本帖最后由 无毒空间 于 2011-6-16 15:09 编辑
远控、木马?神马都是浮云! 供稿:VIRUSFREE
年初,中央电视台的《焦点访谈》专门介绍了黑客如何危害大众的事,给人的感觉是黑客软件在利益的趋势下,有愈演愈烈的趋势,而普通用户的电脑沦为黑客们的“肉鸡”,只有被人任意宰割的份了。 为什么会这样?这还得从黑客软件的原理说起。 黑客软件,也称远控软件,是一种特殊的软件,合法的用途是用于远程维护电脑,能增加工作效率、降低劳动成本,但在黑客手里,就演变成为控制用户电脑,盗窃用户电脑资源的后门,用户电脑一旦被植入这种东东,什么游戏装备、QQ密码、银行支付帐号、股票账户、机密文档,都会成为黑客的囊中之物,除此之外,若干台被控电脑还可以组成“僵尸”网络,成为犯罪分子攻击别人电脑网络或者运行系统的帮凶,所以,电脑被黑客控制是非常危险的事情。 有人要说了,我的电脑安装了杀毒软件,还有防火墙,难道就防不住这些黑客软件?! 是的,基于杀毒软件的工作原理,黑客们使用各种“免杀”技术,就能逃避杀软的查杀,达到入驻用户电脑的目的。他们为了达到长期霸占用户电脑的目的,还使用了随时更新远控端程序的技术,目的只有一个,让杀软永远发现不了它们。 无毒空间的诞生,基本是敲响了这类黑客软件的丧钟,其原因是,那些在杀软面前非常牛的“免杀”技术,在无毒空间面前无疑于自投罗网,无毒空间的工作原理跟黑客软件的“免杀”技术是完全相克的,所以,只要用户电脑的无毒空间还在正常工作,抓黑客软件、后门程序就如同“瓮中捉鳖”一样非常容易。 以下案例就显示无毒空间抓住各类黑客软件的样子。
首先试试灰鸽子这个经典的远控,我们将灰鸽子的最新版找来测试了一下,老版本就不一一试验了,从原理上看,都应该不在话下。 这个截图显示的是灰鸽子进入用户电脑的情形,我们为了测试这个木马,故意没有搭理它,如果第一时间就禁止这些可疑程序,我们也就看不到后面的精彩镜头了。 图1 重启电脑,当作不知道木马已经进入我们电脑的样子。 按照无毒空间捕捉未知木马的套路,点击一下“分析”按钮,看见的就是以下截图。 图2 一个名为hyyxs.cc3的可疑程序,浮现在用户的眼前,这个程序的可疑之处简述如下: 1、文件的扩展名不是常规的执行文件,但它执行了; 2、文件加载路径为非正常路径,使用超长复杂路径,由于黑客不想让用户太容易找到其后门程序,这样安排就显得比较“合乎常理”了; 3、文件尺寸超大,25兆,逃避云查杀的招数; 4、厂商信息及版本信息异常,黑客们好像都不太勤快,这种无厂商无版本的情况比较常见。另一种比较常见的情况是信息完整,但都是冒充知名厂商的程序,微软、卡巴、QQ、360都是冒充的对象。 懂行的用户根据上述情况,基本就能断定这是木马无疑。 发现了、找到了木马后门程序,就好比知道家里藏了贼,怎么处理应该就不是难事了。
抓个灰鸽子不算什么本事,因为这个木马已经臭了大街了,各类安全软件首要的任务就是发现并搞定这个知名木马,无毒空间并不是为某个版本的木马设计的,所以,即使木马有无穷的变种,其结果和下场都是一样的。 这不,我们再找一个免杀全球97.7%杀毒软件的最新木马试试(本来是100%免杀的,因为这个版本诞生有段时间了,有的杀软可能已经得到样本,也认识了这个远控软件)。 图3 PS:木马使用巨型文件对付云查杀使得上传扫描成为一个问题,解决这个问题的办法是将样本用rar或者zip压缩后上传,就能克服这个障碍。 还是老套路运行这个木马程序,当作正常程序对待。但木马就是木马,执行后总是显示出不正常的地方,这不,下面的执行记录里,有两个程序执行后失踪了,还有一个后半部分带4d1f的随机文件名特征的程序,这都有异于正常程序的蛛丝马迹。 图4 本着要看看这个木马到底怎么偷偷控制我们电脑的目的,我们故意不加干涉,重启一下电脑看看。 启动电脑后,我们打开木马的远程控制台管理程序,发现这个木马上线了,用户的电脑各种信息显示在木马操作者的手里。这时黑客的权限比用户的权限还要大,因为用户在明处,黑客们在暗处,对比之下黑客神不知鬼不觉的,更加危险,也更加有不可预知性。 图5 在无毒空间里,分析一下,就直接看见了黑客最想隐藏的客户端后门程序。 以下几个疑点也是非常明显的: 1、10兆超大尺寸; 2、加载路径不寻常; 3、无厂商、无版本; 4、随机文件名。 图6 在无毒空间里禁止这个异常程序,关闭主界面,重启电脑。 我们发现木马的后门程序不能正常运行了,虽然无毒空间没有删除任何程序,但黑客的后门程序也照样不能启动工作了,这表明我们已经实现了夺回了对电脑的控制权。 图7 重新打开黑客使用的远程控制台管理程序,发现原来可以远程控制的用户电脑掉线了,显然黑客已经失去了任意鱼肉用户的权限。 图8 实际上,查杀黑客的隐藏程序还有一些高级工具软件可以选用,比如: SRENG2,ICESWORD,WSYSCHECK,XUETR,POWERTOOL,GMER,UNHOOKER等等,这些工具软件都非常高级,捕捉未知木马的能力也都非常强,唯一遗憾的是,这些工具都非常专业,普通人用起来有些难度。 一旦用户捕捉未知病毒木马的经验丰富了,还是需要学会使用这些工具的,这样,也可以避免单独使用一种工具可能造成的遗漏。
PS:本文原为3月份《电脑爱好者》的投稿,因排版位置问题,暂时没有排上,跟编辑先生协商后,同意提前发布在卡饭上 《电脑爱好者》第10期,已经发布了这篇文章,标题是:《不再做肉鸡,轻松干掉黑客的后门》 | 
[复制链接]
发表于 2011-5-5 15:30:55
楼主
