伊缘网 首页
 设为首页    加入收藏    用户帮助    联系我们 
网站首页 新闻动态 技术文章 Flash整站 精彩网文 资源下载 视频教程
网上商城 Flash动漫 网页特效 酷站欣赏 BBS论坛 在线工具 留言本站
  F-CMS Flash CMS   CXT Flash Cms   SXW Flash CMS   EXW Flash Cms   
  您的位置: 伊缘网 >> 网络学堂 >> 网络攻防 >> 安全防护
 阅读文章

杀毒软件自我保护机制与木马对策

  文章作者:网络来源:星恋伊缘网浏览次数:2859字体:
 阅读权限:游客身份阅读花费:0 E币添加时间:2007-5-1 下午 08:08:16提交会员:esing
皮具制造生产企业,专注时尚包包
提示:登陆本站会员系统后,网站系统将不显示任何广告!如果您还不是本站会员请注册本站会员,谢谢您对本站的关注!
前些天,看论坛上有很多人说用进程结束的方法消灭杀毒软件来保护自己的马儿。不知大家发现没有,AVP和KV以及瑞星的一些进程都是无法结束的。这样杀毒软件还在运行着,撞上你的马还是会杀掉的。现在来说说这些进程为什么杀不掉。

  因为杀毒软件是运行于Ring0级的,程序资源级别分为0、1、2、3, 0级最高,3级最低。只有0级资源的才能访问0级资源的程序。Ring0级运行于内存最高端,享有最高有权限。一般的木马都是2级资源级别的(像灰鸽子、黑洞、阿拉QQ大盗等等),有些是1级(像Bio-Net、Beast等等 这种不多)。当然无法结束位于0级资源的杀毒软件进程。

  但是黑洞2001-2004的版本,却可以用他的进程过滤搞定很多杀毒软件。这是为什么?因为,他是不用进程结束的,而是窗口标题检测,发现类似“杀毒、木马克星、安全”之类的字眼就向该窗口发送无条件退出命令(WWQ_Quit)。这样就可以免除Ring资源级别的障碍了。阿拉QQ大盗则是干扰其扫描引擎来达到阻止杀毒软件的目的。

  关于实现0级对0级资源程序的操作

  目前,尚无对杀毒软件进程有效的解决方案。本人才思不及,只能给出解决的编程思路。

  要对Ring0级资源操作,必须是汇编级语言。大家可以用Vxd技术来实现,这样编写起来比较方便,而且用汇编语言编写很可能会被杀毒软件认为是病毒,因为其病毒特征过于明显。把整个程序写成驱动程序的形式,加入到系统内存顶端,就可以对杀毒软件进程为所欲为。

  首先程序启动,在内存最高端开辟一块内存,把自身复制上去并运行。然后写启动,写服务。接着在内存中搜寻杀毒软件内存标识符,找到以后,把杀毒软件内存标识符所在区域用无用垃圾数据覆盖,导致其出错退出。这些过程不能借助 INT13 写盘中断来完成,否则会被判定位病毒的。必须绕过杀毒软件设下的写盘捕获陷阱,这就需要极其高超的编程技术了。像这种编程能力,除了丧心病狂的病毒编写者还有操作系统编写者,其他人是无力触及的。等你有了这种能力,那么离你的超级病毒出炉也就不远了。

  木马的防杀对策

  加壳

  这个不用说,好处多得没完。打个比方:把一个人的手接到脚上,把脚接到手上,这样公安就认不得你啦。

  修改特征码

  

  这个也是在加壳失败以后对付杀毒软件的好方法。需要注意的是,一个病毒被定义的特征码往往不止一条!所以要修改很多对才可以免查杀,这个还得靠运气。有时修改的特征码不一定对,如果特征码很多,那么修改工作将异常痛苦。

  花指令

  原来被KV杀的,用花指令技术处理过后还是被杀?因为KV的断点跟踪会不断追踪下去,除非你的程序无限大,否则总有一天,KV会报毒。

  Rootkit

  超级内核后门。好处很多,具体大家自己体会了。

  引用一句经典名言:虽然瑞星的内存杀毒可以杀灰鸽子,可是重启后灰鸽子还是噗拉噗拉的飞着。

  注意:瑞星的内存杀毒其实是进程+DLL监控,只是提取了部分木马的内存特征码。

  对付KIS 2006,修改免杀相当复杂,不是简单改动源码和反汇编可以做到的。需要从源码处下功夫。

  Tags:  杀毒  木马  
·上篇文章:上网时经常遇到的故障排查
·下篇文章:恢复IE浏览器的自动完成表单
复制 】 【 打印
 相关文章
·百度资料: 杀毒软件自我保护机制与木马对策
·常见木马入侵防范技巧 2007-10-6 上午 01:21:31
·浅析在线杀毒的方案 2007-9-27 下午 06:07:20
·防范木马后门4招 2007-9-6 下午 07:45:10
·手工清除 lsass.exe木马病毒 2007-8-22 上午 04:38:15
·找出反向木马里的幕后元凶 2007-7-25 下午 06:21:12
特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系我们,我们尽快予以更正,谢谢。
 相关评论
【文章评论已关闭】
伊缘网