热点推荐:
您现在的位置: 电脑学习网 >> 网络技术 >> 正文

如何破解免杀的流氓软件

2013-09-12 15:53:49  来源: 网络技术 

  现在流氓软件大行其道,这段时间好像一下子销声匿迹了。其实它们依然存在,只不过“隐身”了而已,为什么会这样?因为流氓软件采用了木马、病毒常用的免杀技术,换了个马甲就实现了“来无影”。
  由于不同的安全工具采用的查杀方法是不一样的,杀毒软件主要利用病毒特征码进行分辨,而反流氓软件一般利用流氓软件的进程名称等信息进行查杀。
  所以流氓软件喜欢针对杀毒软件采用一些病毒木马常用的免杀方法,而针对反流氓软件就需要对程序的内部特征消息进行修改,但也有二者兼有的流氓软件,这就更难防范了。下面我们以“360安全卫士”能检测出的“很棒小秘书”(未免杀版)为例,演示流氓软件是如何制作针对杀毒软件和反流氓软件免杀的以及我们应该如何防范。
免杀怎样做出来的
  首先,利用检测工具PEiD(软件下载地址:http://www.cpcw.com/bzsoft )对“很棒小秘书”的安装包进行检测,从检查的结果为“什么都没找到”得知该安装包没有进行过任何加壳处理(图1)。我们知道很多安全工具都是利用某些关键字为查杀的目标,所以要对程序中的关键字进行修改,这些关键字包括“很棒小秘书”、“很棒公司”、“henbang”等。
  接着,运行修改程序C32Asm(软件下载地址:http://www.cpcw.com/bzsoft),点击“文件”菜单中的“打开十六进制文件”命令选择安装程序,再点击“搜索”菜单中的“搜索”命令,在弹出的窗口中的搜索选项中分别填入上面这些关键字进行搜索(图2)。WWW.itCOMPUteR.coM.Cn
  搜索到后,在它们的路径上面点击鼠标右键,选择“粘贴”命令,用其他的关键字进行复制。需要注意的是复制的关键字长度要一样,此外不能使用“替换”功能,它在十六进制下不起作用。
  然后,运行调试工具OllyDbg(软件下载地址:http://www.cpcw.com/bzsoft)载入修改后的流氓软件,对它的文件头进行简单的修改。选中文件头的第一句后,点击鼠标右键中的“汇编”命令,在弹出的汇编窗口分别将这些语句更改为“NOP”即可(图3)。  选择刚刚修改的这些语句,选择右键中的“复制到可执行文件”菜单中的“选择”命令,最后在弹出的窗口通过右键中的“保存文件”命令将修改的服务端程序进行保存就可以了。
  最后,再利用加壳程序对“很棒小秘书”进行处理,这样更具有欺骗性。运行加壳程序ASProtect(软件下载地址:http://www.cpcw.com/bzsoft),在“保护文件”和“输出文件”选项中分别设置服务端程序以及程序加壳处理后的输出地址,直接点击“保护”标签中的“保护”按钮即可(图4)。
  免杀制作完成后,用户还需要修改“很棒小秘书”的程序安装,对安装目录中的文件名和文件目录等重要的信息进行修改,以免反流氓软件利用这些信息对程序进行查杀,再利用WinRAR等程序将该流氓软件和其他程序进行封装即可。
  现在我们到多引擎在线杀毒网页(http://virusscan.jotti.org/)上,对修改的“很棒小秘书”程序进行检测,发现仅有一个杀毒引擎能检测出来,其他的都无能为力(图5)。另外我们再利用反流氓软件中的佼佼者“360安全卫士”,对修改版 “很棒小秘书”系统进行检测,同样也没有检测到有什么流氓软件的“生命迹象”。
防范方案
1.使用主动防御软件
  说到主动防御就不得不说“System Safety Monitor”(软件下载地址:http://www.cpcw.com/bzsoft)这款软件,该软件属于Host-based Intrusion Prevention System(HIPS),可以小到每个进程大到整个磁盘底层保护系统免受不良程序的危害。该软件的功能包括最常见的注册表保护、文件保护、磁盘系统保护、防止进程注入等。当它检测到程序存在危险的操作的时候,就会弹出一个对话窗口提示用户,这样就可以比较好的起到防范作用。
  小提示:HIPS是一种能监控用户电脑中文件运行的软件,如果文件运用了其他程序并且要对注册表进行修改,就会发出报告请求允许,如果选择了“阻止”,程序就不会运行。
2.分解流氓软件
  用户可以利用“Universal Extractor” (软件下载地址:http://www.cpcw.com/bzsoft)这款万能的提取器,将程序封装包中的流氓软件先分离出来。这款工具几乎可以提取任何安装格式的文档,无论是简单的压缩文件,还是现在流行的打包工具等,甚至连 Windows Installer (.msi) 程序包,它也能轻松自如地提取出其中的文件。这样我们就可以将捆绑其中的流氓软件清除后,再进行相关软件的安装操作了。
攻防博弈
  黑客 小恐龙:道高一尺魔高一丈,只要我们想做就可以轻易地躲过任何软件的检测。除了使用免杀外,还可以利用“映像劫持”技术来屏蔽一些杀毒和安全软件。这样在它们还没有进行检测的时候,就已经让它们“残废”了,哈哈!
  编辑:对那些藏得越来越隐蔽的流氓软件,最有效的防范方法就是及时更新安全软件,并且只到可靠的大网站下载软件。此外,“映像劫持”技术并不是破解不了的,使用映像劫持修复工具即可。

 
如何清除AV终结者

  送走了让人闻风丧胆的“熊猫烧香”,近日又有一种超破坏力的病毒“AV终结者”大肆席卷互联网,不到一个月时间,变种就已达数百个之多,波及人群超过十几万人。由于这款病毒破坏力十分霸道,一旦感染就很难清除。
  那么“AV终结者”到底是什么?其实它就是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,其传播是通过闪存等存储介质或者注入服务器来实现的。
  我们要如何预防这颗互联网超级炸弹?万一被它攻陷了电脑,重装系统后仍无法清除,我们又该怎么办?本文将为您消除所有的疑惑,打造一个安全的操作系统,保障您的财产安全以及机密信息不会受到损失。
“AV终结者”凭什么这么“跩”
1.生成随机文件名
  对“AV终结者”的样本文件进行分析后,可以发现其手段相当的毒辣。病毒运行后会在系统中生成如下几个文件:C:\program files\Common Files\Microsoft Shared\MSInfo\随机生成病毒名.dat、C:\Program Files\Common Files\Microsoft Shared\MSInfo\随机生成病毒名.dll(图1)、C:\windows\随机生成病毒名.hlp、C:\windows\help\随机生成病毒名.chm。
  “AV终结者”的病毒名是由大写字母+数字随机组合而成的,其长度为8位,可以说生成相同病毒名的概率是极小的。因此即使我们知道了这是病毒生成的文件,也别指望通过病毒名在网络上找到病毒的清除方法。
2.通过“自动播放”传播
  病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使重装系统,也是无法将病毒彻底清除的。这是目前很多病毒热衷的传播方法,不少用户也懂得需要删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项”,想显示隐藏文件时,可以发现这里已经被病毒给禁用了。
3.干掉杀毒软件
  针对杀毒软件的攻击,是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时,病毒就会乘胜追击,通过一种“映像劫持”技术将杀毒软件彻底打入死牢。
  “映像劫持”会在注册表的“HKEY_LOCAL_MACHINE\SOFTWAR E\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options”位置新建一个以杀毒软件和安全工具程序名命名的项。建立完毕后,病毒还会在里面建立一个Debugger键,键值为“C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\05CC73B2.dat”(图2)。这样当我们双击运行杀毒软件的主程序时,运行的其实是病毒程序。
4.注入系统进程
  为了避免在“任务管理器”中露出破绽,病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中,这样我们就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作,例如你想手动清除病毒,修改注册表,病毒每隔一段时间就会把注册表改回去,让你白费劲。另一个作用是监视IE窗口,发现用户搜索病毒资料时,立即关闭网页。
  此外,病毒还会破坏Windows防火墙和安全模式,封堵用户的后路。最重要的是,病毒会从网络上下载大量的盗号木马,盗取用户的游戏账户信息,这才是“AV终结者”的真正目的。
彻底清除“AV终结者”
  手动查杀“AV终结者”相对于其他病毒来说比较困难,因为它有不少保护措施。但保护措施做得再好还是有破绽可寻的,清除病毒可以按照以下步骤:
  Step1:运行“任务管理器”,结束其中的“explorer.exe”进程。单击“任务管理器”的“文件”菜单,选择“新建任务”,输入“regedit”运行“注册表编辑器”。定位到HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall处,将Check edValue的键值改为“1”(图3)。
  Step2:在“注册表编辑器”定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,将以杀毒软件和安全工具命名的项删除。
  Step3:在“资源管理器”中单击“工具”菜单→“文件夹选项”,切换到“查看”标签,取消“隐藏受保护的操作系统文件”前面的钩,然后选中“显示所有文件和文件夹”选项。根据上文中提供的路径删除所有病毒文件。删除其他分区中的病毒,注意不要双击进入盘符,而要用右键点击进入。
如何预防“AV终结者”
  首先,要禁止自动播放功能,并及时更新最新系统补丁,尤其是MS06-014和MS07-017这两个补丁。
  其次,要限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下:单击“开始→运行”,在命令行中输入regedit32 ,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execu tion Options,右键单击此选项,在弹出的菜单中选择“权限”,然后把Administrors用户组和Users用户组的权限全部取消即可(图4)。
  最后,要限制SAFEBOOT的读写权,达到限制“AV终结者”修改或删除Drives,保护安全模式正常运行的目的。操作方法如下:同样是在32位注册表中找到 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D3 6E967-E325-11CE-BFC1-08002BE 10318}和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\ Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},将Administrors用户组和Users用户组的权限全部取消即可。
  编后:本文介绍的清除方法需要手动操作,对注册表不熟悉的朋友可以用“AV终结者”专杀工具,并配合SREng、Autoruns、IFEO映像劫持修复工具、修复安全模式.REG、恢复显示隐藏文件.REG使用,也可以彻底清除病毒,这些软件都可以到http://www.cpcw.com/bzsoft下载。

 
如何通过暴库入侵

  现在,很多网络用户在不知不觉中,就成为黑客手中的一只“肉鸡”。出现这种情况很多时候都是因为,网络用户访问的网站含有木马病毒等恶意文件。同时,现在很多网站都使用网上可以下载的网站系统。这也造成了黑客只要下载一个相应的网络系统,就可能轻易入侵一个采用默认设置的网站。
最常见的漏洞
  制作过网站的朋友都知道,网站系统既可以自己进行编写,也可以下载现成的网络系统使;用。虽然各个网络系统的作用有所差异,但是它们的工作原理却是十分相似,管理员的账号密码都保存在网站系统的数据库文件中。
  由于网站系统的开发人员为了能让系统正常运行,在开发的时候都默认设置了一些系统相关的信息,比如管理员的账号密码、网站系统的数据库位置、系统后台的位置等等。
  可是很多网站在正常运作的后,并没有按照说明文件中的内容进行相关内容的更改,于是黑客就可以通过默认位置查找数据库的位置,然后利用数据库中的信息,成功进入系统后台对网站系统进行控制操作。
暴库获取控制权
  先从网上下载一套网站系统的源代码,在这里我们就用动易网站系统的源代码,以确定数据库文件的默认位置。通过系统搜索MDB格式的文件,找到后基本就可以确定是数据库文件,由此可以得到动易系统数据库的地址为“Database\PowerEasy2006.mdb”。
  打开挖掘机程序(下载地址:http://www.3800hk.com/Soft/smgj/17472.html),在“URL后缀”标签中点击“添加后缀”按钮,将动易系统的数据库后缀添加进去。
  点击“开始”按钮即可自动在网络中进行搜索。大约几分钟后,程序就可以搜索到大量含有这个后缀的网址。任意在“检测结果”列表中选择一个网址后,进行双击就可以进行网站数据库文件的下载(图1)。

  利用辅臣数据库浏览器(下载地址:http://www.cnxhacker.com/Soft/other/database/200608/533.html),打开下载到的MDB文件数据库。在数据库列表中找到“PE_Admin”这一项,这里就是该数据库文件存放管理员密码的地方,从中记录下“AdminName”和“Password”项目中的内容(图2)。其中的“Password”项目是经过MD5编码加密的,需要到专门的MD5码破解网站进行破解。

小知识:什么是MD5编码
  MD5是一种不可逆散列算法,被广泛用于加密和解密技术上,任何一段字符都有唯一的散列编码,是目前常用的数字保密中间技术。
  破解了管理员密码和账号后,同样可利用动易系统默认的设置找到系统后台,然后利用管理员的账号和密码成功登录系统后台。在“系统设置”中选择“自定义页面管理”项目,接着点击“添加自定义页面”,根据网页系统的提示进行相应的设置,将ASP木马的源代码粘贴到“网页内容”里面即可(图3)。

  设置完成后点击“添加”按钮提交ASP木马,点击“自定义页面管理首页”选项,找到网页木马名称后点击“生成本页”按钮激活ASP木马。
  最后通过浏览器地址栏直接访问设置的木马地址,成功得到远程服务器系统的权限,这样以后就可以控制远程服务器,进行挂马等任意的操作。
防范方法
  网站管理员要想保护好自己的网站不被黑客入侵,需要从网站的多个方面入手进行防范。首先我们要确保网站系统没有已知的安全漏洞,有的话应该及早安装好安全补丁防止入侵。除此以外,我们还需要进行进一步的安全设置。
1.更改系统的默认设置
  如果管理员从网站下载的是现成的网站系统的话,下载完成后应该按照说明修改重要信息的路径,尤其是默认的管理员密码、数据库的路径、后台管理页面等信息。
2.加强账号密码的安全强度
  从最近出现的一系列网站系统漏洞我们可以看出,黑客在入侵后的第一步往往想得到的是管理员的账号密码。
  而管理员的账号密码常常是经过MD5编码加密过的,因此黑客只有破解了账号密码后才能最后成功的入侵。因此管理员要加强自己的密码安全强度,可以利用现在网络中的MD5编码破解网站来验证密码的安全性。

 
From:http://www.itcomputer.com.cn/Article/Network/201309/420.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 电脑知识网 Computer Knowledge   All rights reserved.