感染
二、驱动化
接触到带有驱动的病毒后,第一感觉就是它的顽固,无论是流氓程序还是后门间谍,一旦它的驱动驻留到系统内核后,除了重启延时删除,直接在内存中卸载几乎是不可能的,因为它门门操作系统的关系实在太密切了,所以只能够在没有加载的将这类顽固病毒清除,一旦清除机制没有病毒驱动加载的时间早,那么这个驱动就可以尽情发挥了,锁定文件、锁定进程、锁定注册表……以及各式各样的Rootkit技术被发挥淋漓尽致,这不过是病毒顽固化的一种,还称不上驱动化,因为这个驱动除了为病毒主体作辅助之外没有体现出其他的性质。真正的驱动化病毒是完全不依赖三环中的程序但能够体现出病毒性质的设备驱动程序文件,当然这种病毒还在过渡中,不久的将来可能会出现,但半驱动化病毒已经浮现,runtime2就是一个很好的例子,由驱动直接吐出exe文件,exe在去吐驱动、驱动在互守、开IE相辅相成配合完成病毒后门工作,这种病毒清除起来已经很不容易了,至少我所知IceSword、Rootkit Unhooker、Wsyscheak全部挂彩了,其他的估计也类似,不做评论。半驱动病毒威力如此可观,全驱动病毒该如何面对?
三、感染
感染文件是病毒寄生自身的一种很好的方式,有着隐蔽、攻击主动的多种“好处”,但如果被发现也就面临着死亡,所以这里不讨论捆绑式感染和节感染等感染方式,而把重点放在被感染的文件上。倘若被感染的是一个普通的PE文件,我们可以用杀软清除掉,感染强度高的大不了直接删了,那么被感染的是重要的系统文件呢?见过几例大致写一点:
1、机器狗驱动写扇区,绕过了SFC,因为Winlogon没有追上去userinit被感染了,删除后重启系统瘫痪。
2、通过某种方法绕过SFC替换修改过的services,SCM启动后将病毒dll作为自身模块加载,那时杀软服务还没有启动,如何清除?
3、感染系统某驱动,给驱动追加病毒驱动路径以及初始化代码,系统驱动通过ZwSetSystemInformation加载病毒驱动,病毒驱动初始化病毒主程序,没有启动项如何手杀?
4、直接感染系统执行体,硬方式修改系统服务中断地址到病毒驱动,病毒被杀,系统崩溃。
以上的几个例子已经充分的体现出了病毒技术的内核过渡,重在防御,不在清除(删除更是弱智的行为),因为有了防御的把握才可以使得清除更容易一些。
网友评论