菜鳥對付最流行的幾種綁架元件服務器

[psac]

菜鳥對付最流行的幾種元件服務器



最近不知怎麼搞的。一夜就冒出N個元件服務機。害得我等菜鳥苦不堪言。今天就各種元件服務器的原理和檢測方法做個簡單的總結，以說明 各位識別帶毒程序。

一、傳統的元件服務器。

這種原理很簡單，也是目前用的最多的一種。就是將B.exe附加到A.exe的末尾。這樣當A.exe被執行的時候，B.exe也跟著執行了。


這種元件服務器的程式碼是滿網都是。我最早是從jingtao的一篇關於流的文章中得知的。

就目前來說，已經沒什麼技術含量了。

檢測方法：稍微懂一點PE知識的人都應該知道。

一個完整有效的PE/EXE文件，他的裡面都包含了幾個絕對固定的特點[不管是否加殼]。


一是文件以MZ開頭，跟著DOS頭後面的PE頭以PE\0\0開頭。有了這兩個特點，檢測就變得很簡單了。只需利用UltraEdit一類工具開啟目標文件搜尋關鍵字MZ或者PE。


如果找到兩個或者兩個以上。則說明這個文件一定是被元件服務了。


不過值得注意的是，一些產生器也是利用了這個原理，將木馬附加到產生器末尾，用戶選項產生的時候讀出來。另外網上流行的多款「元件服務文件檢測工具」都是文件讀出來，然後檢索關鍵字MZ或者PE。
說到這裡，相信大家有了一個大概的瞭解。那就是所謂的「元件服務文件檢測工具」是完全靠不住的一樣東西。


二、資源包裹元件服務器。


就這原理也很簡單。大部分檢測器是檢測不出來的，但灰鴿子木馬輔助搜尋可以檢測出元件服務後未經加殼處理的EXE文件。


但一般人都會加殼，所以也十分不可靠。這個學過編程或者瞭解PE結構的人都應該知道。

資源是EXE中的一個特殊的區段。


可以用來包含EXE需要/不需要用到的任何一切東西。利用這個原理進行100%免殺元件服務已經讓人做成了動畫。



大家可以去下載看看。那元件服務器是如何利用這一點的呢？這只需要用到BeginUpdateResource、UpdateResource和EndUpdateResource這三個API函數就可以搞定。


這三個API函數是用來做資源更新/取代用的。作者只需先寫一個包裹元件服務文件的頭文件Header.exe.頭文件中只需一段解壓縮資源的程式碼。


而元件服務器用的時候先將頭文件解壓縮出來，然後用上面說的三個API函數將待元件服務的文件更新到這個頭文件中即完成了元件服務。類似原理被廣泛運用到木馬產生器上。

檢測方法：一般這種很難檢測。


如果你不怕麻煩，可以先將目標文件進行脫殼。


然後用「灰鴿子木馬輔助搜尋」或「ResTorator」一類工具將資源讀出來進行分析。


但這種方法畢竟不通用。所以還是推薦有條件的朋友使用虛擬機。


三、編譯器元件服務法。

暫時不知用什麼名字來形容，所以只能用這個來替代。這種方法相當的陰險。


是將要元件服務的文件轉換成16進制儲存到一個陣列中。像這樣

muma:array[0..9128] of Byte=($4D,$5A,$50....$00);

然後用時再用API函數CreateFile和WriteFile便可將文件還原到硬碟。這裡稍稍學過編程的都知道。


程式碼中的陣列經過編譯器、連接器這麼一搞。

連影都沒了。哪還能有什麼文件是吧？
所以就這種方法而言，目前還沒有可以查殺的方法。這種方法可以利用編程協助工具jingtao的DcuAnyWhere或Anskya的AnyWhereFileToPas來實現。


四、最最毒辣的一種。因為暫時用的人較少，且危害性及查殺難度太大。[一個被殺的病毒直接元件服務就能免殺，汗~]所以就不公佈了。此法查殺方法通用性極差。如果流行，估計大家連動畫都不敢下著看了。HOHO~



補充：可以利用一些第三方工具將硬碟和註冊表監視起來以後再執行那些你不確定是否被元件服務的程序。這樣，一旦硬碟出現變化，或有文件新增，或有文件改變都會被記錄在案。就算是搜尋起來也方便一點。