微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 揭秘病毒木马阴险的自我保护技术【转帖】  

作者:
标题: 揭秘病毒木马阴险的自我保护技术【转帖】
统一天下
禁止发言





积分 348
发帖 348
注册 2010-2-2
#1  揭秘病毒木马阴险的自我保护技术【转帖】



通常,我们发现了病毒进程或文件后,往往并不能如我们所愿那样顺利删除,很多木马都采用Win32 API HOOK 技术来达到隐藏自身或自我保护的目的,一旦发现对自己不利的行为就立即阻止一旦发现对自己不利的行为就立即阻止

下面我们就用通俗的语言详细解释下这些HOOK自我保护技术
 Windows(操作系统)就像一个为我们服务的管理公司,这个公司呢帮我们管理着我们的电脑。一个公司当然不会是一个人,他们有很多人来完成不同的工作。
  他们的工作流程是这样的,有一个服务员是跟在我们身边,当我们有什么事情要办的时候呢,就把事情告诉这个服务员,服务员就把我们的要求报上去,交给负责此事的部门去处理。再把结果告诉我们。
  
  SSDT是什么呢?就是一个指示路标,告诉服务员什么事情应该交给哪个部门去做。我们想结束进程,然后会把这个任务交给服务员,服务员查看SSDT这个路标,上面写着,“结束进程是由NtTerminateProcess这个部门负责的”,然后服务员就会把工作交给这个NtTerminateProcess来处理。再把结果带回给我们。
  
  HOOK是什么呢?HOOK是一种技术,这种技术就是改变SSDT的路标内容,改为“结束进程是由木马负责的”,这时,服务员就会把我们的结束进程的工作交给木马去处理了,木马会查看我们要结束的是谁,如果与它无关,它就接着行使服务员的工作,再把工作传给NtTerminateProcess,然后把结果告诉服务员,由服务员再告诉我们。如果是结束它自己呢?它就不把工作向上报了,直接告诉服务员,这个工作是无法完成的。然后服务员再把结果告诉我们,我们就看到最上面的那个错误提示了“无法完成操作”。
  
  对付HOOK-SSDT的技术呢,我们只需要用冰刃或WSYSCHECK等工具把SSDT给恢复了就行了,恢复的操作就是用原始的SSDT来重新把正确的路标写回去。一般这一层次的木马这样做完之后,就可以删除结束木马了。
INLINE-HOOK是比HOOK更高一层的技术,那么什么又是INLINE-HOOK呢?我们仍然以上面的例子来解释:
  
  服务员查过路标后,将把工作交给特定的部门去做,一个部门也不会是一个人,流程会是这样:交给部门的接待员,再由接待人员报上去、报给部门经理的秘书、部门经理的秘书再报给部门经理,再由部门经理实际分派人手去做。
  而INLINE-HOOK技术呢?就是木马打份成了接待人员并把真的接待人员给替换了。
  木马如果是替换的接待人员,那是最初级的INLINE-HOOK,如果它更高级还可以替换秘书、副经理等,但它必竟不是接待人员也不是秘书不是副经理,但它在那个位置上则必须要做那个位置的工作,所以,一些跟杀它无关的工作,本来它也想做好的工作,却可能由于业务能力不足(INLINE-HOOK的技术不足),而做坏,导致正常工作总是出错,无法也正常人员在位时相比。(表现为机器总是莫名奇妙的出问题、死机或蓝屏)
  
什么是FSD呢?FSD是英文单词的开头字母缩写,即:文件系统驱动(File System Driver)
  再用上面的例子举例:
  一般性的工作呢~我们会交给Windows的一般部门去完成。但文件相对于电脑就像是我们的资产,是有形的东西、贵重的东西。所以,Windows就专门成立了一个更深层次的部门来负责对文件的管理,其它部门接到与文件有关的工作时,都会转交给文件部来负责处理。
  FSD-HOOK呢,就是把文件部的门牌换到了木马门前,其它部门就把工作交给了木马,木马会进行过滤,发现没有删除自己的操作时,再把工作转交给文件部。如果有,当然就不转交了。
  FSD-INLINE-HOOK呢,不用我说,大家也都知道吧,就是把文件部的工作人员直接替换了,部门还是那里,但人变了。效果一样,但隐蔽性更强,同样,也更不稳定了。
读后评: 病毒木马用于保护隐藏自己的几种常用技术,一个比一个厉害,对付它们也只有通过安全辅助工具来手工清除了
 

※ ※ ※ 本文纯属【统一天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-2-6 21:50
查看资料  发送邮件  发短消息   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#2  

前来支持,虽然看不懂...

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点论坛
2010-2-6 23:26
查看资料  发短消息   编辑帖子
lsj301
银牌会员




积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
#3  

技术偶不懂,偶看重效果.

※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我们一直在默默支持微点!
2010-2-7 23:18
查看资料  发送邮件  发短消息  QQ   编辑帖子
饭桶小白
高级用户





积分 558
发帖 556
注册 2009-5-9
#4  

看了很久,还是不懂

※ ※ ※ 本文纯属【饭桶小白】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-2-8 08:42
查看资料  发送邮件  发短消息   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#5  

有些是用进程守护,和微点的自我防护很相似,都是把守护进程模块插入每一个进程中

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2010-2-8 10:04
查看资料  发送邮件  发短消息  QQ   编辑帖子
xlht123
注册用户




积分 85
发帖 83
注册 2009-11-21
来自 木马牧场
#6  

说的很好————但看不太懂。O(∩_∩)O哈哈~

※ ※ ※ 本文纯属【xlht123】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

体贴入微,点滴关怀。
用微点没危险,省心省力省空间。不需扫描能杀毒,主动防御不一般!
2010-2-8 10:40
查看资料  发送邮件  发短消息   编辑帖子
yinweixuan
注册用户




积分 73
发帖 73
注册 2007-8-6
#7  楼主直接说吧 别打比喻

看懂了的 还是看得懂

※ ※ ※ 本文纯属【yinweixuan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


[url=http://www.jiubaotian.net]久保田农业机械[/url]   
[url=http://www.taobao.am]淘宝[/url]  
2010-2-10 19:59
查看资料  发送邮件  发短消息   编辑帖子
xxqxxj
注册用户




积分 168
发帖 168
注册 2009-11-30
来自 河北
#8  

太专业,看不懂
顶还是得顶的

※ ※ ※ 本文纯属【xxqxxj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

卸载卡巴,上微点
2010-2-11 11:19
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号