查看: 2203|回复: 8
收起左侧

[讨论] 关于木马的问题!(求各位过路的英雄帮助一下)

[复制链接]
shao801119
发表于 2007-8-27 01:02:10 | 显示全部楼层 |阅读模式
卡6刚出的时候,发现卡6比卡5杀毒能力强很多,而且资源占用、杀毒速度都好很多,所以对卡6也很信任,有什么杀不了的毒就用卡6一杀了之。但杀软不是万能的,病毒更新太快了,特别是最近三个月,郁闷的事越来越多,很多木马杀软都无能为力。我用过卡6、蜘蛛、小红伞、咖啡,同时查杀一种木马都无能为力,而且有时连木马都查不到。说到AVG的话,去年用的时候感觉还好,不过今年就不用提了,让人很不放心。360对有些木马还是比较有效的,不过估计也是时间问题。所以我觉得只能自己掌握木马的原理,配合杀软才能有效保证系统的相对安全。(虽说重装系统简单方便而且做得到彻底,但必竟不是所有电脑都能重装系统的。)

       我想请教卡饭的高手,这些木马都是怎么启动自身的,如何将自身隐藏让杀软无法查到,如何注入到正常进程中的,我们对于这些高级的木马如何防范?
       求卡饭的高手伸出援助之手!!
ALEXBLAIR
发表于 2007-8-27 01:27:28 | 显示全部楼层
这个问题很广泛阿
以注册表为例,常见的启动项目就包括

  1. [anyfile_open]
  2. key=HKEY_CLASSES_ROOT\*file\shell\open\command
  3. 1=*

  4. [anyfile_runas]
  5. key=HKEY_CLASSES_ROOT\*file\shell\runas\command
  6. 1=*

  7. [AEDebug]
  8. key=*\Software\Microsoft\Windows NT\CurrentVersion\AEDebug
  9. 1=Debugger

  10. [Winlogon_Shell]
  11. key=*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  12. 1=Shell
  13. 2=UserInit
  14. 3=System

  15. [Winlogon_Notify]
  16. key=*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\*
  17. 1=DllName

  18. [Main_Run]
  19. key=*\Software\Microsoft\Windows*\CurrentVersion\Run*
  20. 1=*

  21. [ICQ_Agent]
  22. key=HKCU\Software\Mirabilis\ICQ\Agent\Apps
  23. 1=*

  24. [ICQ_Path]
  25. key=HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ICQ*
  26. 1=Path

  27. [ActiveSetup]
  28. key=HKLM\Software\Microsoft\Active Setup\Installed Components\*
  29. 1=StubPath

  30. [WOW_BOOT]
  31. key=HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\BOOT
  32. 1=*

  33. [WOW_NonWindowsApp]
  34. key=HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\NonWindowsApp
  35. 1=*

  36. [WOW_Standard]
  37. key=HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\Standard
  38. 1=*

  39. [CurrentVersion_Drivers]
  40. key=HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers
  41. 1=*

  42. [CurrentVersion_Drivers32]
  43. key=HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32
  44. 1=*

  45. [AppInit_DLLs]
  46. key=HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
  47. 1=AppInit_DLLs

  48. [ShellServiceObjectDelayLoad]
  49. key=*\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
  50. 1=*

  51. [BootExecute]
  52. key=HKLM\system\currentcontrolset\control\Session Manager
  53. 1=BootExecute

  54. [VBA_Monitors]
  55. key=HKLM\SOFTWARE\Microsoft\VBA\Monitors\*
  56. 1=CLSID

  57. [SCRNSAVE]
  58. key=*\Control Panel\Desktop
  59. 1=SCRNSAVE.EXE

  60. [SharedTaskScheduler]
  61. key=*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
  62. 1=*

  63. [ShellExecuteHooks]
  64. key=*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
  65. 1=*

  66. [System_Scripts]
  67. key=*\Software\Policies\Microsoft\Windows\System\Scripts\*
  68. 1=*

  69. [Explorer_Run]
  70. key=*\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  71. 1=*

  72. [WinSock2_Parameters]
  73. key=HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
  74. recursive=1
  75. 1=*

  76. [Taskman]
  77. key=*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  78. 1=Taskman

  79. [Policies_Shell]
  80. key=*\Software\Microsoft\Windows\CurrentVersion\Policies\System
  81. 1=Shell

  82. [Shell Extensions]
  83. key=HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
  84. 1=*

  85. [Command_Processor_AutoRun]
  86. key=*\Software\Microsoft\Command Processor
  87. 1=AutoRun

  88. [Explorer_FileExts]
  89. key=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe
  90. 1=*

  91. [MPRServices]
  92. key=HKLM\System\CurrentControlSet\Control\MPRServices\*
  93. 1=DLLName

  94. [Common Startup]
  95. key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  96. 1=Common Startup

  97. [Users_Startup]
  98. key=HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  99. 1=Startup

  100. [Environment_ComSpec]
  101. key=HKLM\SYSTEM\ControlSet???\Control\Session Manager\Environment
  102. 1=ComSpec

  103. [GinaDLL]
  104. key=HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  105. 1=GinaDLL

  106. [BootVerificationProgram]
  107. key=HKLM\SYSTEM\ControlSet???\Control\BootVerificationProgram
  108. 1=ImagePath

  109. [VirtualDeviceDrivers]
  110. key=HKLM\SYSTEM\ControlSet???\Control\VirtualDeviceDrivers
  111. 1=VDD

  112. [SafeBoot_AlternateShell]
  113. key=HKLM\SYSTEM\ControlSet???\Control\SafeBoot
  114. 1=AlternateShell

  115. [SafeBoot_Minimal]
  116. key=HKLM\SYSTEM\ControlSet???\Control\SafeBoot\Minimal\*
  117. 1=ImagePath

  118. [SafeBoot_Network]
  119. key=HKLM\SYSTEM\ControlSet???\Control\SafeBoot\Network\*
  120. 1=ImagePath
  121.    
  122. [SafeBoot_Minimal_Parameters]
  123. key=HKLM\SYSTEM\ControlSet???\Control\SafeBoot\Minimal\*\Parameters
  124. 1=ServiceDll

  125. [Main_Run_CUser]
  126. key=HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
  127. 1=load
  128. 2=run

  129. [SafeBoot_Network_Parameters]
  130. key=HKLM\SYSTEM\ControlSet???\Control\SafeBoot\Network\*\Parameters
  131. 1=ServiceDll

  132. [ImageFileExecutionOptions]
  133. key=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
  134. 1=Debugger

复制代码
ALEXBLAIR
发表于 2007-8-27 01:30:29 | 显示全部楼层
当然,从特征码的角度看,还有常见的花指令,加壳等方法。
方法有很多,系统漏洞利用也算一种
只有想不到,没有做不到。
杀毒软件不可能杀遍所有的病毒,如果真的要防御的话,建议用FF+HIPS的策略
这样可以把损失降到比较客观的程度。
ALEXBLAIR
发表于 2007-8-27 01:36:50 | 显示全部楼层
如果你对系统比较了解,建议使用TINY这个HIPS,可以做到秒杀一切木马。
如果你对系统不是很感兴趣,那么简单易用的EQ和PS或者犀牛也都是不错的HIPS选择。
shao801119
 楼主| 发表于 2007-8-27 10:42:13 | 显示全部楼层
嗯,谢谢楼上的,我也知道这个问题很广泛,没办法,现在的木马真的很厉害,真的是只有想不到没有做不到的。

如果是我自己的电脑我可以去做防御,我现在也准备重做系统,装个HIPS的软件来试试。

因为每个人的电脑水平都不一样,HIPS对于使用者的水平应该有一定要求的,而且听说用起来比较麻烦,一般人都不愿意用这种软件。对于已经中了毒的,不知道 HIPS软件能做到何种程度(还没用过HIPS软件),比如对付注入正常进程的木马,还有就是利用驱动程序自动启动。

我现在想重装系统,想问一下,咖啡配什么HIPS软件比较好用。
ALEXBLAIR
发表于 2007-8-27 10:53:01 | 显示全部楼层

回复 #5 shao801119 的帖子

咖啡企业版本还是个人版本?
shao801119
 楼主| 发表于 2007-8-27 11:19:34 | 显示全部楼层
8.5I的企业版的
ALEXBLAIR
发表于 2007-8-27 11:51:01 | 显示全部楼层
企业版本的貌似可以用EQ,但是要关闭它的FD功能。
其实,咖啡的FD本身就是业界最强之一的,用得好的话,也可以百毒不侵哦!
shao801119
 楼主| 发表于 2007-8-27 15:09:18 | 显示全部楼层
必竟是工作的电脑,杀毒软件偶是必装了,先装咖啡+EQ试试,不知道会不会死机,
关于一楼问题,希望大家多多帮助啊,,,
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 00:37 , Processed in 0.145827 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表