刺破杀毒软件主动防御——BT木马防御方案

病人：我使用的杀毒软件卡巴斯基一直保持更新了的，可最近我的邮箱账号还是被盗了，为什么会这样？
医生：这个其实也是很正常的，毕竟没有一款杀毒软件是万能的，能够阻止目前所有的恶意程序。你的电子信箱被盗很可能是被那种能突破主动防御木马。这是一类新型木马，其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。
利用SSDT 绕过主动防御
病人：它们是如何突破主动防御的呢？
医生：最早黑客通过将系统日期更改到较早前的日期，这样杀毒软件就会自动关闭所有监控功能，当然主动防御功能也就自动失去了防控能力。现在已经有很多木马声称，不需要调整系统时间就可以成功突破主动防御功能了，比如最新的ByShell 木马。
Windows 系统中有一个SSDT 表，SSDT 的全称是System Services Descriptor Table ，中文名称为“ 系统服务描述符表” 。这个表就是一个把ring3 的Win32 API 和ring0 的内核API 联系起来的角色。这样当程序的处理流程进入ring0 之后，系统会根据服务号（eax ）在SSDT 表中查找对应的表项，这个找到的表项就是系统服务函数的真正地址。之后系统会根据这个地址调用相应的系统服务函数并把结果返回给ring3 。
而杀毒软件的主动防御功能就是通过修改SSDT 表，让恶意程序不能按照正常的情况来运行，这样就可以轻易的对恶意程序进行拦截。如果你安装了包括主动防御功能的杀毒软件，可以利用冰刃的SSDT 功能来查看，就会发现有红色标注的被修改的SSDT 表信息。而ByShell 木马通过对当前系统的SSDT 表进行搜索（小心，搜索SSDT 表和特征码完全是风马牛不相及的事），接着再搜索系统原来的使用的SSDT 表，然后用以前的覆盖现在的SSDT 表。木马程序则又可以按照正常的顺序来执行，就这样最终让主动防御功能彻底的失效呢。
主动防御类木马巧清除

病人：我明白了这类木马的原理了，但还是不知道怎么清除？医生：清除方法不难，下面我们以清除典型的ByShell 木马为例讲解具体操作。
第一步：首先运行安全工具WSysCheck ，点击“ 进程管理” 标签可以看到多个粉红色的进程，这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE 浏览器进程，发现其中包括了一个可疑的木马模块pcpw.dll （图1 ）。


图1
第二步：接着点击程序的“ 服务管理” 标签，同样可以看到多个红色的系统服务，这说明这些服务都不是系统自身的服务。经过查看发现一个名为pcpw 的服务较为可疑，因为它的名称和木马模块的名称相同（图2 ）。


图2
第三步：点击程序的“ 文件管理” 标签后，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件pcpw.dll ，与此同时还发现一个和模块文件同名的可执行文件（图3 ）。看来这个木马主要还是由这两个文件组成的。


图3
第四步：现在我们就开始进行木马的清除工作。在“ 进程管理” 中首先找到粉红色IE 浏览器进程，选中它后通过鼠标右键中的“ 结束这个进程” 命令清除它。接着点击“ 服务管理” 标签，选择名为pcpw 的服务后，点击右键菜单中的“ 删除选中的服务” 命令来删除。
再选择程序中的“ 文件管理” 标签，对木马文件进行最后的清除操作。在系统的system32 目录找到pcpw.dll 和pcpw.exe 文件后，点击右键菜单中的“ 直接删除文件” 命令，完成对木马的最后一击。现在重新启动系统再进行查看，确认木马被清除干净了。
总结
以前的木马种植以前，黑客最重要的工作就是对其进行免杀操作，这样就可以躲过杀毒软件的特征码检测。黑客现在除了进行基本的免杀外，还要想如何才能突破主动防御的功能。不过已经有木马可以突破主动防御，以后我想这类木马也会越来越多，因此大家一定要加强自己的安全意识。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-02-27 18:26:54,点击:65824