如果用户对木马病毒当前使用的隐身穿墙术有一定的了解,就可以知道该从哪些方面去防范,以及出现问题时该从何处着手处理。这样,再与各类安全工具相结合,就有可能将木马病毒带来的安全威胁降至我们能够接受的水平以内。接下来郑州北大青鸟的网络专家将以Windows XP系统为平台,分别对现阶段木马病毒常用的隐身术和穿透防火墙方法进行简单的描述,并给出相应的处理方法:
一、修改木马程序特征码
当用户使用杀毒软件查杀木马时,杀毒软件就是通过分析用户系统中的各种文件的特征码来与病毒库中的各种特征码进行比对,当发现了相似的就认为是某种木马并查杀。现在特征码查杀技术有文件特征码和内存特征码查杀这两种方式。修改木马程序的特征码,就是为了躲避通过特征码查杀的杀毒软件的检测,这样就等同于在杀毒软件面前隐身了。
现在,互联网上已经存在有许多可以用来提取程序特征码的软件,例如MYCCL。要修改某个木马的特征码,可以通过MYCCL不断地提取它的特征码,然后用要躲过的杀毒软件来查杀,直到这些杀毒软件不能检测到它就是一个某个木马为止。然后,再通过一些二进制提取和编辑工具(例如Uedit32),对这个木马中发现了的特征码段进行修改,就可以在这些杀毒软件面前隐身了。有的时候,对于某些杀毒软件,例如诺顿杀毒软件,甚至只要修改了木马的PE头就可以不会被检测到。而修改程序的PE头,可以通过Peditor或YC保护专家就可以做到。因此,特征码修改是现在木马用来躲避检测的常用方法之一。但是,要成功修改木马的特征码而不损坏它的功能,也是需要一定的汇编技术的,并不是一般的攻击者就可以完成的任务。
二、木马加壳
给程序加壳,包括加密壳和压缩壳两种。程序一旦被加壳保护后,如果不使用与此相应的脱壳软件进行脱壳处理,一些反汇编程序是不能正确读取到其真正的代码的。这样,就能保护程序不会被破解。同样,木马程序一旦也经过了加壳保护,杀毒软件如果不具有给程序脱壳功能,那么也就不可能识别出它就是木马的,也就是说达到了木马隐身的目的。
如今,通过Aspack或UPX给木马加上壳是非常容易的,因此,一此攻击者是会通过使用一些不常用的加壳软件来对木马加壳处理的。这些不常见的加壳软件,一般都是出现在一些国外的安全类网站当中,其中比较常用的有Private exe Protector软件,它原本是一个非常好用的程序保护软件,但同样也可以用来保护木马。而且,对木马进行加壳,往往还会加多重壳,以进一步增加被识别出来的难度,但加多重壳要比加单一的壳要复杂得多。只是,程序加壳只是对木马的程序文件进行了保护而已,且有时加壳会损坏木马的一些功能,而且,单独使用加壳保护木马是达不到理想的保护效果的。因此,攻击者往往在对木马加壳保护之前,还会对它使用如程序加密之类的处理工作的。
郑州北大青鸟网络专家做出总结:对木马进行加壳保护,只对木马文件有效,对于已经加载到内存中的木马程序段,由于木马在运行时已经自行脱壳处理了,也就失去了保护作用,此时就可以通过对内存检测的方式来查杀。PEID和PESCAN是两个常用的用来查看程序加壳情况的软件,对于普通的用户,使用超级巡警虚拟自动脱壳机就能够很好地解决这些问题。同样,使用主动防御功能的安全软件也可以检测到这种类型的木马。