病毒木马三十六计

显示全部楼层 · 发表于 2007-11-21 16:57:28

病毒木马三十六计：
                                                                  by ： ahuwwy(willy123)  （转载请注明，谢谢 qq:448435582)

第一计

瞒天过海：备周则不怠，常见则不疑

病毒为达到自己不可告人的目的，常采取一些混淆视听的措施来保护自己

其藏匿的地方主要有
1：windows文件夹 2：sytem32文件夹  3：temp文件夹

1和2主要是因为里面系统文件很多，不熟悉的文件越多越容易隐藏

3 temp文件夹主要分布在两个地方，处是C:\WINDOWS\TemP（假设系统是安装在c盘），这是系统公用的，还有一个在当前登录账户的配置文件夹下，一般是C:\Documents and Settings\登录的帐号\Local Settings\Temp，这两个地方往往也藏污纳垢

一般病毒或木马的名字都很隐蔽
可以看看下面两个名字
svchost.exe  和svch0st.exe  把正常的o改成0，还有把l改成1的，反正什么都有

如果文件名对了是否就一定没问题呢？错

还要注意文件路径svchost.exe的正常路径在C:\Windows\system32下，如果哪天你发现你机子里的svchost.exe路径在一个其他的文件夹下，很可能就是病毒了

除了起名外，有些病毒会把自己安装为服务，起的名字也很难以让人辨别，我们可以利用360或其他安全工具来帮助分析

确定是病毒服务，可以利用sc命令删除 sc delete name,这里的name为病毒服务名（在cmd下进行，其他参数可用 sc /? ,自行查询）

另外对于temp文件夹我们可以在安全模式下删除，正常模式下无法删除，删除后系统会重建一个文件夹，里面那些乱七八糟的东西就全没了

显示全部楼层 · 发表于 2007-11-21 16:58:42

第二计：李代桃僵
势必有损，损阴以益阳

各种杀毒软件和反黑工具对于病毒无疑是致命的，于是病毒采取了种种对抗措施，李代桃僵由此而来
可能有人机子里装有kav，360，等工具，有一天突然发现不能用了，提示如下

说到这个问题，首先要说两个文件，ws2_32.dll和MFC42.dll，这两个属于系统文件，会被很多程序调用，文件位置在system32文件夹下，
ws2_32.dll是Windows Sockets应用程序接口，用于支持Internet和网络应用程序。
mfc42.dll则是微软MFC程序库文件

好了，我们知道什么360啊，kav啊，rising啊，都要调用这两个文件，病毒就开始在这上面下工夫了

这里还要提下win里文件调用的顺序：

假设360主程序运行后，他就开始调用相关文件，先从本地目录下找，没找到再去windows下找，没找到再去system32下找。。。。。
问题出来了，如果在本地就找到了该文件，他就认为自己找了了可以托付终身的另一半，于是就调用，病毒就是利用这点，在其安装目录下建立一个假的ws2_32.dll或MFC42.dll文件或文件夹，欺骗其调用，因为是假的文件，没有任何功能，当然提示调用失败，达到李代桃僵的目的

解决：显示隐藏文件和文件夹，将假文件删之

显示全部楼层 · 发表于 2007-11-21 17:00:23

第三计：借尸还魂

借不能用者而用之，匪我求童蒙，童蒙求我
一般很多木马病毒利用了dll插入技术,关于这个我以后会详细说
还有一种现在很流行的方法，就是BHO劫持，说白了就是劫持IE浏览器，借浏览器的尸来还自己的魂，以前的被流氓软件用，现在都改行做病毒了

正常模式下如果不方便，可以去安全模式下进行，开机按f8即可。。。

显示全部楼层 · 发表于 2007-11-21 17:05:21

第四计：借刀杀人

敌已明，友未定，引友杀敌，不自出力。

病毒的力量毕竟是小的，呵呵，杀毒软件早已占领了系统高地，况且装备先进，飞机，大炮无所不包。。
于是病毒只有利用别人的力量才能获取“革命的成功“
于是上演了一出借刀杀人的好戏

借谁的刀呢？注册表，这个冤大头，（注册表：为什么受伤的总是我？

）

这出好戏叫”IFEO重定向劫持“
最近才被滥用的技术（什么AV-killer拉），其实很早就有人写过文章，不过一直没引起重视

IFEO其实是位于注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
下的Image File Execution Options（简写为IFEO）

复制代码

这个项主要是用来调试程序（防止溢出），一般用户根本用不到。默认是只有管理员和local system能读写修改。假设在这个项新建个“kav.exe”,键值为Debugger，指向的是另一个程序（virus.exe)路径的话，那么运行kav.exe的时候，会执行virus.exe，这就是所谓的重定向劫持。

御敌之道：可以给杀软改个名，360safe起个小名叫250就没事情了，如果你想斩草除根，

，待会我传个修复工具，导入即可。如果还感觉不爽，可以设置权限

在高级里将”从父项继承。。。。。“那个勾选上，确定即可。。

显示全部楼层 · 发表于 2007-11-21 17:07:14

第五计：金蝉脱壳

存其形，完其势，友不动，敌不动，巽而止，蛊

病毒中其实也分等级的，有些是刃敌于无形的高手，有些却只能算上街头的地痞流氓，高手一般深入到操作系统的核心处，管你皇宫王府，任我来去自由，而地痞流氓至多就是街头闹闹事。。

HOOk是高手必备的技术，而驱动Hook则是高手中的高手的必修科目。。。

SSDT hook作为标准技术一直以来广受追捧，杀毒软件也学习了这些技术

当你检查时，要注意下hook背后的杀手，如果是杀毒软件就放过，如果是病毒的话，嘿嘿，斩立决，杀无赦

[ 本帖最后由 willy123 于 2007-11-21 17:16 编辑 ]

显示全部楼层 · 发表于 2007-11-21 17:10:35

第六计：混水摸鱼

乘其阴乱，利其弱而无主

刚说完了高手，咱现在来说说地痞流氓

混什么水？又摸什么鱼？

混Autorun.inf的水，摸什么鱼我也不知道。。。

Autorun.inf总是以一种受伤者的姿态来示人，其实他很无辜的，（Autorun.inf：俺只不过是个小老百姓，各位豪杰大侠为何总与俺过不去呢

）

关于他的资料如下：（感谢FBI提供的资料）
全名：文本形式的配置文件
工作：给windows打小工
主要负责：包含了需要自动运行的命令，如改变的驱动器图标、运行的程序文件、可选快捷菜单等内容。
工作地点：必须放在根目录下

病毒的打劫过程（以下引自其自述新书“autorun,一个受了点伤的男人”）

很久以前，病毒在我的体内种下生死符，符是这样写的
[AutoRun]
open=xxx.exe
shellexecute=xxx.exe
shell\Auto\command=xxx.exe
shell=Auto
在右键菜单加上“atuo”，点击也运行
俺没念过几年书，隔壁的唐门公子告诉我这几句话的意思就是，
双击运行 xxx.exe,在右键菜单加上“auto”，点击也运行xxx.exe,这个xxx就是那个打劫俺的人。。55
后来江湖上上当的人多了，道上的消息也开始流传出来，人们学会了右键打开，日子似乎又平静了下来
可哪知道那帮浑球还不肯放过我，他们经过分析决定，给我种’生死符升级版“
符号是这样写滴
[autorun]
OPEN=xxx.exe
shell\open=打开(&O)
shell\open\Command=xxx.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xxx.exe
后来遇到一位高人，尤其擅长生死符种植与解毒
他告诉我，这第二句意思就是让你右键点”打开“也运行xxx.exe
，第三句让你右键点”资源管理器‘也也运行xxx.exe
后来江湖上又是一片腥风血雨，最后还是由各路正派人士出手，解决了这场危机
军火交易市场的“Autorun免疫工具”一时炙手可热
可惜我不中用，武艺不精，要不早和那帮Y的拼了，男人嘛。。。
最后向一直以来默默支持我，相信我的fans表示支持，谢谢。。

复制代码

插播一条广告：
如果你不想让Autorun这样一个其实很好的男人再次受伤，请使用推荐的工具，超级巡警免疫器

或者关闭自动播放（home版本先要用mmc）:

[code]点击“开始→运行”，在对话框中输入“gpedit．msc”回车后既运行“组策略”。在组策略窗口中依次展开“计算机配置→管理模板→系统”，在右边的窗口中双击"关闭自动播放“，在弹出的对话框中选择“已启用”，并且在下面的下拉框中选择是适用于“CD—ROM”还是“所有驱动器”。[/code]

或者权限指配，将

hkey_current_user\software\microsoft\windows\currentversion\expl
orer\mountpoint2

复制代码

设置为拒绝权限
同上贴 IEFO。。。

[ 本帖最后由 willy123 于 2007-11-21 17:12 编辑 ]

显示全部楼层 · 发表于 2007-11-21 17:15:31

传几个文中提到的工具~~