close
| --說明︰本文只適合對計算機病毒不大了解的人讀來娛樂,高手就勿讀了。 今天妹說MP3有問題不開。拿過來瞧瞧,習慣性地,在桌面上新建一個WinRAR 壓縮檔案雙擊打開(右鍵-新建-WinRAR)。 在位址欄裡定位到“可移動磁片”看看根目錄下有沒有“應用程式”(U盤病毒)。 (大陸的U盤,就是台灣的 隨身碟) 一般,透過U盤這種途徑傳播的病毒已經不再事什麼新鮮事情了,也許大家都有類似的經歷︰拿U盤往別人機器上插,病毒就跑到了U盤裡,插到另外台電腦就中毒了。 很多人都想知道 這種病毒是何時開始流行起來。追溯到它的起源,還得問下A盤是什麼時候開始出現下商店的柜台裡。如果很久以前就開始用電腦的老windows用戶來說,對於autorun.inf這樣一個檔案並不陌生。曾經這樣的檔案出現下A盤裡,以前病毒就是依靠A盤來傳播的,U盤取代了A盤,自然就由應該由U盤來“接力”下去。 到底autorun.inf檔案功能如何使滑鼠雙擊驅動器之後,就自動營運指定程式的效果。 其實這種效果大家都非常的熟悉,比如︰主板驅動光碟放進光碟機,光碟機的圖示變成一個很好看的圖示,雙擊打開光碟,還會發現自動彈出一個很漂亮、友好的驅動安裝界面。這些是autorun.inf檔案所給大家提供方便的效果,還有Windows系統安裝光碟,教學光碟等等也有這樣的效果(大家可以打開這類光碟根目錄下有autorun.inf)。 那就讓大家來認識下,用記事本打開autorun.inf檔案到底寫了些什麼東東在裡面︰ [autorun] OPEN=程式.EXE ICON=圖示.ICO 最簡單的就三行代碼,把“autorun.inf”、“程式.exe”和“圖示.ico”三個檔案放到分區的跟目錄下,重啟電腦,就可以達到︰修改驅動器圖示的效果和雙擊驅動器打開指定應用程式。 本來這樣的一個功能挺好的,如果腦筋好的還可以利用它來修改一個自己喜歡的驅動器圖示,讓“我的電腦”變得更有個性化,讓自己製作的光碟更顯“魅力”﹗但可惡的是給一些別有用心的人利用了。不能說這樣的一個功能是一個神祕莫測的功能,但對於不是很懂計算機的人來說,還真的覺得挺神祕的﹗ autorun.inf就介紹到這裡,今天我想要說的是透過移動存儲設備作為傳播途徑的病毒,到了今天又“研究”出什麼新“產品”呢?當我打開WinRar打開時候,沒有太大的留意,只是習慣以前的模式,檢視有有沒有“可執行檔案圖示”或者“熊貓圖示”或“安裝程式圖示”或一些很特殊的圖示(病毒慣用圖示,一眼就能看出來)不過這些檔案都是隱藏的,但是在WinRar下是無法躲閃的。但今天的這個U盤毒採用了一個非常熟悉,但卻極具創意的圖示︰檔案夾圖示 ﹗逃過了我這雙“以貌取人”的眼睛,所以今天才這么有興致寫寫文章,跟各位分享﹗ 到底這個病毒的“創意”是如何實現的呢?這次病毒體不再像以前那些“前輩”那麼沒出息到處隱藏﹗它不隱藏而是故意“暴露在光天化日之下”讓大家來“自願捧場”雙擊營運它。那麼,它是如何地讓你“自願”的呢? 首先,它是用檔案夾作為圖示,足夠讓你放鬆警惕,從表面上就已經達到一種很好的偽裝,比以前的那些“不成熟”的“包裝”一眼就很能認出來,都不知要強多數倍了﹗其實,這世界上還有很多朋友,挺細心的,發現一些不是自己新建的檔案夾,就起了疑心,而且馬上就把事情做得很“絕”﹗毫不留情地讓它從這個世界上消失掉─刪除﹗這樣就“辜負”了病毒作者的“一片苦心”﹗為了對付這么“一群細心的家伙”,病毒先檢查下U盤裡有沒有檔案夾,如果有,把該檔案夾隱藏起了,新建立一個“外形”是檔案夾圖示的病毒檔案,檔案名就是剛剛隱藏的那個原有的檔案夾名,哈哈﹗夠創意了吧﹗就算你多么的細心,你也不會懷疑了,因為這個“檔案夾”就是你自己“建立”的﹗ 當用戶打開了U盤之後,雙擊自己“建立”的“檔案夾”是理所當然的事情,沒有什麼不願意的﹗當然,目前絕大多數的用戶都喜歡把後綴名隱藏,因此單從肉眼無法識別到底是正常檔案夾還是“檔案夾”病毒檔案。但是,在WinRar下就暴露了檔案的後綴名尾巴,而且還標出“應用程式”因此,很容易揪出病毒。 但是,我覺得“檔案夾”病毒做得還是不夠好,雙擊打不開“檔案夾”,沒什麼回應(其實,這是病毒已經激活營運了達到了目的),用戶很納悶,為什麼“檔案夾”打不開了?是不是自己的U盤壞掉了呢?是不是中毒了?馬上就會有很多疑問了﹗其實,病毒還可以繼續完善的,就在病毒激活的同時,也應該給用戶打開自己本來的檔案夾,這樣,更是神不知鬼不覺,哈哈﹗說到這裡,倒是給製毒者提供了很重要的“完善”思路訊息,使“威力”更大了。不過,你也可以理解為病毒的偽裝性更強大,自己以後應該更加小心﹗ 在和U盤傳播類病毒的鬥爭中,一開始病毒的編寫思想還不是很“完善”,很容易給網上介紹的方法繞開中毒並容易清除。比如大家熟悉的︰打開U盤時,不雙擊U盤,而是︰“驅動器-右鍵-打開 ”﹗但是,製毒者在autorun.inf添加shell命令,偽裝右鍵選單“打開”shell\1=打開( O) shell\1\Command=病毒.exe 讓你右鍵打開 也能中毒﹗後來,高手們建議,在“我的電腦”的位址欄,下拉選單裡選擇“移動磁片”打開,這種方法比較“先進”也實用。不會導致右鍵打開中毒的情況,但是,病毒的製造水準也在不斷地提升,用檔案夾圖示迷惑你的,讓你“自願”地中毒,防不勝防。 其實,病毒的的製造歷史裡,還有很多值得一提的“高新科技”。 在民間,高手們建議︰如果發現根目錄下有可執行檔案包括︰exe\vbs\js\bat\com檔案就要警惕,最好刪除。同時,他們也編寫了大量的清除U盤病毒程式,有專殺,也有兼容性很好的殺毒程式。不過大致的原理套路一樣︰ 判斷根目錄下是否有autorun.inf和流行的U盤毒檔案名,並加以 結束專門的病毒程式命令、刪除命令和免疫命令來製造所謂的專殺程式。 接下來,病毒作者做了改進,讓病毒的沒有固定的名字,隨機起。又把自身藏到了偽裝“回收站”的檔案夾裡,把調用路徑指向檔案夾,所以在根目錄下沒有了可執行檔案除此之外,還設定隱蔽、靈活的調用機製,讓“民間的高手們”的方法“頓時失效”。 在專業的殺毒軟體裡,都存在判斷性的漏洞--利用病毒特徵碼來判斷U盤毒(其實也不算是漏洞,只是編寫病毒的作者不斷更新讓人防不勝防而已),而病毒作者卻會懂得把程式的二進製數據存儲在腳本的位元組數組裡,逃過特徵碼引擎的追殺。 原理︰腳本營運時,把數組裡的數據寫到臨時檔案夾裡,還原病毒可執行檔案,並激活,馬上刪除病毒檔案,讓你在磁片上找不到它的蹤影。也出現過利用Windows系統的檔案名漏洞,沒有檔案名的病毒。其實也不神祕。就利用記事本“另存為”, 不寫檔案名只寫後綴名“.exe”,這樣就可以新建一個沒有檔案名的exe。然後,用“二進製編輯器”或“Visual C++”打開“沒有檔案名的檔案”,把已經編譯成EXE的病毒二進製數據粘貼進去,儲存,就可以做一個“沒有檔案名的病毒”,逃過很多殺毒程式的追殺。呵呵﹗ 更有“超高新技術”者,以“腳本”或“批處理”作為病毒的引導程式在存放在磁片上, 把自身的可執行數據 存放在系統註冊表的“二進製數值項”或“多字元串項”裡,並不以獨立的檔案存放在磁片上,對於那些只會檔案掃描和註冊表啟動項掃描的殺毒軟體來說,永遠都找不到它。再有的是把引導程式注入到DLL檔案裡去,隨著系統的DLL資源啟動而啟動,這樣更隱蔽。 談病毒的原理,就要拿個經典之作來跟大家分享一下。我盡量簡單地說說,呵呵。 熊貓燒香,這個曾經轟動一時的病毒,以超強的破壞力著稱︰感染所有的EXE檔案,在用戶營運感染的程式檔案時,讓自身激活的同時又能讓用戶感覺上能正常地營運這個軟體,並沒有感覺這個軟體已經感染了病毒。這樣欺騙性和傳播性就更厲害了﹗ 其實,我最討厭的卻是“熊貓燒香”,它也屬於用U盤傳播類的病毒,我之所以討厭它,並非是它的破壞力,而是它的技術太爛了﹗其實“熊貓”的感染全盤的EXE是外國早就有的“傑作”並非是作者“創新的技術”我討厭它的抄襲行為。把別人的感染技術加上自己的D號功能,成為了舉世無雙的D號賊。不過繼熊貓的變種作者更讓我失望,沒有太多的“創新”而是一脈繼承“熊貓”,甚至破壞EXE的檔案架構,讓EXE無法營運和修改,自己也無法營運和更有力傳播,在我眼裡是個敗筆﹗ 說了這么多,就簡單介紹下原理。 感染期︰把“病毒體數據”和已存在的“正常軟體數據”,混合為一個檔案,再把原來的軟體刪除,“組合檔案”改名為原來的檔案名稱,這樣,就完成了一個感染過程。至於圖示問題,熊貓燒香的後續版本做得也不好,沒有考慮到尺寸問題,圖示有點模糊,而很容易給人懷疑。在營運期原理︰把原來的程式數據釋放到當前檔案夾裡,起名為︰“程式名exe.exe” 然後營運,正常的軟體程式營運之後,馬上刪除掉。讓你永遠看到只是已感染的程式檔案,而正常的卻只是在霎那間出現。不過,這就給我們修復原來的軟體程式提供了希望。 方法︰ 在NTFS檔案系統下新建一個檔案夾,把已感染的軟體放到進去,設定修改權限︰“列出檔案目錄”和“讀取和營運”其他的都去鉤。然後,營運已感染的檔案,你就會看到該目錄下有一個“軟體名.exe.exe”的程式,這個就是原來的沒感染的軟體。你就可以利用熊貓本來就有的“修復功能”,幫你還原軟體數據。還有一個方法,更簡單,就是管理好你的用戶“臨時檔案夾”﹗ “臨時檔案夾”就在你的當前用戶的檔案夾裡,比如︰C盤是開機片,Administator用戶“臨時檔案夾”︰ “C:\Documents and Settings\Administrator\Local Settings\Temp”把“Temp”的NTFS“權限”修改為“只讀”,這樣,熊貓就無法釋放一個能刪除你“原來程式檔案”的“批處理檔案”了。 (其實,熊貓在之所以能刪除“原來的程式檔案”,這和它釋放在臨時檔案的“批處理刪除命令”有關)如果開機片不是NTFS, 無法透過權限去控制,怎么辦呢?呵呵,這難不倒我﹗ 找個有NTFS檔案系統的盤,新建一個檔案夾命名︰temp。例如︰ “D:\Temp”設定其權限為“只讀”權限。然後,到“我的電腦”--右鍵“屬性”─“進階”─“環境變量”─把“Temp”和“Tmp”都修改為︰剛才已經準備的“D:\Temp”。這樣,“臨時檔案夾”就改了,給病毒設的“招待所”也改了﹗ 熊貓除了以上的“作秀”之外,據我研究的還可以局域網入侵,映像劫持,註冊表監控等功能。 註冊表監控功能主要是監控是否有人修改或刪除了它的“啟動項”、“隱藏設定項”“擴展名設定項”、“映像劫持項” 如果有,它又悄悄地修改回來,讓你“無功而返”。 局域網入侵功能主要是往局域網內發送大量的探測數據包,看是否網內有弱密碼用戶,有﹗則試圖進行入侵。或者往網內發送大量的垃圾數據包,佔有網路資源。後來的變種,還發展到增加了ARP欺騙功能。不能不說是一個“創舉”。 至於映像劫持技術,我們並不陌生。例如︰很多人都在埋怨為什麼安裝了殺毒軟體後還是中毒了。而且,中毒之後,殺毒軟體也刪除不了病毒,更有可笑的是,殺毒軟體反倒給病毒“殺”了﹗ 06年後的U盤毒都具有這樣的功能,主要是透過映像劫持技術(IFEO)。這所謂“技術”,說得專業點到可以說一大堆,但我倒不想拿這種專家的語氣去複雜化問題了,那我們就來玩個遊戲,讓你桌面上的QQ失效,雙擊後打開變成一個Windows系統的“畫圖”工具這樣,就會有思考的動力了,也可以在玩中學點東西,呵呵﹗ 首先我們來打開︰註冊表編輯器  “開始”---“營運”─輸入︰regedit 找到一下把樹形目錄展開路徑->HKEY_LOCAL_MACHINE ->SOFTWARE ->Microsoft ->Windows NT ->CurrentVersion ->Image File Execution Options,找到了Image File Execution Options之後,單擊選中右鍵選單裡:“新建”一個“項”,把新建的“項”右鍵-“重命名”為︰QQ.exe 選中新建的QQ.exe “項”,在右邊視窗裡︰ 右鍵->“新建”->“字元串值”,把新建的“字元串值”右鍵-“重命名”為︰Debugger 雙擊“字元串值”Debugger ︰輸入內容為︰%SystemRoot%\system32\mspaint.exe,關閉註冊表編輯器視窗,回到桌面,像往常一樣打開QQ,看看﹗(如果輸入內容為︰%SystemRoot%\NOTEPAD.EXE(就會打開我們最熟悉的記事本,也可以修改為其他軟體的路徑) 這個就是映像劫持技術了﹗在此我只是劫持了“QQ”讓它轉去執行“畫圖”工具。 如果“項︰名︰nod32.exe (或者瑞星,江民等等殺毒軟體的主程式名稱也可以)而“字元串值” Debugger ︰輸入內容為︰<病毒隱藏路徑>\<病毒檔案>.exe 那麼,當你打開殺毒軟體Nod32時,系統反而跑去營運Debugger裡路徑指定的病毒。這樣就是所謂的殺毒軟體被病毒給“殺”了的例子﹗ 其實,一點都不神祕,只是巧妙地利用了系統的註冊表功能而已。呵呵﹗但是,如果遇到殺毒軟體無法啟動,很可能是以上的註冊表項出問題,你會看到很多殺毒軟體的名字(有時覺得寫毒的人考慮得挺周全的^_^,人家可是花了點心思哦)那你就得一個一個地刪咯,當然在網上也有修復程式,自己找找去,呵呵﹗ 不過,為了能保證以後都不再受“侵擾”我倒可給大家說說,就是對“Image File Execution Options”進行保護起來,怎么保護? 方法一︰右鍵-“權限”,把所有用戶的權限改為︰只讀。這樣,病毒就不會再有往裡面寫“劫持”的權利了。 方法二︰利用系統的限制策略來禁止“本地安全策略”裡的“軟體限制策略”->“路徑規則”,加上“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”,同時也可以說免疫了這類病毒。但這又有給病毒作者“完善”病毒功能的一條重要的建議了,只希望不要給別有用心的人看到,呵呵﹗ 除此之外,常常有人問我還有什麼防毒免疫的“屎坑招”么?當然有,不過,又要增加很多字數,手挺累的﹗我就簡單地提提吧,還可以用“本地安全策略”裡的“軟體限制策略”->“散列規則”限制指定病毒檔案的散列碼,或“路徑規則”限制病毒常有見的躲藏路徑。用“Internet區域規則”來限制IE瀏覽訪問有毒的網站。 當然也可用“路徑規則”來限制註冊表裡容易給病毒當“黑窩”,隱藏在裡面的常見路徑。還有用NTFS的“權限”來管理好用戶的“臨時檔案夾”,在上網的時候,把“臨時檔案夾”權限設為“只讀”,可以有效地預防瀏覽網頁時中毒。因為臨時檔案夾是病毒進入你計算機的“第一站”,把這一“站”管好了,病毒很難有機會肆虐。還有就是利用以上介紹的病毒對付我們的招數,靈活地克製病毒,比如︰病毒利用“映像劫持技術”來對付我們,我們為什麼不可以用“映像劫持技術”來反過來對方病毒呢,哈哈﹗至於其他的,歡迎光臨我的163博客或加Q361565529呵呵﹗ 本來是說U盤毒的,說了半天,我都不知道瞎扯到那裡了,呵呵﹗接下來給大家些有效的U盤毒的防范措施,倒是有一個挺通用的方法,就是新建一個名為︰autorun.inf的檔案夾,注意是“檔案夾”,然後在檔案夾裡新建一個名“帶點”的檔案夾。比如“abc..”至於這樣的檔案夾,不是要你右鍵新建檔案夾,而是透過命令來新建可以寫成批處理,也可以在CMD命令提示符裡寫。 那為什麼要用命令來創建呢,那就要講Windows的檔案名管理了,Windows是不支援的,但命令提示符卻是沿用了DOS系統的檔案管理機製,這也算是Windows的一個漏洞,在vista給補上了,呵呵。其實,大家可以先嘗試下,右鍵新建的檔案夾名不能有點的,只有在命令下才能建立一個帶點的檔案夾具體操作︰ “開始”-“營運”-輸入︰cmd 輸入命令︰md C:\autorun.inf 輸入命令︰md C:\autorun.inf\abc..\ 你就會發現,C盤根目錄下多了一個名字為︰autorun.inf的檔案夾,在檔案夾裡,你會發現一個名為︰abc.的檔案夾。 現下你可以嘗試刪除,重命名,複製剪切autorun.inf檔案夾,都不支援操作,呵呵。 這樣一招,利用系統的漏洞,保證你新建的autorun.inf無法被病毒修改和刪除,這絕對是一個防毒的好措施。特別是在FAT32檔案系統下,如果在NTFS檔案系統下,還可以加上權限,讓任何人都無法訪問,病毒進來了,也沒轍了。至於還想問我為什麼,原理很簡單︰同一目錄下,不能有“同名”的檔案或者檔案夾。病毒無法建立自己的autorun.inf,沒有autorun.inf的支援,病毒是發威不起來的。當然,我剛剛介紹的那個以“檔案夾圖示”迷惑人的病毒除外。呵呵﹗ 其實,帶點的檔案夾還有其他的用處哦﹗可以把個人的私隱常到裡面去,呵呵﹗你雙擊是打不開的。要打開,必須用命令,要打開剛才名為︰“ abc. ”檔案夾(注意︰只有一點),就要輸入命令︰start C:\autorun.inf\abc..\ (注意︰要有兩點,而且一定要斜杠) 打開後,就可以把一些 “不見得光” 的東西放到裡面去了,^_^哈哈﹗﹗ 不知道的朋友也許會奇怪,為什麼我老是提到用WinRar來檢視。我們熟悉的壓縮軟體除了常用於壓縮檔案之外,還可以檢視磁片裡的檔案夾和檔案,而且可讓所有的“隱藏檔案”“大白天下”、讓檔案的後綴名“露出尾巴”。對檔案後綴名不是很懂,也可以根據“類型”檢視屬於哪類檔案。我就解決了病毒修改了系統註冊表,導致無法顯示隱藏檔案,而對病毒束手無策。 但是,道高一尺,魔高一丈﹗熊貓燒香出現之前,病毒變種為了防止我們利用WinRar 讓它顯形,在中毒後就禁止了WinRar程式的營運(WinRar一營運,馬上就關閉)。我覺得這個編寫病毒的作者想得還挺“周到”的,呵呵﹗沒了WinRar,還可以用命令提示符CMD來營運,檢視分區檔案,但後來的病毒變種也想到了,也禁止了“命令提示符”的營運(Cmd.exe一營運就關閉了)呵呵,說到這裡,我對病毒的“完善”過程感到挺高興的,因為它在挑戰我的“水準”,呵呵。 換個角度來說,能編寫病毒,就證明是計算機技術上的高手﹗和病毒“作戰”是一次和高手交流的機會。了解程式是如何巧妙地利用系統功能,研究病毒的營運機理,從中獲得病毒作者的編程思路,是提升計算機應用水準的重要捷徑,希望你也可以﹗ 在文章結束時給大家介紹點小工具吧。在日常生活中還應該有些殺毒的伴侶小工具什麼的,否則不可能老是憑著自己的“水準”用肉眼來查毒吧,呵呵。 “智能殺毒伴侶”這是一個很好的檢視系統狀態和進程狀態的軟體707K, “反黑輔助工具” 558K ,“autoruns”註冊表啟動項檢視工具。 “進階註冊表編輯器”,一個可以自動生成“註冊表匯入檔案(後綴.reg)”的工具,“光華反毒小工具”能快速地修復註冊表的工具。 還有很多小工具,但功能都重複了,我就不再介紹。 |
全站熱搜
留言列表
