笑傲江湖之杀毒篇:KV2008VS电脑病毒
放眼Internet,天光云影远山清渠,心气怡爽美不胜收!如果你陶醉这片美景,那就大错特错了。美景之下实则激流暗涌,挂马盗号放病毒……黑色产业的猖獗,危险就在身边。步步小心可以求得自保吗?很遗憾,前几天俺
还听说XX高人气网站被挂马。逃不掉的,因为病毒会来找你--有电脑就有Internet,有internet就有江湖。
Internet就是江湖,你怎么退出?既然无法逃避,那就只能勇于抗争了。拿起手中的剑,内外双修,不求斩
尽天下毒寇,但求笑傲于江湖。
一. 觅剑篇----行千里,寻龙渊
欲做豪杰则必择良剑,欲泛舟于毒海且不惊起半点微漾,不但要内外双修,择剑也很重要(当然,如果已经到
了那种手中无剑心中也无剑的境界那就另当别论了)。
传说欧冶子铸龙渊,得铁英于茨山,寻寒泉于龙泉,觅亮石于溪山。铁英铸坯,寒泉淬火,亮石磨剑。虽然
说现在大大小小的“铁匠铺”不少,但有能力打造出上等宝剑的,国内也就那么几家。
上好的铁英----铸坯,这个最关键,直接决定最终的杀毒能力。反病毒是一个长期经验积累的过程,没有长
期的积累,怎么可能积淀出上好的铁英?
上等的寒泉----淬火,不够上等淬不出刚柔相济的剑身,而且淬得要恰到好处。淬快了,剑身太脆易折,淬
慢了又会过于柔软,易卷刃,折了身或者卷了刃都不能杀毒。正如当前杀软的趋势,多是在以特征码判断的基础
上加上一定的启发式,前者正如刚性,后者正如柔性,谁多了谁少了都不行。
上佳的亮石----磨剑,不够上佳磨砺不出寒意彻骨的剑刃,似冒水气、血不沾锋的刃,不但让整个剑身都起
到震撼效果,而且其华丽外表的背后其实深藏着削铁如泥的内在;正如好的杀软要有人性化的界面,但快捷操作
的背后实际都是为了最快的斩杀病毒。
还传说当年欧冶子总共炼出三把宝剑----龙渊,泰阿,工布,三者都是上好铁英、上等寒泉、上佳亮石铸得
绝世名剑,为何偏偏要选龙渊呢?呵呵,没有为何,选龙渊而非泰阿工布,无需任何理由。
二. 习剑篇----剑在手
剑客有四重境----下乘者以力使剑;中乘者以气使剑;上乘者以意使剑;大成者手中无剑心中也无剑,草木
竹石皆可为剑。
以力使剑,一招一式,人是人,剑是剑,招式无幻化,但若剑是好剑,招式正宗,效果却也还不错,不妨用
江湖老毒物灰鸽子来小试龙渊。
下面就是KV2008查杀灰鸽子2007的截图。灰鸽子2007是比较邪恶的,使用用户态API挂钩隐藏了文件、系统服
务和进程,如果自己的反病毒经验不是很丰富,就应该老老实实的遵从招式谱,F8启动到安全模式,然后使用
KV2008进行全盘查杀。记住这里一定要进入安全模式,否则因为挂钩的问题,在正常模式下反病毒软件遍历全盘
的时候会把灰鸽子漏掉。
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115105324868.png[/img]
中乘者以气使剑,这层境界中,已经不需要一板一眼的招式了,讲究呼吸吐纳尽自如。遇到一个病毒都是重启安
全模式然后全盘扫,多麻烦啊。中乘者能够呼吸吐纳尽自如,目的就是为了最大限度的释放潜能。这一次我们不
全盘扫描试试。还是上鸽子,还是灰鸽子2007,不过这只鸽子比上一只更恶毒,使用了进程内存替换技术把IE的
外壳套在自己身上了,而且还是隐藏进程的。通常情况下,Windows自带的进程管理器中根本看不到(因为无耻的
挂钩ntdll.dll导出NtQuerySystemInformation),而KV2008的进程管理器已经告诉我们它是隐藏的,但是因为进
程内存替换,KV2008依旧标记该进程为安全。不过剑是死的,人确实活的,你感觉到杀气了吗?呼吸吐纳炼到一
定程度,就会有一种对危险的直觉,直觉告诉我们,这个IE不可靠。
怎么办呢?别慌张,先赶紧把这个进程结束,然后再用KV2008扫描C:盘,不过没有必要重启去安全模式了,
因为灰鸽子的进程已经被我们结束。扫描的截图就没必要再贴了,效果和上面不会差太多。
是不是有点搞笑啊?就用了个KV的隐藏进程查看器就能算中乘者了?先不要忙着冷场,越往上,越需要强调
自身的修为,龙渊虽利,但剑艺的高下取决于人。如果你知道API HOOK,灰鸽子那点雕虫小技又算得了什么呢?
无非就是对用户态的那几条API来HOOK来HOOK去,HOOK NtQuerySystemInformation来隐藏进程,HOOK
EnumServicesStatusEx来隐藏服务,HOOK NtTerminateProcess来防止进程被结束,HOOK……无聊的东西,HOOK库
还是A的maghooks的。你知道它是如何来实现的障眼法,如何来破坏的,龙渊在手则可威力倍增,不光仅仅局限于
灰鸽子哦。
废话一点:
KV2008的隐藏进程检测是做的比较狠的,单纯基于HOOK的隐藏技术已经逃不过KV的进程检测,无论是在用户
态还是在内核态,即使是在内核态那些一般的内核内存涂改也逃不过去,比如断活动进程链等。
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115105334170.png[/img]
上乘者以意使剑,意到剑到。还是上灰鸽子吧,谁叫这玩意是江湖大魔头呢?既然是意到剑到,那就当意在剑先
,先把龙渊放一边去吧。我们知道鸽子会隐藏一堆东西,我们知道鸽子会HOOK,我们知道鸽子很烦。你会HOOK,
我们就不能反HOOK吗?灰鸽子那种HOOK无非就是在某些API开始的几个字节处插入jmp指令跳转嘛,知道了原理一
切都好办,我们就对照磁盘文件检查那个jmp;查到了,就是它,要修复,直接从磁盘文件中读出正确的API内容
写过去就搞定了,贴一个现写的程序截
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115105350978.png[/img]
因为这里涉及到引出表以及WIN32开发等较专业的知识,所以也不便多讲,仅仅是浅浅带过,在代码中对抗也是一
种解决问题的方案,自己写代码是代码对抗,用龙渊砍鸽子,实际也是代码的对抗,只是那种对抗我们看不到,
只能去感觉。再来看看HOOK被修复后的效果截图吧:
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115105350395.png[/img]
是不是很有意思,KV的进程检查出来PID为532的进程还是隐藏的,但我们的测试程序中因为自身进程空间的API
HOOK已经被修复,所以可以很容易的枚举出这条隐藏的进程。
三. 完结篇—笑傲江湖
大成者手中无剑,心中也无剑,草木竹石皆可为剑。如果到了这种境界,也许就可以丢掉龙渊了。吃透操作
系统的运作机制,掌握各种加密算法,了解各种病毒的破坏机理,任你加壳,变形,免杀,如何如何,灵光一现
即是如诗代码,毒海中横扫千军势如破竹……
怎么感觉有点奇怪?开始明明是行千里求得龙渊宝剑,为什么到了最后,我的剑呢……? 江民这样的广告宣传帖子怎么到那里都能看到啊
页:
[1]