ByShell:一個穿越主動防禦的木馬

來源:互聯網
上載者:User

《電腦報》提到了一個可以輕鬆穿越卡巴,瑞星,諾頓的主動防禦功能的免殺木馬:byshell。於是在網上搜,搜到byshell推廣版的說明是:可以穿越卡巴瑞星諾頓的預設設定主動防禦。我就下了個推廣版回來試下微點能不能防,產生服務端後一運行,微點沒有讓人失望,立刻報告說發現未知監視軟體。本來還想試下遠程監控看看微點會不會提示有可疑程式訪問網路之類的,因為在單位上班,還是放棄了念頭。

BYshell的說明裡說,進階版採用新核心驅動,可以輕鬆穿透 ZA 6/7版,麥咖啡安全套裝,麥咖啡8.5i 標準版,KIS 6 卡巴安全套裝(包括互動模式),諾頓安全套裝2007,瑞星2007,小紅傘和趨勢2006 這些殺軟的進階別安全設定。不過裡面沒提到微點,估計作者還沒把微點列入考慮範圍,如果微點的工程師有興趣不妨弄個進階版來研究下,看看是否真的那麼牛X。如果真能穿越這一大排知名殺軟卻被微點輕鬆拿下那就開心了。

如何清除能突破主動防禦的木馬

病人:我使用的殺毒軟體有主動防禦功能,能攔截木馬,可最近我的郵箱帳號還是被盜了,為什麼會這樣?

醫生:這個其實也是很正常的,畢竟沒有一款殺毒軟體是萬能的,能夠阻止目前所有的惡意程式。你的電子信箱被盜很可能是被那種能突破主動防禦木馬,例如最新的ByShell木馬。這是一類新型木馬,其最大的特點就是可以輕鬆的突破殺毒軟體的主動防禦功能。

利用SSDT繞過主動防禦

病人:像ByShell這樣的木馬,它們是如何突破主動防禦的呢?

醫生:最早駭客通過將系統日期更改到較早前的日期,這樣殺毒軟體就會自動關閉所有監控功能,當然主動防禦功能也就自動失去了防控能力。現在已經有很多木馬不需要調整系統時間就可以成功突破主動防禦功能了。

Windows系統中有一個SSDT表,SSDT的全稱是System Services Descriptor Table,中文名稱為“系統服務描述符表”。這個表就是把應用程式層指令傳輸給系統核心的一個通道。

而所有殺毒軟體的主動防禦功能都是通過修改SSDT表,讓惡意程式不能按照正常的情況來運行,這樣就可以輕易的對惡意程式進行攔截。如果你安裝了包括主動防禦功能的殺毒軟體,可以利用冰刃的SSDT功能來查看,就會發現有紅色標註的被修改的SSDT表資訊。

而ByShel木馬通過對當前系統的SSDT表進行搜尋,接著再搜尋系統原來的使用的SSDT表,然後用以前的覆蓋現在的SSDT表。木馬程式則又可以按照正常的順序來執行,這樣就最終讓主動防禦功能徹底的失效呢。

小提示:Byshell採用國際領先的穿透技術,採用最新的核心驅動技術突破殺毒軟體的主動防禦。包括卡巴斯基、瑞星、趨勢、諾頓等國內常見的殺毒軟體,以及這些殺毒軟體最新的相關版本,都可以被Byshell木馬成功的進行突破。

主動防禦類木馬巧清除

病人:我明白了這類木馬的原理了,但還是不知道怎麼清除?

醫生:清除方法不難,和清除其他的木馬程式方法類似。下面我們以清除典型的ByShell木馬為例講解具體操作。

第一步:首先運行安全工具WSysCheck,點擊“進程管理”標籤可以看到多個粉紅色的進程,這說明這些進程都被插入了木馬的線程。點擊其中的為粉色的IE瀏覽器進程,發現其中包括了一個可疑的木馬模組hack.dll(圖1)。當然有的時候駭客會設定其他名稱,這時我們只要看到沒有“檔案廠商”資訊的,就需要提高自己的警惕。

第二步:接著點擊程式的“服務管理”標籤,同樣可以看到多個紅色的系統服務,這說明這些服務都不是系統自身的服務。經過查看發現一個名為hack的服務較為可疑,因為它的名稱和木馬模組的名稱相同(圖2)。

同樣如果駭客自訂其他名稱的服務,則在“狀態”欄看到標註為“未知”的服務,我們就要注意了,最好一一排查。

第三步:點擊程式的“檔案管理”標籤後,在類比的資源管理員視窗中,按照可疑模組的路徑指引,很快發現了那個可疑的木馬模組檔案hack.dll,與此同時還發現一個和模組檔案同名的可執行檔(圖3)。看來這個木馬主要還是由這兩個檔案組成的。

第四步:現在我們就開始進行木馬的清除工作。在“進程管理”中首先找到粉紅色IE瀏覽器進程,選中它後通過滑鼠右鍵中的“結束這個進程”命令清除它。接著點擊“服務管理”標籤,選擇名為hack的服務後,點擊右鍵菜單中的“刪除選中的服務”命令來刪除。

再選擇程式中的“檔案管理”標籤,對木馬檔案進行最後的清除操作。在系統的system32目錄找到hack.dll和hack.exe檔案後,點擊右鍵菜單中的“直接刪除檔案”命令,完成對木馬的最後一擊。現在重新啟動系統再進行查看,確認木馬中的被清除乾淨呢。

第五步:由於木馬程式破壞了殺毒軟體在SSDT表中的內容,因此大家最好利用軟體內建的主動修複功能來進行修複,或者直接重新將殺毒軟體安裝一次即可。

總結

以前的木馬種植以前,駭客最重要的工作就是對其進行免殺操作,這樣就可以躲過殺毒軟體的特徵碼檢測。是駭客現在除了進行基本的免殺外,還要想如何才能突破主動防禦的功能。不過已經有木馬可以突破主動防禦,以後這類木馬也會越來越多,因此大家一定要加強自己的安全意識。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。