前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结>)来对病毒的行为产生一定的认识,这样在之后的逆向分析中,我就能够产生"先入为主"的心态,在分析反汇编代码的时候就能够比较顺利.本文论述的是通过静态分析方法来理解我们的目标病毒,看看仅仅通过观察其十六进制代码,我们能够获取到什么信息,这也算是从另外一个角度来处理病毒文件. 查看附加数…

前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术.之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了).而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰.JS脚本木马之所以会如此泛滥,与它的编写简单.易于免杀以及难以封堵等特点息息相关.而我们本次的课程也会围绕它的这三个特点展开讲解,从而让大家全面的掌握JS脚本木马的分析与防御技术.   JS下载者脚本木马基本分析方…

前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香"是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以"徒手"解决.但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀.所以这次我引入了两个工具--icesword与autoruns,以达到查杀的目的. 病毒的基本信息…

前言 由于我已经在<病毒木马查杀第004篇:熊猫烧香之专杀工具的编写>中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了. 原理讨论 对于本病毒而言,其最大的特色就在于使用了进程守护技术.病毒运行后,同时有三个病毒进程存在,关闭其中的任何一个,由于还有两个病毒进程的存在,那么被关闭的又会被重新开启.要解决这个问题,不能靠&q…

前言 在本系列的文章中,对每一个病毒分析的最后一个部分,若无特殊情况,我都会采用逆向分析的手段来为读者彻底剖析目标病毒.但是之前的"熊猫烧香"病毒,我用了三篇文章的篇幅(每篇2500字左右)也仅仅分析了病毒的三分之一,而且还没分析到病毒的核心部分.主要也是因为那是我这个系列为大家分析的第一个病毒,为了将一些原理性的东西说清楚,所以文章略显冗长,也主要是照顾一下初学的朋友,摒弃那些高大上的东西,将我的实际分析过程完整地呈现出来.相信大家在认真阅读完那三篇文章后,都能够掌握基本的分析方法,…

前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或者当我们运行了某一个程序,包括有可疑操作,比方创建开机启动项,那么杀软一般也会对此进行提醒:或者当我们在计算机中插入U盘.杀软往往也会第一时间对U盘进行扫描,确认没有问题后,再打开U盘--上述这些,事实上都属于杀软的"主动防御"功能. "主动防御"简单介绍 杀毒软件通常…

前言 因为我们的终于目标是编写出针对于这次的U盘病毒的专杀工具.而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示.假设真是如此,那么就有必要在此分析出病毒的命名规律等特征,然后再进行查杀. 对病毒样本进行脱壳 依照常规.首先是对病毒进行查壳的工作,这里我所使用的是"小生我怕怕"版的PEiD,之所以用这个版本号,是因为经过我的实际測试.常规的PEiD或者说其他的查壳工具都难以非常好地对这次的程序所加的壳进行识别: 图1 使用PEiD进行查壳 这里请大家注意的是.…

前言 我们这次会依据上次的内容,编程实现一个Ring3层的简单的主动防御软件.整个程序使用MFC实现,程序开始监控时,会将DLL程序注入到explorer.exe进程中,这样每当有新的进程创建,程序首先会进行特征码匹配,从而判断目标程序是否为病毒程序,如果是,则进行拦截,反之不拦截.停止监控时,再卸载掉DLL程序.以下就是程序各个部分的代码实现. 封装InlineHook类 对于这次所使用的Hook技术,我打算采取面向对象的方法,用C++封装一个Inline Hook类,便于以后的使用.一般来说…

前言 经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具. 专杀工具功能说明 因为这次是一个U盘病毒,所以我打算把这次的专杀工具换一种形式实现.不再像前几次那样需要被动运行,而是当我们的专杀工具执行后,一旦有U盘插入,就能主动检测U盘内容,如果发现病毒,就将其删除掉,之后检查系统中是否也存在病毒,如果有,也一并清理干净.我们这次的专杀工具需要实现以下几个功能:        1.专杀工具开启后,需要时刻监测是否有U盘插…

前言 反病毒爱好者们非常喜欢讨论的一个问题就是,现在什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所解说的都是Ring3层的病毒.所以有些朋友可能会觉得.那么Ring0层的病毒事实上才是最厉害的,也是病毒发展的主流:或者有朋友可能觉得,採取了五花八门的隐藏技术的病毒才是最难对付的. 诚然,大家的观点都非常有道理.病毒编写者往往也会用复杂高深的技术来武装自己的恶意程序,使其难以被发现难以被清除.那么是不是说Ring3层的病毒就没有"市场"了呢?我觉得不是.…

前言 恶意程序发展至今,其功能已经从最初的单纯破坏,不断发展为隐私的窥探,信息的盗取,乃至如今非常流行的"敲竹杠"病毒,用于勒索.可见随着时代的发展,病毒的作者们往往也是想利用自己的技术来获取不义之财,变得越来越功利化了.而本系列文章也顺应了这个发展,从病毒讨论到木马,进而来到了"敲竹杠"病毒的讨论上来. 什么是"敲竹杠"病毒 其实"敲竹杠"病毒的行为很简单,它就是篡改我们的计算机的开机密码,然后病毒作者留下个人的联系方式,让…

比对脱壳前后的程序 我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本.其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别.首先用IDA Pro载入原始病毒样本: 图1 可以发现此时IDA Pro的Functionwindow是空的,说明很多函数没能解析出来,并且还无法切换到图形模式,而图形模式正是我们逆向分析的利器.那么下面就载入脱壳后的样本来看一下: 图2 可见这个时候IDA就已经能够分析出非常多的信息了,比如Function window还有图形模式窗口.而通过…

在U盘中发现病毒 前段时间需要往虚拟机中拷贝点资料,如同往常一样,插上我的U盘,并且在虚拟机的设置中选择连接U盘.奇怪的是这次的连接时间较以往长,并且还出现了"自动播放"窗口: 图1 自动播放窗口 在扫描完后,来到了U盘的打开类型选择窗口: 图2 以前我在虚拟机中使用U盘,都没有出现过"自动播放"的情况.尽管如此,我这次也没在意,选择了"打开文件夹以查看文件".但是在U盘中却发现了奇怪的文件: 图3 上图的红框中的这几个文件,之所以说很奇怪,是因…

前言 通过之前的学习,相信大家已经对磁盘的引导区有了充分的认识.但是我们之前的学习都是利用现成的工具来对引导区进行解析的,而对于一名反病毒工程师而言,不单单需要有扎实的逆向分析功底,同时也需要有很强的编程能力来解决实际问题.对于我们本次的课程来说,就需要大家亲自动手,利用程序来实现引导区的解析.这样做的目的,一方面是为了提高大家的编程能力,而另一方面则有助于我们更好地理解引导区的内容. 通过程序解析MBR 对于学习过PE文件格式解析的朋友来说,解析MBR可能不会有太大的问题,毕竟二者的原理还是非…

前言 引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒.这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏.按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒.我们未来的几次课,会专门从各个角度来分析这种病毒的特点,阐述病毒原理,提出应对方法.而本次课程的内容主要来讨论一下引导区的解析. 通过WinHex来手动解析引导区 WinHex是一个强大的十六进制编辑工具,也是一个强大的磁盘编辑工具…

virus.win32.parite.H病毒的查杀方法 昨天电脑中了virus.win32.parite.H病毒,搞了2个多小时最终搞定了.以下记录下我的解决方法. 第一步:下载Win32.Parite病毒专杀工具 下载地址:http://download.csdn.net/detail/wuxiaokaixinguo/6333233 第二步:执行流行病毒专杀工具(Spant).exe 急系统急救箱进行系统修复(建议等流行病毒专杀工具(Spant).exe 急系统急救箱进行系统修复) 系统急救箱…

一.故障现象:1.360软件的木马查杀.漏洞修复等组件不能使用,提示runtime error2.暴风影音等很多软件不能正常使用3.设备管理器不能打开,提示“MMC 不能打开文件”4.部分https安全网页不能正常打开 二.解决办法:1.开始--运行--输入cmd2.输入 cd %windir%\system32 (进入windows安装目录的system32文件夹)3.输入 Regsvr32 Msxml3.dll4.上述故障全部解决 三.原因分析:访问了恶意网站或中木马所致,这些木马伪装成系统…

最近朋友的一台服务器突然网络异常,cpu占用率暴表,登录上去一查,cpu占用300% 左右,流量异常,经过看查进程,获取信息最终确认为中了dos木马,经过几天的研究,基本上已经清除,以下是清理记录. 一.现象 1.CPU占用超高. 2.网络流量异常. 3.对外ddos攻击 4.服务器卡顿. 二.文件异常 1.系统主要命令文件被替换: ps,netstat,lsof,ss命令被替换 chattr,lsattr文件被删除. 1) top 可以看见一个随机的文件名,占用资源较高 2) ps -ef 可…

今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程. 我让他关闭这个机器的外网,内网放开,在局域网中给我一个跳板.等我拿到权限之后进入机器,先按照朋友说的验证了一遍,果然是那样,木马有自我保护自我恢复. 这时候我想到一个问题居然是能自我开机启动,要么/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/下有启动脚本,要么有cron计划任务. 于是我发现…

在上一篇博文中分析了事件分发的流程及规则,本篇会从源码的角度更进一步理解事件分发机制的原理,如果对事件分发规则还不太清楚的童鞋,建议先看一下上一篇博文 <Android查缺补漏(View篇)--事件分发机制> ,先来看一下本篇的分析思路,一会儿会按照事件传递的顺序,针对以下几点进行源码分析: Activity对点击事件的分发过程 PhoneWindow是如何处理点击事件的 顶级View对点击事件的分发过程 View对点击事件的处理过程 Activity对点击事件的分发过程 通过上一篇博文中我们…

这篇文章主要是浅谈,所以会从简单方面开始讲起. 关于手机木马查杀,有些人会说安装手机杀毒软件不就解决了吗? 其实不然.因为手机和PC不一样,手机反木马技术没有PC端那么强. 就算你把目前市面上的所有手机杀毒软件都安装到手机里,也不一定查杀出来. 下面就开始正式讲解手工查杀的方法. 第一种方法:用Android Debug Bridge(简称adb)调试工具补助查杀, 首先打开android手机的调试模式,然后到网上下载adb.exe,AdbWinApi.dll,AdbWinUsbApi.dll这…

virus.win32.parite.H病毒的查杀方法 昨天电脑中了virus.win32.parite.H病毒,搞了2个多小时最终搞定了.以下记录下我的解决方法. 第一步:下载Win32.Parite病毒专杀工具 下载地址:http://download.csdn.net/detail/wuxiaokaixinguo/6333233 第二步:执行流行病毒专杀工具(Spant).exe watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvd3V4aWFva2…

 目 录: 一.问题现象: 二.问题排查: 1.netstat 排查: 2.top查看: 3.lsof -c 命令排查: 4.确定中木马了. 三.木马查杀: 木马1,清除: 木马2,清除: 四.后续处理: 1.iptables检查 2.cron检查 3.chkconfig检查 4.木马删除,持续观察确认 五.入侵原因及后续避免措施: 1.入侵原因: 2.后续避免措施:(监控为主) 一.问题现象: 服务器登录缓慢,远程连接老是卡顿. 二.问题排查: 1.netstat 排查: 如图:58.218.…

概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用: *注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox,具体的安装和下载步骤参见参考文章(https://blog.csdn.net/u010457406/article/details/89328869). 2.crontab 定时…

Atitit.木马病毒的免杀原理---sikuli 的使用 1. 使用sikuli java api1 1.1. 3. Write code!1 2. 常用api2 2.1. wait 等待某个界面出现2 2.2. exist/find 判断是否界面存在2 2.3. 2 2.4. 2 2.5. sikuli 如何 清空文本框中的内容??解决方法!2 2.6. 判读控件,界面是否出现??find3 3. sikuli的扩展用途4 4. atitit.sikuli  NoClassDefFoundE…

木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果) 2.上传目录.include类的库文件目录要禁止代码执行(Nginx正则过滤) 3.path_info漏洞修正: 在nginx配置文件中增加: if ($request_filename ~* (.*).php) {set…

<?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" android:layout_width="match_parent" android:layout_height="match_parent" android:ori…

使用FC命令辅助查杀DLL木马 在windows系统中,system32目录下是木马隐身的好地方,查找起来非常困难,许多木马都削尖了脑袋往那里钻,DLL木马也不例外.针对这一点用户可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录. 注:有了这个思路后,后续你可以安装一些比较文件不同的软件,如UC之类.而不用FC命令也可以.另新安装好服务器时也可以先备份一下DLL列表这样养成良好习惯. 第1步 打开命令提示符,进入system32目录. 第2步 执行dir .exe>e…

本文转自:http://ju.outofmemory.cn/entry/256317 只要从事互联网web开发的,都会碰上web站点被入侵的情况.这里我把查杀的一些方法采用随记的形式记录一下,一是方便自己以后的工作需要,二是给其他朋友提供一些参考帮助.写的不周的地方,高手们不要喷,欢迎给我提供更好的意见,对于我个人来说也是个提高,并表示感谢. 我们的服务器环境是linux,所以,肯定少不了用find这个命令,并且需要配合ls命令来使用. 1.可以查找近3天被修改过的文件,并显示文件列表详细信息:…

centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多! 一.手动安装 1.下载(官网)    cd /soft     wget http://www.clamav.net/downloads     2.解压    cd /soft    tar zxvf clamav-0.99.2.tar.gz -C /usr/local/src    cd /usr/local/    mkdir clamav    cd /usr/local/src/clamav…