标题:
[转帖]关于新手识别木马的几点误区
[打印本页]
作者:
yongmin
时间:
2006-9-9 10:17
标题:
[转帖]关于新手识别木马的几点误区
关于新手识别木马的几点误区
一、发布软件被杀毒软件报警的问题
关于这个问题,因为多数发布的木马是没有经过免杀处理的,所以会被杀毒软件报警,即便是楼主做了免杀处理,发布出来几周后也会被杀毒软件查杀而引起报警,因为他本身就是生成木马的工具,杀毒软件不会视而不见的,所以把他当作病毒
需要澄清的问题是:
什么是木马,什么是木马生成器
1/生成木马的工具杀毒软件只要见到了都会当作木马来处理,或是加上木马工具来标志它
2/被报警的软件未必是恶意软件,我们用的大多数黑客工具都会被报警,因为它除了黑客用途,没有其他用途
所以是杀毒软件的对立面,会被查杀
3/遇到黑客工具被报警这种情况我们怎么分辨到底是黑客工具捆绑了木马被报警还是它本身被报警?
这个问题不好办,只能运行了查看系统进程是否增加,注册表选项是否增加,文件关联是否更改,服务项目是否增加,是否出现autorun文件等,根据自己的黑客知识来识别
所以,大家需要明确,被杀毒软件报警的未必是有害软件,不被报警的也未必没问题,不要过分依赖杀毒软件,尤其不能根据杀毒软件来乱说别人捆绑木马之类的
二、存在多个可执行文件头或捆绑数据的问题
1、多文件头问题
关于这个问题,不知道你们看没有看我的啊拉1209脱壳全过程动画,在里面我就提到了这个问题,啊拉QQ大盗,本身文件一个,里面可以生成4个木马,分别是无图标,文本,游戏,图片4个格式,所以文件头为5个,如果不是5个,那么这个软件需要经过加密或压缩处理
这只是一个例子,可以这么说,凡是可以生成木马的东西都要至少2个文件头,不然那个木马从哪儿生成?所以大家检测到文件头有什么用?不明白为什么用这样LJ的检测工具
如果要消除多文件头,只需要找个一般的加壳软件加壳就可以了,既便不加壳,我们用木马彩衣就可以消除PE文件头标志,那LJ检测工具就够戗能检测到了(我没测试,理论推测)
如果发布的这个文件里面包括UPX压缩,木马本身,键盘插件等,5个文件头太正常了,我已经发布了检测捆绑数据工具,大家不要再用那个LJ检测文件头的工具,因为那种LJ检测工具....误报率高达80%以上
2、捆绑数据问题
文件脱壳后再修复,里面存在的大量由于加壳生成的花指令引起的LJ代码,我们虽然把壳脱去了,但是大部分没有减肥去除里面的花指令,所以检测时检测到多余数据是很正常的,我们不能根据检测到多余数据就断定某一个软件有问题
最后一句话 ,奉劝大家不要用这种LJ工具来检测,发现可疑问题直接报告版主,不要误导其他人,让大家误认为某人可能捆绑木马,众口铄金,积毁销骨
人言可畏啊
正如某菜鸟说了句阿拉QQ大盗有后门,收不到小于6位的QQ号,众菜鸟就群起响应,认为收不到,但我测试明明可以收到的
飞机的发明者莱特兄弟接受采访时说:鸟类中只有鹦鹉会说话,然而鹦鹉是飞不高的,希望大家多学技术,少做鹦鹉
欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/)
Powered by Discuz! 7.2