木马防火墙hook
很高兴有机会参与这个木马防火墙hook问题集合的讨论。这是一个多元且重要的话题,我将采取系统的方法,逐一回答每个问题,并分享一些相关的案例和观点。
1.震网病毒的深度分析
2.能否推荐一个比360安全卫士更有效的杀木马的软件
3.我中了AV终结者了
4.sandboxie的原理是什么
5.求一个能在Win7 64位 上用的类似XueTr功能的软件
6.QQ盗号木马怎么彻底清除
震网病毒的深度分析
2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。Stuxnet蠕虫(俗称“震网”、“双子”)在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,截止到2010年09月全球已有约45000个网络被该蠕虫感染, 其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、600多个不同哈希值的样本实体。 2.1 运行环境
Stuxnet蠕虫在以下操作系统中可以激活运行: Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 当它发现自己运行在非Windows NT系列操作系统中,即刻退出。
被攻击的软件系统包括: SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 但不排除其他版本存在这一问题的可能。
2.2 本地行为
样本被激活后,典型的运行流程如图1 所示。
样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。
接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。
具体而言,样本先申请足够的内存空间,然后Hookntdll.dll导出的6个系统函数: ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。
进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。
图1 样本的典型运行流程
此后,样本跳转到被加载的DLL中执行,衍生下列文件:
%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。
mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。
mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件(图2 )。
图2驱动程序隐藏某些lnk文件
图3 样本的多种传播方式
2.3 传播方式 Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3所示。
整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。
2.3.1. 快捷方式文件解析漏洞(MS10-046)
这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。
Stuxnet蠕虫搜索计算机中的可移动存储设备(图4)。一旦发现,就将快捷方式文件和DLL文件拷贝到其中(图5)。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。
图4 查找U盘
拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数:
FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。
图5 拷贝文件到U盘
2.3.2. RPC远程执行漏洞(MS08-067)与提升权限漏洞
这是2008年爆发的最严重的一个微软操作系统漏洞,具有利用简单、波及范围广、危害程度高等特点。
图6 发动RPC攻击
具体而言,存在此漏洞的系统收到精心构造的RPC请求时,可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中,利用这一漏洞,攻击者可以通过恶意构造的网络包直接发起攻击,无需通过认证地运行任意代码,并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播(图6)。利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限(图1),然后再次尝试攻击。截止本报告发布,微软尚未给出该提权漏洞的解决方案。
2.3.3. 打印机后台程序服务漏洞(MS10-061)
这是一个零日漏洞,首先发现于Stuxnet蠕虫中。
Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求,将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码,从而实现传播和攻击。
图7 利用打印服务漏洞
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示,它向目标主机发送两个文件:winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件,在一些特定事件驱动下,它将驱使winsta.exe被执行。
2.3.4.内核模式驱动程序(MS10-073)
2.3.5.任务计划程序漏洞(MS10-092)
2.4 攻击行为
Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统(图8):
HKLM\SOFTWARE\SIEMENS\WinCC\Setup
HKLM\SOFTWARE\SIEMENS\STEP7
图8 查询注册表,判断是否安装WinCC
一旦发现WinCC系统,就利用其中的两个漏洞展开攻击:
一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。
二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。
图9 查询WinCC的数据库
2.5 样本文件的衍生关系
本节综合介绍样本在上述复制、传播、攻击过程中,各文件的衍生关系。
如图10所示。样本的来源有多种可能。
对原始样本、通过RPC漏洞或打印服务漏洞传播的样本,都是exe文件,它在自己的.stud节中隐形加载模块,名为“kernel32.dll.aslr.<随机数字>.dll”。
对U盘传播的样本,当系统显示快捷方式文件时触发漏洞,加载~wtr4141.tmp文件,后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块,这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。
图10 样本文件衍生的关系
模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作,它导出了22个函数来完成恶意代码的主要功能;在其资源节中,包含了一些要衍生的文件,它们以加密的形式被保存。
其中,第16号导出函数用于衍生本地文件,包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序,以及4个.pnf文件。
第17号导出函数用于攻击WinCC系统的第二个漏洞,它释放一个s7otbxdx.dll,而将WinCC系统中的同名文件修改为s7otbxsx.dll,并对这个文件的导出函数进行一次封装,从而实现Hook。
第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。
第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中,资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。 3.1 抵御本次攻击
西门子公司对此次攻击事件给出了一个解决方案,链接地址见附录。下面根据我们的分析结果,给出更具体的措施。
1.使用相关专杀工具或手工清除Stuxnet蠕虫
手工清除的步骤为: 使用Atool管理工具,结束系统中的父进程不是winlogon.exe的所有lsass.exe进程; 强行删除下列衍生文件:
%System32%\drivers\mrxcls.sys
%System32%\drivers\mrxnet.sys
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmeric3.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\oem6C.PNF 删除下列注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET 2. 安装被利用漏洞的系统补丁
安装微软提供的下列补丁文件: RPC远程执行漏洞(MS08-067) 快捷方式文件解析漏洞(MS10-046) 打印机后台程序服务漏洞(MS10-061) 内核模式驱动程序漏洞(MS10-073) 任务计划程序程序漏洞(MS10-092) 3. 安装软件补丁
安装西门子发布的WinCC系统安全更新补丁,地址见附录。
3.2 安全建议
此次攻击事件凸显了两个问题: 即便是物理隔离的专用局域网,也并非牢不可破; 专用的软件系统,包括工业控制系统,也有可能被攻击。 因此,我们对有关部门和企业提出下列安全建议:
加强主机(尤其是内网主机)的安全防范,即便是物理隔离的计算机也要及时更新操作系统补丁,建立完善的安全策略;
安装安全防护软件,包括反病毒软件和防火墙,并及时更新病毒数据库;
建立软件安全意识,对企业中的核心计算机,随时跟踪所用软件的安全问题,及时更新存在漏洞的软件;
进一步加强企业内网安全建设,尤其重视网络服务的安全性,关闭主机中不必要的网络服务端口;
所有软件和网络服务均不启用弱口令和默认口令;
加强对可移动存储设备的安全管理,关闭计算机的自动播放功能,使用可移动设备前先进行病毒扫描,为移动设备建立病毒免疫,使用硬件式U盘病毒查杀工具。 相比以往的安全事件,此次攻击呈现出许多新的手段和特点,值得我们特别关注。
4.1 专门攻击工业系统
Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中。
一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。
4.2 利用多个零日漏洞
Stuxnet蠕虫利用了微软操作系统的下列漏洞: RPC远程执行漏洞(MS08-067) 快捷方式文件解析漏洞(MS10-046) 打印机后台程序服务漏洞(MS10-061) 内核模式驱动程序漏洞(MS10-073) 任务计划程序程序漏洞(MS10-092) 后四个漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大规模的使用多种零日漏洞,并不多见。
这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。
另一方面,在安天捕获的样本中,有一部分实体的时间戳是2013年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。
4.3 使用数字签名
Stuxnet在运行后,释放两个驱动文件:
%System32%\drivers\mrxcls.sys
%System32%\drivers\mrxnet.sys
这两个驱动文件伪装RealTek的数字签名(图7)以躲避杀毒软件的查杀。目前,这一签名的数字证书已经被颁发机构吊销,无法再通过在线验证,但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名,因此有可能被欺骗。图11 Stuxnet伪造的数字签名
4.4 明确的攻击目标
根据赛门铁克公司的统计,7月份,伊朗感染Stuxnet蠕虫的主机只占25%,到9月下旬,这一比例达到60%。
WinCC被伊朗广泛使用于基础国防设施中。9月27日,伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解,该核电站原计划于2013年8月开始正式运行。因此,此次攻击具有明确的地域性和目的性。 5.1 工业系统安全将面临严峻挑战
在我国,WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。
对于Stuxnet蠕虫的出现,我们并未感到十分意外。早在去年,安天就接受用户委托,对化工行业仪表的安全性展开过研究,情况不容乐观。
工业控制网络,包括工业以太网,以及现场总线控制系统早已在工业企业中应用多年,目前在电力、钢铁、化工等大型重化工业企业中,工业以太网、DCS(集散控制系统)、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络的核心现在都是工控PC,大多数同样基于Windows-Intel平台,工业以太网与民用以太网在技术上并无本质差异,现场总线技术更是将单片机/嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商用网络手段相同的攻击,例如通过局域网传播的恶意代码之外,还可能遭到针对现场总线的专门攻击,不可轻视。
针对民用/商用计算机和网络的攻击,目前多以获取经济利益为主要目标,但针对工业控制网络和现场总线的攻击,可能破坏企业重要装置和设备的正常测控,由此引起的后果可能是灾难性的。以化工行业为例,针对工业控制网络的攻击可能破坏反应器的正常温度/压力测控,导致反应器超温/超压,最终就会导致冲料、起火甚至爆炸等灾难性事故,还可能造成次生灾害和人道主义灾难。因此,这种袭击工业网络的恶意代码一般带有信息武器的性质,目标是对重要工业企业的正常生产进行干扰甚至严重破坏,其背景一般不是个人或者普通地下黑客组织。
目前,工业以太网和现场总线标准均为公开标准,熟悉工控系统的程序员开发针对性的恶意攻击代码并不存在很高的技术门槛。因此,对下列可能的工业网络安全薄弱点进行增强和防护是十分必要的: 基于Windows-Intel平台的工控PC和工业以太网,可能遭到与攻击民用/商用PC和网络手段相同的攻击,例如通过U盘传播恶意代码和网络蠕虫,这次的Stuxnet病毒就是一个典型的例子。 DCS和现场总线控制系统中的组态软件(测控软件的核心),目前其产品,特别是行业产品被少数公司所垄断,例如电力行业常用的西门子SIMATIC WinCC,石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控体系,Stuxnet病毒的攻击目标正是WinCC系统。 基于RS-485总线以及光纤物理层的现场总线,例如PROFIBUS和MODBUS(串行链路协议),其安全性相对较好;但短程无线网络,特别是不使用Zigbee等通用短程无线协议(有一定的安全性),而使用自定义专用协议的短程无线通信测控仪表,安全性较差。特别是国内一些小企业生产的“无线传感器”等测控仪表,其无线通信部分采用通用2.4GHz短程无线通信芯片,连基本的加密通信都没有使用,可以说毫无安全性可言,极易遭到窃听和攻击,如果使用,将成为现场总线中极易被攻击的薄弱点。 工业控制网络通常是独立网络,相对民用/商用网络而言,数据传输量相对较少,但对其实时性和可靠性的要求却很高,因而出现问题的后果相当严重。
传统工业网络的安全相对信息网络来说,一直是凭借内网隔离,而疏于防范。因此,针对工业系统的安全检查和防范加固迫在眉睫。
能否推荐一个比360安全卫士更有效的杀木马的软件
不是病毒。但不排除把病毒名称修改为hookdll.dll,最好的方法:开机进入安全模式,对电脑进行全屏杀毒来排除。
hookdll - hookdll.dll - DLL文件信息
DLL 文件: hookdll 或者 hookdll.dll
DLL 名称: CNNIC ExFilter
描述:
hookdll.dll是CNNIC中文上网客户端的插件拦截过滤功能,建议立即删除。
属于: CNNIC
系统 DLL文件: 否
常见错误: File Not Found, Missing File, Exception Errors
安全等级 (0-5): 3
间谍软件: 是
广告软件: 否
我中了AV终结者了
建议使用最新的木马清道夫2007破解可生机版《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀上万种木马,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰!还不快把这位安全防卫专家请进您的电脑,您还在犹豫什么?
为什么要选择《Windows木马清道夫》?
(1)自动查杀上万种木马病毒,流行病毒及间谍程序等等
(2)有效的未知木马探测功能
(3)嵌入式行为分析,对每一个可疑程序的启动进行有效的拦截
(4)高速准确的硬盘扫描引擎,更快更稳定,将误杀降到最低!
(5)专业的辅助查杀功能,让您迅速了解本机的安全状况
(6)强大的漏洞检测功能,增强您系统的抵抗力
(7)人性化的操作界面,更容易上手!
(8)内置高性能木马防火墙,真正实时保护系统及网络的安全
(9)提供插件扩展,更方便地扩展软件的各种...
2007年全新发布 V10.0 界面进行美化,并分为简洁界面和专业界面!全面优化木马防火墙内核 性能提升30%! 速度更快,监控更准!增加IE漏洞防御,可防止99%的未知木马从网页入侵!增加OFFICE漏洞防御,可防止99%的未知木马通过OFFICE漏洞入侵!增加对隐藏文件的拦截功能!增加拦截自动运行类病毒行为,可防止一切木马病毒从U盘或MP3感染计算机!增加恶意网站拦截,反钓鱼等功能,全新设计,不占系统资源,直接嵌入IE进行分析处理。全新的漏洞扫描功能,扫描更全面!全新的可疑模块探测功能,对未知木马的探测率更高!全面支持Windows VISTA微软最新操作系统!注意:升级时在木马防火墙中的防火墙设置中选择自动升级,因为是破解版是通不过官方服务器的认证的。下载地址:
sandboxie的原理是什么
■专杀工具下载
金山毒霸专杀工具下载地址:/Channels/Service/2006-08/1154786729d36873.shtml
■手动清除办法
1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供)
最近发现很多人出现了打不开杀毒软件 反病毒工具 甚至带有病毒字样的窗口
这是一个可以说结合了几乎所有病毒的特征的病毒
“映像劫持”以及“随机8位数字病毒”其实是一个叫作“AV终结者”的电脑病毒,该病毒通过映像劫持技术,将大量杀毒软件“绑架”,使其无法正常应用,而用户在点击相关安全软件后,实际上已经运行了病毒文件,实现病毒的“先劫持后掉包”的计划。
此外,与以往针对杀毒软件的病毒不同,AV终结者会破坏安全模式,即使用户发现电脑感染了病毒,重新启动后也无法进入安全模式进行查毒,而且该病毒还可下载大量的木马病毒到用户电脑内,用户有价值的信息以及某些帐号将面临严重威胁。
“AV终结者”不但可以劫持大量杀毒软件以及安全工具,而且还可禁止Windows的自更新和系统自带的防火墙,大大降低了用户系统的安全性,这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。
反病毒专家表示,该病毒的破坏程度与熊猫烧香非常相似,只是比熊猫烧香更加隐蔽,病毒可随系统启动而启动,并通过修改注册表,隐藏进程的方式,让用户不易察觉。该病毒可在硬盘分区生成文件autorun.inf和随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
根据该病毒的传播特点,升级金山毒霸到2007年6月8日的病毒库即可查杀。同时,用户可以利用金山专杀工具进行查杀。
防范措施
因为AV终结者病毒一旦感染,清除过程相当复杂,可能不少用户就会去重装。我们建议用户不要轻易重装系统,使用我们推荐的步骤完成清除,必要时拨打客服电话,请求支持。请采取以下措施防范AV终结者病毒
1. 使用金山网镖或Windows防火墙,可有效防止网络病毒通过黑客攻击手段入侵。
2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞,特别需要注意安装浏览器的最新补丁。
3. 升级杀毒软件,开启实时监控
4. 网管采取综合措施防范ARP攻击挂马事件,有关ARP攻击的解决办法,请参考附件二
5. 关闭windows的自动播放功能
求一个能在Win7 64位 上用的类似XueTr功能的软件
所谓hips(主机入侵防御体系),也就是现在大家所说的系统防火墙,它有别于传统意义上的网络防火墙nips.
二者虽然都是防火墙,但是在功能上其实还是有很大差别的:传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上,通过特定的 tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端,在不联网的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程,或者禁止更改或者添加注册表文件--打个比方说,也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是否允许运行,用户根据自己的经验来判断该行为是否正确安全,是则放行允许运行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用户来说,中毒插马的可能性就基本上很低很低了.但是,只是装上个hips也不是最安全的,毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)!
上面是对hips和防火墙作个区别,因为杀软和这两类软件差别比较大,就不拿到这里来说了,下面我具体介绍一下hips以及常见的几款hips安全软件,希望对各位有所裨益!
我们个人用的HIPS可以分为3D:
AD(Application Defend)应用程序防御体系
RD(Registry Defend)注册表防御体系
FD(File Defend)文件防御体系
它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
常用的HIPS软件有:国外的SNS(Safe'n'Sec Personal)--AD+FD+RD,SSM (System Safety Monitor),PG(ProcessGuard和Port Explorer)--AD+RD,GSS (Ghost Security Suite)--AD+RD,SS(SafeSystem 2006)--FD.
其实我觉得这些hips软件在功能上也大多差不多,更多的我们其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉),谁更适合国人所需,谁更简单易操作,下面我就这些方面做个相对比较简单的介绍吧!
首先是SSM(System Safety Monitor)--因为我比较喜欢这款: 商业版免费版 注册表监视: 高级 基本过程监视: 高级基本底层磁盘访问控制:有 无底层键盘访问控制: 有 无 NT服务监视: 高级 基本 IE设置跟踪:高级 基本用户程序友好对话: 有无优先支持: 高 低开发优先: 高 低 Win9x支持: 无 有
SSM在声誉上面是相当不错的,而且也相对很稳定--虽然能被ICEword干掉,不过其他的hips类好像也都是能被干掉的,这个不是重点,因为在冰刃要干掉他们之前,hips软件已经会报警询问是否允许该项操作,虽然说确了个FD功能,不过我觉得对个人用户来说已经相当足够,起码我已经有半年时间未中毒插马了--当然,如果你还是不放心,再装上个SS补足3D功能也是可以的,最关键的是SSM商业版已经被成功破解了(该软件有简体中文版),唯一觉得不爽的可能就是早期使用比较繁琐,毕竟什么东西的运行都要选择允许还是禁止也是一件头疼事,所以一般在刚装上的时候,我个人建议还是先全部运行一遍所有的你要经常用到的东西就可以了,占用资源也还可以,一般是一个进程10M左右,cpu基本没感觉.我给SSM打90分
其次是SNS(Safe'n'Sec Personal)--他是唯一3D的哦,它建立在行为分析的基础上,有最先进的预先侦查系统,可以防止病毒渗透计算机,破坏信息,对计算机多了一层保护,在计算机保护方面实现重大突破。同时,快速安装,易于操作的界面,和反病毒软件和个人防火墙极好的兼容性,智能的决策技术,最强的保护和对系统运行的最小影响等特点更增加了Safe'n'sec的魅力--汗,这个是官方介绍,我自己觉得是相当的牛了,不过我自己还没有用过--这是全英文版本英语太菜,而且没有破解(专业加密公司出品,想破解难度好大的),在网上看过测评,据说是比GSS+SS还要牛的.我给 SNS打95分再下来就是GSS(Ghost Security Suite),其实用的时间并不是很长,可能没有多大发言权,不过我个人不是很喜欢这款,因为貌似不太稳定,在运行大型游戏的时候,似乎CPU容易飙升,这个不少人如此,不知道是不是此软件本来就是如此,但是GSS还是相当不错的--简单明了,有自己的操作模式,不如SSM来的细致繁琐,但是也是相当安全,特别是在配合SS使用之下.不过最不爽的是容易被任务管理器干掉,我昏,而且长时间没有更新了,不知道搞什么!不过话说回来,现在网路广泛流传的GSS亚尔迪破解版还是很不错的.我给GSS打88分,GSS+SS打92分
最后简单说下PG和SS,SS规则完善但不够稳定,PG简单稳定,大致上PG感觉和SSM以及GSS差不多,就看用户个人喜好了~~~
最后还提一款hips软件--Winpooch(因为没有用过,所以就只能借用别人的话来说了),相对GSS而言,无疑,GSS的稳定性比 Winpooch略强,但是GSS的规则添加到500条左右的时候就会变得很慢,而且GSS只能监控注册表,但是,Winpooch不只可以监控注册表,还可以监控文件的读取、写入,还可以监控网络连接,而且目前Winpooch已经有600多条规则了,对系统的影响还是很小,软件推荐给你了,好不好用还得你自己测试才最实际。
一、 关于Hips的基本概念.
HIPS:
Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
因为病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。
二、HIPS原理以及和杀毒软件、防火墙的区别.
杀毒软件:
计算机病毒指的是一些具有恶意代码可能危害计算机的程序。
杀毒软件基本上应当具有以下两个基本功能:
1:杀毒-- 即对带毒文件或病毒本身进行查杀的功能。
2:监控-- 一般具有文件监控,网页监控(即监控远程80/8080等常用端口),邮件监控(即监控POP和SMTP端口),等。
能够杀毒防毒的是杀毒软件,不是防火墙。
防火墙:
简单的理解,防火墙是架在两个互相通信主机之间的一个屏障,对非法数据包进行过滤。
我们使用的多数个人防火墙基本具有:防止非法入侵(防止内连) 与 防止本地非法外连 的功能,而SP2系统自带的墙没有后者的功能。
基于这两点,我们可以简单理解防火墙的两个作用:
1:通过阻止非法数据包,防止黑客通过某些手段入侵。
2:防止木马发生外连**本地机密信息。个人防火墙没有杀木马的功能,它所做的是在中了木马之后,通过规则禁止其外连以免丢失数据。
现在有不少厂商将自己的杀软和防火墙做成一个网络防护体系,比如:KIS(卡巴) NIS(诺顿) MIS(咖啡)等。。。
HIPS:Host Intrusion Prevent System 主机入侵防御系统
所谓hips(主机入侵防御体系),亦即系统防火墙。它有别于传统意义上的网络防火墙(nips)。二者但主要区别是:传统的nips网络防只有在你使用网络的时候,通过特定的 tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端;而hips是限制进程调,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所hips检测,然后弹出警告,询问用户是否允许运行。一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,以防中毒、插马的可能性。
比如卡巴,咖啡等也具备有一些hips的功能,但功能上比不了专业的hips软件.
三、 HIPS功能的类别
HIPS功能的类别可以分为3D:
1.AD(Application Defend)应用程序防御体系、
2.RD(Registry Defend)注册表防御体系、
3.FD(File Defend)文件防御体系。
它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
目前在有些杀软或防火墙中,也含HIPS功能。
四、 Hips软件的大全
1.Tiny Firewall (网络防火墙),<a href=".com/soft/15753.html zww3008汉化版
/SoftView/SoftView_3014.html 瑞星版本的专杀 下载地址 /SoftView/SoftView_3668.html 清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件 参见 上面回答者
软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具
界面语言: 简体中文
软件类型: 国产软件
运行环境: /Win9X/Me/WinNT/2000/XP/2003
授权方式: 免费软件
软件大小: 414KB
软件简介: 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务
五、灰鸽子的公告声明
灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均为商业化的远程控制软件,主要提供给网吧、企业及个人用户进行电脑软件管理使用;灰鸽子软件已获得国家颁布的计算机软件著作权登记证书,受著作权法保护。
然而,我们痛心的看到,目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为,这些行为严重影响了灰鸽子远程管理软件的声誉,同时也扰乱了网络秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。
应该表明的是,灰鸽子工作室自成立以来恪守国家法律和有关网络管理的规定,具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动,在此,我们郑重声明,自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册,以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为,并诚恳接受广大网民的监督。
灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为,对于此类行为,灰鸽子工作室发布了灰鸽子服务端卸载程序,以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。卸载程序下载页面。
六、灰鸽子工作室
灰鸽子工作室于2003年 初成立,定位于远程控制,远程管理,远程监控软件开发,主要产品为灰鸽子远程控制系列,2005年6月,正式推出使用驱动技术捕获屏幕的远程控制软件,捕获屏幕速度开始超越国外远程控制软件,灰鸽子开始被喻为远程控制的代名词。我们希望,用我们的技术和经验,打造出最好的远程控制软件,推动远程控制技术的发展!
2007年3月21日
/uninstall/
卸载页面
七、灰鸽子官方网站
八、 灰鸽子工作室成员介绍
葛军:2003年初,与好友黄土平创建了灰鸽子工作室。2001年挺进版率先在远程控制软件上开发和使用了反弹连接技术。
黄土平:2003年初,与好友葛军创建了灰鸽子工作室。
灰鸽子是同类软件的祖先
一、对于你的具体问题的分析
很明显你的QQ被盗了,为什么被盗则是因为中了木马.关于木马如何进入你的计算机及如何**你的QQ号及如何防范木马,请看下文.
二、什么是计算机病毒与木马
计算机病毒是一个程序,一段可执行码。它和我们常用的各种软件如播放器、QQ聊天软件等一样都属于应用程序,计算机病毒与普通应用程序的区别在于它一般具有传染性、隐蔽性、破坏性等特点。计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。木马程序通常由客户端(Client)和服务端(Server)两部分组成,服务端被种植到远程计算机上,客户端由黑客在自己的主机上运行,客户端可以向服务端发送各种指令来控制服务端的电脑。
计算机病毒和木马都是一种应用程序,病毒的主要特点在于传染性和破坏性,木马的主要特点在于远程控制,木马与病毒相比更具有潜在的危险性。
三、什么是计算机漏洞
顾名思义,计算机漏洞就是指计算机软件在程序设计上的缺陷,留下了隐患。黑客利用计算机漏洞可能完全控制你的电脑。微软的操作系统本身就存在着大量的漏洞(微软的主要操作系统有:MS-DOS,Windows 98/Me,Windows NT,Windows 2000,Windows XP,Windows 2003等),比较著名的漏洞有MS05039溢出漏洞、MS0601图形呈形引擎导致的远程执行代码漏洞、HELP控件跨域执行代码漏洞等,黑客利用这些漏洞曾一度使互联网病毒泛滥。
四、流行木马工作过程详解
1. 密码窃取木马,在此以QQ窃密木马“阿拉QQ大盗”为例:
阿拉QQ大盗在互联网上很流行,通过对木马程序进行初步的配置后它可以自动生成一个木马程序,如果你的计算机不幸运行此程序后,你的QQ将会在指定的时间内被强行关闭,当你再次登陆QQ时,你的号码及密码就会被此木马程序悄悄的发送到木马制造者指定的收信程序中,从此你的QQ号就不再是你的了。
2. 远程控制木马,在此以让人望而生畏的“灰鸽子”为例:
灰鸽子是一款很有名的远程控制软件,它由服务端和控制端两部分组成。它属于反弹端口型的木马程序,当你的电脑不幸中了灰鸽子服务端后,服务端会自动向木马制造者设置的地址发送连接请求,当服务端与客户端建立网络连接后,木马制造者将拥有你的电脑的完全控制权,包括密码窃取(如窃取你的宽带上网帐号进行网上消费)、屏幕监控(木马制造者可以远程看到你的桌面,你在做什么他可是了如指掌)、数据下载(你的所有资料都可以被他窃取)、格式化硬盘(让你的所有数据灰飞烟灭)、远程开启视频(如果你安装了摄像头的话,对方可以悄悄的打开你的视频而不被你察觉,真实的你也会展现在黑客面前)。
五、木马、病毒的传播途径
通过上面的介绍,相信大家对木马、病毒的危害巳经有一个感观的认识了,你也许会问:木马、病毒是如何进入我的计算机的呢?下面我就对木马、病毒的几种主要传播手段做一个简单介绍。
1. 通过硬件存储介质传播
前面讲过计算机病毒有自动复制传染的特性,所以如果U盘、MP3、SD卡、软盘、移动硬盘等移动存储设备如果接入感染了病毒的计算机后,其本身可能也会被感染病毒,如果再接入没有被感染病毒的计算机后,该计算机可能也会被传染病毒。
2. 通过局域网共享传播
前面提到了计算机的漏洞,微软的IPC共享就存在严重漏洞,许多病毒可以通过IPC默认共享自动感染局域网内的所有计算机。(我们在局域网内实现共享打印机、共享文件都是利用IPC来实现共享的)
3. 通过与应用软件捆绑传播
此种手段较为高明,木马制作者把木马程序捆绑到一个比较常用的应用软件上,比如Photoshop、QQ、Realplayer、Word等软件上,然后把这些捆绑了木马程序的应用软件放到互联网上提供给网友下载,当你下载下来安装这些软件的时候,被捆绑其上的木马也被你同时安装到自己的电脑中了,这一过程是不被你察觉的。
4. 通过电子邮件附件传播
木马制作者可以直接把木马程序作为附件发送给你,利用社会工程学的知识来骗你打开附件,比如说是你的同学,发给你一张新拍的照片,如果你信以为真,那可能就中计了。直接发送木马程序对于稍有网络安全意识的人来讲还是可以防范的,因为木马程序既然是应用程序,那么它的后缀名必定是.EXE。更高级的附件发送木马手法还是挺高明的,比如把木马程序的图标改为文件的图标或是Word文档的图标来进行鱼目混珠,还可以利用Word的宏命令直接把木马程序写入Word文档中,这样就更难察觉了。
5. 通过网页木马传播
什么是网页木马?答:网页木马就是利用计算机漏洞构造出的具有特殊功能的网页,当你打开此网页且你的计算机有此网页利用的漏洞时,你的电脑就会自动从指定的网址下载木马程序到你的电脑上并自动运行。这一切都是在隐蔽状态下进行的,对于你来说,你只不过就是打开了一个网页而巳,没有进行任何其它操作,但是你的电脑巳经中毒了。相对于其它传播手段而言,此种传播手段的传播效率最高!大约90%以上的木马程序都是通过网页木马来进行传播的。你也许会说你没有上什么不正规的网站,怎么也会中毒?事实上目前的许多网站都存在着各种各样的漏洞,黑客利用这些漏洞可以入侵网站,包括有名的网易、搜狐、新浪等大型知名网站都曾遭遇过黑客入侵而被篡改主页。黑客入侵网站后如果在这些网站的首页加上一段调用网页木马的代码,那么当你浏览这一网站时你就可能中了木马了。
6. 通过邮件网页木马传播
前面巳讲到什么是网页木马,那么邮件网页木马顾名思义就是通过邮件传播的网页木马了,木马制造者通过编辑电子邮件的源代码,可以发送一封网页格式的电子邮件给你,此种格式的邮件如果在源代码中加入调用网页木马的代码就称为邮件网页木马,此中邮件没有附件,你只要打开了这封邮就会中马,不需要进行其它任何操作!它相对于网页木马的优点在于可以发送到指定的邮箱指定目标进行攻击。
7. 通过影音文件网页木马传播
不知大家是否有过这样的经历,下载到一部自己喜爱的**,正在观看时突然弹出来一个网页,这个网页就有可能是网页木马了(也有可能只是做广告),视频文件是可以添加事件的,可以让它在播放到指定时间时打开一个网页,如果打开的网页是网页木马,那么你的电脑从此就中毒了。此种木马常见于一些不正规的小网站提供的**下载中或是BT等共享视频中。
六、杀毒软件与防火墙的工作原理
杀毒软件杀毒的一个重要依据就是根据自己病毒库中的特征码定义,所谓特征码就是某程序所特有的代码段,病毒特征码就是指某病毒所特有的代码,杀毒软件在对文件进行杀毒时对文件内的内码逐一进行检查,一旦发现此文件中含有某种病毒的特征码那么它就认为是某种病毒,无论这个文件到底是不是病毒。比较高级的杀毒软件通常对同一种病毒有两种特征码定义:文件特征码和内存特征码。程序是运行于内存中的,内存中的代码与文件本身的代码是不同的,有些文件直接用杀毒软件查杀是没有病毒的,但是你一旦运行它就会查出有病毒就是这个原因。
“黑客会打上我的主意吗?”这么想就对了,黑客就想钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢?防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。 天下的防火墙至少都会说两个词:Yes或者No。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。值得一提的是,只要你想上网,你的防火墙就一定会对一些程序和端口说“YES”来放行的。
七、道高一尺魔高一丈,木马病毒如何逃过防火墙与杀毒软件的拦截查杀
前面讲到杀毒软件杀毒的一个重要依据就是特征码,那么如果一个程序中不含有病毒库中定义的所有特征码的话,杀毒软件就自然不会认为这个程序是病毒了!黑客高手们通常的做法是做出来一个木马、病毒程序后,用各种杀毒软件去杀它,而后取得各种杀毒软件对此程序的特征码的定义,然后就是修改特征码,把征征码的代码改用其它的程序代码来实现相同的功能,经过大多数杀毒软件的轮攻与修改后,这个病毒就可以顺利逃过各种杀毒软件的查杀了!前面亦有提到只要你想上网,防火墙就会对某些程序(如IE浏览器)和端口放行,那么病毒木马通过线程插入系统进程的技术可以将自身置入系统进程之中,木马程序通常会利用80端口进行远程连接(WEB服务默认端口),这样只要你的电脑可以上网,那么木马程序同样也会被防火墙放行!对于黑客高手而言,普通的杀毒软件和防火墙(普通用户用到的杀毒软件及防火墙)就等于是花边,对们来说是不起什么作用的!所以当你用杀毒软件把你的所有硬盘都扫了一遍而没有发现病毒时你也不要沾沾自喜,很可能你中了做了免杀处理的病毒,这样虽然你中毒了你的杀毒软件也会视若无睹。-
八、木马隐藏技术,木马程序藏身何处
木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体,并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马,于是便出现了下面要介绍的“进程隐藏”技术。
第一代进程隐藏技术:Windows 98的后门
在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。
第二代进程隐藏技术:进程插入
一个进程可以包含若干线程(Thread),线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件,另一个则接收用户的按键操作并及时做出反应,互相不干扰),在程序被运行后中,系统首先要做的就是为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程。
一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,这里以盗QQ密码的木马为便进行简单讲解。
普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是“家贼难防”啊!
不要相信自己的眼睛:恐怖的进程“蒸发”
严格地来讲,这应该算是第2.5代的进程隐藏技术了,可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中,而可以直接消失!
它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数,进程信息都包含在该函数的返回结果中,由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。
而木马由于事先对该API函数进行了Hook,所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色),木马便得到了通知,并且在函数将结果(列出所有进程)返回给程序前,就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目,却有人不知不觉中将电视接上了DVD,你在不知不觉中就被欺骗了。
所以无论是“任务管理器”还是杀毒软件,想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段,只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除,这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题,所以没有被广泛采用。
什么是Hook?Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制,中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后,一旦发生已Hook的事件,对该事件进行Hook的程序(如:木马)就会收到系统的通知,这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。
毫无踪迹:全方位立体隐藏
利用刚才介绍的Hook隐藏进程的手段,木马可以轻而易举地实现文件的隐藏,只需将Hook技术应用在文件相关的API函数上即可,这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是,现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。
跟杀毒软件对着干:反杀毒软件外壳
木马再狡猾,可是一旦被杀毒软件定义了特征码,在运行前就被拦截了。要躲过杀毒软件的追杀,很多木马就被加了壳,相当于给木马穿了件衣服,这样杀毒软件就认不出来了,但有部分杀毒软件会尝试对常用壳进行脱壳,然后再查杀(小样,别以为穿上件马夹我就不认识你了)。除了被动的隐藏外,最近还发现了能够主动和杀毒软件对着干的壳,木马在加了这种壳之后,一旦运行,则外壳先得到程序控制权,由其通过各种手段对系统中安装的杀毒软件进行破坏,最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。
什么是壳?顾名思义,你可以很轻易地猜到,这是一种包在外面的东西。没错,壳能够将文件(比如EXE)包住,然后在文件被运行时,首先由壳获得控制权,然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密,这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”,如果发现某文件中含有这个特征,就认为该文件是木马,而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”,加密后变成了“54321”,这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除,恢复文件没有加壳前的状态。
九、普通用户网络安全的出路:防胜于杀
综上可见,依赖于防火墙和杀毒软件想做到百毒不侵那是不可能办到的事情!可以这样说,只要你接入互联网那就有可能中毒,而且有可能中了毒也查不出有毒,那么对于没有专业的网络安全知识的普通用户来说,如何才能保障自身的网络安全呢?
1. 打好系统补丁,修复系统漏洞
前面讲到病毒的最大来源就是网页木马,而网页木马必定依赖于系统漏洞而生存,如果你的系统没有网页木马所利用的漏洞,自然它就不能发挥任何作用了!所以防范木马病毒进入电脑的最佳办法就是及时打好系统补丁,然后用漏洞扫描工具检测一下系统是否存在漏洞,直到修复到没有任何巳公布的漏洞而巳。
2. 及时更新杀毒软件的病毒库
虽然杀毒软件不是万能的,但是安装一个好的杀毒软件还是很有必要的,微软公司每年都会公布出大量的系统漏洞,然后在官方网站提供漏洞补丁供用户下载,然而仍然有许多未被发现的漏洞有可能被黑客利用,所以装个比较好的杀毒软件还是很必要的,推荐卡巴斯基和瑞星,卡巴斯基除了利用特征码杀毒外,还启用了虚拟机技术和行为跟踪技术,其文件查杀与内存查杀能力可谓是出类拔萃!瑞星与其它杀毒软件相比最出色的地方就在于内存查杀能力相当强大,缺点就是许多病毒木马都特别针对瑞星做了反查杀处理。
3. 做好系统备份,做好灾难恢复的准备
既然打补丁和安装杀毒软件都不是万能的,那么就要做好中毒的准备,及时做好系统备份,一旦出现灾难性故障可以迅速恢复操作系统,免去数据丢失的风险和重装系统的麻烦。
好了,关于“木马防火墙hook”的话题就到这里了。希望大家通过我的介绍对“木马防火墙hook”有更全面、深入的认识,并且能够在今后的实践中更好地运用所学知识。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
