查看完整版本: [-- 【精品】就事论事-谈如今的病毒和木马 --]

【 浮游城 - Castle in the Sky | 开放邀请注册,PS|SS|WII|DC下载研究中心 】 -> 【 电脑全方位 | Computer All Round 】 -> 【精品】就事论事-谈如今的病毒和木马 [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题

永恒の翼 2007-06-14 23:50

这里做备份保留:


最近半年了,从媒体恶吵的“熊猫烧香”开始,到最新的“AV终结者”,媒体、公众、网络上吵得风风火火,如此如此厉害之类的,我只是默默的下载上来,加以研究,然后归类,最后总结出来的结果就是:此类东西,根本毫无技术可言!


1 从感染的途径说起:我看除了网页下载(含压缩包或者执行程序打包)和可移动磁盘(俗称:U盘)外,几乎没有第三种感染途径了。
2 从感染的源头说起:除了部分可能是高手们通过隐匿的方法埋的以外,其它几乎清一色的都是注入动态网页。
3 从被感染者说起:几乎都不打微软更新补丁,并且没有良好的安全意识的群体

以上三点,我下面加以详细说明。

[separator]

1 可移动磁盘感染,几乎无一例外都是使用了AUTORUN,这个方法。而且源代码都非常的统一:
复制代码

  1. [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\打开(&O)\command=setup.exe
    shellexecute=setup.exe
    shell\资源管理器(&O)\command=setup.exe

开个玩笑说的话,如果换做是我写这东西,我一定做一个特生动的图标,然后我会很容易的加入一行:
icon=XXXX.ico
进去,即使做,也要做得好看,不要太没技术水平。

可是呢?我们亲爱的作者们,却是一味的抄袭,不思进取,连我说的这么简单的东西也没有实现。可见作者群的质素和能力的极端低下。

2 网页感染,几乎都是JS和IFRAME注入式的嵌套加载,而且用的全部都是MS-06014和MS-07017这两个老旧的漏洞来实现的,极少使用了ANI的exploit,但是也无任何技术含量。我都在怀疑,你只需要打足我提到的这三个补丁,几乎可以安全的防范大半的网页注入式木马了。

3 网页被注入,我看网页能被注入的一大半都是ASP的,少数是PHP的,而最终的原因都是服务器管理员,自身根本没有意识到自己的服务器是否存在安全漏洞,并且对权限设置方面,没有任何的了解。UNIX下直接给予777,WIN下直接完全控制的之类,甚至连口令干脆为空或者就是123或者ADMIN之类的弱口令,这不是等着让别人到你服务器上来乱搞一气??特别是政府类的网站,我看那些管理员根本就是吃干饭的。

----------分隔一下----------

以上的说法,并不是说我自己怎么怎么厉害了,只是我从客观的方面谈论一下这个罢了,如果您不信,以下的情况你是否有考虑到?所谓病毒木马的作者们?

1 上面的AUTORUN,如果遇到一个非简体中文的系统,会是什么情况?
2 如果一个打足了补丁的WIN系统,你们有办法实现木马下载么?
3 如果一台WIN系统,禁止了ACTIVEX下载的功能,你又有办法实现自动下载么?
4 如果一台服务器的网站使用全HTML静态页,后台自动更新静态页,你又能如何去注入?
5 退一万步,即使这些东西都下载到机器上,你在非中文的系统下能正常运行么?

呵呵~~唉,如果以上的情况都没有考虑过的话,只能说明你根本不成熟,不具备病毒的任何特性。

杀毒软件厂商在商业的驱动下,也开始了一步一步的退化,也变得越来越脆弱。

瑞星:估计一个简单的 ICE SWORD 就能让他彻底闭上那狮子嘴了
金山:可能 WINDOWS 的 Processs kill 就能让他挂了
江民:可能非 WINDOWS 的进程管理器,足以让他死掉
卡巴:5.0还好一点,6.0估计一个简单的 DATE 这个 DOS 命令足以让他致命
360:如果我将注册表编辑器禁止了,或者改名了,好像它什么事也做不了了吧

其它的我也不好说什么了。


如果丢开那些杀软,WINDOWS 自带命令组合,也足够让上面那些中这木马的人,心头发麻,杀软肯定也是不会提供任何可疑操作。

举个例子:

cacls 这个权限操作命令,如果我将你的 %TEMP% 这个目录定成了任何人无权访问,结果会如何?
taskkill 这个杀进程命令,如果我指令专杀你的EXPLORER.EXE进程,这个又会怎么样?
更狠一点的: del *.* /s /q 这个呢? 是不是你又准备将硬盘查个底朝天???

其实前几天一直也和有这里发文的YKSOFT,讨论这些事情,我们想像的东西,可能比目前的举更为可怕,但是,一直却没有人去实现。我们自己测试,也基本上以成功而放弃。

呵呵,~~其实这些简单的组合都被它们忽略了。



综上所述:想真正做到不被人欺骗,能自己手工处理这些事情,能好好看清所谓的“技术”,还请自己给自己好好补上一些基础课。不要认为会用,就是会维护;不要认为理解了,就不去深入研究。

不要怕摔倒,哪里摔倒,就从哪里爬起来!这才是真正你要做到的事。




谢谢各位看完我这些乱七八糟的话,我不是学文的,能力有限,希望大家能理解,只是我想把这些道理说清楚一点,不要做某些事情而迷茫了自己的双眼。

皇帝 2007-06-15 00:06
上次有个人无聊在维斯他下运行熊猫,还真跑不起来。。。。。。

拉菲尔 2007-06-15 09:05
讨厌病毒和木马,更讨厌无聊的人。。。

knktc 2007-06-15 20:01
给同学弄了个emule的U盘图标,好可爱哦……

PJX8167 2007-06-15 20:29
喜欢LZ的风格...ME TOO...
只要是经过我手的MP3 MP4 TF CF移动硬盘啥的我都会弄个代表我的ICO上去....
icon=PX8167.ico

YZB 2007-06-16 00:19
AV终结者是不是会把电脑上的A片都删掉啊?
好可怕啊,幸亏我没中过

yksoft1 2007-06-16 09:17
以前曾经尝试把ANI网马作为我的某个U盘的图标。

Taburiss 2007-06-17 10:43
-_-
难道CNBETA那篇文,素修修发的?

yksoft1 2007-06-17 11:31
本来就是

knktc 2007-06-17 13:39
不如申请个转载吧……
写得挺好啊……

PJX8167 2007-06-17 13:59
引用
引用第5楼YZB2007-06-16 00:19发表的“”:
AV终结者是不是会把电脑上的A片都删掉啊?
好可怕啊,幸亏我没中过

Y大大这么高兴...说明一个问题....
你电脑里有很多XX片....
推理完毕

PS:整个熊猫的ICO给他们...

永恒の翼 2007-06-17 15:03
引用
引用第7楼Taburiss2007-06-17 10:43发表的“”:
-_-
难道CNBETA那篇文,素修修发的?

yksoft1 2007-06-20 14:33
现在,这些出名的病毒,从维京到熊猫,再到帕劳蠕虫,他们都有个共同的身份——下载者。
他们做了一堆BT的勾当:
1、持续性配置。Viking系的感染可执行文件,autorun,帕劳蠕虫的狡兔三窟。
这个是真正属于病毒的行为,自己想一下自己也会这么做。但是要能做到这个,就得有足够的权限,而且还得对付HIPS软件的监视。
2、打击安全类软件和安全措施。熊猫感染杀毒软件并尝试删除gho,帕劳蠕虫的IFEO劫持和ws2_32.dll目录,safeboot的噩梦,以及现在非常流行的改系统日期反卡巴法。
其实病毒作者如果自己技术够强,就完全可能彻底绕过那些个杀软而完全隐藏自己。但是他们反而将杀毒软件的运行环境破坏,这样已经背离了病毒应有的隐蔽性原则。病毒作者要么是出于虚荣心,要么就是出于对杀软深深的仇恨和恐惧,才将杀软作为直接攻击目标。如果让我去写下载者,我肯定会在完成任务后马上自毁,而不会再呆在机器中作者写龌龊事。
3、技术不够。这些写病毒的人,懂得写rootkit的人估计极少,结果在保护自己方面,比起某助手、某中文上网,甚至比起木马黑洞、灰鸽子来都不如。
4、以为和系统搭上边,就可以瞒天过海了。文件名取那些个什么system、expl0rer,iexpl0re、scvhost、spoclsv一类,服务名总加上M$、Windows和几个看上去吓人的名词,文件放在MSinfo、IE目录、回收站下,文件说明里写着M$ Corporation,。。。。。。这些完全是掩耳盗铃。现在已经出现很多熟悉NT构架和基本服务的人了,他们一看到此类以看似微软的名义出现在不应该出现的地方的东西,马上就会高度警惕。
5、目的不纯。此类下载者最终的目的就是下载盗号马、远控马,得到人民币。利欲面前,谁会去一门心思完美化、稳定化自己的下载者呢?这些下载者,没一个vista-compatible的,没一个能对付低权限的,甚至还有熊猫这样可能直接报错的。。总之这些东西,动机不纯,当然也不可能完美。
想骂的随便骂,反正老子现在脑子乱,说话疯疯癫癫的。

拉菲尔 2007-06-22 12:00
中国特色的病毒莫,哦,^_^

eadsion 2007-06-22 12:04
希望电脑世界里面不存在"病毒"
让人们过上不担心的日子..

南极的潜水员 2007-06-22 12:53
说实在的
现在的病毒越来越向木马靠拢
很少有对系统造成重大破坏的,反倒是希望驻留在系统里的比较多
过去制作病毒或许是为了展示自己的实力,或者为了破坏,或者只是为了玩
而现在制造电脑病毒到更多地为了牟利
只要人尚有贪欲,电脑还能执行一天EXE,病毒木马就不会亡

xiao555 2007-06-22 12:58
引用
引用第14楼eadsion2007-06-22 12:04发表的“”:
希望电脑世界里面不存在"病毒"
让人们过上不担心的日子..

那是不可能的~为什么?因为有很多有对人民币有爱~

zongwei_007 2007-07-10 10:45
引用
引用第15楼南极的潜水员于2007-06-22 12:53发表的  :
说实在的
现在的病毒越来越向木马靠拢
很少有对系统造成重大破坏的,反倒是希望驻留在系统里的比较多
过去制作病毒或许是为了展示自己的实力,或者为了破坏,或者只是为了玩
而现在制造电脑病毒到更多地为了牟利
.......


同意……
这年头差不多全是搞搞蠕虫,利用几个老旧漏洞的了,再就是通过Autorun,再强点设个 xjpd...\ 之类的路径……还不就是想简化工作,批量生产?跟当年的CIH之类比起来,一点技术含量都没有……

能不能说这是顺应世界经济发展趋势?

dolphin 2007-07-12 13:47
那些病毒和木马的作者都是吃饱了撑的。
鄙视他们!


查看完整版本: [-- 【精品】就事论事-谈如今的病毒和木马 --] [-- top --]


Powered by PHPWind Code © 2003-08 PHPWind
Gzip enabled

You can contact us