木马病毒隐身穿墙术解密之花指令和终止进程

最新推荐文章于 2023-10-31 18:05:25 发布
最新推荐文章于 2023-10-31 18:05:25 发布
阅读量1.1k 收藏
点赞数
分类专栏: 黑客 文章标签: 免杀 杀毒 病毒 揭秘
今天我们要了解的,就是另外两种攻击者喜欢使用的 木马 隐身技术:给 木马 程序加花指令和终止 安全软件
进程。
 一、对 木马 使用花指令
  花指令就是指程序中包括了跳转指令及一些无用的指令在内的汇编指令段,有加区加花和去头加花两种,通常是用来改变程序的入口点或打乱整个程序的顺序。而一些 杀毒 软件 在进行 木马 查 杀工作时,都是按从程序的开头到结尾的顺序进行检测的,以此来找到与 病毒 库中某一特征码相似的特征。甚至一些 杀 毒软件 就是以程序的入口点作为特征码的。因此,如果 木马 的程序顺序被打乱,或者程序的入口点被修改,那么, 杀毒 软件 也就很难检测出它来,于是就达到了隐身的目的。能完成这些工作的,就是在 木马 程序中使用花指令。
  要在 木马 程序中使用花指令,可以有两种方式,一种是使用互联网上现成的,另一种是攻击者自己编写或者使用花指令生成 软件 。由于互联网上现成的花指令同样会被 杀毒 软件 厂商所得到,因此不会有什么好的保护效果。对于有一定汇编技术的攻击者来说,就会使用自己编写花指令的方式,还可以使用一些花指令生成 软件 ,如超级加花器和花蝴蝶等。
  正是由于给 木马 添加不易被检测到的花指令需要高超的 编程 技术,也就很少有普通的攻击者使用这种方式,至少在没有陌生的花指令生成 软件 出现之前,是不太喜欢使用它的。
  并且,由于对 木马 使用花指令也只是对其可执行文件本身有效,当其加载至内存后,这种隐身方式将失去作用。因此,使用具有内存查 杀功能的 杀毒 软件 ,就能够非常容易地检测到只使用这种隐身方式的 木马 病毒的。
  在当前具有内存查 杀 功能的 安全
软件 之中,查 杀 花指令保护 木马 比较好的就是EWIDO了。也可以使用Ollydbg程序先将 木马 加入到内存中后再查 杀。同时,还可以使用像“花指令清除器”一类的花指令检测 软件 ,来识别和除去花指令。
二、终止 安全软件 进程
  现在,几乎所有的 木马 都在使用一种十分有效的、躲避 安全 检测 软件
的方法,就是终止系统中所有 安全软件 的进程,从而达到了不会被查 杀 的目的。
  而要实现这种功能,只要 木马 能够枚举系统中的所有正在运行的进程,然后从中找到匹配的 安全软件 进程名,通过发送一个终止进程的Windows消息给它,就可以结束这些正在运行的 安全软件 。
  还可以通过挂起 安全软件 的所有子进程,以此来冻结其父进程。或者通过查找并修改 安全软件 已经加载在内存中的 代码 ,让 安全软件 的进程崩溃而退出运行。
  有时,为了防止由于终止 安全软件 进程而引起 计算机 用户的注意,会在系统任务栏的托盘区产生与 安全软件 图标相似的图标来欺骗用户,以此来延长在系统中存活的时间。所有的种种,都是为了达到不被查 杀 的目的。
  要防范这种方式的 木马 攻击。首先, 杀 毒软件 等 安全软件 本身要已经具有忽略来自系统结束任务消息的功能,以防止通过Windows消息来结束
安全 运行进程的攻击。另外,最好的方法就是系统用户自己在平时使用 计算机 过程当中,要不断查看系统中 安全软件 或其它进行的运行情况,一旦发现原本开机启动的 安全软件 没有运行或启动不了,就应该怀疑是否已经有 木马 在系统中运行了。此时,应当检测系统中所有正在运行的进程是否有可疑的,例如使用IceSword和ProceXP这两款 软件 来检测,或通过查看系统日志来发现可疑问题。
三、修改 安全软件 的配置文件
  每一个 安全软件 ,都会将它的 安全 设置放入到一个配置文件当中,然后在每次系统启动时读取这个文件,并以这个文件中的设置内容来设置保护方式。这些配置文件,对于单机版的 安全软件 来说,一般都是保存在用户系统硬盘当中的某个位置的。因此,在系统中运行的 木马 程序也是可以获得这些 安全软件 的配置文件的,然后就可以对这些文件中的配置内容进行修改。例如修改防 火 墙对所有的程序都放行,修改 杀 毒软件 在任何时候都不进行系统扫描检测。这样就能躲避 杀 毒软件 ,又能穿过防 火 墙与攻击者进行 网络 连接。
  但是,对于这些配置文件, 安全
软件 也是会对它们进行 加密 的。因此,要修改这些配置文件也不是那么容易就实现的。不过, 木马 还是会通过一些方法来完成修改 安全软件 配置文件的任务的。例如进行反向连接,然后由攻击者通过远程控制修改 安全
软件 的设置。还可以通过对 安全软件
已经加载到内存中与配置相关的位置进行填充或修改等等。尤其是对于哪些将 安全 设置项写入到注册表中的,要修改就更加容易一些了。不过,攻击者不会常用这种方式,毕竟实现起来比其它要麻烦得多。
  要防止这种 木马 攻击,使用主动防御型 杀毒 软件 (如Mcafee)和防 火墙( 如Tiny Firewall),能达到一定的预防效果。还可以使用Filemon和Regmon软件对系统文件和注册表进行 监控,以此来提醒用户有某种非法文件修改行为在发生,以及哪些文件和注册表项被修改了。
中国红客安全联盟推荐码:ZN659846 QQ群:7603826
liuhuihlf
关注
专栏目录
网络安全-江湖高手专用的“隐身术”:图片隐写技术
Coisini的博客
05-29 969
我们在影视作品中经常会看到一门功夫叫隐身术,是一种使身体隐形从而看不见的幻术。 你知道信息安全里面也有“隐身术”吗?没错,它就是隐写术! 隐写术是关于信息隐藏,即不让计划接收者之外的任何人知道信息的传递事件(而不只是信息的内容)的一门技能。 按照载体对象分类可以分为文本隐写术、图像隐写术、音频隐写术、视频隐写术,本文主要介绍的是图像隐写术,先详细分析JPEG文件格式,然后研究隐藏文件的方法及原理...
指令去除器
03-16
指令 专杀 花指令去除器
指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出花指令 将他清除
木马防杀 花指令 OllyDbg
超哥的专栏
04-24 765
打开木马 入口地址 添加花指令 全0的地方,可以插入花指令 保存为可执行文件 随便选择几行,右击 保存文件
病毒的隐藏技术与花指令(计算机病毒
04-18
这是曾经讲课用过的课件,关于隐藏技术与花指令讲的很详细,课件也很不错的。
米牛文件加密解密伪装专家是一款专业强劲的文件和文件夹加密解密软件,支持文件加密解密,文件夹加密解密,文件夹伪装保护等等功能
最新发布
03-19
米牛文件加密解密专家是一款专业强劲的文件加密解密软件,采用多线程加解密方式,加密速度快、安全性高、资源消耗低,不仅拥有文件/文件夹加密、解密、打开等功能,而且对本地加密/解密,更安全、更高效,并且软件...
基于色差和光谱特性的海面船只隐身效果评估
01-27
物体的反射光谱数据能够反映其表面情况和光谱吸收特性, 利用该数据可辨别人眼难以直观发现和识别的伪装目标, 并定量表示不同的目标船只与海洋背景的差异。从色度学角度出发, 提出了基于颜色和光谱特性的两个特征评价...
目前在舰艇声隐身技术领域中, 螺旋桨噪声和流噪声机理研究所需要的实验手段存在明显不足
01-26
舰艇声隐身技术是现代舰艇设计中的一个重要环节,它涉及到如何降低舰艇在水下产生的噪声,以提高舰艇的隐蔽性和生存能力。在这一领域,螺旋桨噪声和流噪声是最主要的噪声来源,因此对这两者的机理研究至关重要。然而...
刘红星 高正平小组-隐身材料和结构设计-综合文档
05-23
刘红星 高正平小组-隐身材料和结构设计
超级加花器(木马游民专用).rar
03-29
超级加花器是专用于木马加花。!(牧马游民) 但使用前请关闭360,卡巴斯基等安全软件。以防误杀!! 花指令的名称可以使中文或者英文,花指令内容必须是连续的16进制码,不能有空格,花指令内容大小应小于255字节。
让你自己制作的木马和病毒用360安全卫士杀不出。加壳,免杀,加花,捆绑,压缩。
热门推荐
m0_46250064的博客
03-30 1万+
最近我做了一个木马,但极易被360安全卫士给杀掉。现在我来尝试如何达到让360免杀的概念!!! 一.制作病毒 确保你有一个木马或病毒。像这样--- w 我们来用360杀杀看。 我们发现,它能被杀出!!! 二.用加花器加花 俗话说!道高一丈,魔高一尺!接下来我们把这个木马加花 用超级加花器(木马游民)加花 大家可以用网上下载的超级加花器,或者用我的资源:https://downlo...
OllyDbg实用技巧六则
把梦想放飞在蓝色的天空里...
05-09 1070
关键词: OllyDbg、OD、技巧 1、让跳转路径显示出来      打开Options\Debugging Option。弹出Debugging Option对话框,选择CPU页,选定 “Show direction to jumps”、“Show jump path”和“Show grayed path if jump is   not taken”。如此以来在Disas
加花工具的使用
我还在的博客
10-09 3311
加花工具的使用0x00 前言0x01 “牧马游民超级加花器”0x02 怒剑狂花加花器(操作类似于“牧马游民超级加花器”) 0x00 前言 加花是一种木马免杀的手段。 加花:在木马程序中加入一段无用代码或者垃圾代码,其实际是汇编代码,有了这个垃圾代码程序还是能正常运行,没有也无所谓。加入之后,能让程序到处跳转,让防病毒软件难以查找病毒特征码从而实现木马免杀的目的。 加花工具有:牧马游民的“超级加花器...
木马免杀指令的写法
03-21 1337
所谓花指令就是汇编指令保持堆栈的平衡而胡乱写的 push ebp和pop ebp是废话inc ecx   dec ecx是废话push eax /pop eax是废话add esp,+0c / add esp,-0c是废话push esi /push edipush 415448         -/___PUSH 4021A8         -/   在这段代码中类似这样的操作数可以乱填  A
木马免杀(篇三)静态免杀方法
Goodric的博客
10-31 1418
绕过静态免杀的方法。即将文件上传到目标不会被杀软查杀
2022CTF培训(四)花指令&字符串混淆入门
sky123博客
11-28 2701
逆向工程中一个常用的技巧就是通过字符串来寻找核心代码,例如通过错误提示来找到判断的相关代码、通过提示语句找到相近的功能代码、通过日志输出找到相关的功能代码等等。可见字符串对于逆向人员是一个很重要的切入点。因此,保护方使用字符串混淆技术,对静态文件中的字符串进行加密,使得直接在文件中搜索字符串无法获得信息。当程序运行时再对字符串进行解密,恢复其的可读性。静态解密指的是对解密函数进行逆向,从而直接根据解密算法和加密内容进行恢复。好处有以下几点无需执行,避免环境配置、反调试等问题。
指令入门操作实践
bcbobo21cn的专栏
03-17 1098
根据逆向相关资料;下面有2段ASM代码; 1; start_: xor eax, eax test eax, eax jz label1 jnz label1 db 0E8h ;垃圾指令 label1: xor eax, 3 add eax, 4 xor eax, 5 ret 2; start_: xo...
c语言加花指令,花指令的应用
weixin_31036949的博客
05-21 1794
原标题:花指令的应用 对免杀的影响是非常大的,有效地利用花指令可以使免杀工作事半功倍,甚至单凭花指令就可以达到免杀的效果。一、花指令免杀领域的应用1、花指令的应用技巧在使用之前,首先我们应该明白什么时候比较适合使用,同时还要清楚什么时候不适合。总的来说,应该在无壳的木马中应用,如果木马已经被加壳,那么我们必须要先脱壳然后再添加。不管是加壳还是加都可以看作是一种加密行为,因此一般都是先加然后再加壳...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值