最近一段時間，花了不少精力在對付形形色色的木馬/病毒，昨天的這個帖子里面已經(jīng)提到過了，arp欺騙只是最容易觀察到的外部表現(xiàn)方式，因為這個以發(fā)作會影響周圍n多人的網(wǎng)絡(luò)使用。以前的病毒是什么

樣的，為什么說現(xiàn)在的木馬/病毒很狡猾而難以對付，它們高于”道”的”魔”在哪里，這篇文章會試圖做一些淺顯和初步的分析。

　　很久很久以前（童話都是這樣開頭的），這個世界上沒有木馬，只有病毒，病毒們的作用也很單一，比如破壞可執(zhí)行文件，比如不斷產(chǎn)生垃圾侵占磁盤空 間……在”賜予我力量吧”的吶喊聲中，簡陋的殺毒軟件出現(xiàn)了，記得黑色星期五、米開朗基羅、在屏幕上亂跳的stone么，記得當年聞之色變的dirII 么，記得當年的scan、kill99、cpav以及msav么？呵呵，都是只能從化石博物館里翻出來的東西了。當時的病毒代碼都是極其固定的，所以殺毒 軟件們的使命很簡單，對文件進行二進制匹配，符合，殺之，不符合，忽略之。

　　之后，出現(xiàn)了代碼不完全固定的病毒，帶有%%特征匹配的kv100也隨之誕生了，印象最深刻就是每期的電腦報上有一個小窗口，里面是天書一般的病毒特征碼（廢話么，如果能看懂這個，你就是病毒了），只要自己輸入到kv100里面，就可以”手動升級”了，呵呵，現(xiàn)在想想好像挺可笑的，但是在那個沒有網(wǎng)絡(luò)的時代，不可能有什么方便的在線更新手段，除了拷貝之外，這個也是挺有時代特征的方式啊。

　　進入win32時代，不管在國內(nèi)還是國外，病毒和反病毒的斗爭從來沒有停止過，殺毒軟件也是你方唱罷我登場，從諾頓到卡巴斯基，從nod32到小紅傘，更不用說技術(shù)不怎么樣但是炒作的無比瘋狂的江民瑞星之流，給我們上演了無數(shù)的免費戲劇。

　　再后來，慢慢的開始發(fā)現(xiàn)，不管是什么殺毒軟件，不管它的病毒庫更新的如何及時，好像機器還是會蹦出亂七八糟的窗口，速度還是會越來越慢。于是我們開始鑄造第二道堤壩，avg、卡卡、360……再配合原來的殺毒軟件，嗯，世界似乎是開始清凈下來了。

　　現(xiàn)在呢，木馬/病毒又有了些什么花樣？隨便找一個今天碰到的，看看表現(xiàn)形式：

1. 進程可以看到的有2-3個，不能看到的n個，互相監(jiān)控，發(fā)現(xiàn)被關(guān)閉則自動再打開；
2. 監(jiān)控系統(tǒng)進程，發(fā)現(xiàn)是殺毒/殺木馬/進程管理軟件的直接關(guān)閉；
3. 監(jiān)控窗口標題和內(nèi)容，發(fā)現(xiàn)訪問關(guān)于自己的網(wǎng)頁則直接關(guān)閉ie；
4. 利用啟動菜單、注冊表、服務(wù)、驅(qū)動，多重方式啟動時加載；
5. 修改系統(tǒng)文件，在試圖進入安全模式的時候藍屏給你看；
6. 利用Image File Execution Options，把所有的殺毒/殺木馬/進程管理軟件加入，使得它們無法啟動；
7. 自動搜索，在所有本地硬盤、移動存儲器，建立自動運行，實現(xiàn)擴散傳播；
8. 病毒文件名隨機產(chǎn)生，無法通過一定規(guī)則過濾；
9. 其他的小伎倆還有很多，比如禁用進程管理器啊，修改txt/ini文件關(guān)聯(lián)啊，不一而足。

　　看到這些，你有什么想法，呵呵，拋開對使用的影響，這樣的簡直是個藝術(shù)品啊，雖然大部分是批量生產(chǎn)出來的。盡管從理論上來說，上面的這些，都是有辦法解決的，但是就算我自己來，也要經(jīng)過一定時間的分析和折騰，才”有可能”搞定，那么，對于普通的使用者來說呢，大部分的使用者，可能選擇重裝會更快捷一些。我在猜測，如果再完善一下上面的步驟，病毒可以成為一個相對完美的防御體，那時候估計除了再啟動一個干凈的pe來修復(fù)，基本束手無策（我想到了幾條，就不在這里列出來了，有興趣的我們私下討論）。

　　經(jīng)常聽到朋友抱怨：怎么有那么多沒事做的人，整天做病毒呢？很簡單，一個利字，在這些表現(xiàn)的背后，木馬/病毒們，關(guān)注的是你的系統(tǒng)控制權(quán)，關(guān)注的是你的qq密碼，關(guān)注的是你的網(wǎng)游密碼，甚至你的證券交易密碼和銀行密碼……在一個小小病毒的背后，是一整個相互勾結(jié)的利益共同體。

　　我們依靠殺毒軟件，但是，病毒的制造者，也不是一個人……

標簽： 安全 代碼 搜索 網(wǎng)絡(luò) 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。