• 郑州北大青鸟首页
  • 网站导航
  • 河南软件与网络工程师培养基地 河南拥有IT体验馆课程专业全、规模大校区河南多年连获全国教学质量奖2011-2018年获北大青鸟总部荣誉奖
首页 中心介绍 新闻动态 课程详解 师资力量 专家讲座 招生问答 学员活动 精彩专题 报名
当前位置: > 学员活动 > 学术交流 >

郑州北大青鸟解密木马病毒隐身穿墙术

2010-07-06 17:53 来源:郑州北大青鸟

       如果用户对木马病毒当前使用的隐身穿墙术有一定的了解,就可以知道该从哪些方面去防范,以及出现问题时该从何处着手处理。这样,再与各类安全工具相结合,就有可能将木马病毒带来的安全威胁降至我们能够接受的水平以内。接下来郑州北大青鸟的网络专家将以Windows XP系统为平台,分别对现阶段木马病毒常用的隐身术和穿透防火墙方法进行简单的描述,并给出相应的处理方法:
       一、修改木马程序特征码
       当用户使用杀毒软件查杀木马时,杀毒软件就是通过分析用户系统中的各种文件的特征码来与病毒库中的各种特征码进行比对,当发现了相似的就认为是某种木马并查杀。现在特征码查杀技术有文件特征码和内存特征码查杀这两种方式。修改木马程序的特征码,就是为了躲避通过特征码查杀的杀毒软件的检测,这样就等同于在杀毒软件面前隐身了。
现在,互联网上已经存在有许多可以用来提取程序特征码的软件,例如MYCCL。要修改某个木马的特征码,可以通过MYCCL不断地提取它的特征码,然后用要躲过的杀毒软件来查杀,直到这些杀毒软件不能检测到它就是一个某个木马为止。然后,再通过一些二进制提取和编辑工具(例如Uedit32),对这个木马中发现了的特征码段进行修改,就可以在这些杀毒软件面前隐身了。有的时候,对于某些杀毒软件,例如诺顿杀毒软件,甚至只要修改了木马的PE头就可以不会被检测到。而修改程序的PE头,可以通过Peditor或YC保护专家就可以做到。因此,特征码修改是现在木马用来躲避检测的常用方法之一。但是,要成功修改木马的特征码而不损坏它的功能,也是需要一定的汇编技术的,并不是一般的攻击者就可以完成的任务。
       二、木马加壳
       给程序加壳,包括加密壳和压缩壳两种。程序一旦被加壳保护后,如果不使用与此相应的脱壳软件进行脱壳处理,一些反汇编程序是不能正确读取到其真正的代码的。这样,就能保护程序不会被破解。同样,木马程序一旦也经过了加壳保护,杀毒软件如果不具有给程序脱壳功能,那么也就不可能识别出它就是木马的,也就是说达到了木马隐身的目的。
       如今,通过Aspack或UPX给木马加上壳是非常容易的,因此,一此攻击者是会通过使用一些不常用的加壳软件来对木马加壳处理的。这些不常见的加壳软件,一般都是出现在一些国外的安全类网站当中,其中比较常用的有Private exe Protector软件,它原本是一个非常好用的程序保护软件,但同样也可以用来保护木马。而且,对木马进行加壳,往往还会加多重壳,以进一步增加被识别出来的难度,但加多重壳要比加单一的壳要复杂得多。只是,程序加壳只是对木马的程序文件进行了保护而已,且有时加壳会损坏木马的一些功能,而且,单独使用加壳保护木马是达不到理想的保护效果的。因此,攻击者往往在对木马加壳保护之前,还会对它使用如程序加密之类的处理工作的。
       郑州北大青鸟网络专家做出总结:对木马进行加壳保护,只对木马文件有效,对于已经加载到内存中的木马程序段,由于木马在运行时已经自行脱壳处理了,也就失去了保护作用,此时就可以通过对内存检测的方式来查杀。PEID和PESCAN是两个常用的用来查看程序加壳情况的软件,对于普通的用户,使用超级巡警虚拟自动脱壳机就能够很好地解决这些问题。同样,使用主动防御功能的安全软件也可以检测到这种类型的木马。
 

------分隔线----------------------------
栏目列表
联系我们
  • 学校地址:郑州市金水区文化路90号河南财经政法大
  • 学文南校区1号楼(文化路与东风路路交叉口文化路
  • 向南1000米)
  • 咨询热线:0371-63383521 63383522
  • 6路,28路,966路到文化路与俭学街站下车
企业预订人才热线:0371-63383521
就业服电话:0371-55902629
教学监督:0371-55690491
郑州北大青鸟软件学院地址:郑州市文化路90号河南财经政法
大学文南校区1号楼
传真:0371-63383562 邮政编码:450000
备案号:豫ICP备10022989
版权归 郑州翔天信鸽科技有限公司
咨询电话:0371-63383521 15225191462
北大青鸟APTECH(郑州翔天信鸽)授权培训软件学院
教育改变生活