穿透还原的工作原理分析(逆向工程)--机器狗
本来是在龙组论坛上看到了这个名为机器狗的病毒,但是因为是江民的病毒报告,明显的公式化,所以并没多关注,但是刚刚在鬼仔的blog上看到了相关的分析,就转来了
鬼仔注:文章末尾所添加的机器狗、IGM、写穿还原的工具(已可以被卡巴检测到是病毒)是在无敌小龙那里看到的,我加了个备用地址。
样本脱壳
OD加载样本explorer.exe,。.......................
autorun.inf完全操作手册
夜火:总结的比较全,有用的几乎都写上了,对比以前收集的《病毒的Autorun.inf新写法与应用以及防御》和《彻底杜绝autorun.inf自动运行》对自己写写autorun.inf,或修改,杀毒等颇有帮助
笔者按:鉴于现在网上完全介绍autorun.inf功能的文章不多,笔者在微软官网的一个犄角旮旯找到了一篇autorun.inf的英文使用说明,在翻译和笔者的亲自试验下写出此篇文章。======我是分隔线======一、autorun.inf是windows下操纵光盘行为的一个文件,需要放在光盘根目录下,部分操作对于硬盘也适用。二、autorun.inf是可以被禁止的。方法如下:点击开始->运行,在文本框中输入regedit或者regedt32。依次展开卡巴斯基 Kaspersky KAV/KIS v8.0.0.56(含key)
Kaspersky v8 的特性如下: ·防火墙的性能增加,采用多重隐身模式,还增加了许多新内容; ·杀毒系统采用了DNA基因式查杀手法,能100%扫描出病毒并且清除之; ·主动防御系统增加了宏防护和组策略防护系统,更加提高系统的安全性; ·为了普及正版,Kaspersky8.0取消了授权文件激活的模式,只能靠激活码激活,企业用户会拥有一个可以激活多台计算机的激活码; ·家长控制系统将在Kaspersky8.0中全面体现出来,能达到80%的反黄拦截,强大的不良信息库随时驻守在计算机后台; .........................................
ARP概念及攻击与防护的原理
卡巴斯基Kaspersky Internet Security v8.0.0.45 Alpha 3
雅诗:测试期间,谨慎使用。
夜火:毕竟只是alpha版的,难免有许多bug,谨慎点好啊~
·防火墙的性能增加,采用多重隐身模式,还增加了许多新内容; ·杀毒系统采用了DNA基因式查杀手法,能100%扫描出病毒并且清除之; ·主动防御系统增加了宏防护和组策略防护系统,更加提高系统的安全性;
由“U盘寄生虫变种gr被截获”想到的一些杀软厂商的问题
病毒网络“卫道” 专门删除色情视频
高级恶意软件技术新挑战——突破主动防御
文章作者:xyzreg
作者网站:http://www.xyzreg.net
信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)
这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载
议题介绍:
主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示用户,使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理,并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。
下载地址:
xcon2007_xyzreg.rar
彻底杜绝autorun.inf自动运行
关于“IGM.EXE”病毒紧急公告及解决方案[zz]
Windows自启动方式完全总结[zz]
在职业欠钱&zj1244那看到的,转来做收藏之用,以后碰到了难缠的病毒木马等可以查查看~
一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:Documents and SettingsOwner「开始」菜单程序启动
二. 第二自启动项目: