KV2008VS电脑病毒

north_wolf

KV2008VS电脑病毒放眼Internet，天光云影远山清渠，心气怡爽美不胜收！如果你陶醉这片美景，那就大错特错了。美景之下实则激流暗涌，挂马盗号放病毒……黑色产业的猖獗，危险就在身边。步步小心可以求得自保吗？很遗憾，前几天俺还听说XX高人气网站被挂马。逃不掉的，因为病毒会来找你--有电脑就有Internet，有internet就有江湖。 Internet就是江湖，你怎么退出？既然无法逃避，那就只能勇于抗争了。拿起手中的剑，内外双修，不求斩尽天下毒寇，但求笑傲于江湖。 一. 觅剑篇----行千里，寻龙渊 欲做豪杰则必择良剑，欲泛舟于毒海且不惊起半点微漾，不但要内外双修，择剑也很重要(当然，如果已经到了那种手中无剑心中也无剑的境界那就另当别论了)。 传说欧冶子铸龙渊，得铁英于茨山，寻寒泉于龙泉，觅亮石于溪山。铁英铸坯，寒泉淬火，亮石磨剑。虽然说现在大大小小的“铁匠铺”不少，但有能力打造出上等宝剑的，国内也就那么几家。 上好的铁英----铸坯，这个最关键，直接决定最终的杀毒能力。反病毒是一个长期经验积累的过程，没有长期的积累，怎么可能积淀出上好的铁英？ 上等的寒泉----淬火，不够上等淬不出刚柔相济的剑身，而且淬得要恰到好处。淬快了，剑身太脆易折，淬慢了又会过于柔软，易卷刃，折了身或者卷了刃都不能杀毒。正如当前杀软的趋势，多是在以特征码判断的基础上加上一定的启发式，前者正如刚性，后者正如柔性，谁多了谁少了都不行。 上佳的亮石----磨剑，不够上佳磨砺不出寒意彻骨的剑刃，似冒水气、血不沾锋的刃，不但让整个剑身都起到震撼效果，而且其华丽外表的背后其实深藏着削铁如泥的内在；正如好的杀软要有人性化的界面，但快捷操作的背后实际都是为了最快的斩杀病毒。 还传说当年欧冶子总共炼出三把宝剑----龙渊，泰阿，工布，三者都是上好铁英、上等寒泉、上佳亮石铸得绝世名剑，为何偏偏要选龙渊呢？呵呵，没有为何，选龙渊而非泰阿工布，无需任何理由。 二. 习剑篇----剑在手 剑客有四重境----下乘者以力使剑；中乘者以气使剑；上乘者以意使剑；大成者手中无剑心中也无剑，草木竹石皆可为剑。 以力使剑，一招一式，人是人，剑是剑，招式无幻化，但若剑是好剑，招式正宗，效果却也还不错，不妨用江湖老毒物灰鸽子来小试龙渊。 下面就是KV2008查杀灰鸽子2007的截图。灰鸽子2007是比较邪恶的，使用用户态API挂钩隐藏了文件、系统服务和进程，如果自己的反病毒经验不是很丰富，就应该老老实实的遵从招式谱，F8启动到安全模式，然后使用KV2008进行全盘查杀。记住这里一定要进入安全模式，否则因为挂钩的问题，在正常模式下反病毒软件遍历全盘的时候会把灰鸽子漏掉。 中乘者以气使剑，这层境界中，已经不需要一板一眼的招式了，讲究呼吸吐纳尽自如。遇到一个病毒都是重启安全模式然后全盘扫，多麻烦啊。中乘者能够呼吸吐纳尽自如，目的就是为了最大限度的释放潜能。这一次我们不全盘扫描试试。还是上鸽子，还是灰鸽子2007，不过这只鸽子比上一只更恶毒，使用了进程内存替换技术把IE的外壳套在自己身上了，而且还是隐藏进程的。通常情况下，Windows自带的进程管理器中根本看不到(因为无耻的挂钩ntdll.dll导出NtQuerySystemInformation)，而KV2008的进程管理器已经告诉我们它是隐藏的，但是因为进程内存替换，KV2008依旧标记该进程为安全。不过剑是死的，人确实活的，你感觉到杀气了吗？呼吸吐纳炼到一定程度，就会有一种对危险的直觉，直觉告诉我们，这个IE不可靠。 怎么办呢？别慌张，先赶紧把这个进程结束，然后再用KV2008扫描C:盘，不过没有必要重启去安全模式了，因为灰鸽子的进程已经被我们结束。扫描的截图就没必要再贴了，效果和上面不会差太多。 是不是有点搞笑啊？就用了个KV的隐藏进程查看器就能算中乘者了？先不要忙着冷场，越往上，越需要强调自身的修为，龙渊虽利，但剑艺的高下取决于人。如果你知道API HOOK，灰鸽子那点雕虫小技又算得了什么呢？无非就是对用户态的那几条API来HOOK来HOOK去，HOOK NtQuerySystemInformation来隐藏进程，HOOK EnumServicesStatusEx来隐藏服务，HOOK NtTerminateProcess来防止进程被结束，HOOK……无聊的东西，HOOK库还是A的maghooks的。你知道它是如何来实现的障眼法，如何来破坏的，龙渊在手则可威力倍增，不光仅仅局限于灰鸽子哦。 废话一点： KV2008的隐藏进程检测是做的比较狠的，单纯基于HOOK的隐藏技术已经逃不过KV的进程检测，无论是在用户态还是在内核态，即使是在内核态那些一般的内核内存涂改也逃不过去，比如断活动进程链等。 上乘者以意使剑，意到剑到。还是上灰鸽子吧，谁叫这玩意是江湖大魔头呢？既然是意到剑到，那就当意在剑先，先把龙渊放一边去吧。我们知道鸽子会隐藏一堆东西，我们知道鸽子会HOOK，我们知道鸽子很烦。你会HOOK，我们就不能反HOOK吗？灰鸽子那种HOOK无非就是在某些API开始的几个字节处插入jmp指令跳转嘛，知道了原理一切都好办，我们就对照磁盘文件检查那个jmp；查到了，就是它，要修复，直接从磁盘文件中读出正确的API内容写过去就搞定了，贴一个现写的程序截图： 因为这里涉及到引出表以及WIN32开发等较专业的知识，所以也不便多讲，仅仅是浅浅带过，在代码中对抗也是一种解决问题的方案，自己写代码是代码对抗，用龙渊砍鸽子，实际也是代码的对抗，只是那种对抗我们看不到，只能去感觉。再来看看HOOK被修复后的效果截图吧： 是不是很有意思，KV的进程检查出来PID为532的进程还是隐藏的，但我们的测试程序中因为自身进程空间的API HOOK已经被修复，所以可以很容易的枚举出这条隐藏的进程。 三.完结篇—笑傲江湖 大成者手中无剑，心中也无剑，草木竹石皆可为剑。如果到了这种境界，也许就可以丢掉龙渊了。吃透操作系统的运作机制，掌握各种加密算法，了解各种病毒的破坏机理，任你加壳，变形，免杀，如何如何，灵光一现即是如诗代码，毒海中横扫千军势如破竹…… 怎么感觉有点奇怪？开始明明是行千里求得龙渊宝剑，为什么到了最后，我的剑呢……？

北方星空

不错，顶