返回
新版"机器狗"病毒(phy.sys)分析

新版"机器狗"病毒(phy.sys)分析

ID:24832132

大小:55.50 KB

页数:6页

时间:2018-11-16

新版"机器狗"病毒(phy.sys)分析_第1页
新版"机器狗"病毒(phy.sys)分析_第2页
新版"机器狗"病毒(phy.sys)分析_第3页
新版"机器狗"病毒(phy.sys)分析_第4页
新版"机器狗"病毒(phy.sys)分析_第5页
资源描述:

《新版"机器狗"病毒(phy.sys)分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、新版"机器狗"病毒(phy.sys)分析~教育资源库  报告名称:新版机器狗病毒详细分析资料(全部资料的一少部分)  报告类型:病毒原理逆向反汇编分析播报  编写:Coderui  编写日期:2008年01月15日  对比机器狗一类新、老版本病毒的特征:  1:新版本机器狗病毒采用VC++6.0编写,老版本机器狗病毒采用汇编编写。  2:新版本机器狗病毒采用UPX加壳,老版本机器狗病毒采用未知壳。  3:新版本机器狗病毒驱动文件很小(1,536字节),老版本机器狗病毒驱动文件很大(6,768字节)。  4:新版本机器狗病毒安装驱动后没有执行卸载删除操作,老版本机器狗病毒安装驱

2、动工作完毕后会卸载删除。  5:新版本机器狗病毒针对的是系统conime.exe、ctfmon.exe和explorer.exe程序文件,老版本机器狗病毒只针对系统userinit.exe文件。  6:新版本机器狗病毒没有对注册表进行操作,老版本机器狗病毒有对注册表HKEY_LOCAL_MACHINESOFTicrosofton.exe、explorer.exe或userinit.exe或机器狗病毒会感染系统中的正常程序conime.exe、ctfmon.exe、explorer.exe或userinit.exe。其实,从概念的理解上来讲述,那些表达都是错误的,是让人理解不清

3、晰的,会严重误导读者。正确的表述应该是这样的:机器狗病毒并不是替换了系统中的那些正常文件,而是针对那些正常文件在硬盘中所存放的真实物理地址进行以覆盖的方式去写入相应的恶意数据。大家可以找来正常的系统文件explorer.exe、被病毒修改覆盖后的系统文件explorer.exe和病毒释放出来的恶意程序tmp281.tmp。对比它们内部数据代码后会发现,被病毒修改后的系统文件explorer.exe的前部分数据代码和病毒释放出来的恶意程序tmp281.tmp文件的数据代码是完全相同的,而后边的数据代码依然是正常系统文件explorer.exe后边的数据代码。。  简单的概念解释

4、:  替换:把原目标程序的数据代码全部清除掉,用新程序的数据代码来代替以前的整个程序。这样,替换后的程序只有新程序的功能。  感染:在不破坏原目标程序数据代码的前提下,向原目标程序的数据代码中追加上新程序的数据代码。这样,感染后的程序既有原目标程序的功能,又有新程序的功能。  覆盖:从原目标程序数据代码的123下一页友情提醒:,特别!文件头0地址处开始,向后依次执行覆盖写入新程序的数据代码操作,我们这里只假设原目标程序文件远远大于新程序。这样,覆盖后的程序只执行新程序的功能,虽然原目标程序的数据代码还存在一部分,但由于没有被调用,所以不会执行。  --------------

5、----------------------------------------------------------  总结:  上边所指的还原保护程序为利用磁盘过滤驱动技术编写而成的系统还原保护程序,出名一点的软件有冰点还原精灵和影子系统等。也就是说,就算用户计算机安装了上边这样的还原保护程序,只要是中了机器狗一类利用穿还原保护程序技术的病毒,就算您重新启动计算机了,但被修改的那个文件explorer.exe也是依然不会被还原的,因为病毒的恶意代码已经覆盖进了这个真实的磁盘文件中。  目前的机器狗一类利用穿还原保护程序技术的病毒有一个致命的软肋,那就是他们所覆盖的真实系统文

6、件在重新启动计算机后一定要自启动运行,不然就失去病毒存在的意义了。现今的机器狗病毒都只是能够穿透磁盘保护的,并穿透不了注册表(无法在注册表中保存添加或修改后的数据信息),这个就是它最大的缺陷。其实,注册表数据信息也是以文件的形式保存在磁盘中的,下一代机器狗病毒可能会实现穿透注册表的功能,等那个时候,可能就很难防范了。这还是不算什么的,下下一代的机器狗病毒可能会利用自己的磁盘过滤驱动去感染真实硬盘下的PE文件,相当的恐怖啊!!  一旦感染了该版本的机器狗病毒,它不仅仅可以穿透还原保护程序,真实系统也一样会中毒。因为病毒修改覆盖了真实的系统文件C:e.exe、ctfmon.exe

7、和explorer.exe程序文件,老版本机器狗病毒只针对系统userinit.exe文件。  (6):新版本机器狗病毒没有对注册表进行操作,老版本机器狗病毒有对注册表HKEY_LOCAL_MACHINESOFTicrosoftWindowsNTCurrentVersionWinlogon项进行操作(感觉该操作没必要,因为重新启动系统后,还原保护程序系统会将其还原掉)。  (7):新版本机器狗病毒去到系统dllcache文件夹下调用真实系统文件运行,老版本机器狗病毒没有到系统dllcache文件夹下调用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。