aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
|
#1 【转贴】截住无名黑手统杀未知木马!
转自http://bbcd2005.bokewu.com/blog77586.htm
“黑”友们在黑人的同时,也得时刻防备着被人所黑,因此一款专业的安全软件必不可少。大部分的黑友们都安装了防火墙和杀毒软件,不过现在很多杀毒软件都有一个非常大的缺点,对于未知的木马病毒无法进行防范。其实作为黑客,我们都非常清楚,任何一款木马只要经过特殊的加壳后,就可以让一般的杀毒软件形同虚设!如何防范未知的木马和病毒呢?
一、“微点主动防御软件”简介
“微点主动防御软件”是一款极为强大的系统安全工具,最大的特点是采用了主动防御技术,真正的实现了防范未知的木马。所谓的“主动防御技术”,就是通过一款程序的行为判别其是否为木马或病毒,以防范未知木马破坏系统,真正的让系统安全无忧。
二、自动防御,拦截有害程序
安装了“微点主动防御软件”后要求重启系统,“微点主动防御软件”会随系统重启时自动运行,开始拦截系统中的有害程序。首先我们可以作一些小设置,打开软件主界面,展开左侧“安全防护与策略”,点击“程序行为实时监控策略”项,在右侧的设置界面中可勾选“自动处理”或“询问后处理”项。为了防止软件误删正常程序,最好选择询问后处理项。设置完毕后,点击“保存设置”按钮,软件就开始自动拦截有害程序了。
通过此操作识别程序是否有害虽然有效,但也常出现误判的情况,这时可以点击设置页面中的“可信程序设置”按钮,将误判的程序添加到列表中。
笔者作了一个小实验,将灰鸽子木马用“幻影加壳”软件进行加壳后,并与系统中安装的下载工具“迷你迅雷”捆绑在一起,这样一般的杀毒软件都无法查出该木马了。然而在双击运行下载工具时,“微点主动防御软件”提示发现有害程序,并询问是否删除。看来软件通过程序行进行木马识别判断,准确性比一般的杀毒软件要强得多呢!
三、主动出击,以攻为守
“攻击是最好的防御”,在对付有害程序时也是如此,在“微点”中提供了主动扫描有害程序、漏洞和网络、程序策略编辑等功能。
展开左侧的“安全防护与策略”,点击“可疑程序诊断”项,软件会自动扫描当前进程中的可疑程序,并给出扫描报告。点击“修改程序策略”和“网络访问策略”项,可以像普通防火墙软件一样,设置可信任的程序及程序访问网络的权限。
木马与病毒攻击系统,比较常见的情况是利用系统漏洞进行的,因此在“微点”中有一个比较重要的功能“漏洞扫描”。点击该功能项,经过快速扫描,在右侧界面中将会列出当前系统中还未安装的漏洞补丁,点击列表中的“下载补丁”按钮,即可下载安装补丁程序加固系统。
四、手工分析,智能弥补
世上没有包医百病的灵丹妙药,“微点”也不可能百分之百的拦截住所有的病毒,对于某些未知的程序,有时还需要我们手工的分析。
1.揪出隐形木马
许多木马是采用DLL注入正常进程,或者对木马进程进行了隐藏,通过“微点”的进程分析功能,可以方便的检查出此类木马。
以检测一款国外著名的反弹木马“CAIN”为例,笔者首先关闭了“微点”软件,然后在本机上对该木马的DLL文件进行了改名,并将其注入到系统进程“svchost.exe”中。打开“微点”使用“可疑程序诊断”功能扫描当前进程,扫描结果提示发现可疑进程“svchost.exe”,但是由于该进程是系统进程,因此无法删除只有手工的办法进行病毒分析。
展开“系统分析”项,点击其下的“进程综合信息”子项,在右侧窗口中显示当前所有进程及详细信息。在其中展开“当前进程”→“Windows系统”,在其中找到“svchost.exe”进程。可看到该进程打开了三个端口,并且反弹连出到IP地址“211.98.4.1”,很可能是木马在作祟。
那么木马到底是通过哪个DLL文件调用监听端口的呢?选择“svchost.exe”进程后,在下方的窗口显示了该进程中调用的所有DLL文件。其中大部分是正常的Windows调用的DLL文件,木马调用的DLL文件就隐藏在其中。要从中识别出木马DLL文件很简单,因为“微点”对DLL文件进行了分类标识。一般来说,非Windows系统DLL文件将会以蓝色高亮显示在列表中,并且在信息栏的“程序说明”列中标记“其他软件”。因此很容易的就从中找到了改过名的“CAIN”木马的DLL文件,文件名为“sock_4.dll”,并在“全路径”中显示了该DLL文件在硬盘中的位置。可进入安全模式或DOS状态,找到这几个文件后将其删除即可成功清除掉木马。
在“微点”界面右上侧中,有一个实时提示框,在其中显示了当前进程数目,网络连接数,并且以滚动条的方式显示了正与本机连接的远程IP地址,非常方便用户了解系统网络状态。
2.行为分析,精确无误
“微点”最强的功能就是行为分析,除了软件自动的分析功能外,我们还可以通过手工分析程序的行为,判断未知程序是否是木马。
以某个名为“COMMON”的EXE格式的Flash程序为例,网上的“朋友”将它发给我,并说明这绝对是一个精彩的Flash游戏。首先用杀毒软件扫描了一下,没有发现病毒,运行程序后确实是一个游戏,不过却发现我的系统变得慢了许多。于是打开微点,在左侧功能栏中展开“当前进程”→“媒体软件”,在其中找到了游戏进程。右键点击进程,选择“程序信息”命令,打开进程属性对话框。在对话框中可以看到该进程是何时启动的,并可看到游戏运行时在Windows系统目录下生成了几个DLL文件,游戏还修改了注册表内容,在自启动项目中添加了许多键值。普通的Flash游戏哪里会修改注册表,并且悄悄地在系统目录中安放几个不知名的文件啊?现在基本上可以判定这个游戏绝对是一个木马了!
在刚才的进程列表中选择游戏进程,右键点击进程名,在弹出菜单中选择“结束进程”或“结束进程树”命令,即可强进关闭掉许多受系统保护的顽固进程。
除了上面介绍的这些功能外,“微点”还有着其它强大的行为分析功能,例如在“系统自启动信息”功能项中,可以查看到所有自动动程序,还包括DLL文件、VXD驱动、SYS服务信息等,可有效的防范各种服务型和驱动型启动的木马,远远比普通安全软件强大得多。在“安全日志”和“系统日志”功能中,可以查看到各种网络溢出攻击行为记录,及时的把握系统安全状态。
“微点”的功能极其强大,利用它于系统中的防火墙和杀毒软件结合,相信任何木马病毒都难以再进入你的系统,系统从此安全无忧!!!
转自http://bbcd2005.bokewu.com/blog77586.htm
| |
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2006-3-24 17:46 |
|
zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22
来自 .net
|
#2 回复: 【转贴】截住无名黑手统杀未知木马!
不错~~
很好的活广告~
呵呵~
| |
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-3-24 17:55 |
|
zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22
来自 .net
|
#3 回复: 【转贴】截住无名黑手统杀未知木马!
不错~~
很好的活广告~
呵呵~
| |
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-3-24 18:02 |
|
luck
注册用户
初级会员
积分 64
发帖 64
注册 2006-3-2
|
#4 回复: 【转贴】截住无名黑手统杀未知木马!
确实写得好, 有理论, 有实例。对“微点” 的推广应用应该顶有帮助。
但是, 在本贴所引用的那段话里, 既有值得欣慰的信息, 毕竟恶意程序被查杀; 也有让人反思的忧虑, 因为这成果不是“微点” 主动查杀的, 而是作者有意识地去分析鉴别出来的。虽然说这其中“微点” 功不可没, 是他提供了详尽准确的检测信息才能有那完美的结局, 可是, 请设想一下, 如果在成千上万的普通用户中, 在千变万化的实用环境中, 无法遇到那么多具有一定知识的人, 也没有这么巧的使人警觉的机会, 这个同样的实例, 将会产生什么样的后果?
所以, 为 "微点" 的将来立足和发展着想, 开发者们应就这个问题提前多作防范, 怎样让 "微点" 更加智能化, 在查杀上做到基本由软件自主自动分析鉴别, 人工辅助应该只限在对用户所用的可信程序的确认上。
也许会有人说, 生成安放几个DLL文件,修改添加注册表键值, 算不了什么大事, 反正恶意程序一旦活动就会被杀。但是对于普通用户来说, 如果这款游戏是要连网的, 恶意程序利用用户操作之便, 把自己的信息像走私般地进出, 就算“微点” 发现不妥发出警报, 用户也无法判断是该继续玩这游戏, 还是立刻删除它。除非它在警报中是已被命名的某某某, 不然, 光提示它是未知的某某或可疑的某某, 用户会不会以为这是对其游戏的误报而将它列入可信区呢? 毕竟, 这是款连网游戏; 毕竟, 以目前试用的情况来看, “微点” 一直仍然把许多著名流行的软件报作可疑的或未知的...... 因此, 以我肤浅的学识认为, 能不能发警报时多显一些能确认的危害行为信息, 并记录在日志中, 以防万一当用户因疏忽先放入了可信区后, 再去认真分析日志时有所依据并给以改正。
| |
※ ※ ※ 本文纯属【luck】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-3-24 22:07 |
|
kaddgt
新手上路
新手上路
积分 19
发帖 19
注册 2006-3-19
|
#5 回复: 【转贴】截住无名黑手统杀未知木马!
嗯, 是好贴哦...
| |
※ ※ ※ 本文纯属【kaddgt】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-3-24 22:42 |
|
嘎子
新手上路
新手上路
积分 49
发帖 46
注册 2005-11-2
|
#6 回复: 【转贴】截住无名黑手统杀未知木马!
同意!
| |
※ ※ ※ 本文纯属【嘎子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-3-30 12:49 |
|
惯睡旺
注册用户
新手上路
积分 103
发帖 103
注册 2006-1-18
|
#7
嗯, 是好贴哦... LZ的文采不错哈..
| |
※ ※ ※ 本文纯属【惯睡旺】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
~~~ [SIZE=4][COLOR=Red]俺的微点,俺做主[/COLOR][/SIZE] ~~~ |
|
|
|
2006-4-9 23:46 |
|
嘎子
新手上路
新手上路
积分 49
发帖 46
注册 2005-11-2
|
#8
| Quote: | Originally posted by 惯睡旺 at 2006-4-9 23:46:
嗯, 是好贴哦... LZ的文采不错哈.. |
|
拜托。。。好大俩字《转贴》
| |
※ ※ ※ 本文纯属【嘎子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
忍一时风平浪静,退一步海枯石烂 |
|
|
|
2006-4-12 16:49 |
|
kingxc
新手上路
积分 35
发帖 35
注册 2006-6-4
|
#9
不管怎么说,我们中国有名古语:金无赤金,人无完人,什么东西也不是万能的,还是实事求是,辩证的看问题吧
| |
※ ※ ※ 本文纯属【kingxc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
[url=http://www.frtx.net]斐然天下-因你而精彩[/url] |
|
|
|
2006-6-16 20:09 |
|
segourigh
中级用户
新手上路
积分 251
发帖 237
注册 2006-2-19
|
#10
同意4楼luck的观点,微点应“在查杀上做到基本由软件自主自动分析鉴别, 人工辅助应该只限在对用户所用的可信程序的确认上。”更加智能化,最大限度避免用户的误操作
| |
※ ※ ※ 本文纯属【segourigh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-6-17 07:30 |
|
