返回
图文详解“高级木马的自我保护技术与查杀之策”

图文详解“高级木马的自我保护技术与查杀之策”

ID:12370307

大小:1.23 MB

页数:29页

时间:2018-07-16

图文详解“高级木马的自我保护技术与查杀之策”_第1页
图文详解“高级木马的自我保护技术与查杀之策”_第2页
图文详解“高级木马的自我保护技术与查杀之策”_第3页
图文详解“高级木马的自我保护技术与查杀之策”_第4页
图文详解“高级木马的自我保护技术与查杀之策”_第5页
资源描述:

《图文详解“高级木马的自我保护技术与查杀之策”》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、图文详解“高级木马的自我保护技术与查杀之策”别的论坛上看到的帖子,觉得有用,转一下!   作者:MuseHero    为什么要“手工”查杀木马呢?答案是因为偶不信任,不信任什么?不信任自动杀毒杀木马软件告诉我的结果,它们说我的电脑很干净没有病毒木马,但事实是电脑越来越难用、不但速度慢还弹广告;还有,新病毒木马出来了,我又很幸运的中招了,但这时专杀工具还未出来。所以我们要手工查杀。    怎么知道电脑中是否有病毒或木马呢?  答案是:检查。  用什么检查?专业工具!  检查什么?依次检查这几项:启动项、进程、模块、内核、服务函数、联网情况

2、与端口。  如何检查?  我来就是教你的!  这里以CNNIC为例来讲解全套的木马所采用的技术及破解之道,为什么以它为例,因为它用的技术比较高级并且是木马经常会采用的,真的很高级么?不信你可以去网上搜啊~看看都是如何评价它所采用的技术的。    第一项,我们先检测启动项:  如上图所示:我们找到了可疑的启动项。(把拉条向下拉还会看到七八个可疑的)  所用的查找工具其功能需满足以下两点:  1、能够对找到的启动项进行数字签名认证,以防木马改成与系统一样的名字蒙混过关。  2、能对付木马的各种隐藏启动项的技术,以防隐藏型木马被漏查。(什么样的

3、工具能对付什么样的技术,请稍等,我会在后面讲解木马的隐藏技术时详细解释)   第二项,我们再检查进程。    从上图可以看到,我们找到了可疑的进程,而且这个进程与某一启动项中的文件是同一文件,一个可疑进程要求自启动,显然符合一定的木马特征。    对工具的要求是与上面相同:要求能进行数字签名认证以防木马改名字;要求能列出隐藏进程(什么工具能查出什么样的隐藏进程,请看后面的木马进程隐藏技术详解)多句牢骚话,发个这帖子还要审核,那么多更有名的论坛也没见这个样的!你越强调你的地域性,你的特色,或者说小资,越来越完善你的审核关,人只回越审越少! 

4、  废话了,见笑!继续转!   说完牢骚话,过后自己都笑了,西祠怕人少?杞人忧天,井底之蛙了!       找到了,我们是否就可以删除了呢?试试看~   进程无法中止!  这是恐怕有朋友就说了,找强力工具一下儿就杀掉了!  是的,找个强力工具是可以杀掉,但杀掉进程就是清除了木马么?这两者之间肯定是无法划等号的。  而在后面我要讲解的就是这些为什么杀不掉~而强力工具为什么又能杀掉,什么样的工具能杀掉什么样的进程,让您明白了原理之后,自然就透彻的了解了木马,而再遇到新的、未知的也就不怕了,能杀了。  我们再试试删除启动项是否可以:  启动项也

5、无法删除!  此时基本可以确定一点了,我们的确是中招了!  是否可以任它留在我们的机器上呢?还是找个强力工具把他杀掉呢?  肯定有一部分朋友想到了冰刃~这个大名顶顶的强力工具,用冰刃来结束这个进程并删除这个进程的启动项是否可行呢?  你如果试过就会知道,运行冰刃的后果就是会出现比冰刃更有名的比电脑死机更彻底的机器崩溃“蓝屏”!  为什么会这样呢?为什么我们杀不掉它的进程、删除不掉它的启动项、并且运行冰刃会蓝屏呢?  看看这张图,然后我们开始讲解,木马的隐藏与保护技术!上面的软件与冰刃冲突,还会与其它软件有冲突么?  我不知道,只有天知道,

6、所以你的电脑什么时候会死机会蓝屏也只有天知道,所以,我们不能让它留在我们的机器上。    现在我们开始讲解木马的隐藏与自我保护技术:  上面的图是一个SSDT检查图,右边显示的结果是CdnProt.sys这个驱动HOOK了一堆的服务函数。  是不是开始有点儿晕了?一堆名词,可能会让大多数人发晕.  下面我用一个比喻来形容一下儿这些电脑名词与木马技术的实现机制。  Windows(操作系统)就像一个为我们服务的管理公司,这个公司呢帮我们管理着我们的电脑。一个公司当然不会是一个人,他们有很多人来完成不同的工作。  他们的工作流程是这样的,有一

7、个服务员是跟在我们身边,当我们有什么事情要办的时候呢,就把事情告诉这个服务员,服务员就把我们的要求报上去,交给负责此事的部门去处理。再把结果告诉我们。    SSDT是什么呢?就是一个指示路标,告诉服务员什么事情应该交给哪个部门去做。我们想结束进程,然后会把这个任务交给服务员,服务员查看SSDT这个路标,上面写着,“结束进程是由NtTerminateProcess这个部门负责的”,然后服务员就会把工作交给这个NtTerminateProcess来处理。再把结果带回给我们。    HOOK是什么呢?HOOK是一种技术,这种技术就是改变SSD

8、T的路标内容,改为“结束进程是由木马负责的”,这时,服务员就会把我们的结束进程的工作交给木马去处理了,木马会查看我们要结束的是谁,如果与它无关,它就接着行使服务员的工作,再把工作传给NtTer

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。