亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

打造個性化免殺版防火墻、殺毒軟件
2006-06-30   賽迪網社區

前言:

  眾所周知,現在越來越多的病毒愛好者為了展示個人能力或一些不可告人的秘密而制作一系列的病毒程式;不過,由于國內大部分用戶對網絡安全有了更多的了解,都會在自己系統中安裝使用防火墻或殺毒軟件來保護自己的系統網絡安全!因此,這類安全軟件的存在成了這些病毒的“拌腳石“。如何掃除這些“拌腳石”也就成了他們所追求的另一種境界:“讓病毒程式在系統中如入無人之境”!

  常見的病毒保護技術:

  加殼壓縮或加密(主要是采用網絡中流行的加殼程序);

  修改病毒程式中的特征碼(躲避殺毒軟件中的特征碼掃描);

  在病毒程式激發其功能模塊時先檢測系統中的安全軟件,如存在,則進行清除;

  采用內核式、服務級編程方式,使得大部分殺毒軟件能查無法清除,此類病毒技術性較強,隨著Rootkit源碼的公開,該方式也迅速傳播…

  … … …

  這里討論病毒保護方式3中的防護方法“打造個性化免殺版安全軟件”

  1、避開“進程掃描式”追殺;

  要避開這種方式的追殺只需要修改主程序文件名就可以避開病毒所采用的“進程掃描式”追殺;

  2、避開FindWindow()FindWindowExA()函數的追捕;

  hwnd = FindWindow("TApplication", vbNullString) ;查找特征窗口類名

  hwnd = FindWindow(vbNullString, "Pfw") ;查找特征窗口標題

  該方式主要是防止此類函數掃描窗口名或類名以此終止安全軟件的運行;使用OllyDbg 或 SoftICE 載入需要打造的防火墻程序PFW.ExE ,設置斷點USER32.CreateWindowExA()

  部分代碼: 

004EA2B8   /$Content$nbsp; 55       push ebp 
004EA2B9   |.  8BEC     mov ebp,esp 
004EA2BB   |.  53       push ebx 
004EA2BC   |.  8B5D 08  mov ebx,dword ptr ss:[ebp+8] 
004EA2BF   |.  53       push ebx                           ; /lParam 
004EA2C0   |.  8B5D 0C  mov ebx,dword ptr ss:[ebp+C]         ; | 
004EA2C3   |.  53       push ebx                             ; |hInst 
004EA2C4   |.  8B5D 10  mov ebx,dword ptr ss:[ebp+10]        ; | 
004EA2C7   |.  53       push ebx                             ; |hMenu 
004EA2C8   |.  8B5D 14  mov ebx,dword ptr ss:[ebp+14]        ; | 
004EA2CB   |.  53       push ebx                             ; |hParent 
004EA2CC   |.  8B5D 18  mov ebx,dword ptr ss:[ebp+18]        ; | 
004EA2CF   |.  53       push ebx                             ; |Height 
004EA2D0   |.  8B5D 1C  mov ebx,dword ptr ss:[ebp+1C]        ; | 
004EA2D3   |.  53       push ebx                             ; |Width 
004EA2D4   |.  8B5D 20  mov ebx,dword ptr ss:[ebp+20]        ; | 
004EA2D7   |.  53       push ebx                             ; |Y 
004EA2D8   |.  8B5D 24  mov ebx,dword ptr ss:[ebp+24]        ; | 
004EA2DB   |.  53       push ebx                             ; |X 
004EA2DC   |.  51       push ecx                             ; |Style 
004EA2DD   |.  52       push edx                             ; |WindowName       ;窗口標題 
004EA2DE   |.  50       push eax                             ; |Class                ;程序類名 
004EA2DF   |.  6A 00    push 0                               ; |ExtStyle = 0 
004EA2E1   |.  E8 7C010>call    ; CreateWindowExA 
004EA2E6   |.  5B       pop ebx 
004EA2E7   |.  5D       pop ebp 
004EA2E8   .  C2 2000  retn 20

堆棧數據: 

0012FD6C    00000000    |ExtStyle = 0 
0012FD70    004ACEAC    |Class = "TApplication"  ; 只需修改這里有類名為:skyxnet 
0012FD74    00F61B28    |WindowName = "Pfw"      ; 這里可以不用修改,因為修改了也沒有作用... 嘿嘿... 
0012FD78    84CA0000     
|Style = WS_POPUP|WS_MINIMIZEBOX|WS_CLIPSIBLINGS|WS_SYSMENU|WS_CAPT> 
0012FD7C    00000200    |X = 200 (512.) 
0012FD80    00000180    |Y = 180 (384.) 
0012FD84    00000000    |Width = 0 
0012FD88    00000000    |Height = 0 
0012FD8C    00000000    |hParent = NULL 
0012FD90    00000000    |hMenu = NULL 
0012FD94    00400000    |hInst = 00400000 
0012FD98    00000000    lParam = NULL

  修改操作:

  右鍵功能:"進數據窗口",然后在Hex dump 窗口中選擇右鍵功能: " 二進制\編輯(或快捷鍵Ctrl+E)" 修改類名字符串!

  接下來,我們用VC++或其他資源編輯器打開 String Table 修改ID為10001的值:天網防火墻個人版 (將其修改為其他字符,這里改為免.殺.版..東毒君) ,保存。

  最后使用Spy++ 查看成果:Window Caption: 免.殺.版..東毒君 Class Name: skyXnet

  總結:

  本例只是處理了主流個人版天網防火墻,同樣道理我們可以繼續打造修改其他的殺毒軟件… … 其實這并不算什么較新技術,不過,只要是經常在網絡上走動,或常使用網絡通信工具如QQ、MSN之類的,就難免會感染病毒,既然病毒程式采用多樣化的保護方式來達到其入侵的目的,我們也可以借鑒逆向工程思維處理我們的安全程式,使其具有免疫功能。

熱詞搜索:

上一篇:木馬客戶端與服務端隱蔽通訊解析
下一篇:詳述防止IE瀏覽器被惡意修改的小技巧

分享到: 收藏