===·集大成者之未来可预知毒·===

cz19880606

集大成者之未来可预知毒：


-----------本人写的一点总结，花了点时间，转载随意，但请留名：cz19880606
  
＃＃　说简单一点就是一个本质的问题，关于windows的

＃＃　添注册表、引用系统函数，修改、注入或创建、加载dll或sys或服务......

＃＃　如果我说错了，欢迎交流：   cz19880606@qq.com

共五篇：    防杀篇、传播篇、破环篇、利益篇、抗还原篇，

　　　　　感觉还不是很完整，有兴趣的补充一下，十分感谢~@_@!


一.防杀篇：

  1.防杀软等成熟软件：
    a.禁系统防火墙、自动更新等，凡是系统的安全措施都太容易改了!
    b.改系统时间(这么简单的东西还是可以把某些杀软搞哑火，绝对的严谨真的是不可能的啊!)
    c.进化(曾经的进化多是加壳或改特征码过杀软，现在和未来的就更深入，专业一点的马都有良好框架，可改部分代码随时进化，编写者对什么比较有用、怎么避杀、什么可以来钱比我们清楚)
    d 屏蔽搜索关键字
    e.感染exe(这个下面破环篇与抗还原篇都有，实用而且贱的一招啊!一个普通的感染exe的蠕虫熊猫烧香就是用这招让全国人民都记住了它...)
    f.关闭含有特殊字符串的窗口(FindWindow+PostMessage ；大部分的安软窗口都有一个固定的名字吧~ sreng不是的...)
    g.映像劫持，将所以已知的杀软、墙、安全工具等等的进程名劫持（目前为止 相当实用！）
    h.感觉c、d范围小了点，抽象来说就是调用系统的各种乱七八糟的函数使安软失效(软件上的安全措施依赖性太强了，碰到大哥windows，都得低头!除了少数hips将windows严密规范后比较难搞，其他的相对来说都比较脆弱，以后会不会有针对那些不太细密的hips的东西?答案是肯定的)
    i. 关闭杀软启动项,同时把自己加入启动项里

----------概括一下就是比谁的权限高，或者大家权限一样，而我是自动的你是手动的...
         
  2.防手工杀：
    a.暴力：禁显隐藏、禁注册表(同时防导入)、禁任务管理器、禁安全模式、禁修改删除(定时自运行、多线程互相保护、绑系统进程等等)
    b.隐藏：隐藏自己的各种东西(进程、exe、自启动、服务等等)
    c.伪装：仿系统进程、应用程序名、仿文件图标、修改自身创建时间
    d.数量：创建n多副本，数量取胜
    e.随机：随机的名称(目前的大部分都有规律，以后会不会有很难发现的规律?)
    f.自启动：(注册表、system.ini用各种办法把自己加到自启动中，可以很隐蔽，部分查看自启的工具无法看到)
    g.下载：随时从某网址下载自己或者其他毒、马
    h.删除自身：该干的都干了之后把自己的源文件和某些操作步骤产生的文件删掉
    i.临时文件夹(这是个特别的地方,容易忽略)


二.传播篇：

   1.autorun.inf(目前最常见最有效的的方式；因为100台pc中起码有60台没有彻底禁止磁盘自动运行；而100个人起码有80个人会直接双击磁盘~)
   2.网页(不管是毒网还是被挂的，对于浏览者都是一样的；脚本、控件...都可以利用)
   2.下载器(这个可以理解为中了某种木马后，自动批量下载其他木马)
   3.欺骗性质的邮件与QQ、txt、jpg等(曾经很流行...)
   4.arp(局域网特有，很无奈的，arp协议的缺陷，目前最有效的单机方法是比发包速度...)
   5.共享(木马向局域网共享夹写入自己，Administrator+空...)
   5.系统漏洞和应用软件漏洞(系统漏洞就不说了，应用软件的听说过的有迅雷、QQ、real等的只要是广泛应用的就会被盯上)
   6.灰鸽子及类似(这个姑且算是传播吧，其实是别人偷偷传给你的)


三.破环篇

   1.痛恨之格盘(这个就不说了...)
   2.痛恨之感染并破环普通文件、系统文件(exe、rar、dll...)
   3.蓝屏、自动重启、及无法进入系统
   4.无聊之** love **、陈^水^扁下台等等等等，或者把你盘上的“好东西”删掉，只有想不到，没有做不到!


四.利益篇

   1.广告弹窗、改变并锁定主页、感染html.asp等等网页(广告联盟随处可见，按千IP万IP计费，估计这种靠木马弹的广告更赚钱~)
   2.偷帐号(QQ、银行帐号、股票、网游账号密码等等，只要是有钱的东西!)
   3.流氓软件类(曾经的流氓软件学习病毒，如今的病毒学习流氓软件~ 真是沧海桑田啊)
   3.锁盘、弹“你已中毒”等等，同时提供QQ号或银行帐号索要money(比较搞笑~)
   5.批量的肉鸡是很有用的，可以拿来卖，或者网战...


五.抗还原篇

   1.其他盘的autorun或是感染的exe等
   2.删除所以gho
   3.重启(或者说开机)时系统调用了哪些东西(说到底就是谁更了解windows)，都可能被注入或修改
   4.机器狗之抢硬盘还原权



     ----------我所知道的大概就这么多了吧，可能还有一些没记起来，以后想到了再改，当然能够回贴补充最好啦！


，幸苦啊~

无尽藏海

想明白了
LZ总结得不错

[ 本帖最后由 无尽藏海 于 2007-12-21 16:30 编辑 ]

binkuili

高人啊！
要真是你自己写的，那佩服的五体投地！
就算转帖，那也杠杠的！

[ 本帖最后由 binkuili 于 2007-12-21 15:35 编辑 ]

wlbol

楼主总结的很好～～
不过……最危险的病毒是没有安全意识……

lastnight

感觉LINUX系统就能满足楼主的要求了

长空之鹰

原帖由 lastnight 于 2007-12-21 16:36 发表
感觉LINUX系统就能满足楼主的要求了

我见LINUX的网上安装介绍很多都有关于杀软的设置的.......................


如"6、安全杀毒软件的安装


           防火墙Firestarter 、杀毒软件avast "等等.........

九棒歪打

概括地不错哈

hao8219

学习了

ygm

多多学习!