论文部分内容阅读
热点总是不断更新,木马的流行让我们忘记了曾经“横行街头”的恶意软件,无论是优化软件,还是防护软件都能检测恶意软件。可谓恶意软件已遇到“老鼠过街、人人喊打”的局面。那这恶意软件有没有因此而绝迹呢?有实验有真相!
重兵防护下轻取城堡
最近有朋友哭诉,在下载一个工具时,不幸搜索到某软件下载站,在运行下载的程序时,360安全卫士和WinPatrol频繁报警,在点击了若干次禁止之后,仍然发现电脑被强行安装了若干个互联网软件(见图1)。相当不解,恶意软件岂能如此猖狂?不相信,那我们就在虚拟机中模拟下这次的经历。
★第一步:先到原来的网站下载软件包,在该页面的描述中,这个检测工具的大小为1.59MB,而下载完成后,实际大小仅为196KB,文件名为softii_free_setup.exe。有经验的网民,会从中发现端倪。
★第二步:当然,很多人会直接运行,运行后会发生什么呢?360安全卫士不断出现拦截报告,系统会弹出不同的网址导航,但金山网盾和360安全卫士均未报告网页挂马。测试中,这样连续出现的提示框超过10次,笔者全部选择了阻止或卸载(见图2)。通过截图大致知道,360安全卫士只是保护注册表的关键键值不被修改,而运行某个程序之后产生的其他动作,比如下载木马、下载安装其他软件,都没有防止。
★第三步:最终测试机因为恶意软件的驱动BUG造成系统崩溃蓝屏,重启后情况和之前的遭遇一样,开始菜单里发现了多个不请自来的软件(见图1)。当再次用金山急救箱扫描时,发现了几处威胁(见图3)。
在上面的例子中可以看到,恶意软件并未通过网页挂马传播(在中招后自动弹开多个网址导航页,金山网盾和360均未报警),而是通过挂羊头卖狗肉式的欺骗来诱使网民主动下载并执行木马程序(自动下载并安全了多个小软件)。目前恶意软件的商业价值链依然存在,结合病毒的植入更加难缠,巨大的利益诱惑下,恶意软件作者绞尽脑汁,总能找到一两个暂时可用的突破防御口。建议多备几个安全防御、病毒清除的工具,提高安全意识,才能在遭遇病毒木马破坏时将损失降到最低。
亡羊补牢 兵败的反思
前面看到了恐怖的遭遇,是不是感觉防护软件弱不禁风呢?不用这么悲观,平时见到的大部分威胁还是可以防护的,只是碰到类似上面的变态机制的恶意软件才会漏掉。理解防护软件的机制,你就能对它们有个清醒的认识了。
360安全卫士、看门狗WinPatrol之类的这种软件一般都是对于系统容易感染病毒的几个关键文件进行监控,例如:注册表启动项、系统服务、驱动、当前进程、IE插件。采用的是文件名识别、简单病毒库技术进行判断。当一个恶意程序在系统目录下释放文件,运行以后,开始写注册表的时候,360安全卫士就会弹出提示,询问是否要修改,并且同时会对这个程序与恶意软件库中的恶意程序代码进行比对,如果发现一样的,就会提前作为病毒进行处理。
另一方面,恶意软件之所以被人们叫做“恶意”是觉得很烦人,比如弹出广告、开机自动弹出、无法直接卸载等,但是这类软件本身并不破坏操作系统,也不盗号,也就是说没有明显的病毒行为,在这种情况下杀毒软件是不会将其作为病毒直接处理的。很多恶意软件厂商会与病毒进行勾结,当一个病毒运行后,会自动进行释放恶意软件并安装,杀毒软件发现病毒后将病毒进程结束甚至删除,但如果被病毒释放出来的恶意程序本身没有特别大的恶意行为时,就不会去处理这些被释放的恶意软件。这就是360安全卫士反复提示,但重启后,系统中被安装了很多垃圾程序的原因。。
此消彼长 永存的技术对抗
上面我们看到了防护软件的机制,不过我们的疑问还没有完全解开,为什么恶意软件还有办法生存呢?这就要看到它们恶意的一面了。反恶意软件与恶意软件的对抗胜利不会固定在某一方,胜利只是暂时的,恶意软件采取了很多措施来逃避防护软件的查杀。目前比较流行的逃避方法有两种:绕和杀。杀就是指先杀掉防护软件,再运行。这类情况还是较少发生的,恶意软件本身就是只为了加大安装量来谋求利益,只有当恶意软件和病毒联合后才会发生这情况,而且都是病毒的行为,这种情况也就跟病毒与杀毒软件的对抗一样了。下面我们具体来看恶意软件常用的“绕”。
病恶意软件通过“伪装”的方法绕过杀软的监控。常见的伪装方法有这么几种:
★1.装扮成普通安装程序,上面我们看到的例子就是以软件安装包图标进行伪装,欺骗用户点击。病毒包括很多小软件,用户点击后就会自动被安装多个恶意软件。像这种捆绑,使用很多捆绑软件就可以轻松搞定,还可以在一段电影中捆绑恶意软件或挂马网站等。
动手试试
这种常见的捆绑,你也可以自己做的,例如我们可以把几个软件的安装放在RM文件里,播放视频文件软件就会自动安装了。这种方式实现的模式有很多,最简单的就是WinRAR来做。准备好一个视频,一个软件安装文件,同时选中这两个文件,创建压缩文件,模式设为自解压的模式,然后点击“高级”,在“自解压选项”中,解压路径随意填写,下方的“解压前运行”选择软件,“解压后运行”选择视频文件就可以了。最后,与平时不同的操作就是利用图表美化工具,将捆绑后的文件图标进行修改就可以了。
如果要创建自动下载的捆绑文件,利用Helix Producer Plus就可以实现(方法参考http://blog.cfan.com.cn/index.php/346164/viewspace-1162876)。
★2.伪装成文件夹、Word等正常图标:前一段很多流行病毒都会感染闪盘,将U盘中的EXE文件,变成文件夹图标,用户点击后就会中招。
★3.伪装成JPG图标:当下流行的“XX门”照片、视频基本上用这个方式传播,“XX门艳照门全集照片最新更新独家1天后作废***.jpg.exe”用一个非常长的文件名来掩饰,其实真正的扩展名是EXE,如果用户打开也就中毒了。
★4.把修改注册表操作的代码放在不同的位置中,让防护软件无法判定其行为好坏。
★5.采用进程守护技术,恶意程序运行起来以后会运行两个或两个以上的进程,当防护软件发现了一个恶意进程并干掉后,剩下的进程会马上释放出一个新的进程,几个进程不断进行相互守护。
★6.突破防护软件的主动防御,恶意程序采用的是程序功能的拆分,比如:用REG文件修改注册表,文件操作可以用系统提供的脚本(BAT、WSF、JS、VBS)等。
小提示:
要绕过主动防御,必须存在一个前提,就是防护软件存在防御盲区。比如,防护软件监视了注册表,监视了注册表各个启动项,无法通过注册表实现自启动。那么可以使用其他方法,比如DLL劫持,PE文件感染来实现自启动。再比如,防护软件屏蔽了远程线程的注入方式,那么使用普通的钩子进行注入。
重兵防护下轻取城堡
最近有朋友哭诉,在下载一个工具时,不幸搜索到某软件下载站,在运行下载的程序时,360安全卫士和WinPatrol频繁报警,在点击了若干次禁止之后,仍然发现电脑被强行安装了若干个互联网软件(见图1)。相当不解,恶意软件岂能如此猖狂?不相信,那我们就在虚拟机中模拟下这次的经历。
★第一步:先到原来的网站下载软件包,在该页面的描述中,这个检测工具的大小为1.59MB,而下载完成后,实际大小仅为196KB,文件名为softii_free_setup.exe。有经验的网民,会从中发现端倪。
★第二步:当然,很多人会直接运行,运行后会发生什么呢?360安全卫士不断出现拦截报告,系统会弹出不同的网址导航,但金山网盾和360安全卫士均未报告网页挂马。测试中,这样连续出现的提示框超过10次,笔者全部选择了阻止或卸载(见图2)。通过截图大致知道,360安全卫士只是保护注册表的关键键值不被修改,而运行某个程序之后产生的其他动作,比如下载木马、下载安装其他软件,都没有防止。
★第三步:最终测试机因为恶意软件的驱动BUG造成系统崩溃蓝屏,重启后情况和之前的遭遇一样,开始菜单里发现了多个不请自来的软件(见图1)。当再次用金山急救箱扫描时,发现了几处威胁(见图3)。
在上面的例子中可以看到,恶意软件并未通过网页挂马传播(在中招后自动弹开多个网址导航页,金山网盾和360均未报警),而是通过挂羊头卖狗肉式的欺骗来诱使网民主动下载并执行木马程序(自动下载并安全了多个小软件)。目前恶意软件的商业价值链依然存在,结合病毒的植入更加难缠,巨大的利益诱惑下,恶意软件作者绞尽脑汁,总能找到一两个暂时可用的突破防御口。建议多备几个安全防御、病毒清除的工具,提高安全意识,才能在遭遇病毒木马破坏时将损失降到最低。
亡羊补牢 兵败的反思
前面看到了恐怖的遭遇,是不是感觉防护软件弱不禁风呢?不用这么悲观,平时见到的大部分威胁还是可以防护的,只是碰到类似上面的变态机制的恶意软件才会漏掉。理解防护软件的机制,你就能对它们有个清醒的认识了。
360安全卫士、看门狗WinPatrol之类的这种软件一般都是对于系统容易感染病毒的几个关键文件进行监控,例如:注册表启动项、系统服务、驱动、当前进程、IE插件。采用的是文件名识别、简单病毒库技术进行判断。当一个恶意程序在系统目录下释放文件,运行以后,开始写注册表的时候,360安全卫士就会弹出提示,询问是否要修改,并且同时会对这个程序与恶意软件库中的恶意程序代码进行比对,如果发现一样的,就会提前作为病毒进行处理。
另一方面,恶意软件之所以被人们叫做“恶意”是觉得很烦人,比如弹出广告、开机自动弹出、无法直接卸载等,但是这类软件本身并不破坏操作系统,也不盗号,也就是说没有明显的病毒行为,在这种情况下杀毒软件是不会将其作为病毒直接处理的。很多恶意软件厂商会与病毒进行勾结,当一个病毒运行后,会自动进行释放恶意软件并安装,杀毒软件发现病毒后将病毒进程结束甚至删除,但如果被病毒释放出来的恶意程序本身没有特别大的恶意行为时,就不会去处理这些被释放的恶意软件。这就是360安全卫士反复提示,但重启后,系统中被安装了很多垃圾程序的原因。。
此消彼长 永存的技术对抗
上面我们看到了防护软件的机制,不过我们的疑问还没有完全解开,为什么恶意软件还有办法生存呢?这就要看到它们恶意的一面了。反恶意软件与恶意软件的对抗胜利不会固定在某一方,胜利只是暂时的,恶意软件采取了很多措施来逃避防护软件的查杀。目前比较流行的逃避方法有两种:绕和杀。杀就是指先杀掉防护软件,再运行。这类情况还是较少发生的,恶意软件本身就是只为了加大安装量来谋求利益,只有当恶意软件和病毒联合后才会发生这情况,而且都是病毒的行为,这种情况也就跟病毒与杀毒软件的对抗一样了。下面我们具体来看恶意软件常用的“绕”。
病恶意软件通过“伪装”的方法绕过杀软的监控。常见的伪装方法有这么几种:
★1.装扮成普通安装程序,上面我们看到的例子就是以软件安装包图标进行伪装,欺骗用户点击。病毒包括很多小软件,用户点击后就会自动被安装多个恶意软件。像这种捆绑,使用很多捆绑软件就可以轻松搞定,还可以在一段电影中捆绑恶意软件或挂马网站等。
动手试试
这种常见的捆绑,你也可以自己做的,例如我们可以把几个软件的安装放在RM文件里,播放视频文件软件就会自动安装了。这种方式实现的模式有很多,最简单的就是WinRAR来做。准备好一个视频,一个软件安装文件,同时选中这两个文件,创建压缩文件,模式设为自解压的模式,然后点击“高级”,在“自解压选项”中,解压路径随意填写,下方的“解压前运行”选择软件,“解压后运行”选择视频文件就可以了。最后,与平时不同的操作就是利用图表美化工具,将捆绑后的文件图标进行修改就可以了。
如果要创建自动下载的捆绑文件,利用Helix Producer Plus就可以实现(方法参考http://blog.cfan.com.cn/index.php/346164/viewspace-1162876)。
★2.伪装成文件夹、Word等正常图标:前一段很多流行病毒都会感染闪盘,将U盘中的EXE文件,变成文件夹图标,用户点击后就会中招。
★3.伪装成JPG图标:当下流行的“XX门”照片、视频基本上用这个方式传播,“XX门艳照门全集照片最新更新独家1天后作废***.jpg.exe”用一个非常长的文件名来掩饰,其实真正的扩展名是EXE,如果用户打开也就中毒了。
★4.把修改注册表操作的代码放在不同的位置中,让防护软件无法判定其行为好坏。
★5.采用进程守护技术,恶意程序运行起来以后会运行两个或两个以上的进程,当防护软件发现了一个恶意进程并干掉后,剩下的进程会马上释放出一个新的进程,几个进程不断进行相互守护。
★6.突破防护软件的主动防御,恶意程序采用的是程序功能的拆分,比如:用REG文件修改注册表,文件操作可以用系统提供的脚本(BAT、WSF、JS、VBS)等。
小提示:
要绕过主动防御,必须存在一个前提,就是防护软件存在防御盲区。比如,防护软件监视了注册表,监视了注册表各个启动项,无法通过注册表实现自启动。那么可以使用其他方法,比如DLL劫持,PE文件感染来实现自启动。再比如,防护软件屏蔽了远程线程的注入方式,那么使用普通的钩子进行注入。