ByShell 一个穿越主动防御的木马

最新推荐文章于 2024-07-16 17:10:08 发布
最新推荐文章于 2024-07-16 17:10:08 发布
阅读量1.9k 收藏
点赞数
分类专栏: Hacker技术 文章标签: 杀毒软件 descriptor system 浏览器 工作 windows

 《电脑报》提到了一个可以轻松穿越卡巴,瑞星,诺顿的主动防御功能的免杀木马:byshell。于是在网上搜,搜到byshell推广版的说明是:可以穿越卡巴瑞星诺顿的默认设置主动防御。我就下了个推广版回来试下微点能不能防,生成服务端后一运行,微点没有让人失望,立刻报告说发现未知监控软件。本来还想试下远程监控看看微点会不会提示有可疑程序访问网络之类的,因为在单位上班,还是放弃了念头。

 BYshell的说明里说,高级版采用新内核驱动,可以轻松穿透 ZA 6/7版,麦咖啡安全套装,麦咖啡8.5i 标准版,KIS 6 卡巴安全套装(包括交互模式),诺顿安全套装2007,瑞星2007,小红伞和趋势2006 这些杀软的高级别安全设置。不过里面没提到微点,估计作者还没把微点列入考虑范围,如果微点的工程师有兴趣不妨弄个高级版来研究下,看看是否真的那么牛 X。如果真能穿越这一大排知名杀软却被微点轻松拿下那就开心了。

  如何清除能突破主动防御的木马

  病人:我使用的杀毒软件有主动防御功能,能拦截木马,可最近我的邮箱账号还是被盗了,为什么会这样?

  医生:这个其实也是很正常的,毕竟没有一款杀毒软件是万能的,能够阻止目前所有的恶意程序。你的电子信箱被盗很可能是被那种能突破主动防御木马,例如最新的ByShell木马。这是一类新型木马,其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。

  利用SSDT绕过主动防御

  病人:像ByShell这样的木马,它们是如何突破主动防御的呢?

 医生:最早黑客通过将系统日期更改到较早前的日期,这样杀毒软件就会自动关闭所有监控功能,当然主动防御功能也就自动失去了防控能力。现在已经有很多木马不需要调整系统时间就可以成功突破主动防御功能了。

Windows系统中有一个SSDT表,SSDT的全称是System Services Descriptor Table,中文名称为“系统服务描述符表”。这个表就是把应用层指令传输给系统内核的一个通道。

 而所有杀毒软件的主动防御功能都是通过修改SSDT表,让恶意程序不能按照正常的情况来运行,这样就可以轻易的对恶意程序进行拦截。如果你安装了包括主动防御功能的杀毒软件,可以利用冰刃的SSDT功能来查看,就会发现有红色标注的被修改的SSDT表信息。

 而ByShel木马通过对当前系统的SSDT表进行搜索,接着再搜索系统原来的使用的SSDT表,然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行,这样就最终让主动防御功能彻底的失效呢。

 小提示:Byshell采用国际领先的穿透技术,采用最新的内核驱动技术突破杀毒软件的主动防御。包括卡巴斯基、瑞星、趋势、诺顿等国内常见的杀毒软件,以及这些杀毒软件最新的相关版本,都可以被Byshell木马成功的进行突破。

 主动防御类木马巧清除

  病人:我明白了这类木马的原理了,但还是不知道怎么清除?

  医生:清除方法不难,和清除其他的木马程序方法类似。下面我们以清除典型的ByShell木马为例讲解具体操作。

 第一步:首先运行安全工具WSysCheck,点击“进程管理”标签可以看到多个粉红色的进程,这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE浏览器进程,发现其中包括了一个可疑的木马模块hack.dll(图1)。当然有的时候黑客会设置其他名称,这时我们只要看到没有“文件厂商”信息的,就需要提高自己的警惕。

  第二步:接着点击程序的“服务管理”标签,同样可以看到多个红色的系统服务,这说明这些服务都不是系统自身的服务。经过查看发现一个名为hack的服务较为可疑,因为它的名称和木马模块的名称相同(图2)。

  同样如果黑客自定义其他名称的服务,则在“状态”栏看到标注为“未知”的服务,我们就要注意了,最好一一排查。

  第三步:点击程序的“文件管理”标签后,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件hack.dll,与此同时还发现一个和模块文件同名的可执行文件(图3)。看来这个木马主要还是由这两个文件组成的。

  第四步:现在我们就开始进行木马的清除工作。在“进程管理”中首先找到粉红色IE浏览器进程,选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击“服务管理”标签,选择名为hack的服务后,点击右键菜单中的“删除选中的服务”命令来删除。

  再选择程序中的“文件管理”标签,对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后,点击右键菜单中的“直接删除文件”命令,完成对木马的最后一击。现在重新启动系统再进行查看,确认木马中的被清除干净呢。

  第五步:由于木马程序破坏了杀毒软件在SSDT表中的内容,因此大家最好利用软件自带的主动修复功能来进行修复,或者直接重新将杀毒软件安装一次即可。

  总结

  以前的木马种植以前,黑客最重要的工作就是对其进行免杀操作,这样就可以躲过杀毒软件的特征码检测。是黑客现在除了进行基本的免杀外,还要想如何才能突破主动防御的功能。不过已经有木马可以突破主动防御,以后这类木马也会越来越多,因此大家一定要加强自己的安全意识。


原文引用地址:http://tech.ddvip.com/2008-01/120094592640939.html

yakoo5
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
byshell
05-11
包括byshell 063和064两个版本
详细讲解黑客常用的远程控制木马
热门推荐
yakoo5的专栏
11-26 2万+
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}-->  Normal 0 7.8 磅 0
系统级ring3后门——byshell v0.64编程与应用(zz)
FreeXploiT
06-26 3064
第一部分:背景    现在网络上流行的木马后门类工具很多,但可以称为精品的则没有多少。大多数新生们还是在使用winshell,冰河或者Radmin一类的“远程管理软件”来替代后门程序。不幸的是,它们并不符合一个真正后门的标准,极其容易被有或者没有经验的服务器管理员察觉,因此肉鸡经常丢失也就很正常了。    一个合格的后门至少应该作到:不能有陌生进程存在于任务管理器里,给后门进程起一个看起来像系统进
五步清除内核级木马程序Byshell
yakoo5的专栏
11-26 3299
 Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。  黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的
内核级木马程序Byshell原理和清除法
04-24 1124
来源:timezq    更新时间:2008-4-24 11:05:26    浏览次数:11 BYshell是内核级的木马程序,有很强的隐蔽性和杀伤力。 Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在
byshell1.09
09-30
黑防专用远程控制,过全部杀毒软件!!!
byshell远程控制
02-22
那个byshell0.64的网络传输稳定性不是很好,因此把前一个版本的0.63也放上来了。 大家如果发现0.64不能用,可以试试这个。 byshell v0.63 author:"by" byshell v0.63,用户态实现无进程无DLL无...
木马与远程控制
06-14
一些关于木马与远程控制; 木马是如何通信的; 木马是如何控制的; 如何清除木马; 与远程控制的文档学习及代码
Byshell 远程后门控制 1.09 C++
03-15
内容索引:VC/C++源码,界面编程,Byshell源码 Byshell 是一款小巧的远程后门控制软件,它的特点是运行后不在进程里显示、没有用到动态链接库DLL、不添加启动项。这是v1.09的源代码,只供学习网络编程,不要用于其它...
Byshell远程控制
09-22
2008年5月份出来的最新Byshell远程控制软件,可以有效控制内网,外网客户端,绝对经典
Byshell 远程后门控制 1.09 C++源码.rar
04-08
Byshell 远程后门控制 1.09 C++源码.rar
完整版远程控制.rar
04-03
完整版远程控制.rar
BYSHELL
woshidaniu的专栏
03-18 1089
 //记得改名为ntboot.exe/**************************************************************redesign pack header,BYheader for all instance for reliable trans.16 BYTE password8 BYTE reserved4 BYTE packnum4 BYTE
Web前端-Web开发HTML基础2-list
最新发布
a15735748145a的博客
07-16 122
13. 写一个列表标签,生成一个自定义列表,名称为"自定义列表",有三条记录,默认都为"记录",每个记录各有一个注释,默认为"注释";14. 写一个列表标签,生成一个自定义列表,名称为"自定义列表",有四条记录,默认都为"记录",每个记录各有两个注释,默认为"注释";15. 写一个列表标签,生成一个自定义列表,名称为"自定义列表",有五条记录,默认都为"记录",每个记录各有三个注释,默认为"注释";11. 写一个列表标签,生成一个有四条有初始值记录的有序列表;5. 自定义列表项dt标签有没有结束标签呢?
byshell 客户端
07-31
ByShell客户端是一款用于远程连接和管理服务器的软件。通过ByShell客户端,用户可以方便地远程登录到服务器,进行文件传输、命令执行、服务管理等操作。 首先,ByShell客户端具有简单易用的用户界面,用户只需要在指定的输入框中填入服务器的IP地址、端口号、用户名和密码,即可快速建立起与服务器的连接。用户可以通过ByShell客户端轻松地管理多个服务器,无需逐一记忆和输入服务器的连接信息,提高了工作效率。 其次,ByShell客户端支持多种文件传输方式。用户可以直接在ByShell客户端的界面上进行文件上传和下载操作,而无需通过其他的FTP工具。通过ByShell客户端的快速且稳定的文件传输功能,用户可以方便地将本地文件上传到服务器或从服务器下载到本地进行浏览和编辑。 此外,ByShell客户端还具备强大的命令执行功能。用户可以在ByShell客户端中直接输入命令,然后将其发送给服务器执行。通过ByShell客户端的命令执行功能,用户可以远程管理服务器的各项运行任务和服务,如启动和停止应用程序、修改服务器配置等。这使得服务器管理更加便捷和高效。 综上所述,ByShell客户端是一款功能强大且易于使用的远程服务器管理软件,它的简单界面、多种文件传输方式和强大的命令执行功能,为用户提供了便捷和高效的服务器管理体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值