微点交流论坛

标题: 关于木马过微点查杀的方法 [打印本页]

作者: hgzfzq 时间: 2006-7-4 04:52 标题: 关于木马过微点查杀的方法

微点查杀病毒说到底,是行为查杀,和那个绿鹰PC万能精灵有点象.
要研究写一个行为杀毒的杀毒软件，我们必须把木马的这些步骤记录下来，然后分析什么行为是这个木马所特有的，从中指定杀毒方案。
记录木马的这些步骤我们只要使用两个软件就可以做到了。
一是：木马辅助查找器  用于监视  复制到系统目录的文件、木马进程、写入的服务的启动项目、注册表启动项目、访问网络的文件
二是：注册表监视器用于监视  写入注册表启动的项目
具体做法参见黑客动画吧VIP免杀教程的第 13 课~~
我把彩虹桥木马的启动项换成这个
启动键名       程序路径
NeroFilterCheck  C:\WINDOWS\system32\NeroCheck.exe
微点就不杀了~~
呵呵~~
微点~~继续努力啊~~
注:erocheck.exe是Nero的CD烧录软件的一部分。所以替换它,对系统无太大影响

作者: zqrsc 时间: 2006-7-4 08:57
楼上确定这个替换后
1 木马功能没有受损？（请安装并运行该木马测试效果）
2 当你右键关联或完成刻录相关操作时系统如何响应的？木马是否被重载并报错？

作者: 惯睡旺 时间: 2006-7-4 09:26
LZ说的替换是不是有点类似绑定的意思.就是说你启动了Nero的CD烧录软件的主程序erocheck.exe,就激活了彩虹桥木马,第一:LZ你敢肯定这个所谓的木马就没有被损坏,第二,你敢肯定激活了这个木马后,这个木马就有骚扰机器的嫌疑.
还有你的行为分析理论过于片面化,建议你多看看微点的技术特点.置顶的帖子多看看.

作者: 烟雨无声 时间: 2006-7-4 11:24
楼主说的好象很简单啊!我虽然不是很懂但我觉得行为判断技术也不会这么点东西的吧?

作者: hgzfzq 时间: 2006-7-4 12:09
嘿嘿
修改后的彩虹桥木马完全可以正常运行,功能完好无损~~
只是 Nero的CD烧录软件无法正常工作~~
我说过了
具体做法参见黑客动画吧VIP免杀教程的第 13 课~~
由浩天主讲的,此人是免杀的高手~~

作者: hgzfzq 时间: 2006-7-4 12:28
另外我在说一点
特征码扫描技术并非是绝对落后,比如说德国的杀毒软件 NOD32,该杀毒软件能跟踪指针,再加上其强悍的高级启发式扫描技术,一般的特征码修改法根本对它无效,反正我至今为止,还不能通过特征码修改法过 NOD32 ,目前对付NOD32最有效的方法是,先自己随遍加个壳,然后再手工脱掉,重建输入表函数,这样才过了NOD32.
而且我说的替换彩虹桥木马的注册表启动项,是用16进制修改工具 winhex,把木马原来的注册表启动项,改成:
启动键名程序路径
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
只需要通过搜索原先木马启动的字符串在全部替换成 Nero的CD烧录软件的启动项.
当然,这样做的代价是:
Nero的CD烧录软件无法正常工作了~~

作者: 天道酬勤 时间: 2006-7-4 12:44
楼主是否试过重启机器,这是微点是否有报?

作者: sxh_sxh 时间: 2006-7-4 12:56
楼主用木马替换正常软件有点偷换概念。
楼主应将Nero彻底卸载，再装上木马进行测试。

作者: Legend 时间: 2006-7-4 12:57
微点测试后不存在楼主说的现象，请楼主详细描述您的操作过程，或者将您的样本发送到virus@micropoint.com.cn

作者: 天道酬勤 时间: 2006-7-4 12:59
即使用木马替换了正常的程序应该也过不了微点的,我做过木马替换正常程序的测试,运行后微点依然报了

作者: zqrsc 时间: 2006-7-4 13:01
一般用户发现刻录软件不可用就算不想到病毒身上基本也会重装
不知道这样一来该木马是否还可以正常工作呢?
毕竟装有刻录软件的机器其软件使用率是不低的。
不过思路不错不如尝试换个替换目标如何？
感觉这样的替换木马生存期不会太长。如果替换系统自带的一些程序比如映象估计难度较高。。
PS: 楼上说的有理楼主尝试重启系统看看微点是否识别。

作者: hgzfzq 时间: 2006-7-4 13:02
我重启机器
微点依旧没有报警,我都说了,行为试杀毒的特点是:
杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如：啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程，还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。(摘录于:黑客动画吧VIP免杀教程的第 13 课)
我已经把,木马的特定的行为给修改了,行为式杀毒当然无能为力了~~
最后我说一句:道高一尺,.魔高一丈.这个世界上,不存在过不了的杀毒软件!!!!!
再说了,行为式杀毒,又不是微点第一次提出的,绿鹰PC万能精灵早就有行为式杀毒的理念,所以,行为式杀毒,实际上也早就被那些免杀高手研究过了,因此,各位不要以为装了微点就万事无忧了,还是要加强自己的安全意识才行~~

作者: 含笑半步颠 时间: 2006-7-4 13:10
没明白楼主是怎么做的，你既然修改了启动项是启动Nero的CD烧录软件程序，你的木马实际紧紧是做了修改注册表的动作，按照注册表随后启动的应该是Nero的CD烧录软件程序，这个软件不会做你所说的木马的行为，微点当然不会报警了。微点不是简单的注册表监控软件，请楼主认真了解微点。
特征码也是防护病毒的一种技术手段，只是已经不能适应现在病毒的发展趋势，网络的发达，使得病毒的变种越来越多，而一个病毒重新编译一下特征码就已经变化，包括您说的加壳，所以说特征码技术已经不适应病毒的发展
启发式扫描是针对某单个病毒的一个行为提取特征，然后依据这个行为动作进行判断，漏报和误报很高。

作者: hgzfzq 时间: 2006-7-4 13:19
算了,
我再补充几点吧,本来是不想说的,因为说的太详细,我的木马可能就要被微点挂掉了,
不过也无所谓,你杀掉了,我再修改,呵呵~~杀毒软件奈我何!!
我除了替换了注册表启动项外,还把木马文件运行后的释放路径由原来的 C:\windows\system32 改成了C:\program Files
至于怎么改,我在这里就不方便透露了~~

作者: sxh_sxh 时间: 2006-7-4 13:20
按楼主的方法进行测试，微点还是报，不知楼主是如何操作的，请楼主详细描述您的操作过程，或者将您的样本发送到virus@micropoint.com.cn

作者: Legend 时间: 2006-7-4 13:38
微点并不是象楼主所说的是简单的通过监控某一行为特征作为判断木马病毒的依据,照楼主所说的测试情况,微点肯定会报的.
希望楼主多看一下微点置顶的帖子,了解微点的防病毒的理念.

作者: nasdaq 时间: 2006-7-4 22:30
我个人意见：

楼主说的两点，文件读写和注册表读写，似乎不是行为，而叫结果更准确呢

我个人理解的行为查杀，应该是基于API的，危险API操作不止那两点呢。

我觉得像躲过行为引擎的可能有效办法是：
一、用微点不知道的微软未公开API
二、自己编写一套基础API接口

作者: twfy914 时间: 2006-7-5 12:16
我也测过了没有发现楼主所说的问题

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn