» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 转帖：一个穿越主动防御的木马   作者: 标题: 转帖：一个穿越主动防御的木马 3333522 新手上路 新手上路 积分 29 发帖 29 注册 2006-2-19 #1  转帖：一个穿越主动防御的木马 这个星期《电脑报》提到了一个可以轻松穿越卡巴，瑞星，诺顿的主动防御功能的免杀木马：byshell。于是在网上搜，搜到byshell推广版的说明是：可以穿越卡巴瑞星诺顿的默认设置主动防御。我就下了个推广版回来试下微点能不能防，生成服务端后一运行，微点没有让人失望，立刻报告说发现未知监控软件。本来还想试下远程监控看看微点会不会提示有可疑程序访问网络之类的，因为在单位上班，还是放弃了念头。     BYshell的说明里说，高级版采用新内核驱动，可以轻松穿透 ZA 6/7版，麦咖啡安全套装，麦咖啡8.5i 标准版，KIS 6 卡巴安全套装(包括交互模式)，诺顿安全套装2007，瑞星2007，小红伞和趋势2006 这些杀软的高级别安全设置。不过里面没提到微点，估计作者还没把微点列入考虑范围，如果微点的工程师有兴趣不妨弄个高级版来研究下，看看是否真的那么牛X。如果真能穿越这一大排知名杀软却被微点轻松拿下那就开心了。 ※ ※ ※ 本文纯属【3333522】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-28 21:24 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #2  如何清除能突破主动防御的木马 病人：我使用的杀毒软件有主动防御功能，能拦截木马，可最近我的邮箱账号还是被盗了，为什么会这样? 　　医生：这个其实也是很正常的，毕竟没有一款杀毒软件是万能的，能够阻止目前所有的恶意程序。你的电子信箱被盗很可能是被那种能突破主动防御木马，例如最新的ByShell木马。这是一类新型木马，其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。 　　利用SSDT绕过主动防御 　　病人：像ByShell这样的木马，它们是如何突破主动防御的呢? 　　医生：最早黑客通过将系统日期更改到较早前的日期，这样杀毒软件就会自动关闭所有监控功能，当然主动防御功能也就自动失去了防控能力。现在已经有很多木马不需要调整系统时间就可以成功突破主动防御功能了。 　　Windows系统中有一个SSDT表，SSDT的全称是System Services Descriptor Table，中文名称为“系统服务描述符表”。这个表就是把应用层指令传输给系统内核的一个通道。 　　而所有杀毒软件的主动防御功能都是通过修改SSDT表，让恶意程序不能按照正常的情况来运行，这样就可以轻易的对恶意程序进行拦截。如果你安装了包括主动防御功能的杀毒软件，可以利用冰刃的SSDT功能来查看，就会发现有红色标注的被修改的SSDT表信息。 　　而ByShel木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效呢。 　　小提示：Byshell采用国际领先的穿透技术，采用最新的内核驱动技术突破杀毒软件的主动防御。包括卡巴斯基、瑞星、趋势、诺顿等国内常见的杀毒软件，以及这些杀毒软件最新的相关版本，都可以被Byshell木马成功的进行突破。 　　主动防御类木马巧清除 　　病人：我明白了这类木马的原理了，但还是不知道怎么清除? 　　医生：清除方法不难，和清除其他的木马程序方法类似。下面我们以清除典型的ByShell木马为例讲解具体操作。 　　第一步：首先运行安全工具WSysCheck，点击“进程管理”标签可以看到多个粉红色的进程，这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll(图1)。当然有的时候黑客会设置其他名称，这时我们只要看到没有“文件厂商”信息的，就需要提高自己的警惕。 第二步：接着点击程序的“服务管理”标签，同样可以看到多个红色的系统服务，这说明这些服务都不是系统自身的服务。经过查看发现一个名为hack的服务较为可疑，因为它的名称和木马模块的名称相同(图2)。 　　同样如果黑客自定义其他名称的服务，则在“状态”栏看到标注为“未知”的服务，我们就要注意了，最好一一排查。 　　第三步：点击程序的“文件管理”标签后，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件hack.dll，与此同时还发现一个和模块文件同名的可执行文件(图3)。看来这个木马主要还是由这两个文件组成的。 　　第四步：现在我们就开始进行木马的清除工作。在“进程管理”中首先找到粉红色IE浏览器进程，选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击“服务管理”标签，选择名为hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。 　　再选择程序中的“文件管理”标签，对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后，点击右键菜单中的“直接删除文件”命令，完成对木马的最后一击。现在重新启动系统再进行查看，确认木马中的被清除干净呢。 　　第五步：由于木马程序破坏了杀毒软件在SSDT表中的内容，因此大家最好利用软件自带的主动修复功能来进行修复，或者直接重新将杀毒软件安装一次即可。 　　总结 　　以前的木马种植以前，黑客最重要的工作就是对其进行免杀操作，这样就可以躲过杀毒软件的特征码检测。是黑客现在除了进行基本的免杀外，还要想如何才能突破主动防御的功能。不过已经有木马可以突破主动防御，以后这类木马也会越来越多，因此大家一定要加强自己的安全意识。 反客为主 我的微点主动防御软件能拦截byshell ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-28 22:38 yinuoyang 注册用户 积分 71 发帖 71 注册 2007-12-13 #3   楼上的好专业 ※ ※ ※ 本文纯属【yinuoyang】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 天将降大任于斯人也，必先苦其心志，劳其筋骨，饿其体肤，空乏其身。 2007-12-28 22:51 aaa2117 新手上路 积分 20 发帖 20 注册 2007-12-9 #4   學習了 ※ ※ ※ 本文纯属【aaa2117】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ http://blog.sina.com.cn/aaa2117 微点爱好者QQ群：12314796 2007-12-29 12:19 a87750530 新手上路 积分 12 发帖 12 注册 2007-12-20 #5   学习了，谢谢！！ ※ ※ ※ 本文纯属【a87750530】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-29 15:41 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号