木马病毒查杀高级系列.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 摆平对手 利用杀软对数字签名的信认 不杀你也行，感染你 代码加花，加壳，改特征码，让你认不出来 利用影子驱动 利用rootkit技术与杀软正面对抗 以前还有针对某杀软对脚本监控不全，利用脚本病毒干掉杀软 利用杀软监控危险敏感api不全漏洞，利用不敏感api绕过，或利用微软未公开api绕过 病毒还有侦查技能，侦测杀软下载免杀，云病毒库 侦测调试，虚拟机或沙盘环境，不进行破坏，以免被反病毒人员截获，环境符合才爆发 病毒体还有自毁功能，病毒主体在完成任务后会自行销毁（进入系统，干掉杀软），以免被反病毒人员截获样本，因为此类病毒为突破杀软防御的尖兵，往往编制技术都很高，所以会自毁以达到长期免杀的效果 对付人工行为：阻止对cmd,任务管理器，组策略，注册表，等访问，对于一般的木马。 木马免杀解说 “免杀”，顾名思义就是逃避杀毒软件的查杀，目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种，通常黑客们会针对不同的情况来运用不同的免杀方法。一位不愿意透露姓名的资深黑客，向记者详细介绍了最为流行的“病毒免杀”技术。 “想要了解病毒免杀技术的原理，首先要了解杀毒软件的工作方式。杀毒软件的工作方式一般是特征码匹配杀毒，通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀，才能顺利实现其入侵系统、盗用户私密信息的目的，‘免杀’病毒则应运而生。” 免杀技术之一：加花指令 加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。加花以后，一些杀毒软件就检测不出来了，但是有些比较强的杀毒软件，病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。 免杀技术之二：加壳 举例来说，如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。现在去买口香糖你会发现至少有两层包装，所以壳也可以加多重壳，让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧，这就是伪装壳，把一种壳伪装成其他壳，干扰杀毒软件正常的检测。 免杀技术之三：修改特征码 病毒加壳虽然可以逃过一些杀毒软件的查杀，但是却逃不过杀毒软件的内存杀毒，因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。举例来说，如果程序是一张烙饼，那特征码就像上面的芝麻，每一张饼上面的芝麻位置是不同的，所以每个程序包括病毒特定位置上面的字符也是不同，这粒用来识别是不是病毒的“芝麻”就是特征码。 要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码，黑客们只需简单的修改就可以完成“免杀病毒”的制作了。 面对不断翻新的病毒“免杀”技术，传统杀毒软件特征码查杀技术就表现得相对滞后，而如何有效地防杀“免杀病毒”成为摆在杀毒软件厂商面前的最大问题。 完成使命 键盘记录器（软件，硬件） 屏幕搜刮器 电子邮件重定向器 会话劫持器 网络钓鱼 系统重新配置攻击（dns，代理也就是中间人，被动Arp攻击） 数据盗窃 其它 （开摄像头，关机，开光驱，监听麦克风，对别人攻击，很多了） 键盘记录器 键击记录器是指监控被输入到机器中的数据的程序。通常他们会把自己安装到web浏览器中，或作为设备驱动程序。 方法可以通过应用程序挂勾或安装驱动程序等监控用户的输入和屏幕显示。 演示：KBDLogger.exe 屏幕搜刮器 监控用户输入和屏幕显示。屏幕搜刮器可以令其他屏幕输入安全措施失效。 如网上银行用的屏幕输入可以被偷取。 演示：屏幕监控 电子邮件重定向器 电子邮件重定向器（redirector）是拦截并转发外出电子邮件的程序，并在这个过程中将另外一个邮件副本发送到攻击者访问的地址。 即时通信（instant messaging）重定向器监控即时通信应用程序并向攻击者传送消息内容。 它们可用在商业间谍和个人监视中。 会话劫持器 会话劫持（session hijacking）是一种霸占合法用户的会话的攻击。通常，在这种攻击中，