常见感染性病毒以及其解决方法:普通感染型
2014-02-21 23:40:27 -0500
云安全时代.一些普通木马病毒已经杀无可杀
但是对于感染型的来说.尤其是自变(加密.自带随机密码)的木马,可以说是手足无措
能杀掉.甚至对于一些常见问题可以进行服务器下载替换.
但是某些不常见的.却只能杀进隔离区
或者在本地放置一套特征码.
前者问题不用我说了.后者..会大大加长扫描所需时间
所以.目前木马的流行趋势.感觉又变回各种各样的感染性
所以找了一堆感染型的木马来稍微分析下
同时提出我认为真正属于云安全时代的解决办法
这一种 看起来比较常见.技术简单,感染后的文件执行流程如下图
但是对于感染型的来说.尤其是自变(加密.自带随机密码)的木马,可以说是手足无措
能杀掉.甚至对于一些常见问题可以进行服务器下载替换.
但是某些不常见的.却只能杀进隔离区
或者在本地放置一套特征码.
前者问题不用我说了.后者..会大大加长扫描所需时间
所以.目前木马的流行趋势.感觉又变回各种各样的感染性
所以找了一堆感染型的木马来稍微分析下
同时提出我认为真正属于云安全时代的解决办法
这一种 看起来比较常见.技术简单,感染后的文件执行流程如下图
如图所示.
首先创建一个新的节.大小足够容纳病毒代码
然后在原本的入口点代码处进行静态的hook.跳转到自己的节的一开始
当执行完毕病毒代码后.执行原本的代码.然后跳转回原地址+8(感染用的跳转代码的长度)的地址.执行原代码
此类感染兼容性很强.但是特征也很强,
同样.还有同类的感染型.不过其是修改了oep...
解除方法:
修复入口代码.删除被增加的节
至于如何修复入口代码.一般是填常见的代码.然后丢虚拟机跑试试..跑不起来认为修复失败.丢隔离区即可..
高级一点的是读取其保存原本代码的位置读出原本的开头代码,然后进行修复..不过我还没见谁家杀软修复这么高级
至于修改OEP的...
这..直接把OEP改回去..然后删除新增的节..
云安全时代.自然从云考虑.
根据此类检测.最快的云安全方案是:
这里只考虑已经检测当前文件不处于白名单的情况
1.从OEP处向后检测N(可以自己定.不过从效率考虑 10字节为妙)个有效代码(即不包含花指令的代码)看是否存在跳转
2.检测被跳转代码是否跨节.
3.如果跨节.计算其节从开头到指定长度的代码的MD5
4.同时提供被感染文件的信息.如版本.名称.路径.公司,并上传服务器,
5.服务器比较文件信息.定位到服务器中已有的文件,下发
6.服务器确认不存在该文件副本.但是是已知感染.下发解除脚本
7.客户端执行解除感染脚本.
当然了..如果没有那个脚本.就直接干进隔离区
首先创建一个新的节.大小足够容纳病毒代码
然后在原本的入口点代码处进行静态的hook.跳转到自己的节的一开始
当执行完毕病毒代码后.执行原本的代码.然后跳转回原地址+8(感染用的跳转代码的长度)的地址.执行原代码
此类感染兼容性很强.但是特征也很强,
同样.还有同类的感染型.不过其是修改了oep...
解除方法:
修复入口代码.删除被增加的节
至于如何修复入口代码.一般是填常见的代码.然后丢虚拟机跑试试..跑不起来认为修复失败.丢隔离区即可..
高级一点的是读取其保存原本代码的位置读出原本的开头代码,然后进行修复..不过我还没见谁家杀软修复这么高级
至于修改OEP的...
这..直接把OEP改回去..然后删除新增的节..
云安全时代.自然从云考虑.
根据此类检测.最快的云安全方案是:
这里只考虑已经检测当前文件不处于白名单的情况
1.从OEP处向后检测N(可以自己定.不过从效率考虑 10字节为妙)个有效代码(即不包含花指令的代码)看是否存在跳转
2.检测被跳转代码是否跨节.
3.如果跨节.计算其节从开头到指定长度的代码的MD5
4.同时提供被感染文件的信息.如版本.名称.路径.公司,并上传服务器,
5.服务器比较文件信息.定位到服务器中已有的文件,下发
6.服务器确认不存在该文件副本.但是是已知感染.下发解除脚本
7.客户端执行解除感染脚本.
当然了..如果没有那个脚本.就直接干进隔离区