如何防止注入式捆绑
lnmygwater
lnmygwater Lv.2
2007年06月01日 12:16:54
只看楼主

中午吃饭的时候,表妹突然说道:“唉,不知道怎么搞的,我的系统最近慢得要命,你们谁帮我看看啊?”我心想:“这里除了我懂电脑,谁还会啊,明明就是说给我听的,只是大家心照不宣罢了。”于是来到表妹家为她进行检测。经过认真的查找,终于在系统中发现了大名鼎鼎的灰鸽子木马。www.sq120.com推荐文章  由于表妹及时给系统打上补丁,所以不可能被黑客通过网页木马利用系统漏洞进行入侵,那木马又是从何而来呢?我联想到最近无意间从网上看到一篇文章,文章介绍了一款可以见缝插针的软件RobinPE。这款软件可以将恶意程序插入到一个可执行文件中,而且被插入的文件大小不会发生改变。当用户每次正常启动这个文件后,被插入的恶意程序就会悄悄的释放出来,并在后台秘密的运行。

中午吃饭的时候,表妹突然说道:“唉,不知道怎么搞的,我的系统最近慢得要命,你们谁帮我看看啊?”我心想:“这里除了我懂电脑,谁还会啊,明明就是说给我听的,只是大家心照不宣罢了。”于是来到表妹家为她进行检测。经过认真的查找,终于在系统中发现了大名鼎鼎的灰鸽子木马。www.sq120.com推荐文章

  由于表妹及时给系统打上补丁,所以不可能被黑客通过网页木马利用系统漏洞进行入侵,那木马又是从何而来呢?我联想到最近无意间从网上看到一篇文章,文章介绍了一款可以见缝插针的软件RobinPE。这款软件可以将恶意程序插入到一个可执行文件中,而且被插入的文件大小不会发生改变。当用户每次正常启动这个文件后,被插入的恶意程序就会悄悄的释放出来,并在后台秘密的运行。

  想到这些我便问表妹:“最近有没有下载什么可疑的程序啊?”表妹想想,回答道:“前段时间,我下载了一个最新的MSN 8,还是绿色版的。”我知道,所谓的绿色版,其实就是一些网友制作的修改版,也许木马程序就隐藏在这个MSN 8中。经过检测我发现这个MSN 8是通过UPX经过了加壳处理的,于是更加怀疑这个文件。果然解壳后,发现在这个所谓的“绿色版”MSN 8里面捆绑了灰鸽子木马,看来我的猜测没有错。

  不管这么多,先将表妹电脑中的灰鸽子清除掉(清除灰鸽子木马的方法在《电脑报》今年第12期F6版中有介绍)。本来问题解决了就应该没有什么事情了,可是表妹是个打破沙锅问到底的性格,什么事情都想知道个彻底,于是又央求我给她讲这个捆绑了木马的文件是怎样产生的。没法子了,我只好再来研究这这个捆绑了木马的文件的产生过程。
“强悍的”注入捆绑
免费打赏
lnmygwater
2007年06月01日 12:17:42
2楼
由于没有使用过RobinPE,我决定先在本地计算机上进行测试。从网上下载并运行RobinPE,点击“后门文件”选项后的“浏览”按钮,选择要插入的恶意程序。为了便于查看效果,我在这里设置了一款名为“激活专家”的小工具。
  接着点击“整体植入”选项后的“浏览”按钮,选择被插入的正规文件,我在这选择了现在非常流行的播放器Media Player Classic(MPC)。
  由于RobinPE只有在经过计算以后才能知道被植入的程序是否可以“容纳下”设置的恶意程序,点击“计算空间”按钮后很快就可以得出结论,如果给出“估计不行”的提示,就表明程序的间隙较小,不能容纳设置的恶意程序,所以恶意文件的体积一定不能过大。
  如果程序提示“可以试试”后,就可以进行插入操作。在植入的方式上,既可以采用“整体植入”,也可以采用“分体植入”的方法。点击“开始植入”按钮,假如植入失败的话,程序就会出现错误提示,并退出RobinPE。
  如果植入成功的话,RobinPE虽然不会出现任何的提示,但是从主窗口的下方可以查看到被植入的程序代码。通过测试,我向表妹介绍了RobinPE的利用原理:可执行文件由于编程的原因,大部分PE文件区间存在一定的间隙,RobinPE正好利用这些间隙将恶意程序插入到文件之中,由于是植入缝隙并没有增加区块,所以文件大小不变。
防不胜防的注入捆绑
  可是当我在给表妹演示将灰鸽子的服务端程序植入到MPC中的时候,由于服务端程序过大,不能成功的进行植入,这下却将我难住了。我心想:虽然RobinPE可以植入其他一些体积较小的木马服务端程序,但那些木马都用得不顺手,怎么办呢?
  后来表妹的一句话提醒了我:“是不是文件的空间不够多?”我明白由于正常的可执行文件的空隙有限,因此要想在一个可执行文件中插入一个体积较大的木马程序,就必须增大空隙,而增大空隙的方法只有一个——增加区块。
  小贴士:增加区块既可以通过手工增加,也可以通过工具进行增加,大多数人会通过工具进行区块添加,一般选择的工具是ZeroAdd。
  我运行ZeroAdd,点击“Pick a file”按钮选择MPC程序,接着在“Enter a name for the new section”选项中设置新建的区块名称,名称可以随便起,但只能是英文;然后“Enter # of bytes to add (in hex)”选项中填入增加的字节数,字节数最好是200的倍数,不然由于对齐的原因,可能造成程序无法运行;最后点击“Add new section!”按钮,就可以进行区块的添加。
  植入成功,经过测试也能成功运行被植入的恶意程序。表妹问我这种注入捆绑和传统的捆绑文件又有什么区别呢?于是我决定通过以前对捆绑文件进行检测的方法,来对这种见缝插针的植入方法进行检测,如果没有检测出来,就表明这种方法和以前的捆绑文件还是有本质的区别的。
  以前对捆绑文件的检测方法,一般分为三种,分别是通过杀毒软件、十六位编辑器、以及捆绑文件进行检测。首先我通过杀毒软件进行检测,没有发现病毒;接着通过Ultra Edit打开注入木马后的MPC,查找“This program”字段,发现有两处;用MT 捆绑克星查看同样发现两处文件头。虽然有两种方法依然可以检测出来,但我在通过加壳处理后,三种方法都无法检测出来了。“怪不得这个程序被进行了加壳处理”,我心想。
为MM支招
  这种注入捆绑的方法是最近开始流行的,暂时还没有什么特别有效的防范方法。主要还是不要从不熟悉的网站下载文件,如果网站提供了文件的MD5值,最好对下载的文件检测一下。
  由于并不是每个网站都提供了MD5值,所以最好还是通过杀毒软件和网络防火墙来进行防范。通过杀毒软件的注册表监控程序来时时监控注册表的变化,现在最新的杀毒软件都有注册表监控的功能。一旦发现可疑的文件,一定要注意注册表的变化,尤其是关于启动项键值的相关变化,然后再判断是否进行程序的安装运行。
回复
山水之间
2007年06月01日 14:16:37
3楼
帖子质量蛮高,只是有的东西偶还搞不懂,只能借助于别的软件来查毒和清理木马程序!
回复
sp51086462
2007年06月20日 19:37:14
4楼
...............
回复
山水之间
2007年06月21日 07:40:49
5楼
莫非乱马也是一种木马程序?
回复

相关推荐

APP内打开