇编语句,我就把视频里的思路写出来了,这篇文章不用汇编跳转,希望对你们有帮助 用到的工具有: 1:C32Asm 2. Restorator 3: MaskPE 4: 灵魂免疫圣手V1.7 5:免疫007 6:RPolycrypy 7: Flycrptor 这些工具网上都有下载,Restorator的注册码我在空间里曾经公开过,大家可以去看。C32ASM是一个16进制&汇编编辑器,用它以16进制打开灰鸽子的客户端。下面用C32ASM修改特征码 DESCRIPTION (里面有3处只要修改前2处) '注意,字符串大小一定要一样!否则出错 CCCCCCCCCCC '你改成DDDDDDDDDDD也没关系,11个字母就行 TMAINFORMVER2 (里面3处都修改掉) 改为: AAAAAAAAAAAAA HACKER (里面有2处都修改掉) 改为: MMMMMM PACKAGEINFO (里面有1处都修改掉) 改为: HHHHHHHHHHH 提示改为:你好 灰鸽子远程控制服务端安装成功改为: 我很疯狂地追求电脑技术的高峰 :\Program Files\Internet Explorer\IEXPLORE.EXE 改为: :\windows\system32\svchost.exe 剩余的用0填充 IEXPLORE.EXE 改为: svchost.exe 剩余的用0填充
在右边选中字符串修改,复制黏贴大家都会吧?上面的图就是示例。特征码改完了,免杀效果就非常好了,保险起见,加上几个壳就行了。特征码修改好了,保存这个exe文件出来,进行下面的工作。 用Restorator打开特征码修改好的文件,展开左边的RCData,看见了吧?下面有5个区段。
特征码修改技术总结
特征码修改技术总结 如今杀软的升级,他们的性能越来越强大,查杀力度和广度都大幅度提高,启发式杀毒的日益完善,使免杀工作越来越困难。杀软在进步我们小黑也不能落其后啊,我们必须努力掌握最新的免杀技巧和动向,同时也不能一步登天的忘了我们的基础。而传统的特征码差杀,杀软依然在使用。因此要想使我们的木马文件不被查杀,修改文件特征码也是一种常用的方法,今天就以特征码修改技术给大家做一个总结,献给支持和关心暗组的朋友,也献给免杀初学者和即将要学习免杀的朋友,本人能力有限,错误之处请大家指出,我们共同学习进步… 一.什么是“特征码” 我们从字面意思上看,就是具有一定特点或特征的一串字符…而这串字符就是被杀软定义一文件是否是病毒的依据.. 然而稍微专业点就是程序运行时,在内存中为完成特定的动作,要有特殊的指令,一个程序在运行时,同一内存地址的指令是相同的同一个程序中,一段连续的地址(它的指令相同),那么我截取这段地址,就可以判断它是不是这个程序。为了防止出现病毒的误查杀,可以提取出多段特征码。这也就是我们所说的复合特征码. A. 特征码主要又分为:文件特征码,内存特征码,行为特征码,(主动特征码,如瑞星) B. 同时,又分为:单一特征码和复合特征码; 单一特征码就是说,一个程序中的几句代码被杀毒软件做为识别标志。修改掉一处就可以免杀。 复合特征码:一个程序中的多句代码被杀毒软件作为识别标志。有一处不修改都不能免杀。 二. 修改特征码免杀技术 修改特征码技术,是以杀软查杀特点得来的。杀软会用它们的特征库(也就是我们说的病毒库)和我们的文件某些字符作对比,如果彼此吻和,就定义为我们的文件为木马病毒。同时,我们只要修改了它定义出的文件特征码,这样会出现什么情况呢,不用说那就是我们所说的免杀,也就是用修改特征码技术来达到我们文件的免杀. 三.分析文件特征码 我们要使一个木马文件免杀就要修改它的特征码,但这些特征码我们如何得来。这就 说到了我们特征码分析,也就是我们所说的特征码定位。而定位的工具有很多,常见也是大家都觉得好用的有(CCL MYCCL multiCCL等).这就不具体说明,我们重点是特征码修改. 四.修改特征码常用工具 OD(Ollydbg.exe) C32(C32Asm.exe) 辅助:RestoratRestorator.exe LordPE.exe PEID 0.95.exe 汇编指令查询器(可以很好的帮助我们在修改特征码过程中遇到不认识的汇编指令时,我们可以用它来查询,了解相关功能)(如下图)