微点交流论坛 - 反病毒 - 转贴：就事论事-谈如今的病毒和木马,到底有没有技术含量?

微点交流论坛 » 反病毒 » 转贴：就事论事-谈如今的病毒和木马,到底有没有技术含量?

drliang
新手上路

积分 13
发帖 13
注册 2007-1-5

#1 转贴：就事论事-谈如今的病毒和木马,到底有没有技术含量?

最近半年了,从媒体恶炒的“熊猫烧香”开始,到最新的“AV终结者”,媒体、公众、网络上吵得风风火火,如此如此厉害之类的,我只是默默的下载上来,加以研究,然后归类,最后总结出来的结果就是:此类东西,根本毫无技术可言!

1 从感染的途径说起:我看除了网页下载(含压缩包或者执行程序打包)和可移动磁盘(俗称:U盘)外,几乎没有第三种感染途径了.
2 从感染的源头说起:除了部分可能是高手们通过隐匿的方法埋的以外,其它几乎清一色的都是注入动态网页.
3 从被感染者说起:几乎都不打微软更新补丁,并且没有良好的安全意识的群体.

以上三点,我下面加以详细说明.

1 可移动磁盘感染,几乎无一例外都是使用了AUTORUN,这个方法.而且源代码都非常的统一:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell打开(&O)command=setup.exe
shellexecute=setup.exe
shell资源管理器(&O)command=setup.exe

开个玩笑说的话,如果换做是我写这东西,我一定做一个特生动的图标,然后我会很容易的加入一行:
icon=XXXX.ico
进去,即使做,也要做得好看,不要太没技术水平.

可是呢?我们亲爱的作者们,却是一味的抄袭,不思进取,连我说的这么简单的东西也没有实现.可见作者群的质素和能力的极端低下.

2 网页感染,几乎都是JS和IFRAME注入式的嵌套加载,而且用的全部都是MS-06014和MS-07017这两个老旧的漏洞来实现的,极少使用了ANI的exploit,但是也无任何技术含量.我都在怀疑,你只需要打足我提到的这三个补丁,几乎可以安全的防范大半的网页注入式木马了.

3 网页被注入,我看网页能被注入的一大半都是ASP的,少数是PHP的,而最终的原因都是服务器管理员,自身根本没有意识到自己的服务器是否存在安全漏洞,并且对权限设置方面,没有任何的了解.UNIX下直接给予777,WIN下直接完全控制的之类,甚至连口令干脆为空或者就是123或者ADMIN之类的弱口令,这不是等着让别人到你服务器上来乱搞一气??特别是政府类的网站,我看那些管理员根本就是吃干饭的.

----------分隔一下----------

以上的说法,并不是说我自己怎么怎么厉害了,只是我从客观的方面谈论一下这个罢了,如果您不信,以下的情况你是否有考虑到?所谓病毒木马的作者们?

1 上面的AUTORUN,如果遇到一个非简体中文的系统,会是什么情况?
2 如果一个打足了补丁的WIN系统,你们有办法实现木马下载么?
3 如果一台WIN系统,禁止了ACTIVEX下载的功能,你又有办法实现自动下载么?
4 如果一台服务器的网站使用全HTML静态页,权限设定得当,后台按一定时间自动更新静态页,你又能如何去注入?
5 退一万步,即使这些东西都下载到机器上,你在非中文的系统下能正常运行么?

呵呵~~如果以上的情况都没有考虑过的话,只能说明你根本不成熟,不具备病毒的任何特性.

杀毒软件厂商在商业的驱动下,也开始了一步一步的退化,也变得越来越脆弱.

瑞星:估计一个简单的 ICESWORD 就能让他彻底闭上那狮子嘴了
金山:可能 WINDOWS 的 Processs kill 就能让他挂了
江民:可能非 WINDOWS 的进程管理器,足以让他死掉
卡巴:5.0还好一点,6.0估计一个简单的 DATE 这个 DOS 命令足以让他致命
360:如果我将注册表编辑器禁止了,或者改名了,好像它什么事也做不了了吧

其它的我也不好说什么了.

如果丢开那些杀软,WINDOWS 自带命令组合,也足够让上面那些中这木马的人,心头发麻,杀软肯定也是不会提供任何可疑操作.

举个例子:

cacls 这个权限操作命令,如果我将你的 %TEMP% 这个目录变量定成了任何人无权访问,结果会如何?
taskkill 这个杀进程命令,如果我指令专杀你的EXPLORER.EXE进程,这个又会怎么样?
更狠一点的: del *.* /s /q 这个呢? 是不是你又准备将硬盘查个底朝天???

其实前几天一直也和有这里发文的YKSOFT,讨论这些事情,我们想像的东西,可能比目前的举更为可怕,但是,一直却没有人去实现.我们自己测试,也基本上以成功而放弃.

呵呵,~~其实这些简单的组合都被它们忽略了.

综上所述:想真正做到不被人欺骗,能自己手工处理这些事情,能好好看清所谓的“技术”,还请自己给自己好好补上一些基础课.不要认为会用,就是会维护;不要认为理解了,就不去深入研究.

不要怕摔倒,哪里摔倒,就从怕爬起来!这才是真正你要做到的事.

谢谢各位看完我这些乱七八糟的话,我不是学文的,能力有限,希望大家能理解,只是我想把这些道理说清楚一点,不要做某些事情而迷茫了自己的双眼.

※ ※ ※ 本文纯属【drliang】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-17 19:42

rongwei188
新手上路

积分 23
发帖 23
注册 2007-6-17

#2

我已经很久没中过毒，有段时间我没装杀毒软件也没事，然后装了天网防火墙，再后来装了微点。现在一直是微点+天网+360，系统一直没问题。其实经常打系统补丁，有良好的上网习惯和很好的安全意识，还有好的辅助软件，很难得中招的。
我的系统用了1年多了，都没什么问题。

※ ※ ※ 本文纯属【rongwei188】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-17 20:20

dsl5
高级用户

积分 578
发帖 520
注册 2007-6-16
来自广州

#3

可以说初学的黑客是继承较多,高手的呢又不肯把自己的作品在黑坛上公布出来!

※ ※ ※ 本文纯属【dsl5】个人意见，与【微点交流论坛】立场无关※ ※ ※

该点饭点了叉烧饭

2007-6-17 22:08

到处闲逛
新手上路

积分 41
发帖 41
注册 2007-3-8

#4

现在都是高手

※ ※ ※ 本文纯属【到处闲逛】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-19 23:09

my18mm
新手上路

积分 17
发帖 17
注册 2007-6-20

#5

刚刚出道的做程序员，好点的程序员做病毒，好点的病毒作者当黑客，好的黑客进国家安全局，所以……

※ ※ ※ 本文纯属【my18mm】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-20 03:14

han
中级用户

积分 422
发帖 420
注册 2007-6-15

#6

如今真正的黑客（指某些方面技术精深的人）尤如凤毛麟角且深居简出，而灰客（不怎么黑）正到处张扬。

======================以下节选内容=======

……没错，反病毒的今天已经开始了堕落，这种堕落体现在关键技术上的不思进取，市场上的尔虞我诈。反病毒商家的自我炒作，彼此炒作已经屡见不鲜。而由于基础反病毒技术的浅显化，使得大量的小手工作坊又一次涌现出来，这些手工作坊的产品不仅没有多少创意。而且它们这些良莠不齐的反病毒/反木马产品，混淆着用户的视听。

在网络上，各个BBS中，你会发现N多人都在谈论病毒，整天谈论的就是怎么清除一个木马，木马又改注册表哪里啦？木马把文件拷贝到哪儿啦？TXT文件关联是不是又被修改啦？等等，并觉得这就是“技术”，乐此不疲。我经常被人家这样问来问去，在某种意义上，我觉得这侮辱了反病毒技术，这个活儿应该叫客服!

当然这种堕落也是病毒技术的堕落，初接触计算机那种对病毒的神秘感已经彻底消失，今天的病毒是看得见的，今天的病毒作者十有八九的不懂变形、多态，你看那几百K的木马，近1M的后门，形形色色的蠕虫和垃圾邮件们依靠操作系统漏洞、应用程序的BUG和对用户的社交工程欺骗来传播。

反病毒公司这个年代大喜过望，因为几乎不用对抗那些诡异的病毒，传统的那些多态、变形的DOS/WIN9X病毒已经随着系统的变换成为昨日黄花，那个年代AV做的再烂都已经无关紧要，新的平台给了大家站在同一个起跑线的机会。如今的商业反病毒公司面对木马几乎是居高临下的傲视，这让反病毒的公司的分析员多少有些无聊，是的，整天面对那些重复着、弱智的木马，那些单一的、垃圾的代码，生活变得那么乏味，没有激情，没有可敬的敌人，惺惺相惜的对手。病毒和反病毒从原来的曲高和寡，彻头彻尾的沦落为下里巴人。

※ ※ ※ 本文纯属【han】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-20 18:13

gxdiyer
注册用户

积分 128
发帖 128
注册 2006-8-23

#7

我早就说过：现在99%的木马或病毒都是小儿科！关键是在防御！在它感染计算机之前就要拦截！所以我现在只用SSM就可以搞定它们。
如果像熊猫烧香一样已经感染很多EXE文件，是比较麻烦的。

※ ※ ※ 本文纯属【gxdiyer】个人意见，与【微点交流论坛】立场无关※ ※ ※

[size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者！[/size]

2007-6-20 23:20

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号