��氓软�g及反��氓软�g的技术分�?(�?

junky — Sun, 24 Sep 2006 05:09:00 GMT

��氓软�g的技术五花八门，��M��一��功能都有可能成为流氓技术，��p��武器�Q�用好了可以伸张正义�Q�用歪了却成为罪恶的帮凶�?

　　首先我从win32下的一些流氓着数分析开始：

　　1。我惛_��Z��个流氓��Y�Ӟ��首先要做到的是实时运行，譬如在注册表的run下，在boot下增加它的启动。这应该是比较老的�Ҏ(gu��)��Q�以�?3721好象��是在run下，但是现在一般的人都知道了�?/p>

　　2。作为流氓��Y�Ӟ��已经改变了以前一些木马的�Ҏ(gu��)��了�Q�他没必要��自己一定要实时启动了，而是需要自��q��时候再启动�Q�譬如说打开一个浏览器�H�口�Q�这是一般流氓��Y件的�Ҏ(gu��)��Q�因��Z��需要连上网才能有利益可图，所以浏览器肯定是流氓��Y件必定监控的�q�程�?

　　3。��用BHO插�g,�q�种技术早先特别流行，�q�是微��Y提供的接口，本意是让IE��览器可以扩充功能。每当一个ie��览器启动的时候，都会调用BHO下必要的插�g�Q�流氓��Y件就是利用这一炏V��监控了��览器所有事件与信息�?/p>

　　4。还有最�W�的办法��是利用�q�程快照监控�q�程�Q�判断有它自己所监控的进�E�启动，��׃��用atl得到��览器指针，从而监控浏览器所有事件与信息�?/p>

　　5�Q�还有一�U�方法就是��用spi�Q�这是我在网上看到的。spi是分层协议，当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。从而监控用户信息，而且能实时启动�?/p>

　　6。hook�Ҏ(gu��)��Q�hook技术可以所应用太广泛了�Q�特别是监控斚w��。所以流氓��Y件也不会错过。首先应用的是api函数hook�Q�譬如windows核心�~�程里的apihook�c�，或者微软的detous都可以完成，两者方法其实相同就是修改IDT函数入口地址。api hook钩住createprocess ��可以监控进�E�，比进�E�快照性能更强�Q�可以钩住spi下的函数可以完成spi下的所有功能。还有消息hook�Q�鼠标消息，键盘消息�Q�日子消息等�{�钩子，�Ҏ(gu��)��实在太多�Q�都可以利用�?/p>

　　上面列�D了一些流氓��Y件的使用�Ҏ(gu��)��Q�但是流氓��Y件的一个特性是他无法卸载。所以它又要使用下面的方法了

　　因�ؓ上面的很多方法都可以删除注册表卸载他们，那怎么办呢�Q�那��׃��时时监控�Q�它会在它的�q�程�Q�或者线�E�里监控注册表项�Q�设�|�一个��@环监控，发现没了��q��l�安装，增加。我惌��应该是很多流氓��Y件的技术�?/p>

　　那现在又出现了一个新问题�Q�那��是��氓软�g的进�E�线�E�要是结束掉怎么办呢�Q�？�Q?/p>

　　7。一�U�方法就是上面的api hook技术，钩住openprocess ,用自��q��函数判断只要打开的是自己�q�程��p��回正��，使用�q�种�Ҏ(gu��)��Q�用��h��者一般的软�g��无法结束它的进�E�了�?/p>

　　8。还有一�U�是上面象bho,spi�Ҏ(gu��)��没有�q�程。一般的用户也无法删除他

　　9。还有一�U�方法是�q�程�U�程�Q�这个技术用的也很普遍，首先是象api hook一样向目标�q�程里申请一�D�内存空��_��然后使用自己映射�q�去�Q�然后��用CreateRemoteThread创徏�q�程�U�程。一般很多流氓��Y件或者以前的一些木马程序，都是把线�E�注入到�pȝ��q�程譬如explorer,service�{�等�Q��用用��h��者一般的杀毒��Y件很隑֤�理或者结束。�?/p>

　　10。注册成服务后，也可以简单的隐藏�q�程。还有更可笑的是把自��q��q�程名跟一些系�l�进�E�名譬如lsass相同�?也就无法�l�束了�?/p>

junky 2006-09-24 13:09 发表评论

久久国产主播精品,午夜精品久久久久久久久 ,欧美成人亚洲成人日韩成人

���氓软�g及反���氓软�g的技术分�?(�?

��氓软�g及反��氓软�g的技术分�?(�?