最近“帕虫”(瑞星),AV终结者(金山命名)蛮流行的,其实就是7、8位字符病毒。我们民间的菜鸟管它叫“随机字母、数字病毒”。貌似反病毒论坛每天都有人因为这个病毒求助,我也跟该病毒打过几次照面了,觉得没什么特别的,现在将它们病毒的技术做简单介绍,并附上几个破解方法。

Autorun.inf

一个暗藏杀机的文本格式,以至于有些杀软都加入病毒库,传播U盘病毒的罪魁祸首,很多情况下我们把它视为敌人,如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%。

关闭自动播放功能:计算机配置—管理模板—系统—停用自动播放—设置为“已启用”—选上所有驱动器—确定,至于Autorun.inf,可以下载U盘免疫工具。

线程插入

全名叫“远程创建线程”。这样的病毒通常是Dll格式的文件,可能依附系统服务/EXE载体/Rundll32.exe/注册表插入进程。那么除非用第三方工具,否则无法发现宿主内的dll病毒,因为进程管理器里毫无异常。这种技术在木马界应用非常广泛,具有一定的隐蔽性。8位字符病毒就是利用这个技术,使得无法在进程里直接发现,给查杀工作带来难度。

我们可以下载第三方工具,可以查看进程模块的,推荐用冰刃。主要检测Explorer进程模块,该进程是木马常聚集的场所,应当特别留意。最好可以配合SREng日志查看,那样会更容易辨认。

另:增强版的冰刃该病毒并无法关闭,同时IFEO劫持亦无效。

IFEO重定向劫持

最近被滥用的技术,在知名的安全工具就Autoruns能追踪到(新版本的SREng同样具有IFEO检测能力),为此我还曾写过一篇防御方法。可惜的是并没有人愿意去看```

IFEO其实是位于注册表:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/

下的Image File Execution Options(简写为IFEO

这个项主要是用来调试程序(防止溢出),一般用户根本用不到。默认是只有管理员和local system能读写修改。假设在这个项新建个“Filename.exe”,键值为Debugger,指向的是另一个程序(virus.exe)路径的话,那么运行A程序的时候,会执行B,这就是重定向劫持。

打开注册表,展开到IFEO,设置权限,只读不允许写入就可以了。(如果程序运行提示找不到的话,不妨改个名字试试)

HOOK

这个是类似于“监听”的技术,翻译意思为“钩子”,我遇到的一个变种使用的是WH_CALLWNDPROC钩子,由常驻进程的8位随机数字.dll释放的钩子,通过拦截一些敏感的信息并在程序调用中做了修改。不过它并不是修改信息,而是直接关闭一些过滤的“关键字”。

直接删掉对应的Dll病毒就可以了,一般用SREng日志可以检测出来。

Rootkit

在我发现的AV变种中,发现一个木马群使用这个(Rootkit)技术,是7位随机病毒带来的,并实现三进程守护!

这个技术在木马界更多的是应用在隐藏上,最典型的应属灰鸽子(也可能是Hook),一个合格的RK可以让属于自己的文件(包括进程)人间蒸发。最常见的是修改枚举进程API,使API返回的数据总是“遗漏”(病毒)自身进程的信息,那么在进程里当然就不能发现了。也有一种类似的技术,通过抹杀“进程信息表”的自身信息进行隐藏。从而也达到隐藏的目的,不过该技术设计上缺陷和平台的通用,貌似相当稀少。(至少我没遇到过)

我们可以通过一些反RK的工具,居于RK的技术,反RK工具不一定能盖过对方,最好的方法只能预防。一些常用的反RK有偌顿的RootkitRevealer,IS、Gmer和AVG的Anti-Rootkit Free。

ARP挂马

这个不是重点,简单说了。是在一个AV变种的木马群发现的,由CMD调用,驻进程,其实是个类似嗅探器的东西,隔秒刷新,监听网络,在经过自身的数据包上挂一段恶意代码(JS),那么这些数据包返回时,收到被修改数据包的用户在浏览每个网页上可能都有病毒。

如果在局域的话,那么可以在任意一台主机上用抓包工具检查数据包的异常并定位。

破防

前几个版本中的8位数字病毒就是使用了这个技术,通过拦截FindWindowExA、mouse_event、SendMessageA等函数,捕捉瑞星注册表监控和卡吧主动防御的监控窗口,发送“允许”、“Yes"命令。(不经过用户操作),后来作者发现,把杀软关闭了,这功能不是多余的么。貌似后面的版本都没有再加入该技术。

这种技术比较卑劣,只能通过预防为上。另:HIPS可以拦住。

自身防护

“随机字符”病毒的自我保护方法是破坏安全模式和“显示隐藏文件”,那么这给查杀工作带来相当大的难度,因为这些病毒属性都是隐藏的。也不能进安全模式杀毒。

修复安全模式和“显示隐藏文件”都可以借助相应的注册表导入修复,另SREng带有修复安全模式的功(SREng—系统修复—高级修复—修复安全模式—确定)

破解方法:

1、忽视联防

首先是针对7位数字的双进程守护,可以通用哦。打开冰刃(增强版),按Ctrl选上两个随机7个字母的进程(通过路径辨别)。同时结束掉,然后再删除对应的文件和启动注册表项就可以了。也可以设置冰刃“禁止线程创建”功能,挨个结束。

2、重命名

把“随机数字.dll”改名为“随机数字lld”那么重启后它还可以插入进程吗?答案是不可以的。

3、扼其要道

一个Dll文件如何实现电脑重启后再次加载呢?(1)通过EXE载体释放。(2)通过系统服务加载。(3)跟随Rundll启动。(4)由注册表隐蔽加载(非常规Run启动项)。这里随机8位数字.dll使用的是第4种方法。附在HKLM/SOFTWARE/MICROSOFT/Windows/CURRENTVERSION/Explorer/ShellExecuteHooks下启动。那么好,如果我把这键锁了,你还能启动?这不需要工具。

上次我就是锁住这个键,实现随机病毒全手动删除。(好像40多个病毒这样子)

4、删除工具

这个我就不多说了,等作者开窍,去更新吧,鄙视你。常用的是PowerRMV、KillBox、IS等。只需要删除掉那个随机数字.Dll,那么一切迎刃而解。(其实很有很多工具并没有禁,这里我不说了:D)

5、还施彼身

IFEO?我也会用!这个病毒是依靠插Explorer进程的,如果我们把下面的代码导入注册表并重启,那么等着看随机数字.dll“无家可归”吧

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Explorer.exe]
"Debugger"="C://Windows//system32//CMD.exe"

这样启动时候不会显示桌面,当然病毒也无法插入进程了。而是显示DOS命令行哦,我们就可以为所欲为了~~~^_^

小聪明:其中C://Windows//system32//CMD.exe路径如果改成是冰刃或其他安全工具的启动路径话,效果更佳。

6、断电大法

以前对付一个病毒(ByShell),蛮厉害的,实现三无技术(无文件、无启动项、无进程)。后来就是靠这招险胜的(汗了半个月)。这个方法原理以突发断电法防止病毒从内存回写。我们知道,如果把属于病毒“同党”删除的话,那么驻进程的随机数字.dll会将其再生成。我们可以先使用Autoruns这个工具(记得先改名字哦)删除掉随机数字.dll的注册表项,删除后马上把电源关闭。

如果机子卡或者动作慢的话,这招就不要试拉!

7、借尸還魂

上面提到了,随机数字.dll是依靠宿主Explorer.exe内的,以前是枚举TIMPlatform.exe"(如果有)和"Explorer.exe"后插入进程。后来作者发现,进程里肯定是有Explorer的,在后面的版本中就没有加入枚举TIMPlatform.exe"了。而是直接插入"Explorer.exe"。嘿嘿,思路又来了。如果我们把Explorer.exe进程从任务管理结束掉,那么随机数字.dll不是流露街头?哈哈,看看吧:

这招需要有点DOS知识,配合去病毒的附加属性从而达到目的。你可以直接调用CMD强行删除。这招在前几个版本都有效,后面的我就不知道了。(没有新样本呀,5555~~~~)

8、遗忘的DOS

这里指的是纯DOS啊,不是命令行!找个安装盘并设置CR第一启动项。这样的安装盘一般都有集成DOS的工具,进入之,执行强行删除命令就可以拉,附上命令:

Del 随机数字.dll /f/s/a/q

不过要到它的目录喔,它“老人家”在C:/Program Files/Common Files/Microsoft Shared/MSINFO/

还有个同名的dat病毒。(顺手删了哈)。

9、重返安全模式

AV病毒能破坏安全模式,达到无法进入安全模式清除的效果,其实这是个软肋。只要我们修复安全模式,然后进安全模式把病毒文件删除掉就可以了。

我网盘有专门修复工具(注册表),其中SREng也可以修复,方法在上面。

我的网盘:http://free.ys168.com/?gudugengkekao(如果不能下的话,自己去网上找吧!)

10、挂盘杀

没什么技术含量了,鄙视我吧。(BIOS要设置主从盘,要谨慎,另小心母机不要中标了)

还有几招就不说了,说出来就不灵了~~~

另鄙视下作者,期待你下个病毒版本的更新,牢房等着你呢。

没地方挂马的话,劳驾把“尊产品”仍几个到这里:

Lyhan_1988@163.com

加密virus

我的Q526170722,也可以通过Q打包给我。

AV终结者技术大曝光(另附AV终结者10大死法)相关推荐

  1. 2017年大数据分析在金融领域的10大发展趋势

    大数据时代,互联网时代,大数据应用越来越广泛的时代,互联网科技应用越来越频繁的时代,大数据分析的应用魅力愈发绽放异彩.而在这大数据发展如火如荼的迅猛盛况下,互联网金融应运而生且茁壮成长,再到后来的独挡 ...

  2. 产品经理必懂的技术那点事儿 pdf_产品经理10大基础技能(5):读透神经网络和机器学习...

    本篇先介绍许多热门的行业均在产生AI产品经理岗位的需求,再详细介绍AI产品经理必懂的AI技能,接着撰写什么是神经网络?什么是机器学习?最后用一个案例详细拆解AI产品经理如何用机器视觉识别手写字体的整体 ...

  3. 清华北大南大全面“线上开学”,10 大直播神器齐亮相!

    点击上方"视学算法",选择"星标"公众号 重磅干货,第一时间送达 来源 | 新智元 编辑:张佳.鹏飞 这两天天本应是学生返校开学的日子,但因为一场突如其来的疫情 ...

  4. 大数据行业人士必知10大数据思维原理,可以让机器人读懂你!

    大数据思维原理是什么?简单概括为10项原理,当样本数量足够大时,你会发现其实每个人都是一模一样的. 1数据核心原理 从"流程"核心转变为"数据"核心 大数据时代 ...

  5. 覃小龙课堂:干货!新手做影视剪辑如何避免侵权?大神教你防侵权10大方法

    干货做影视剪辑如何避免侵权?来看 做自媒体三年了,手上有四个影视号,每个月收入都在1万左右,很多人 都私信我要我教点做视频的方法,那么今天分享一下我做视频的小技巧 1,首先是找视频素材的思路: 找国外 ...

  6. 全家桶10大软件PS/AE/AI/PR/CAD/AU/CDR/C4D/3DMAX/UG自学视频教程合集

    如果说现代职场人士升职加薪无望的话,你要好好反省自己有没有专长和精通的技术,如果不知道应该具备哪些技能的话,看到本篇文章将是你的幸运,因为,所有靠技术升职加薪的大咖,基本上都是精通以下10大职场软件操 ...

  7. AV(反病毒)技术的演进与规律思索观后感

    AV(反病毒)技术的演进与规律思索观后感 首先老师给我们讲述了病毒的表现形式:计算机病毒是人为的编制的一种寄生性的计算机程序.它的危害主要表现为占用系统资源和破坏数据,具有寄生性.传染性.隐蔽性.潜伏 ...

  8. 大数据时代,AV企业如何逐鹿智慧城市?

    自2008年"智慧地球"概念提出后,"智慧城市"发展模式逐渐风靡全球,并成为世界范围内经济增长的重要驱动.据世界银行测算,一个100万人口以上的智慧城市建成,在 ...

  9. 揭秘:美国警方监控技术大曝光

    揭秘:美国警方监控技术大曝光 责任编辑:editor005 作者:Alpha_h4ck |  2016-09-14 15:41:16 本文摘自:黑客与极客 近日,The Intercept曝光了美国执 ...

最新文章

  1. 微信小程序填坑之路(三):布局适配方案(rpx、px、vw、vh)
  2. jquery easy drag
  3. IDC时评:你对边缘计算有多少误解?
  4. 【TensorFlow】笔记4:图像识别与CNN
  5. TransCenter解读
  6. FireBug 调试JS
  7. iptv错误代码2003什么意思_IPTV部分错误代码及原因解释
  8. python如何写简历_用Python写简历
  9. docker容器无root 权限,如何获得docker容器里面的root权限
  10. 迪杰斯算法c语言,欧博体育APP-欧博体育APP
  11. android 多版本打包后微信分享/登录授权失败问题
  12. java学习之类方法
  13. 软考中级选哪个比较合适?
  14. 读书笔记 - 《卧底经济学》
  15. 华为GAUSS数据库常用的单行操作函数介绍
  16. 哔哩哔哩 机器人历险记_机器人历险记谁演的,机器人历险记的扮演者罗德尼资料介绍-易看TV...
  17. 王者荣耀盒子 英雄图片爬取
  18. 超详细KNIME二次开发的环境配置安装过程
  19. NB-IoT通信模组/模块
  20. docker_mysql

热门文章

  1. 终稿:教材管理系统与教学评估系统
  2. 史上最全,最实用Win10 CMD命令快捷键
  3. 【模拟器】EVE-NG镜像导入操作指导
  4. 基于java+mysql的Swing+MySQL火车票售票管理系统
  5. 基于Halcon学习的一维码识别【十四】ean13addon.hdev
  6. CNN网络模型的发展概述
  7. 本质矩阵 基础矩阵 单应性矩阵
  8. 底量超顶量超级大黑马指标源码_底量超顶量抓取黑马股的实战技法
  9. 前端介绍(前端的发展史)
  10. Android png转webP报错