当今的病毒行为分析
[color=blue]初到病毒救援区.来看看大家.发个帖子来我大家一起学习学习.共同进步![/color][color=#0000ff] 今天我们先来说说当今的病毒行为. 一个成熟的病毒程序一般在破坏系统和对抗防毒软件时都会有以下行为:[/color]
[color=#0000ff][/color]
[color=#0000ff] 1.阻止进程管理工具运行.阻止防毒软件[/color]
[color=#0000ff](早期通过效验进程名.文件名来阻止特定程序运行)(向特定程序发送大量垃圾消息.造成程序无法处理.自行退出)典型:worm.whboy. 危害等级:★[/color]
[color=#0000ff][/color]
[color=#0000ff](释放N个恶意的DLL动态链接库组件插入系统各个进程)可以较好的躲避查杀..隐藏自身.并绕过防火墙监视.典型:AV终结者. 危害等级:★★[/color]
[color=#0000ff][/color]
[color=#0000ff] (使用[/color][color=blue]Rootkit技术.并把自己注册成一个服务或多个服务.启用多个进程互相监视.并会[/color][color=blue]恶意修改注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder] 里面的相关键值,来屏蔽显示隐藏文件功能,这样无论用户在系统设置中如何显示隐藏文件,都无法看见病毒体,这就给用户的样本提取和上报带来了难度。典型:灰鸽子[color=blue]Backdoor/Huigezi [/color]危害等级:★★★
[color=#0000ff][/color]
(IEFO重定向劫持技术病毒通过修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\],来禁止常见的杀毒软件、防火墙软件和安全工具的运行,从而达到躲避查杀,隐藏自身的目的。 典型:映像劫持者 危害等级:
★★★★
恶意驱动技术:病毒会释放特殊的恶意驱动程序接管冰点或者硬盘保护卡对硬盘的读写操作.并替换系统关键程序 explorer.exe等.阻止安全软件以及还原软件.. 危害等级:★★★★★ 典型: 机器狗
还原“SSDT HOOK”技术:病毒首先会释放恶意驱动程序.会利用内核级的还原“SSDT HOOK”技术去恢复被感染计算机系统中的SSDT表(System Service Descriptor Table,系统服务描述表),导致大部分旧版安全软件和杀毒软件的监控与主动防御功能失效,结束这些旧版安全软件和杀毒软件的主程序进程与监控程序进程,达到自我保护的目的。危害等级:★★★★★★ 典型 SSDT杀手
[/color][color=#0000ff]2.破坏系统安全模式:病毒会删除注册表中安全模式的相关项.造成进入安全模式蓝屏.[/color]
[color=#0000ff]3..修改系统时间.使一些以时间为准的防毒软件失效[/color]
[color=#0000ff]4.借助ARP加速传播[/color]
[color=#0000ff]5.模拟鼠标操作.试图绕过主动防御[/color]
[color=#0000ff]6.系统[/color][color=blue]autorun.inf 自动运行漏洞[/color]
[color=#0000ff]7.修改[color=blue]Host表[/color]屏蔽防毒软件升级地址以及主流的防毒软件官方网站[/color]
[color=#0000ff]8.和系统紧密捆绑.以保证不被清除.或者清除后情况更糟[/color]
[color=#0000ff][/color]
[color=#0000ff][/color]
[color=#0000ff] [/color] 支持原创[:01:] 比较详细的病毒行为总结 支持好文章 收藏了 自启动方式:
1、内置到注册表启动项目中
2、隐形于启动组中
3、捆绑在启动文件中
4、潜伏在Win.ini中
5、在System.ini中藏身
6、隐蔽在Winstart.bat中
7、集成到程序
8、隐藏在配置文件中
[[i] 本帖最后由 zwl2828 于 2008-9-6 20:54 编辑 [/i]] 还有最后种病毒没碰见过[color=#0000ff]还原“SSDT HOOK”技术[/color],楼主能否发个样本给俺, [quote]原帖由 [i]鱼怪[/i] 于 2008-9-6 21:07 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4757312&ptid=322874][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
还有最后种病毒没碰见过还原“SSDT HOOK”技术,楼主能否发个样本给俺, [/quote]
很多都有嘛... 楼主给了个总结,病毒还真跟生物病毒非常相似,不断滴变异存活[:12:]真是
魔道相争,冤家对头,亲密敌人[:xi9:]
[[i] 本帖最后由 ahzsmzkf 于 2008-9-6 21:41 编辑 [/i]] [quote]原帖由 [i]zwl2828[/i] 于 2008-9-6 20:53 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4757139&ptid=322874][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
自启动方式:
1、内置到注册表启动项目中
2、隐形于启动组中
3、捆绑在启动文件中
4、潜伏在Win.ini中
5、在System.ini中藏身
6、隐蔽在Winstart.bat中
7、集成到程序
8、隐藏在配置文件中 [/quote]
ShellServiceObjectDelayLoad
ShellExecuteHooks
PendingFileRenameOperations
userinit
*\Software\Microsoft\Windows\CurrentVersion\Group Policy*
BHO
*\Software\Microsoft\Windows nt\Currentversion\Windows\load
AppInit_DLLs
*\System\*ControlSet*\Control\Session Manager\BootExecute
*\SOFTWARE\Microsoft\Command Processor*
都是可以实现启动的
[[i] 本帖最后由 没注册 于 2008-9-6 22:01 编辑 [/i]] [quote]原帖由 [i]zq127[/i] 于 2008-9-6 14:23 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4753545&ptid=322874][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
向特定程序发送大量垃圾消息.造成程序无法处理.自行退出)典型:worm.whboy. 危害等级:★[/quote]
磁碟机关闭安全软件进程的方式就是发送大量垃圾消息+小部分特殊消息 还要加上映像劫持和网络下载吧 学习了,以后注意来学习 支持,确实是好帖~~
页:
[1]