|
|
沙发
楼主 |
发表于 2009-1-3 09:47:00
|
只看该作者
1.木马的自身保护
就像前面提到的,黑洞2004在生成服务端的时候,用户可以更换图标,并使用软件UPX对服务端自动进行压缩隐藏。
2.捆绑服务端
用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、ExeBundle等。
3.制做自己的服务端
上面提到的这些方法虽然能一时瞒过杀毒软件,但最终还是不能逃脱杀毒软件的查杀,所以若能对现有的木马进行伪装,让杀毒软件无法辨别,则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如1中的UPX就是这样一款压缩软件,但默认该软件是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒软件;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒软件很难判断。下面我就以冰河为例,为大家简单的讲解一下脱壳(解压)、加壳(压缩)的过程。
如果我们用杀毒软件对冰河进行查杀,一定会发现2个病毒,一个是冰河的客户端,另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳,可以看到服务端已经使用UPX进行了压缩。
现在,我们就需要对软件进行脱壳,也就是一种解压的过程。这里我使用了“UPXUnpack”,选择需要的文件后,点击“解压缩”就开始执行脱壳。
脱壳完成后,我们需要为服务端加一个新壳,加壳的软件很多,比如:ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例,点击“打开”按钮,选择刚刚脱壳的服务端程序,选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀,发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀,你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后,试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河,就是网友通过对服务端进行修改并重新加壳后制做出来的。
建议网络用户使用媲西伊遮斯。媲西伊遮斯由媲西伊遮斯远控御防和媲西伊遮斯颠覆密保两款精品软件组成。媲西伊遮斯远控御防是非法远程控制程序的克星,是一款全新技术的专门从根本上防止非法远程监控的软件,也是目前市场上唯一一款专门阻断非法远程监控的软件。它是基于微软操作系统和PC安防基本原理来设计的,只要一出现屏幕监控、键盘鼠标记录、密码大盗和文档窃取四大非法监控,媲西伊遮斯远控御防马上自动对其切断。该软件尤其对于那些未流行病毒、黑客自己制作的远控程序以及某些所谓的“正当”监控软件作用更明显,因为这些是杀毒软件根本无法查到无法杀掉的。同时,媲西伊遮斯颠覆密保可以随心所欲对任意硬盘各分区和U盘进行绝密锁定保护,对文档、鼠标右键、控制面板等计算机八大重要操作功能的权限限制设定,对客户资料、财务数据、聊天记录、图片电影等重要文档资料的颠覆常规安全加密,对重要数据的多重加密,防止阅览、复制、拷贝、删除和盗取等。
|
|
发表于 2009-1-3 09:47:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩