現在流氓軟體大行其道,這段時間好像一下子銷聲匿跡了。其實它們依然存在,只不過“隱身”了而已,為什麼會這樣?因為流氓軟體採用了木馬、病毒常用的免殺技術,換了個馬甲就實現了“來無影”。
由於不同的安全工具採用的查殺方法是不一樣的,殺毒軟體主要利用病毒特徵碼進行分辨,而反流氓軟體一般利用流氓軟體的進程名稱等資訊進行查殺。
所以流氓軟體喜歡針對殺毒軟體採用一些病毒木馬常用的免殺方法,而針對反流氓軟體就需要對程式的內部特徵消息進行修改,但也有二者兼有的流氓軟體,這就更難防範了。下麵我們以“360安全衛士”能檢測出的“很棒小秘書”(未免殺版)為例,演示流氓軟體是如何製作針對殺毒軟體和反流氓軟體免殺的以及我們應該如何防範。
免殺怎樣做出來的
首先,利用檢測工具PEiD(軟體下載地址:http://www.cpcw.com/bzsoft )對“很棒小秘書”的安裝包進行檢測,從檢查的結果為“什麼都沒找到”得知該安裝包沒有進行過任何加殼處理(圖1)。我們知道很多安全工具都是利用某些關鍵字為查殺的目標,所以要對程式中的關鍵字進行修改,這些關鍵字包括“很棒小秘書”、“很棒公司”、“henbang”等。
接著,運行修改程式C32Asm(軟體下載地址:http://www.cpcw.com/bzsoft),點擊“檔”菜單中的“打開十六進制檔”命令選擇安裝程式,再點擊“搜索”菜單中的“搜索”命令,在彈出的窗口中的搜索選項中分別填入上面這些關鍵字進行搜索(圖2)。
搜索到後,在它們的路徑上面點擊滑鼠右鍵,選擇“粘貼”命令,用其他的關鍵字進行複製。需要注意的是複製的關鍵字長度要一樣,此外不能使用“替換”功能,它在十六進制下不起作用。
然後,運行調試工具OllyDbg(軟體下載地址:http://www.cpcw.com/bzsoft)載入修改後的流氓軟體,對它的檔頭進行簡單的修改。選中檔頭的第一句後,點擊滑鼠右鍵中的“彙編”命令,在彈出的彙編窗口分別將這些語句更改為“NOP”即可(圖3)。 選擇剛剛修改的這些語句,選擇右鍵中的“複製到可執行檔”菜單中的“選擇”命令,最後在彈出的窗口通過右鍵中的“保存檔”命令將修改的服務端程式進行保存就可以了。
最後,再利用加殼程式對“很棒小秘書”進行處理,這樣更具有欺騙性。運行加殼程式ASProtect(軟體下載地址:http://www.cpcw.com/bzsoft),在“保護檔”和“輸出檔”選項中分別設置服務端程式以及程式加殼處理後的輸出地址,直接點擊“保護”標籤中的“保護”按鈕即可(圖4)。
免殺製作完成後,用戶還需要修改“很棒小秘書”的程式安裝,對安裝目錄中的檔案名和文件目錄等重要的資訊進行修改,以免反流氓軟體利用這些資訊對程式進行查殺,再利用WinRAR等程式將該流氓軟體和其他程式進行封裝即可。
現在我們到多引擎線上殺毒網頁(http://virusscan.jotti.org/)上,對修改的“很棒小秘書”程式進行檢測,發現僅有一個殺毒引擎能檢測出來,其他的都無能為力(圖5)。另外我們再利用反流氓軟體中的佼佼者“360安全衛士”,對修改版 “很棒小秘書”系統進行檢測,同樣也沒有檢測到有什麼流氓軟體的“生命跡象”。
防範方案
1.使用主動防禦軟體
說到主動防禦就不得不說“System Safety Monitor”(軟體下載地址:http://www.cpcw.com/bzsoft)這款軟體,該軟體屬於Host-based Intrusion Prevention System(HIPS),可以小到每個進程大到整個磁片底層保護系統免受不良程式的危害。該軟體的功能包括最常見的註冊表保護、檔保護、磁片系統保護、防止進程注入等。當它檢測到程式存在危險的操作的時候,就會彈出一個對話窗口提示用戶,這樣就可以比較好的起到防範作用。
小提示:HIPS是一種能監控用戶電腦中文件運行的軟體,如果檔運用了其他程式並且要對註冊表進行修改,就會發出報告請求允許,如果選擇了“阻止”,程式就不會運行。
2.分解流氓軟體
用戶可以利用“Universal Extractor” (軟體下載地址:http://www.cpcw.com/bzsoft)這款萬能的提取器,將程式封裝包中的流氓軟體先分離出來。這款工具幾乎可以提取任何安裝格式的文檔,無論是簡單的壓縮檔,還是現在流行的打包工具等,甚至連 Windows Installer (.msi) 程式包,它也能輕鬆自如地提取出其中的檔。這樣我們就可以將捆綁其中的流氓軟體清除後,再進行相關軟體的安裝操作了。
攻防博弈
駭客 小恐龍:道高一尺魔高一丈,只要我們想做就可以輕易地躲過任何軟體的檢測。除了使用免殺外,還可以利用“映像劫持”技術來遮罩一些殺毒和安全軟體。這樣在它們還沒有進行檢測的時候,就已經讓它們“殘廢”了,哈哈!
編輯:對那些藏得越來越隱蔽的流氓軟體,最有效的防範方法就是及時更新安全軟體,並且只到可靠的大網站下載軟體。此外,“映像劫持”技術並不是破解不了的,使用映像劫持修復工具即可。 |
