高级木马的自我保护技术与查杀之策.docx
《高级木马的自我保护技术与查杀之策.docx》由会员分享,可在线阅读,更多相关《高级木马的自我保护技术与查杀之策.docx(43页珍藏版)》请在冰豆网上搜索。
高级木马的自我保护技术与查杀之策
为什么要“手工”查杀木马呢?
答案是因为偶不信任,不信任什么?
不信任自动杀毒杀木马软件告诉我的结果,它们说我的电脑很干净没有病毒木马,但事实是电脑越来越难用、不但速度慢还弹广告;还有,新病毒木马出来了,我又很幸运的中招了,但这时专杀工具还未出来。
所以我们要手工查杀。
怎么知道电脑中是否有病毒或木马呢?
答案是:
检查。
用什么检查?
专业工具!
检查什么?
依次检查这几项:
启动项、进程、模块、内核、服务函数、联网情况与端口。
如何检查?
我来就是教你的!
这里以CNNIC为例来讲解全套的木马所采用的技术及破解之道,为什么以它为例,因为它用的技术比较高级并且是木马经常会采用的,真的很高级么?
不信你可以去网上搜啊~看看都是如何评价它所采用的技术的。
第一项,我们先检测启动项:
如上图所示:
我们找到了可疑的启动项。
(把拉条向下拉还会看到七八个可疑的)
所用的查找工具其功能需满足以下两点:
1、能够对找到的启动项进行数字签名认证,以防木马改成与系统一样的名字蒙混过关。
2、能对付木马的各种隐藏启动项的技术,以防隐藏型木马被漏查。
(什么样的工具能对付什么样的技术,请稍等,我会在后面讲解木马的隐藏技术时详细解释)
第二项,我们再检查进程。
从上图可以看到,我们找到了可疑的进程,而且这个进程与某一启动项中的文件是同一文件,一个可疑进程要求自启动,显然符合一定的木马特征。
对工具的要求是与上面相同:
要求能进行数字签名认证以防木马改名字;要求能列出隐藏进程(什么工具能查出什么样的隐藏进程,请看后面的木马进程隐藏技术详解)
找到了,我们是否就可以删除了呢?
试试看~
进程无法中止!
这是恐怕有朋友就说了,找强力工具一下儿就杀掉了!
是的,找个强力工具是可以杀掉,但杀掉进程就是清除了木马么?
这两者之间肯定是无法划等号的。
而在后面我要讲解的就是这些为什么杀不掉~而强力工具为什么又能杀掉,什么样的工具能杀掉什么样的进程,让您明白了原理之后,自然就透彻的了解了木马,而再遇到新的、未知的也就不怕了,能杀了。
我们再试试删除启动项是否可以:
启动项也无法删除!
此时基本可以确定一点了,我们的确是中招了!
是否可以任它留在我们的机器上呢?
还是找个强力工具把他杀掉呢?
肯定有一部分朋友想到了冰刃~这个大名顶顶的强力工具,用冰刃来结束这个进程并删除这个进程的启动项是否可行呢?
你如果试过就会知道,运行冰刃的后果就是会出现比冰刃更有名的比电脑死机更彻底的机器崩溃“蓝屏”!
为什么会这样呢?
为什么我们杀不掉它的进程、删除不掉它的启动项、并且运行冰刃会蓝屏呢?
看看这张图,然后我们开始讲解,木马的隐藏与保护技术!
上面的软件与冰刃冲突,还会与其它软件有冲突么?
我不知道,只有天知道,所以你的电脑什么时候会死机会蓝屏也只有天知道,所以,我们不能让它留在我们的机器上。
现在我们开始讲解木马的隐藏与自我保护技术:
上面的图是一个SSDT检查图,右边显示的结果是CdnProt.sys这个驱动HOOK了一堆的服务函数。
是不是开始有点儿晕了?
一堆名词,可能会让大多数人发晕.
下面我用一个比喻来形容一下儿这些电脑名词与木马技术的实现机制。
Windows(操作系统)就像一个为我们服务的管理公司,这个公司呢帮我们管理着我们的电脑。
一个公司当然不会是一个人,他们有很多人来完成不同的工作。
他们的工作流程是这样的,有一个服务员是跟在我们身边,当我们有什么事情要办的时候呢,就把事情告诉这个服务员,服务员就把我们的要求报上去,交给负责此事的部门去处理。
再把结果告诉我们。
SSDT是什么呢?
就是一个指示路标,告诉服务员什么事情应该交给哪个部门去做。
我们想结束进程,然后会把这个任务交给服务员,服务员查看SSDT这个路标,上面写着,“结束进程是由NtTerminateProcess这个部门负责的”,然后服务员就会把工作交给这个NtTerminateProcess来处理。
再把结果带回给我们。
HOOK是什么呢?
HOOK是一种技术,这种技术就是改变SSDT的路标内容,改为“结束进程是由木马负责的”,这时,服务员就会把我们的结束进程的工作交给木马去处理了,木马会查看我们要结束的是谁,如果与它无关,它就接着行使服务员的工作,再把工作传给NtTerminateProcess,然后把结果告诉服务员,由服务员再告诉我们。
如果是结束它自己呢?
它就不把工作向上报了,直接告诉服务员,这个工作是无法完成的。
然后服务员再把结果告诉我们,我们就看到最上面的那个错误提示了“无法完成操作”。
对付HOOK-SSDT的技术呢,我们只需要把SSDT给恢复了就行了,恢复的操作就是用原始的SSDT来重新把正确的路标写回去。
一般这一层次的木马这样做完之后,就可以删除结束木马了。
我们选择上图中的“恢复全部-SSDT-HOOK”,恢复完以后呢,我们再选择“SSDT检查”,看看是不是已经真的恢复了。
然后,我们得到了这个图:
从图中可以看到,与上面HOOK-SSDT的图几乎一样,唯一不同的是HOOK类型变为了INLINE-HOOK!
如果这时你没有再次检查,而是直接去结束进程,那你得到的仍然是错误!
INLINE-HOOK是比HOOK更高一层的技术,那么什么又是INLINE-HOOK呢?
我们仍然以上面的例子来解释:
服务员查过路标后,将把工作交给特定的部门去做,一个部门也不会是一个人,流程会是这样:
交给部门的接待员,再由接待人员报上去、报给部门经理的秘书、部门经理的秘书再报给部门经理,再由部门经理实际分派人手去做。
而INLINE-HOOK技术呢?
就是木马打份成了接待人员并把真的接待人员给替换了。
木马如果是替换的接待人员,那是最初级的INLINE-HOOK,如果它更高级还可以替换秘书、副经理等,但它必竟不是接待人员也不是秘书不是副经理,但它在那个位置上则必须要做那个位置的工作,所以,一些跟杀它无关的工作,本来它也想做好的工作,却可能由于业务能力不足(INLINE-HOOK的技术不足),而做坏,导致正常工作总是出错,无法也正常人员在位时相比。
(表现为机器总是莫名奇妙的出问题、死机或蓝屏)
通过上面的讲解,我们知道了为什么无法结束进程、无法删除启动项了。
我们只要再把INLINE-HOOK恢复了,就可以顺利的结束进程并删除启动项了。
当我们把进程结束了,把启动项删除了后,想删除文件时,是不是发现文件无法删除呢?
这就是CNNIC用到的另一种文件保护技术了,FSD-HOOK、FSD-INLINE-HOOK,这两个又是什么东西呢?
我们先看一张图:
看上图,前面的是FSD-HOOK,后面的是FSD-INLINE-HOOK。
因为装了瑞星,所以前面显示的一些是瑞星的FSD-HOOK,但瑞星并没有用到更深层次的FSD-INLINE-HOOK。
后面的就是cdnprot.sys(CNNIC的主驱动)的INLINE-HOOK。
现在对上面的一些专业名词进行一下儿解释:
什么是FSD呢?
FSD是英文单词的开头字母缩写,即:
文件系统驱动(FileSystemDriver)
再用上面的例子举例:
一般性的工作呢~我们会交给Windows的一般部门去完成。
但文件相对于电脑就像是我们的资产,是有形的东西、贵重的东西。
所以,Windows就专门成立了一个更深层次的部门来负责对文件的管理,其它部门接到与文件有关的工作时,都会转交给文件部来负责处理。
FSD-HOOK呢,就是把文件部的门牌换到了木马门前,其它部门就把工作交给了木马,木马会进行过滤,发现没有删除自己的操作时,再把工作转交给文件部。
如果有,当然就不转交了。
FSD-INLINE-HOOK呢,不用我说,大家也都知道吧,就是把文件部的工作人员直接替换了,部门还是那里,但人变了。
效果一样,但隐蔽性更强,同样,也更不稳定了。
这里再插上一句讲一讲为什么不稳定了,上面说过,当在装有CNNIC的机器上运行IceSword(冰刃)时,会导至蓝屏死机,其原因,就是因为CNNIC为了保护自己的进程不被结束,INLINE-HOOK了两个与进程有关的服务。
而Ice也为了自己的进程不被结束,INLINE-HOOK了同样的服务。
如果他们采用的INLINE-HOOK是一样的,那只是前面的被后面的取代,也不会崩溃。
但遗憾的是,他们虽然用的同一技术,HOOK的同一地方,但却并不完全一样。
CNNICHOOK了7个字节,而IceHOOK了5个字节,想一想如果两个都存在这成什么了,系统不崩溃才怪呢。
所以,机器的崩溃是随机的,只要你用到了某一有冲突的软件,随机将变为必然。
我们恢复FSD的HOOK及INLINE-HOOK,然后再删除文件试试,结果如何?
是不是,有的可以删除了,但有的DLL文件却仍然无法删除?
进程被结束了,HOOK被恢复了,为什么仍然无法删除呢?
这就是CNNIC用到的另一项技术了,曾经流行一时的无进程木马采用的主要手段“DLL进程注入”!
汗~~CNNIC用到的技术还真多啊~~现在知道为什么我会拿它作例子来讲高级木马的隐藏保护技术了吧?
下面我们就接着讲什么是“DLL进程注入”,先来看图:
看到上面的图没?
这些就是CNNIC注入到其它进程中的模块,虽然在进程列表中你看不到它们,但它们的的确确的正在工作,正在使用中的文件,当然你删除不了啦~
DLL文件是指扩展名为.DLL的文件即“动态链接库”,(注:
扩展名只是外在形式,只要格式对,起什么名字都可以的,不能作准)
每个进程都用到了几个到上百个不等的动态库,每个动态库都完成了某一部分特定的功能。
一台电脑中的动态加载的模块至少几百多则上千,从中找出哪些是木马的是有点困难。
当然了,我们的困难也是木马钟情于这种技术的原因。
用“搜索可疑模块”可以把可疑的全部列出来,看到上图没?
这就是我机器上的所有可疑模块了。
不好意思,偶的机器比较干净,所以除了CNNIC的就没有其它的了。
找到了就简单了,“卸载”+“删除”就搞定了!
好了。
至此,你已经破除了CNNIC的大部分保护技术了。
之所以说大部分,是因为还有一些小技术的存在。
比如说:
每次启动电脑都随机改名的影子驱动,影子驱动嘛当然是做为主驱动的保护者备份者而存在啦,当你只删除了主驱动而遗漏了影子驱动时工作就等于没做。
还有电源关闭通知技术:
就是关机时,WINDOWS会通知CNNIC,偶要关机啦~~你还有什么事情要做不?
CNNIC会说,稍等一等,等我检查一下子我的启动项是不是还在~~呵,也就是说,即使你删除了,但一重启它就又出来了。
因为关机时它又重新写回去了。
呵,这些就不多讲了,必竟,这些都没啥子太高深的技术含量~含金量偏低,不值的研究~考验的是清除的人是否心细而已
一个CNNIC囊括了当前绝大多数流行的高级木马技术~好东西啊~~
CNNIC只是保护了自己不被删除,但这种技术同样可以隐藏自己不被发现。
知道了存在删除不了,当然郁闷!
但不知道的你的电脑中到底有多少不速之客的存在呢?
不知道还会郁闷吗?
是不是感到浑身发冷了?
还是接着欺骗自己?
据最新统计,全球大约有1.3亿台电脑是被黑客控制的,这里面包括你的么?
自己花钱买的电脑,别人想怎么用就怎么用,而自己又不知道,你什么心情?
以下是作者对一位网友回帖的回帖:
我觉得lz说cnnic比熊猫厉害很多是不对的,至少我可以很容易的手杀cnnic,但是对于熊猫,还是要求助于专杀工具(不要告诉我开启文件安全策略再去一个个点exe文件进行恢复,会累死)。
杀cnnic的办法也不复杂,安全模式+processviewer+icesword就可以了。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
呵,我说的厉害是指技术层面的,熊猫并没有用到什么高深的技术,可以这么说,能写出熊猫的程序员可以车载斗量!
但能把CNNIC这一套玩儿顺的却很少。
你说的厉害是清除层面的。
CNNIC必竟是一个公开推出的软件又是一个半政府机构推出的,不可能会故意搞破坏!
而熊猫却是一个传染型的病毒,这两个没有可比性。
一旦据有传染性,那清除只能借助工具或自己写个小程序,虽然写个小程序也并不是太难,但手工清除却不可想像。
病毒的传染机制是这样的:
他会在每一个被传染的程序中附加一段病毒代码,然后修改程序的入口点,使其指向那段病毒代码,这样,程序执行时就会先执行这段病毒代码,真正的程序代码是在病毒代码执行完毕后,由病毒代码再反回来调用的。
而清除也就是反其道而行之,通过入口点找到病毒代码,然后计算病毒代码的长度、找到原始入口点,然后,把病毒代码截掉并恢复原入口点地址。
就OK了~
手工恢复也不难,找个PE修改器也可以做到,但被感染的文件可能上千个,所以,手工就能为不可能了。
如果去除了传染因素的话,或不考虑修复被传染的文件,那熊猫的清除连工具都不用,纯手工就可以了,因为它没有什么保护措施~
CNNIC只是被我拿来当例子来说的,要的只是它的技术,虽然都说它是流氓,但却还不能说是完全的流氓~所以有些事情它不会做的太过份。
你试想一下儿,如果一个毫无顾虑的流氓软件或病毒木马利用了这种技术,是不是很恐怖?
安全模式~想都别想~~让驱动在安全模式加载让程序在安全模式启动,对任何一个程序员来说都不是什么难事,而一旦驱动被加载,你再想请它出去~~呵呵~~请神容易送神难啊~~(另外,CNNIC在安全模式是否可清,我真没试过~^-^但有一一点是肯定的,不能过份的依赖于安全模式~安全模式同样并不安全。
)
今天偶仔细的把上面回的贴子全部看完了,并把问题归纳了一下子,基本上没有新问题,都是一些常见问题。
说实在的,真的把技术做到CNNIC这种程度的木马还真的很少见,所以大家遇到的问题,很多都不是技术层面的。
这就涉及到另一种木马了,如果上面讲的叫做“技术型木马”的话,那下面要讲就是“创意型的木马”。
1、技术型木马,是以技术取胜,你明知道它就在你家,但就是没办法请它出去,明知道它是INLINE-HOOK了FSD使你无法删除、明知道它是INLINE-HOOK了内核服务函数使你无法停掉它,但你仍然没办法。
等你有了办法,它就再换或加其它技术,这是一种技术上的比拼,在某种程度上来说,这也促进了技术上的进步与革新。
说句题外话:
写木马、写流氓软件者背后都有着高额的利润回报,他可以把这当作是一个事业去做,虽然见不得光,但也算是专业的地下工作者,所以木马、流氓的发展是很快的,新技术层出不穷。
而查杀木马的产品却相对的更新较慢,处于被动接招的状态,原因很多了,与主题无关就不多说了。
2、创意型的木马,其本身并没有什么太多的技术含量,但作者很有创意,搞了很多小花招,让人防不胜防,以为已经清掉了,却不知道人家正躲在角落里偷着乐呢。
清这种木马就是比细心、比灵感。
木马的作者与木马的清除者,就像下棋一样,斗的是智。
这种木马的作者以正在学习期程序员居多,再发展下去,就成技术型的了。
3、其它的还有一些,比如无赖型的,整个就是无赖,一没技术二没创意,就是够赖,毫无意义的破坏、毫无意义的大量的修改!
毫不客气的说,这种木马病毒的作者就是个垃圾~~-_-
CNNIC以技术为主,但加了一些小的花招(估切算创意型的吧),上一次我们详细的讲解了它的保护技术,已经脱掉了它的保护盔甲,使它暴露在了我们的面前,任我们宰割!
能不能清掉,就看你宰的够不够狠、割的够不够彻底了,反正它已经是无法反抗了。
下面我们开始讲如何破除木马的障眼法,注意,看下面一章的前提是你已经可以无障碍的结束进程、删除启动项、卸载模块、删除文件。
如果还不能做到,请再仔细的看上面的一讲(如果按上面说的仍然无法杀掉,那么恭喜你,你遇到高手了,请提供样本^-^)。
下面这位朋友总结的不错啊~~呵呵,以你的当线来串起来讲吧~~
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
期待楼主好文!
!
希望能涉及如下几个方面:
1.恶意网页的弹出,注册表修改无效的那种
2.威金病毒的清除及原理
3.熊猫清除方法,原理
4.灰鸽子以及Rootkit的清除和原理
5.QQ发送信息诸如"什么什么时候点歌了,你去看看..""什么什么网站有我的照片"这种病毒的处理和原理
1.恶意网页的弹出
恶意网站的弹出,分两种情况,一种表现为:
一打开浏览器上网,就开始定时或不定时的弹出网页,这是与IE或网络挂接的广告程序;第二种表现是:
一开机就弹,广告程序会自动打开IE浏览器来显示网页,这是与浏览器无关的。
我们先说第一种:
这类恶意网站的弹出,采用的方法有很多种,我们先说最常见的也是正统且文雅的方法“浏览器劫持(BHO)”,为什么说这种方法是正统的呢?
因为这种方法利用的是正规的由系统提供的第三方功能扩展接口来实现的,是公开的且是微软提倡的方法,本意是扩展IE功能的。
说其文雅,是因为这种方法是公开且正常的方法(与HOOK相比),使用这种方法通常也不会导至IE程序的异常.
其它的不多说了,咱动手看看,第一步,我们先检查BHO:
检查方法如下:
用系统自带的功能检查,在桌面的IE图标上按右键,得到了一个IE的属性页,在最上面选择“程序”页面,再选“管理加载项”,可看到IE加载的各个插件都在那里,选择有“未验证”标志的禁用之。
(注意:
检查BHO之前先要检查SSDT是否被未知程序HOOK,如果被HOOK,要先恢复,不然,很可能加载项会被隐藏,那就看不到了。
现在明白为什么先要讲解木马的自我保护与隐藏技术了吧?
如果不了解它们是如何保护自己的,那学其它的都没什么意义。
)见下图:
上图中的BHO是CNNIC的,呵,看它搞的有多么的全~不过,检查BHO的程序多了以后,广告程序一般都不藏这儿了,而且用IE之外浏览
器的人多了后,这种方法也不通用了。
其它的网络或浏览器挂接的方法还有很多,如:
修改文件关联,将网页文件的关联改为广告程序;修改IE程序等。
这些就不再是广告程序专用的手段了,我们把它放在后面跟其它的木马一起分析(其实,任何一个木马或流氓软件都可以用来执行弹出广告的工作)。
现在,我们再说一说与浏览器无关的,也就是不用你自己打开浏览器,只要联网开机,哪怕你什么都没动,广告也会弹出来。
首先,我要做的是朔本追源,天下间没有无缘无故的爱也没有无缘无故的恨,同样,也不会有无缘无故弹出的广告,如果有弹出来我们就要找出是谁弹出来的这个广告。
看下图,下面的图是一个文件系统监控的图,里面显示了一些文件创建、进程创建、线程注入的情况。
图中显示的是IE浏览器
(IEXPLORE.EXE)被打开了,是由C:
\Windows\Explorer.exe来打开的,所有我们手动运行的程序都是由C:
\Windows\Explorer.exe来运行的。
如果这里显示的是其它程序,那,这个程序就是打开IE并弹出广告的程序了,知道了谁是幕后的黑手,接下来是杀是刮,就是你的自由了。
即使没手动运行,那会不会仍然显示的是C:
\Windows\Explorer.exe呢?
这也有可能,还记得我们上面讲的“进程注入”技术么,那就检查Explorer.exe加载的模块,看有没有可疑的。
如果没有可疑模块呢?
呵,那可能是线程注入了,我们就要找出执行注入的原程序,并杀之!
(详细方法后面还有机会讲)
3、病毒木马的常用小花招解析
威金、熊猫~~偶对它们不是太感兴趣,流传的广、危害大,跟病毒木马写的好坏、技术含量高低、有没有创意新意没有什么关系。
等了解的多了,再看它们时,会不由得发出一声感叹“怎么又是一个换汤不换药的~~拜托大哥,有点专业精神好不好?
不要随便在网上抄一段病毒源码就散播出去~~拜托了,也自己学着写一写嘛~~”有时候,真的很无奈,就一个SVCH0ST.EXE的名字就至少有N种病毒在用~~汗~~没创意的都有点儿没劲了~~
偶喜欢的是有技术含量的,即便没有技术含量,有点创意也行啊~
比如说“橙色八月”,他就允分的利用了系统执行程序的顺序来隐藏并启动自己的,这就很有迷惑性。
如果你执行一个程序比如:
Regedit(这个程序是注册表编辑器)这时系统会如何执行呢?
注意,并没有输入扩展名。
这时,如果同一目录下有Regedit.exe和R那么系统会优先执行R老橙就是在Regedit.exe的身边放了一个名字为R的程序来启动自己的。
如果你想打开注册表编辑器,并且没有输入扩展名,那即使先前你已经清除了木马,这一下儿就又将它启动了。
而R平时是不运行的,它的目的只也只启动木马主程序而已。
所以,它一没有进程、二没有启动项、三不具备病毒特征,所以~~很多杀软就把它放过了~
这就是木马的花招之一:
允份利用系统知识来隐藏并启动自己。
对策:
对没有扩展名的启动项,要分外留心,自己输入名字直接执行的程序,要输全名。
对同时存在.com与.exe的文件,要留心。
这一招跟影子驱动(程序)有点想像,下面我们再说一说什么是影子驱动(或称为影子程序,驱动的影子就是影子驱动、程序的影子就是影子程序)
看了朋友们回的贴子,发现虽然大致了解了这些木马的保护技术,但对实际动手仍然有些茫然或仍然存在问题,所以,这次主要讲的是动手操作的流程与方法。
这次偶们从一开始讲起,就从各位从朋友手中接过一台问题电脑,满怀信心的准备在朋友面前显摆显摆时开始~~现在,让我们打开电脑,准备检查!
序章,检查前的准备工作
(对下面说的SSDT、INLINE-HOOK不明白,请先看上面的内容)
先要准备好一些专业的工具,并检测SSDT是否被HOOK或INLINE-HOOK,如果被HOOK请判断是否是您安装的杀毒软件、所用的安全防护软件或所用的检查工具所为,如果不是,恭喜,你查到木马了!
如果实在无法判断是否为正常HOOK,请暂时关闭杀毒软件,然后全部恢复被HOOK的SSDT!
关闭了杀软后会不会不安全?
如果开着就很安全的话,相信你也不会手工查杀了,更何况只是暂时关闭它。
不恢复行不行?
最好是先恢复,除非你用的工具不依赖于SSDT,什么样的工具不依赖于SSDT后面详说。
第一章进程篇
先关闭所有无关的程序,然后,偶们开始检查当前进程,当前进程是什么呢?
当前进程就是现在所有正在运行的程序!
查看当前进程,就是查看现在有哪些程序正在运行,如果有未知的程序呢?
可能就是木马了,因为通常木马也是做为一个程序存在的。
怎么看当前进程呢?
请借助专业工具,实在没有工具时,再同时按下Ctrl+Alt+Delete键调出任务管理器来查看。
那什么样子的程序是未知程序呢?
这里,我要再强调一下子,一定要找一个能够对进程文件进行数字签名验证的进程查看工具,不然你无法区分某一进程是否为可疑进程,只凭文件名字是完全不够
升级会员 