国产综合精品久久久|国产专区亚洲欧美另类|欧洲成人精品无码飞久久|久久婷婷五月综合中文字幕|国产搜索在线播放精品免费|精品无码黑人又粗又大又长|欧美午夜精品久久久久免费视|日韩精品一区二区三区中文在线

  • 鄭州北大青鳥(niǎo)首頁(yè)
  • 網(wǎng)站導航
  • 河南軟件與網(wǎng)絡(luò )工程師培養基地 河南擁有IT體驗館課程專(zhuān)業(yè)全、規模大校區河南多年連獲全國教學(xué)質(zhì)量獎2011-2019年獲北大青鳥(niǎo)總部榮譽(yù)獎
首頁(yè) 中心介紹 新聞動(dòng)態(tài) 課程詳解 師資力量 專(zhuān)家講座 招生問(wèn)答 學(xué)員活動(dòng) 精彩專(zhuān)題 報名

鄭州北大青鳥(niǎo)解密木馬病毒隱身穿墻術(shù)

2010-07-06 17:53 來(lái)源:鄭州北大青鳥(niǎo)

       如果用戶(hù)對木馬病毒當前使用的隱身穿墻術(shù)有一定的了解,就可以知道該從哪些方面去防范,以及出現問(wèn)題時(shí)該從何處著(zhù)手處理。這樣,再與各類(lèi)安全工具相結合,就有可能將木馬病毒帶來(lái)的安全威脅降至我們能夠接受的水平以?xún)。接下?lái)鄭州北大青鳥(niǎo)的網(wǎng)絡(luò )專(zhuān)家將以Windows XP系統為平臺,分別對現階段木馬病毒常用的隱身術(shù)和穿透防火墻方法進(jìn)行簡(jiǎn)單的描述,并給出相應的處理方法:
       一、修改木馬程序特征碼
       當用戶(hù)使用殺毒軟件查殺木馬時(shí),殺毒軟件就是通過(guò)分析用戶(hù)系統中的各種文件的特征碼來(lái)與病毒庫中的各種特征碼進(jìn)行比對,當發(fā)現了相似的就認為是某種木馬并查殺,F在特征碼查殺技術(shù)有文件特征碼和內存特征碼查殺這兩種方式。修改木馬程序的特征碼,就是為了躲避通過(guò)特征碼查殺的殺毒軟件的檢測,這樣就等同于在殺毒軟件面前隱身了。
現在,互聯(lián)網(wǎng)上已經(jīng)存在有許多可以用來(lái)提取程序特征碼的軟件,例如MYCCL。要修改某個(gè)木馬的特征碼,可以通過(guò)MYCCL不斷地提取它的特征碼,然后用要躲過(guò)的殺毒軟件來(lái)查殺,直到這些殺毒軟件不能檢測到它就是一個(gè)某個(gè)木馬為止。然后,再通過(guò)一些二進(jìn)制提取和編輯工具(例如Uedit32),對這個(gè)木馬中發(fā)現了的特征碼段進(jìn)行修改,就可以在這些殺毒軟件面前隱身了。有的時(shí)候,對于某些殺毒軟件,例如諾頓殺毒軟件,甚至只要修改了木馬的PE頭就可以不會(huì )被檢測到。而修改程序的PE頭,可以通過(guò)Peditor或YC保護專(zhuān)家就可以做到。因此,特征碼修改是現在木馬用來(lái)躲避檢測的常用方法之一。但是,要成功修改木馬的特征碼而不損壞它的功能,也是需要一定的匯編技術(shù)的,并不是一般的攻擊者就可以完成的任務(wù)。
       二、木馬加殼
       給程序加殼,包括加密殼和壓縮殼兩種。程序一旦被加殼保護后,如果不使用與此相應的脫殼軟件進(jìn)行脫殼處理,一些反匯編程序是不能正確讀取到其真正的代碼的。這樣,就能保護程序不會(huì )被破解。同樣,木馬程序一旦也經(jīng)過(guò)了加殼保護,殺毒軟件如果不具有給程序脫殼功能,那么也就不可能識別出它就是木馬的,也就是說(shuō)達到了木馬隱身的目的。
       如今,通過(guò)Aspack或UPX給木馬加上殼是非常容易的,因此,一此攻擊者是會(huì )通過(guò)使用一些不常用的加殼軟件來(lái)對木馬加殼處理的。這些不常見(jiàn)的加殼軟件,一般都是出現在一些國外的安全類(lèi)網(wǎng)站當中,其中比較常用的有Private exe Protector軟件,它原本是一個(gè)非常好用的程序保護軟件,但同樣也可以用來(lái)保護木馬。而且,對木馬進(jìn)行加殼,往往還會(huì )加多重殼,以進(jìn)一步增加被識別出來(lái)的難度,但加多重殼要比加單一的殼要復雜得多。只是,程序加殼只是對木馬的程序文件進(jìn)行了保護而已,且有時(shí)加殼會(huì )損壞木馬的一些功能,而且,單獨使用加殼保護木馬是達不到理想的保護效果的。因此,攻擊者往往在對木馬加殼保護之前,還會(huì )對它使用如程序加密之類(lèi)的處理工作的。
       鄭州北大青鳥(niǎo)網(wǎng)絡(luò )專(zhuān)家做出總結:對木馬進(jìn)行加殼保護,只對木馬文件有效,對于已經(jīng)加載到內存中的木馬程序段,由于木馬在運行時(shí)已經(jīng)自行脫殼處理了,也就失去了保護作用,此時(shí)就可以通過(guò)對內存檢測的方式來(lái)查殺。PEID和PESCAN是兩個(gè)常用的用來(lái)查看程序加殼情況的軟件,對于普通的用戶(hù),使用超級巡警虛擬自動(dòng)脫殼機就能夠很好地解決這些問(wèn)題。同樣,使用主動(dòng)防御功能的安全軟件也可以檢測到這種類(lèi)型的木馬。
 

------分隔線(xiàn)----------------------------
欄目列表
聯(lián)系鄭州北大青鳥(niǎo)
  • 學(xué)校地址:鄭州市金水區文化路90號河南財經(jīng)政法大
  • 學(xué)文南校區1號樓(文化路與儉學(xué)街路交叉口文化路
  • 向北300米)
  • 咨詢(xún)熱線(xiàn):0371-63383521 63383522
  • 6路,28路,966路到文化路與儉學(xué)街站下車(chē)
企業(yè)預訂人才熱線(xiàn):0371-63383521
就業(yè)服電話(huà):0371-55902629
教學(xué)監督:0371-55690491
鄭州北大青鳥(niǎo)軟件學(xué)院地址:鄭州市文化路90號河南財經(jīng)政法
大學(xué)文南校區1號樓
傳真:0371-63383562 郵政編碼:450000
備案號:豫ICP備10022989號-2
版權歸 鄭州北大青鳥(niǎo)翔天信鴿IT學(xué)校
咨詢(xún)電話(huà):0371-63383521 15225191462
北大青鳥(niǎo)鄭州翔天信鴿授權IT軟件學(xué)院
教育改變生活
揭阳市| 德昌县| 瓮安县| 平顺县| 宣恩县| 墨竹工卡县| 福海县| 阳泉市| 嘉定区| 霍山县| 昔阳县| 台中县| 元阳县| 凌云县| 旌德县| 乌海市| 隆子县| 固始县| 怀来县| 从江县| 临海市| 博湖县| 金乡县| 收藏| 新余市| 冕宁县| 高邑县| 瑞昌市| 嵩明县| 灵武市| 江西省| 利川市| 澄江县| 长顺县| 工布江达县| 肃南| 栾川县| 乐安县| 滨海县| 扎兰屯市| 永仁县|