現在流氓軟件大行其道,這段時間好像一下子銷聲匿跡了。其實它們依然存在,只不過“隱身”了而已,為什麼會這樣?因為流氓軟件采用了木馬、病毒常用的免殺技術,換了個馬甲就實現了“來無影”。
由於不同的安全工具采用的查殺方法是不一樣的,殺毒軟件主要利用病毒特征碼進行分辨,而反流氓軟件一般利用流氓軟件的進程名稱等信息進行查殺。
所以流氓軟件喜歡針對殺毒軟件采用一些病毒木馬常用的免殺方法,而針對反流氓軟件就需要對程序的內部特征消息進行修改,但也有二者兼有的流氓軟件,這就更難防范了。下面我們以“360安全衛士”能檢測出的“很棒小秘書”(未免殺版)為例,演示流氓軟件是如何制作針對殺毒軟件和反流氓軟件免殺的以及我們應該如何防范。
免殺怎樣做出來的
首先,利用檢測工具PEiD(軟件下載地址:http://www.cpcw.com/bzsoft )對“很棒小秘書”的安裝包進行檢測,從檢查的結果為“什麼都沒找到”得知該安裝包沒有進行過任何加殼處理(圖1)。我們知道很多安全工具都是利用某些關鍵字為查殺的目標,所以要對程序中的關鍵字進行修改,這些關鍵字包括“很棒小秘書”、“很棒公司”、“henbang”等。
接著,運行修改程序C32Asm(軟件下載地址:http://www.cpcw.com/bzsoft),點擊“文件”菜單中的“打開十六進制文件”命令選擇安裝程序,再點擊“搜索”菜單中的“搜索”命令,在彈出的窗口中的搜索選項中分別填入上面這些關鍵字進行搜索(圖2)。TW.wiNGwIT.CoM
搜索到後,在它們的路徑上面點擊鼠標右鍵,選擇“粘貼”命令,用其他的關鍵字進行復制。需要注意的是復制的關鍵字長度要一樣,此外不能使用“替換”功能,它在十六進制下不起作用。
然後,運行調試工具OllyDbg(軟件下載地址:http://www.cpcw.com/bzsoft)載入修改後的流氓軟件,對它的文件頭進行簡單的修改。選中文件頭的第一句後,點擊鼠標右鍵中的“匯編”命令,在彈出的匯編窗口分別將這些語句更改為“NOP”即可(圖3)。 選擇剛剛修改的這些語句,選擇右鍵中的“復制到可執行文件”菜單中的“選擇”命令,最後在彈出的窗口通過右鍵中的“保存文件”命令將修改的服務端程序進行保存就可以了。
最後,再利用加殼程序對“很棒小秘書”進行處理,這樣更具有欺騙性。運行加殼程序ASProtect(軟件下載地址:http://www.cpcw.com/bzsoft),在“保護文件”和“輸出文件”選項中分別設置服務端程序以及程序加殼處理後的輸出地址,直接點擊“保護”標簽中的“保護”按鈕即可(圖4)。
免殺制作完成後,用戶還需要修改“很棒小秘書”的程序安裝,對安裝目錄中的文件名和文件目錄等重要的信息進行修改,以免反流氓軟件利用這些信息對程序進行查殺,再利用WinRAR等程序將該流氓軟件和其他程序進行封裝即可。
現在我們到多引擎在線殺毒網頁(http://virusscan.jotti.org/)上,對修改的“很棒小秘書”程序進行檢測,發現僅有一個殺毒引擎能檢測出來,其他的都無能為力(圖5)。另外我們再利用反流氓軟件中的佼佼者“360安全衛士”,對修改版 “很棒小秘書”系統進行檢測,同樣也沒有檢測到有什麼流氓軟件的“生命跡象”。
防范方案
1.使用主動防御軟件
說到主動防御就不得不說“System Safety Monitor”(軟件下載地址:http://www.cpcw.com/bzsoft)這款軟件,該軟件屬於Host-based Intrusion Prevention System(HIPS),可以小到每個進程大到整個磁盤底層保護系統免受不良程序的危害。該軟件的功能包括最常見的注冊表保護、文件保護、磁盤系統保護、防止進程注入等。當它檢測到程序存在危險的操作的時候,就會彈出一個對話窗口提示用戶,這樣就可以比較好的起到防范作用。
小提示:HIPS是一種能監控用戶電腦中文件運行的軟件,如果文件運用了其他程序並且要對注冊表進行修改,就會發出報告請求允許,如果選擇了“阻止”,程序就不會運行。
2.分解流氓軟件
用戶可以利用“Universal Extractor” (軟件下載地址:http://www.cpcw.com/bzsoft)這款萬能的提取器,將程序封裝包中的流氓軟件先分離出來。這款工具幾乎可以提取任何安裝格式的文檔,無論是簡單的壓縮文件,還是現在流行的打包工具等,甚至連 Windows Installer (.msi) 程序包,它也能輕松自如地提取出其中的文件。這樣我們就可以將捆綁其中的流氓軟件清除後,再進行相關軟件的安裝操作了。
攻防博弈
黑客 小恐龍:道高一尺魔高一丈,只要我們想做就可以輕易地躲過任何軟件的檢測。除了使用免殺外,還可以利用“映像劫持”技術來屏蔽一些殺毒和安全軟件。這樣在它們還沒有進行檢測的時候,就已經讓它們“殘廢”了,哈哈!
編輯:對那些藏得越來越隱蔽的流氓軟件,最有效的防范方法就是及時更新安全軟件,並且只到可靠的大網站下載軟件。此外,“映像劫持”技術並不是破解不了的,使用映像劫持修復工具即可。
From:http://tw.wingwit.com/Article/Network/201309/420.html