» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 病毒玩起三十六计 偷梁换柱过主防   作者: 标题: 病毒玩起三十六计 偷梁换柱过主防 dingq6225866 新手上路 积分 2 发帖 2 注册 2012-3-5 #1  病毒玩起三十六计 偷梁换柱过主防 本文出自点饭技术论坛，转载请注明出处！ 众所周知，主动防御是杀软的发展方向，但病毒制作者不甘心就此退出江湖，想出了种种“妙计”绕过主防。下面介绍一种绕过主防的办法，出自《三十六计-----偷梁换柱》。 我们知道，“添加启动项”这一高危动作在以“行为判断”为主要检测手段的主动防御中占有很大的权重，一个程序如果添加了启动项，那么无疑被判定成“未知木马”的可能性大大增加。病毒制造者显然也深谙此道，想出了很多办法让木马自身避免添加启动项。而刚刚有朋友提交给我的样本让我不得不佩服这些人的想法。 木马工作流程大致如下： 1.检测系统中是否存在某游戏（通过读取注册表），如果有则进入2；没有则退出。降低自身暴露的可能性。第一次分析时没注意到这点，汗死。 2.通过对游戏主程序a的分析得知，a运行时要加载子程序b，于是木马将b改名为c，同时释放一个b（即木马的主程序）。 3.游戏启动时会加载木马，木马在运行后会将a对b的请求转发给c，保证游戏的正常运行。 在这整个过程中，我们看到木马没有添加启动项，使用了类似“感染”的方法绕过了主防。传统的“感染”会引起主动防御软件报警（修改可执行文件），但主防软件对重命名不报警，因此被木马钻了空子。 很显然，主防软件对于这种攻击方式在判定上有很大难度，还是那句话，维护网络安全任重而道远，046569与你们共勉。 ※ ※ ※ 本文纯属【dingq6225866】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2012-3-5 20:45 173659857 中级用户 积分 327 发帖 330 注册 2009-5-22 #2   046569与你们共勉。 ※ ※ ※ 本文纯属【173659857】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2012-3-5 23:09 weidianwxl 新手上路 积分 42 发帖 42 注册 2012-2-29 #3   前阵子利用dll白名单的也很可怕啊 ※ ※ ※ 本文纯属【weidianwxl】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2012-3-6 15:24 lxjbernie 新手上路 积分 29 发帖 29 注册 2010-10-26 #4   你说的可能会绕过hpis，但绕过主防还嫩多了。如仅仅判断启动项就判为木马那系统里的东西还不杀的一塌糊涂？？主防技术是多步行为监视技术，只要后续一连串动作符合病毒木马特症，立即锁定，秒杀。 ※ ※ ※ 本文纯属【lxjbernie】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2012-3-8 06:22 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号