一种绕过病毒"逻辑锁"的策略
2015-05-18 10:40
253 查看
张良计
一些批处理病毒一旦运行起来就会篡改扩展名关联,几乎所有的常用二进制加载扩展名都被控制.杀软和工具无法运行也就没办法将之解决.病毒正是通过一套较为完备的”逻辑锁”将用户的电脑控制在自己手中作为一名公共计算机维护人员,我多次与这种病毒遭遇,之前我遇到它们会尝试着一个或者现场***一个PE引导U盘,然后运行一些PE下的杀毒软件,但效果通常不佳.特别是当一个远程用户发来求助的时候,我通常会让对方确认C盘下是否有非常重要的资料特别是桌面.如你所知,桌面(Desktop)在很多普通用户眼中并不认为重载系统会丢失它.待用户确认他们没有重要文件在C盘和桌面下然后还原或者系统.
你要知道重载或者还原系统其实是一种极端的处理方式,它通常用来针对一些非常强大的病毒.为什么在这里我们必须使用它呢?究其原因在于批处理病毒完善的”逻辑锁”,请谅解我用”逻辑锁”来称呼这种机制,这个词在Dos时代被用来描述一种对Dos读磁盘机制BUG的利用.关于批处理病毒的逻辑锁你可以参考这里浅谈Win32程序逻辑锁.
它们拦截了所有我当时所知的能够“反败为胜”的扩展名,以至于我不能以当时所知的方法运行任何工具,最终只能为该机器重装系统。它劫持了扩展名,这种劫持虽然简单但是行之有效,它将能复原扩展名的方式在逻辑上进行了封堵。这就是一种“逻辑锁”,即使你有强兵利器,你不能将其运转,对于病毒而言同样是废铜烂铁。
过墙梯
在不断的发展中批处理病毒逐渐封堵了exe,com,src等几乎所有潜在威胁后缀名.在这里我们通过vbs内嵌工具搞定它,通过将工具的二进制代码内嵌到vbs中,绕过扩展名加载机制的阻拦.你需要将你***的vbs文件放在一个干净U盘中然后在新的计算机运行它,它能帮助你把内嵌的安全工具运行起来.当然你需要先关闭你计算机上那些已经无法正常工作的杀软,它们可能把我们内嵌文件当成病毒干掉.
这个灵感来源于一个名叫:fuck girlMagazines +18 (3).vbs的脚本病毒,它在大学的机房被发现.这是该病毒样本
相关文章推荐
- "应用程序试图执行安全策略不允许的操作"错误的解决办法
- 组策略提示"管理单元初始化失败"解决方法
- 使用Putty登录Ubuntu后得到"Server refused our key"错误的一种解决方法
- 一枚Android "短信小偷" 病毒的分析
- "新 CIH" 病毒的部分反汇编分析
- 中了"死牛"病毒怎么办呀!
- "红色病毒"问题
- [HDU 2065] "红色病毒"问题 数论
- windows下加密文件夹的时候提示"为此系统配置的恢复策略包含无效恢复证书"的解决方法
- "/bin 不在PATH 环境变量中,故无法找到该命令"的一种解决方法
- 浅析"新时代"下的病毒隐藏技术
- 今天才知道原来还有一种东西叫"设计模式"
- hdu 2065 "红色病毒"问题
- android: 增加 addDataScheme("file") 才能收到SD卡插拔事件的原因分析 -- 浅析android事件过滤策略
- 通过addDataScheme("file") 浅析android事件过滤策略
- jsp <input type="file"> 清空value值的一种方式
- 项目访问是直接页面 <jsp:forward page="i/1/1"/>跳转前加操作逻辑
- "莫国防"病毒(win32.mgf)源代码
- 增加 addDataScheme("file") 才能收到SD卡插拔事件的原因分析 -- 浅析android事件过滤策略
- 增加 addDataScheme("file") 才能收到SD卡插拔事件的原因分析 -- 浅析android事件过滤策略