[转载] 假如江民2008是“病毒”……

假如江民2008是“病毒”……

看到这几个字，有点怪怪的吧，什么叫假如江民2008是“病毒”……啊？大家都知道，在和平年代国家为了保持军队的战斗力，那就会时不时的搞些军事演习，演习中一般分为红蓝两方，对方就是你的假想敌人，在演习中你就得把这个假想敌人灭掉。
那今天我们就把这种模式搬到IT行业中来试试，玩玩这个假想“病毒”！ 2007年有期《电脑报》里江民不是被评为最高4A佳绩吗，呵呵~~这说明江民就不是随便盖滴！这里我们就以江民为例吧，还请大家多多指点。江民的粉丝们别乱扔砖头啊。
安装好江民后就可以开始进攻了。首先在任务栏里删除江民的kvsrvxp.exe或KVMonXP.kxp程序，会显示无法中止进程。如图：

e1.jpg (11.31 KB)
2008-1-25 16:34

嗯！看来江民做得不错，我们要从任务栏进程发起攻击是搞不定它的（这不废话吗，要是在进程里都被你干掉了，那还有得混？），既然删进程不行那就试试直接删你的文件，呵呵~~这个大家不想都知道，在江民还在使用过程中要删除其文件那也是没门的。笔者试过了，不管关不关掉江民监控中心（就是关掉KVMonXP.kxp，但还有个kvsrvxp.exe），除了江民的Data文件里的文件（该文件夹下的可能是江民的一些数据和日志，其所有文件都能删，但该Data文件夹不能删）外，其它任何一个删不掉。如图：

e2.jpg (22.33 KB)
2008-1-25 16:34

删不掉？仅仅是因为它还有程序在使用中吗？没这么简单，这是因为江民修改了NtOpenFile函数，通过SSDT挂钩方式来保护其文件不被恶意删除。

e4.jpg (22.92 KB)
2008-1-25 16:34

也删不掉它文件，那就再来服务里试试，改变或停掉它的服务类型，一般的杀软用服务管理器改变其服务类型差不多都能搞定。立马找到服务—>KVSrvXP—>右击属性—>启动类型，改为手动或禁用，晕~~这也拒绝访问，这如果是病毒的话……汗~~

e3.jpg (45.35 KB)
2008-1-25 16:34

为什么改不了江民的服务启动类型呢？打开IceSword，在SSDT里也可找到红色的江民修改的NtSetValueKey函数。

e5.jpg (23.81 KB)
2008-1-25 16:34

       好，到这里我们知道了为什么干不掉假想“病毒”——江民了，它主要是利用SSDT挂钩方式来保护其进程、文件及服务。我们只要恢复被它修改的SSDT挂钩，那我们就可以……嘿嘿，想干嘛就干嘛了。
在IceSword里设置禁止进线程创建，然后找到SSDT项，选中所有被江民修改的项（显示为红色的项）修复，这时会发现不管是在Process Explorer里还是在IceSword里仍然还不能删除它的进程也不能改动它的服务？而且IceSword里刚恢复的那些SSDT挂钩过一会又被还原了，又是一片红……要是这是病毒，这些方法还搞不定的话，那真晕了。后面就想到，在进程这些操作了是不是也重启才能生效呢？于是重启，哈哈~~这个假想“病毒”果然服输给干掉了，不过江民也真够人折腾的，我也服了！


说在最后：
说了上面那么多还没说到点子上，罪过，罪过。
最开始是源于江民安装后服务默认的是自启动，一开机就有个kvsrvxp.exe进程，由于不想看到这家伙，因为平时没用而它又占用资源，但又不想卸载，所以……其实这个假想“病毒”试验，一是要看看江民的自我保护能力，更重要的则是通过这个假想“病毒”试验来映射出如何清除顽固病毒。
顽固病毒，到底顽固在哪里？
首先，顽固病毒的进程、文件（可能隐藏进程及文件）及相关的注册表键值无法删掉（病毒自我保护），其次，杀毒软件反复杀，也杀不掉，清不完（病毒自我复制再生能力强）。
那么是什么原因导致病毒顽固清除不掉？
1、远程线程注入到某个进程（如Explorer.exe 或其他系统进程）；
2、驱动加载，一般权限无法操作；        
3、挂钩SSDT，实时监控并恢复相关的注册表、文件内容；
4、挂钩ShellExecuteHooks，使用Explorer 资源管理器自动加载其病毒本身；
5、挂钩Svchost.exe系统服务中，注册ServiceDLL，或篡改系统正常的ServiceDLL；
6、挂钩WinSock LSP；
7、病毒体随机性，以 *door?.dll 的形式变换；
8、PE可执行文件感染型，如熊猫烧香。
那剩下的就只要根据电脑的实际情况，利用所知所学，用杀毒软件再配以必要的辅助工具，如IceSword、Process Explorer、Wsyscheck 、WinHex……等，我想就算它再狠也还是狠不过你吧！

PS：如果是某顽固病毒的话，我们还可以用终截者实验室出品的一个强力删除工具《xDel》来试试，该工具可以通过修改句柄权限的方法删除文件、发送IRP删除文件或直接破坏文件的头512字节来达到破坏病毒文件的目的。