瑞星卡卡安全论坛

讲师：newcenturymoon

讲义地址：http://bbs.ikaka.com/showtopic-8648180.aspx
                 
本次课程答疑时间：2010年8月17日 20:00-22:00

答疑形式：提问者看过讲义后可先发表问题咨询，讲师在答疑时间内会将答复直接回复在提问者的问题所在楼层内。

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

前排占座

谢谢老师百忙之中抽出时间为我们讲课。
这节课的内容比较全面系统，真的学到了很多。有一个小问题，
具体病毒式怎么命名的啊？我看了很多文章，都说得不是很明白。
比如说 trojan.dl.win32.undef.sma 这个病毒的每一部分都代表什么意思啊？

留个爪印~~看完后，感觉有些抽象。。下面是我的几个疑问？
1：从ring3到ring0的过程。ROOTKIT通过‘伪装’达到与内核一个的级别或者直接进入内核空间。那么两种结果的实现方法是否一样通过ssdthook来实现的。有没有其它路径呢？
2：原来SREng.log只是在RING3上作用扫描病毒，那我们平时要断定自己电脑是否有毒，就得进一步通过底层工具来扫描确认了。
下面是一求助贴：内容如下：【恶意代码杀不掉，恶意插件视而不见，桌面图标改了也差不出来，木马也杀不出来。。。那我买的正版瑞星带卡卡都是干什么吃的。我时常要借助第三方软件杀毒。。。我把百思不的其解。我天天升级，天天杀。机器还是中毒，不得以用360帮忙，。。】我想知道这种情况出现的原因。因为瑞星程序是植入系统内核中，难道病毒侵入到内核啦？这种情况下真的只能求助于第三方杀软嘛？
3：瑞星处理病毒的方式是根据什么来判断的？是否杀软的处理方式都是根据差不多的规则呢？
4：【额外的问题】是以前出现的一个问题。为什么我装了瑞星杀软，就用不了冰刃呢？一安装冰刃就直接系统蓝屏？是我下的冰刃有病毒嘛？
先提问这些啦，继续读啦！

关于木马的查杀倒是很简单，以灰鸽子为代表的木马都是以添加服务项、启动项、创建进程、远程注入、等方式来实现木马的功能，手动查杀起来比较简单。
我感觉比较棘手的是一些蠕虫和感染性病毒的清理比较困难，以前我中过一次威金，是去年的时候帮同学看电脑，他的机子中招了，我用U盘拷杀软到他的机子，原以为杀软会拦截U盘自动播放，但是没有拦截到，导致中招，后来全盘感染，exe文件全部被删除，损失重大，当我们面对这样的蠕虫的时候只能依靠杀软来清除？有没有好的办法来补救？
还有就是盗号木马程序，我以前是没有研究过盗号木马，前两天找到一个盗号木马，分析了下，如果是免杀的木马的话，杀软完全没反应，用户在不知情的情况下号码就被盗了，而且没有灰鸽子等木马的动作这么大，应该如何手动查杀。
类似附件中的程序。

 附件: 您所在的用户组无法下载或查看附件
还有就是在实习的时候遇到的修改MBR类的病毒比较棘手，还有看他的日志，系统进程下面加载了很多dll文件，这个是如何实现的？http://bbs.ikaka.com/showtopic-8744757-1.aspx

当然手动杀毒还有很多问题要问，因为涉及的东西比较多还有自己知识有限，暂时也只能想到这么多。就提问到这里吧。嘿嘿

1、老师，能不能说下病毒用哪种方式感染PE文件能够被清除，而哪种方式不能被清除，清除病毒地方法
  有哪几种？
2、使用WriteProcessMemory这个方法执行的病毒就是所谓的无dll注入进程吗？是的话应该怎么预防呢？不是的话网上那些所谓的无dll注入进程是怎么实现呢？
3、对于使用WriteProcessMemory这个方法执行的病毒如果要手工杀毒的话是不是只有用冰刃画着xurtr这类的工具手工查毒，有没有什么自动化杀毒的方法或工具？
4、从sreng日志里能不能看出使用WriteProcessMemory这个方法执行的病毒一些迹象呢？不能的话有什么方法判断吗（对论坛里的求助者）？


谢谢老师回答。

先看讲义

先占座看讲义。。

我也来了！！

位置不错，学习:kaka12:

我今天晚上先认真看看:kaka12:

newcenturymoon老师，像免杀木马等那些病毒是通过反汇编修改特征码(例如替代法，排序法。。。)这样产生的，但是杀毒软件不能够识别的病毒通过手工怎么解决呢？

来晚了

1.感觉ARP欺骗非常容易，那么本机的ARP缓存时间一般可以保留多久呢。如果ARP缓存时间过长，而对方IP是会经常变化的，那不是反而会经常造成访问不通了？
2.ROOTKIT病毒这么可怕，那么要怎么样才能有效地查杀呢。因为它在ring0层，应该大多数软件都无法发现它的存在吧，那么当我们遇到它的时候要怎么办呢？

请问老师 一般的杀毒软件是否可以对Rootkit进行查杀？还是必须使用冰刃等工具？

老师今天的讲义有点抽象，不是很理解，想问问有没有实验让我们做做，关于dll的两种注入方式。

trojan.dl.win32.undef.sma
trojan 木马
dl 下载器
undef 家族名
sma 变种号

1.只要病毒没有把源文件的信息弄丢失 也就是覆盖了源文件的内容  理论上就可以修复
修复的方法通俗意义上讲就是按照病毒的感染方法的 “反”方法
2.如果使用WriteProcessMemory 向目标进程写入一段可执行代码 这就是无动态库注入 一般就是向目标进程启动一个远程线程的注入方式
一般注入动态库 也需要先调用WriteProcessMemory函数向目标进程写入动态库的名称

3.对于2中的前者 一般没有手工工具能准确判断出来

4.使用sreng对于 2中的前者一般也无法准确判断
3.

这个需要通过sreng日志 冰刃等工具 依据自身经验判断了

都不知道今天有课，学习

老师你好！！
        平时我们操作一些系统文件的时候，都会因为权限的原因而不能操作。那为什么病毒这么容易就攻破这些权限呢，是否可以在电脑权限设置这方面来提高自己电脑的安全性呢？

老师，您所说的“CreateRemoteThread”是哪的函数啊？“SetWindowsHookEx”函数都是那的？在哪可以编写？

老师，如果病毒限制我们启动杀软，比如瑞星，360之类的全都打不开，我们应该如何处理？先手动杀毒，还是其他？我们把那个病毒的进程结束掉，可以启动起来杀软吗？

现在也在流行手机病毒，手机中毒了要查杀毕竟没有电脑这么方便，请问老师应该如何去防范手机病毒呢？
目前针对计算机病毒的免疫方法又有哪些呢？
还有文件型病毒有后缀为.com、.exe病毒，怎样知道病毒是不是引导型病毒和pe病毒呢？
老师在前面介绍了很多流行病毒的概况，那么如果想知道病毒的编码，是不是要用一些相关软件，就像网码解密有一些软件一样；如果要的话，老师能不能推荐一些解病毒的软件。
谢谢老师回答！

如果Rootkit病毒比杀毒软件更接近于底层 那么杀毒软件就无法查杀

这是Win32 下面的API函数 具体可以查询MSDN

一般病毒限制杀毒软件启动 就是通过映像劫持 或者安装驱动在底层限制杀毒软件创建进程
可以使用工具查找映像劫持项目 或者异常的驱动

老师你好！
看了你的讲义，才知道病毒原来的手段是这么多，我想问一下，那些厉害的病毒可以同时具有多种入侵方式吗？

手机病毒这块不太了解
至于电脑病毒的免疫 只有靠自身的防范意识 比如不下载不明文件 不访问不明网站 注意可移动存储介质的查杀毒等
另外 根据扩展名比如 .com、.exe 是无法判断出来是什么病毒的 更不能都叫这类病毒是文件型病毒
PE病毒 的含义就是该病毒是PE文件 至于PE文件是什么东西 建议搜索下PE文件结构
引导型病毒 是改写MBR（引导区）的病毒
分析病毒可以用OD 或者IDA

可以
有的病毒可以通过U盘 感染文件 ARP攻击 等等共同入侵
比如磁碟机等病毒

每次我们执行一个可执行文件的时候，都会加载很多DLL，有些病毒也是利用这个，在DLL上动手脚，当我们运行对应的执行文件的时候，就会加载带病毒的DLL而中毒，那我们可以在DLL上加上一些修改的权限来阻止这类的病毒吗？