如果用戶對木馬病毒當前使用的隱身穿墻術(shù)有一定的了解,就可以知道該從哪些方面去防范,以及出現(xiàn)問題時該從何處著手處理。這樣,再與各類安全工具相結(jié)合,就有可能將木馬病毒帶來的安全威脅降至我們能夠接受的水平以內(nèi)。接下來鄭州北大青鳥的網(wǎng)絡專家將以Windows XP系統(tǒng)為平臺,分別對現(xiàn)階段木馬病毒常用的隱身術(shù)和穿透防火墻方法進行簡單的描述,并給出相應的處理方法:
一、修改木馬程序特征碼
當用戶使用殺毒軟件查殺木馬時,殺毒軟件就是通過分析用戶系統(tǒng)中的各種文件的特征碼來與病毒庫中的各種特征碼進行比對,當發(fā)現(xiàn)了相似的就認為是某種木馬并查殺,F(xiàn)在特征碼查殺技術(shù)有文件特征碼和內(nèi)存特征碼查殺這兩種方式。修改木馬程序的特征碼,就是為了躲避通過特征碼查殺的殺毒軟件的檢測,這樣就等同于在殺毒軟件面前隱身了。
現(xiàn)在,互聯(lián)網(wǎng)上已經(jīng)存在有許多可以用來提取程序特征碼的軟件,例如MYCCL。要修改某個木馬的特征碼,可以通過MYCCL不斷地提取它的特征碼,然后用要躲過的殺毒軟件來查殺,直到這些殺毒軟件不能檢測到它就是一個某個木馬為止。然后,再通過一些二進制提取和編輯工具(例如Uedit32),對這個木馬中發(fā)現(xiàn)了的特征碼段進行修改,就可以在這些殺毒軟件面前隱身了。有的時候,對于某些殺毒軟件,例如諾頓殺毒軟件,甚至只要修改了木馬的PE頭就可以不會被檢測到。而修改程序的PE頭,可以通過Peditor或YC保護專家就可以做到。因此,特征碼修改是現(xiàn)在木馬用來躲避檢測的常用方法之一。但是,要成功修改木馬的特征碼而不損壞它的功能,也是需要一定的匯編技術(shù)的,并不是一般的攻擊者就可以完成的任務。
二、木馬加殼
給程序加殼,包括加密殼和壓縮殼兩種。程序一旦被加殼保護后,如果不使用與此相應的脫殼軟件進行脫殼處理,一些反匯編程序是不能正確讀取到其真正的代碼的。這樣,就能保護程序不會被破解。同樣,木馬程序一旦也經(jīng)過了加殼保護,殺毒軟件如果不具有給程序脫殼功能,那么也就不可能識別出它就是木馬的,也就是說達到了木馬隱身的目的。
如今,通過Aspack或UPX給木馬加上殼是非常容易的,因此,一此攻擊者是會通過使用一些不常用的加殼軟件來對木馬加殼處理的。這些不常見的加殼軟件,一般都是出現(xiàn)在一些國外的安全類網(wǎng)站當中,其中比較常用的有Private exe Protector軟件,它原本是一個非常好用的程序保護軟件,但同樣也可以用來保護木馬。而且,對木馬進行加殼,往往還會加多重殼,以進一步增加被識別出來的難度,但加多重殼要比加單一的殼要復雜得多。只是,程序加殼只是對木馬的程序文件進行了保護而已,且有時加殼會損壞木馬的一些功能,而且,單獨使用加殼保護木馬是達不到理想的保護效果的。因此,攻擊者往往在對木馬加殼保護之前,還會對它使用如程序加密之類的處理工作的。
鄭州北大青鳥網(wǎng)絡專家做出總結(jié):對木馬進行加殼保護,只對木馬文件有效,對于已經(jīng)加載到內(nèi)存中的木馬程序段,由于木馬在運行時已經(jīng)自行脫殼處理了,也就失去了保護作用,此時就可以通過對內(nèi)存檢測的方式來查殺。PEID和PESCAN是兩個常用的用來查看程序加殼情況的軟件,對于普通的用戶,使用超級巡警虛擬自動脫殼機就能夠很好地解決這些問題。同樣,使用主動防御功能的安全軟件也可以檢測到這種類型的木馬。