|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-01-14, 02:06 PM | #1 |
榮譽會員
|
驅 動 級 隱 藏 木 馬 ( Rootkit ) - PcShare 查 殺 手 記
PcShare簡介:
一款電腦遠端控制軟體,採用HTTP反向通信,螢幕資料線傳輸,驅動隱藏連接阜通信程序等技術,達到系統層次的隱藏。類似灰鴿子,由於結合了最新的Rootkit技術,用一般的系統掃瞄軟體如Hijackthis等無法檢測到其木馬服務訊息,最近有氾濫的趨勢... PcShare樣本(arcldrer.exe)執行後解壓縮文件有: %System32%\Ybfbqufe.d1l %System32%\Ybfbqufe.dll %System32%\drivers\Ybfbqufe.sys 插入並啟動IE隱藏工作: 在註冊表中增加了隱藏的驅動服務: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe] 指向%SystemRoot%\System32\drivers\Ybfbqufe.sys 如果是XP系統: 修改dmserver服務(監測和監視新硬碟驅動器並向邏輯磁牒管理器管理服務傳送磁碟區的訊息以便組態): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters] 指向病毒文件: "ServiceDll"="%System32%\Ybfbqufe.d1l" 如果此服務被終止,動態磁牒狀態和配置資訊會過時。如果此服務被禁用,任何依賴它的服務將無法啟動。 如果是2000系統: 修改RpcSs服務(Remote Procedure Call Services): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters] 指向病毒文件: "ServiceDll"="%System32%\Ybfbqufe.d1l" rpcss.exe是微軟Windows操作系統的一部分。它用於本機電腦的遠端程序使用 服務。它是本機網路的公用服務。這個程序對系統的正常執行是非常重要的。 清除(以2000系統為例): 1,工具準備:由於驅動級(Rootkit)木馬執行層次的特殊性,在正常模式下無論是木馬施放文件還是對於註冊表的改動都是無法觀測到的,從而達到木馬隱藏的目的,要偵測到隱藏的訊息,我們需要借用同樣內核級的工具-IceSword,其使用了大量新穎的內核技術,使得這些後門無處可躲,具備反隱藏、反保護的功能,基本上所有的木馬都可以檢測出來。最新版本下載位址:ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword1.12.rar 通過IceSword工作檢視功能即可看到隱藏的木馬工作 通過IceSword的SSDT(系統服務描述符表)檢視功能可檢視到隱藏的木馬驅動: 2,由於木馬工作的保護功能,我們首先需要在IceSword的文件-設定下勾選相關功能 3,設定完畢後結束掉木馬工作,利用IceSword註冊表編輯功能,分別定位註冊表到:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe] 並移除Ybfbqufe主鍵。 4,利用IceSword文件檢視功能,找到以下文件並移除: %System32%\Ybfbqufe.d1l %System32%\Ybfbqufe.dll |
__________________ |
|
送花文章: 3,
|
2006-03-08, 03:43 PM | #2 (permalink) |
榮譽會員
|
AV 引擎的探討 一道 codecrypter(加密) rootkit hxdef 原來 24個AV報的 只剩4個報(執行無誤)
The purpose of the release was to demonstrate how ineffective AV are at detecting malware. I also released the source code to the tool there. Now, over 3 months later, I thought I'd check that all the AV vendors are detecting it... the results are very disappointing. Using the service Virus Total, here's the results of crypting a rootkit called "hxdef". This is the most popular rootkit used by hackers (www.hxdef.org). Scan of hxdef packed with codecrypter , including resource packing at 1 March 2006: Antivirus Version Update Result AntiVir 6.33.1.53 03.01.2006 no virus found Avast 4.6.695.0 03.01.2006 no virus found AVG 718 03.01.2006 no virus found Avira 6.33.1.53 03.01.2006 no virus found BitDefender 7.2 03.01.2006 MemScan:Backdoor.HacDef.BR CAT-QuickHeal 8.00 03.01.2006 (Suspicious) - DNAScan ClamAV devel-20060126 03.01.2006 no virus found DrWeb 4.33 03.01.2006 no virus found eTrust-InoculateIT 23.71.90 03.01.2006 no virus found eTrust-Vet 12.4.2100 03.01.2006 no virus found Ewido 3.5 03.01.2006 no virus found Fortinet 2.71.0.0 03.01.2006 suspicious F-Prot 3.16c 03.01.2006 no virus found Ikarus 0.2.59.0 03.01.2006 Backdoor.Win32.HacDef.084 Kaspersky 4.0.2.24 03.01.2006 no virus found McAfee 4708 03.01.2006 no virus found NOD32v2 1.1422 03.01.2006 a variant of Win32/HacDef Norman 5.70.10 03.01.2006 no virus found Panda 9.0.0.4 03.01.2006 Suspicious file Sophos 4.03.0 03.01.2006 no virus found Symantec 8.0 03.01.2006 no virus found TheHacker 5.9.5.103 02.28.2006 no virus found UNA 1.83 03.01.2006 no virus found VBA32 3.10.5 03.01.2006 BackDoor.HackDef.164 Out of 24 AV vendors, only 4 correctly identified the file as hxdef. Another 3 marked it as suspicious. This means we have a 30% of AV detecting the file, 3 months after release of the packer. More worryingly, all the popular AV are not detecting it (KAV, McAfee, Symantec). I suspect that the ones who do detect it, are not recognising the packer, but instead are seeing the Import Address Table of hxdef, which I did not encrypt. Very poor response time, given the amount of fees that they charge |
送花文章: 3,
|
2006-03-11, 08:49 AM | #4 (permalink) |
榮譽會員
|
木馬病毒潛伏秘密
木馬病毒潛伏秘密 詭招完全大曝光 木馬是一種關於遠端控制的病毒程序,該程序具有很強的隱蔽性和危害性,它可以在人不知鬼不覺的狀態下控制你或者監視你。有人說,既然木馬這麼厲害,那我離它遠一點不就可以了!然而這個木馬實在是「淘氣」,它可不管你是否歡迎,只要它高興,它就會想法設法地闖到你「家」中來的!哎呀,那還了得,趕快看看自己的電腦中有沒有木馬,說不定正在「家」中興風作浪呢!那我怎麼知道木馬在哪裡呢,相信不熟悉木馬的菜鳥們肯定想知道這樣的問題。下面就是木馬潛伏的詭招,看了以後不要忘記採取絕招來對付這些損招喲! 1、整合到程序中 其實木馬也是一個伺服器-客戶端程序,它為了不能使用戶能輕易地把它移除,就常常整合到程序裡,一旦用戶啟動木馬程序,那麼木馬文件和某一應用程式元件服務在一起,然後上傳到服務端覆蓋原文件,這樣即使木馬被移除了,只要執行元件服務了木馬的應用程式,木馬又會被安裝上去了。綁定到某一應用程式中,如綁定到系統檔案,那麼每一次Windows啟動均會啟動木馬。 2、隱藏在組態文件中 木馬實在是太狡猾,知道菜鳥們平時使用的是圖形化界面的操作系統,對於那些已經不太重要的組態文件大多數是不聞不問了,這正好給木馬提供了一個藏身之處。而且利用組態文件的特殊作用,木馬很容易就能在大家的電腦中執行、發作,從而偷窺或者監視大家。不過,現在這種方式不是很隱蔽,容易被發現,所以在Autoexec.bat和Config.sys中載入木馬程序的並不多見,但也不能因此而掉以輕心哦。 3、潛伏在Win.ini中 木馬要想達到控制或者監視電腦的目的,必須要執行,然而沒有人會傻到自己在自己的電腦中執行這個該死的木馬。當然,木馬也早有心理準備,知道人類是高智商的動物,不會說明 它工作的,因此它必須找一個既安全又能在系統啟動時自動執行的地方,於是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨開啟Win.ini來看看,在它的[windows]字段中有啟動指令「load=」和「run=」,在一般情況下「=」後面是空白的,如果有後跟程序,比方說是這個樣子:run=c:\windows\file.exe load=c:\windows\file.exe這時你就要小心了,這個file.exe很可能是木馬哦。 4、偽裝在普通文件中 這個方法出現的比較晚,不過現在很流行,對於不熟練的windows操作者,很容易上當。具體方法是把可執行文件偽裝成圖片或文本----在程序中把圖示改成Windows的預設圖片圖示, 再把檔案名改為*.jpg.exe, 由於Win98預設設定是"不顯示已知的文件後面名",文件將會顯示為*.jpg, 不注意的人一點這個圖示就中木馬了(如果你在程序中嵌一張圖片就更完美了)。 5、內裝到註冊表中 上面的方法讓木馬著實舒服了一陣,既沒有人能找到它,又能自動執行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,並對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓後,認為上面的藏身之處很容易找,現在必須躲在不容易被人發現的地方,於是它想到了註冊表!的確註冊表由於比較複雜,木馬常常喜歡藏在這裡快活,趕快檢查一下,有什麼程序在其下,睜大眼睛仔細看了,別放過木馬哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值。 |
送花文章: 3,
|
2006-03-13, 06:07 AM | #5 (permalink) |
榮譽會員
|
尋找與清除插入式特絡伊木馬
目前網路上最猖獗的病毒估計非木馬程序莫數了,2005年木馬程序的攻擊性也有了很大的加強,在行程隱藏方面,做了較大的改動,不再採用獨立的EXE可執行文件形式,而是改為內核嵌入方式、遠端執行緒插入技術、掛接PSAPI等,這些木馬也是目前最難對付的。本期就教你尋找和清除執行緒插入式木馬。 一、通過自動執行機制查木馬 一說到尋找木馬,許多人馬上就會想到通過木馬的啟動項來尋找「蛛絲馬跡」,具體的地方一般有以下幾處: 1)註冊表啟動項 在「開始/執行」中輸入「regedit.exe」開啟註冊表編輯器,依次展開[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],檢視下面所有以Run開頭的項,其下是否有新增的和可疑的鍵值,也可以通過鍵值所指向的文件路徑來判斷,是新安裝的軟體還是木馬程序。 另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]鍵值也可能用來載入木馬,比如把鍵值修改為「X:\windows\system\ABC.exe %1%」。 2)系統服務 有些木馬是通過增加服務項來實現自啟動的,大家可以開啟註冊表編輯器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Runservices]下尋找可疑鍵值,並在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下檢視的可疑主鍵。 然後禁用或移除木馬增加的服務項:在「執行」中輸入「Services.msc」開啟服務設定視窗,裡面顯示了系統中所有的服務項及其狀態、啟動檔案類型和登入性質等訊息。找到木馬所啟動的服務,雙按開啟它,把啟動檔案類型改為「已禁用」,確定後結束。也可以通過註冊表進行修改,依次展開「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服務顯示名稱」鍵,在右邊視窗中找到二進制值「Start」,修改它的數值數,「2」表示自動,「3」表示手動,而「4」表示已禁用。當然最好直接移除整個主鍵,平時可以通過註冊表匯出功能,制作備份這些鍵值以便隨時對照。 3)開始選單啟動組 現在的木馬大多不再通過啟動表單進行隨機啟動,但是也不可掉以輕心。如果發現在「開始/程序/啟動」中有新增的項,可以右擊它選項「尋找目標」到文件的目錄下檢視一下,如果文件路徑為系統目錄就要多加小心了。也可以在註冊表中直接檢視,它的位置為[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Shell Folders],鍵名為Startup。 4)系統INI文件Win.ini和System.ini 系統INI文件Win.ini和System.ini裡也是木馬喜歡隱蔽的場所。選項「開始/執行」,輸入「msconfig」彈出系統組態實用程序,檢查Win.ini的[Windows]小節下的load和run字段後面有沒有什麼可疑程序,一般情況下「=」後面是空白的;還有在System.ini的[boot]小節中的Shell=Explorer.exe後面也要進行檢查。 5)批次處理文件 如果你使用的是Win9X系統,C碟根目錄下「AUTOEXEC.BAT」和WINDOWS目錄下的「WinStart.bat」兩個批次處理文件也要看一下,裡面的指令一般由安裝的軟體自動產生,在系統預設會將它們自動載入。在批次處理文件語句前加上「echo off」,啟動時就只顯示指令的執行結果,而不顯示指令的本身;如果再在前面加一個「@」字元就不會出現任何提示,以前的很多木馬都通過此方法執行。 二、通過文件對比查木馬 最近新出現的一種木馬。它的主程序成功載入後,會將自身做為執行緒插入到系統行程SPOOLSV.EXE中,然後移除系統目錄中的病毒文件和病毒在註冊表中的啟動項,以使反病毒軟體和用戶難以查覺,然後它會監視用戶是否在進行關機和重啟等操作,如果有,它就在系統關閉之前重新新增病毒文件和註冊表啟動項。下面的幾招可以讓它現出原形(下面均以Win XP系統為例): 1)對照制作備份的常用行程 大家平時可以先制作備份一份行程列表,以便隨時進行對比尋找可疑行程。方法如下:開機後在進行其他操作之前即開始制作備份,這樣可以防止其他程序載入行程。在執行中輸入「cmd」,然後輸入「tasklist /svc >X:\processlist.txt」(提示:不包括引號,參數前要留空格,後面為文件儲存路徑)Enter鍵。這個指令可以顯示應用程式和本機或遠端系統上執行的相關的工作/行程的列表。輸入「tasklist /?」可以顯示該指令的其它參數。 2)對照制作備份的系統DLL文件列表 對於沒有獨立行程的DLL木馬怎麼辦嗎?既然木馬打的是DLL文件的主意,我們可以從這些文件下手,一般系統DLL文件都儲存在system32資料夾下,我們可以對該目錄下的DLL檔案名等訊息作一個列表,開啟指令行視窗,利用CD指令進入system32目錄,然後輸入「dir *.dll>X:\listdll.txt」敲Enter鍵,這樣所有的DLL檔案名都被記錄到listdll.txt文件中。日後如果懷疑有木馬侵入,可以再利用上面的方法制作備份一份文件列表「listdll2.txt」,然後利用「UltraEdit」等文本編輯工具進行對比;或者在指令行視窗進入文件儲存目錄,輸入「fc listdll.txt listdll2.txt」,這樣就可以輕鬆發現那些發生更改和新增的DLL文件,進而判斷是否為木馬文件。 3)對照已載入模組 頻繁安裝軟體會使system32目錄中的文件發生較大變化,這時可以利用對照已載入模組的方法來縮小尋找範圍。在「開始/執行」中輸入「msinfo32.exe」開啟 「系統資訊」,展開「軟體環境/載入的模組」,然後選項「文件/匯出」把它制作備份成文本文件,需要時再制作備份一個進行對比即可。 4)檢視可疑連接阜 所有的木馬只要進行連接,接收/傳送資料則必然會開啟連接阜,DLL木馬也不例外,這裡我們使用netstat指令檢視開啟的連接阜。我們在指令行視窗中輸入「netstat -an」顯示出顯示所有的連接和偵聽連接阜。Proto是指連接使用的傳輸協定名稱,Local Address是本機電腦的IP位址和連接正在使用的連接阜號,Foreign Address是連接該連接阜的遠端電腦的IP位址和連接阜號,State則是表明TCP連接的狀態。Windows XP所帶的netstat指令比以前的版本多了一個-O參數,使用這個參數就可以把連接阜與行程對應起來。輸入「netstat /?」可以顯示該指令的其它參數。 接著我們可以通過份析所開啟的連接阜,將範圍縮小到具體的行程上,然後使用行程分析軟體,例如「Windows最佳化大師」目錄下的WinProcess.exe程序,來尋找嵌入其中的木馬程序。有些木馬會通過連接阜劫持或者連接阜重用的方法來進行通信的,一般它們會選項139、80等常用連接阜,所以大家分析時要多加注意。也可以利用網路嗅探軟體(如:Commview)來瞭解開啟的連接阜到底在傳輸些什麼資料。 |
送花文章: 3,
|