Código fuente de la exposición
Soy un entusiasta de los piratas informáticos y competente en la detección sin virus (es decir, cómo hacer que los virus y troyanos escapen del software antivirus). Para el software antivirus, primero recomiendo Kaspersky.
Motivo: ¡Las capacidades de escaneo de archivos y de memoria de Kaba se encuentran entre las mejores en la categoría postal! Además de utilizar las firmas utilizadas por el software antivirus general, también utiliza tecnología de máquina virtual y sus capacidades de escaneo y eliminación de archivos no tienen paralelo entre software similar.
2. ¿Qué son los virus informáticos y los caballos de Troya?
Un virus informático es un programa, un código ejecutable. Es un programa de aplicación como nuestros reproductores de uso común, el software de chat QQ y otros programas. La diferencia entre los virus informáticos y las aplicaciones comunes es que generalmente son contagiosos, encubiertos y destructivos. Los virus informáticos son un conjunto de programas o instrucciones que pueden acechar en los medios (o programas) de almacenamiento de la computadora de cierta manera, se activan cuando se cumplen ciertas condiciones y pueden destruir los recursos de la computadora.
El Caballo de Troya (en lo sucesivo, Caballo de Troya) se llama "Trojan House" en inglés y su nombre es rima @吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆吆y solo restaurar? ¿Qué pasó con el carbón congelado? ¿Afortunado? ¿Qué le pasa a la vaina de la cabeza de Uzumaki-in? Cliente) y Servidor (servidor), el servidor está ubicado en una computadora remota y el cliente es ejecutado por un hacker en su propio host. El cliente puede enviar varias instrucciones al servidor y controlar la computadora del servidor.
Los virus informáticos y los caballos de Troya son aplicaciones. Las principales características de los virus son el contagio y la destructividad. La característica principal de Trojan Horse es el control remoto. Los caballos de Troya son potencialmente más peligrosos que los virus.
3. ¿Qué es una vulnerabilidad informática?
Como su nombre indica, las vulnerabilidades informáticas se refieren a defectos en el software del ordenador durante la programación, dejando peligros ocultos. Los piratas informáticos pueden aprovechar las vulnerabilidades de la computadora para tomar el control total de su computadora. El propio sistema operativo de Microsoft tiene una gran cantidad de vulnerabilidades (los principales sistemas operativos de Microsoft incluyen: MS-DOS, Windows 98/Me, Windows NT, Windows 2000, Windows XP, Windows 2003, etc. Las vulnerabilidades más conocidas incluyen el desbordamiento MS05039). Vulnerabilidad, el motor de renderizado de gráficos MS0601 ayuda a controlar las vulnerabilidades de ejecución de código entre dominios, etc. Los piratas informáticos aprovechan estas vulnerabilidades.
En cuarto lugar, se explica en detalle el proceso de funcionamiento de los troyanos populares.
1. Tomemos como ejemplo el troyano QQ Thief "Ala QQ Thief":
Ala QQ Thief es muy popular en Internet. Después de la configuración inicial del programa troyano, puede generar automáticamente un programa troyano. Si desafortunadamente su computadora ejecuta este programa, su QQ se cerrará a la fuerza dentro del tiempo especificado. Cuando vuelva a iniciar sesión en QQ, este programa troyano enviará silenciosamente su número y contraseña al programa receptor designado por el fabricante del troyano, y su número QQ ya no le pertenecerá.
2. Troyano de control remoto, tome el desalentador "Gray Pigeon" como ejemplo:
Gray Pigeon es un conocido software de control remoto, que consta de un servidor y un control. Es un programa troyano de tipo puerto de rebote. Cuando, lamentablemente, su computadora es atacada por un servidor Gray Pigeon, el servidor enviará automáticamente una solicitud de conexión a la dirección establecida por el fabricante del caballo de Troya. Cuando el servidor establece una conexión de red con el cliente, el troyano controlará completamente su computadora, incluido el robo de contraseñas (como robar su cuenta de Internet de banda ancha para consumo en línea), monitoreo de pantalla (el troyano puede ver su escritorio de forma remota, sabe exactamente qué lo que está haciendo), descargar datos (él puede robar todos sus datos), formatear el disco duro (haciendo que todos sus datos desaparezcan), abrir videos de forma remota (si instala una cámara, la otra parte puede abrir su video silenciosamente sin ser notado, y el verdadero tú aparecerá frente al hacker).
verbo (abreviatura de verbo) la ruta de transmisión de troyanos y virus
A través de la introducción anterior, creo que todos tienen una comprensión sensorial de los peligros de los troyanos y los virus. Te preguntarás: ¿Cómo entraron troyanos y virus a mi computadora? Permítanme presentarles brevemente varios medios principales de propagación de troyanos y virus.
1. Se propagan a través de medios de almacenamiento de hardware
Como se mencionó anteriormente, los virus informáticos tienen las características de replicación e infección automática, por lo que si se trata de una unidad flash USB, MP3, tarjeta SD, disquete, disco duro móvil Si el dispositivo de almacenamiento móvil está conectado a una computadora infectada con virus, puede estar infectado. Si está conectado a una computadora libre de virus, puede estar infectado con el virus.
2. Disfrute de la comunicación a través de LAN* * *
Como se mencionó anteriormente, el uso compartido de VPN IPC de Microsoft tiene vulnerabilidades informáticas y muchos virus pueden compartirlo automáticamente a través de la VPN predeterminada de IPC. en la red de área local. (Usamos IPC para realizar * * * impresoras compartidas y * * * archivos compartidos dentro de la LAN).
3. Propagar a través del software de aplicación incluido
Este método es muy inteligente. El creador del caballo de Troya vincula el programa del caballo de Troya a una aplicación de software de uso común, como Photoshop, QQ, Realplayer, Word, etc. y luego coloque en línea este software de aplicación incluido para que los usuarios lo descarguen. Cuando descarga e instala este software, el caballo de Troya vinculado también se instala en su propia computadora sin que usted se dé cuenta.
4. Propagación a través de archivos adjuntos de correo electrónico
Los creadores de troyanos pueden enviarle directamente el programa troyano como un archivo adjunto, utilizando sus conocimientos de ingeniería social para engañarlo para que abra el archivo adjunto. Por ejemplo, tu compañero de clase te enviará una nueva foto. Si crees eso, puedes estar atrapado. Las personas con un poco de conocimiento sobre la seguridad de la red pueden evitar el envío directo de troyanos, porque dado que los troyanos son aplicaciones, su sufijo debe ser. EXE. Se utilizan archivos adjuntos más avanzados para enviar troyanos de manera muy inteligente, como cambiar el ícono del programa troyano a un ícono de archivo de imagen o un ícono de documento de Word para confundir los ojos. También puede usar macros de Word para escribir directamente el programa troyano en Word. documento, lo que lo hace más difícil de detectar.
5. Propagación a través de troyanos de red
¿Qué es un troyano de red? Respuesta: Un troyano web es una página web con funciones especiales creada a partir de vulnerabilidades informáticas. Cuando abre esta página web y su computadora tiene una vulnerabilidad en esta página web, su computadora descargará automáticamente el programa troyano desde la URL especificada a su computadora y lo ejecutará automáticamente. Todo esto se hace en un estado oculto. En su caso, acaba de abrir una página web y no hizo nada más, pero su computadora ha sido infectada. En comparación con otros métodos de comunicación, ¡este método de comunicación tiene la mayor eficiencia de comunicación! Aproximadamente el 90% de los programas troyanos se propagan a través de troyanos web. Puedes decir que nunca has estado en ningún sitio web ilegal, ¿cómo podrías envenenarte? De hecho, muchos sitios web tienen actualmente varias vulnerabilidades y los piratas informáticos pueden utilizar estas vulnerabilidades para invadir el sitio web. Sitios web famosos, grandes y conocidos, como NetEase, Sohu y Sina, han sido pirateados y sus páginas de inicio han sido manipuladas. Si un pirata informático irrumpe en un sitio web y agrega un código que llama a un caballo de Troya a la página de inicio de esos sitios web, es posible que un caballo de Troya lo ataque cuando navega por el sitio web.
6. Difusión de troyanos a través de páginas web de correo electrónico
Como se mencionó anteriormente, ¿qué es un troyano web? Como sugiere el nombre, los troyanos web son troyanos web que se propagan a través del correo electrónico. Al editar el código fuente del correo electrónico, el autor del troyano puede enviarle el correo electrónico en formato web. Si el código que llama al troyano web se agrega al código fuente, este formato de correo electrónico se denomina troyano web. Este correo electrónico no tiene archivos adjuntos, por lo que siempre que abra el correo electrónico, no será necesario realizar ninguna otra acción y ¡usted ganará! En comparación con los troyanos web, su ventaja es que puede enviarse a buzones de correo designados para ataques dirigidos.
7. Los archivos audiovisuales y las páginas web se propagan a través de caballos de Troya.
No sé si has descargado tu película favorita, pero de repente apareció una página web mientras la mirabas. . Esta página puede ser un caballo de Troya (o puede ser simplemente un anuncio). Se pueden agregar eventos a un archivo de video, lo que le permite abrir una página web cuando se reproduce a una hora específica. Si la página web que abres es un caballo de Troya, tu ordenador estará infectado a partir de ahora. Este tipo de caballo de Troya se encuentra a menudo en descargas de películas o vídeos BT proporcionados por algunos sitios web pequeños e irregulares.
6. Cómo funcionan el software antivirus y los firewalls
Una base importante para que el software antivirus detecte y elimine virus es definir firmas en su propia base de datos de virus.
El llamado código de firma es un segmento de código exclusivo de un programa, y un código de firma de virus se refiere a un código exclusivo de un virus. Cuando el software antivirus ejecuta el antivirus, comprobará el código interno de los archivos uno por uno. Una vez que descubre que el archivo contiene la firma de un virus, se considera un virus, independientemente de si el archivo es un virus o no. El software antivirus avanzado suele tener dos definiciones de firma para el mismo virus: firma de archivo y firma de memoria. Los programas se ejecutan en la memoria y el código en la memoria es diferente del código en el archivo mismo. Algunos archivos no tendrán virus si son revisados directamente por un software antivirus, pero una vez que se ejecutan, se encontrará que contienen virus. Esta es la razón.
"¿Un hacker entenderá mi mente?" es lo correcto. Los hackers son como moscas que se escabullen por las rendijas de un huevo. Cuando ven un rayo de luz en una vulnerabilidad del sistema, ¡están listos para actuar! Bien, ¿cómo proteges tu red? Los expertos en informática pueden sugerirle que instale un firewall en su red de inmediato, por lo que aquí viene la primera pregunta: ¿Qué es un firewall? Un firewall es un tapón de filtro (hasta ahora lo entiendes correctamente). Puedes dejar pasar lo que te guste por este tapón y filtrar el resto. En el mundo online, lo que filtran los cortafuegos son los paquetes de comunicación que contienen datos de comunicación. Los cortafuegos del mundo dirán al menos dos palabras: sí o no. La mayoría de los firewalls utilizan una variedad de tecnologías y estándares. Estos firewalls vienen en muchas formas: algunos reemplazan la pila de protocolos TCP/IP ya equipada en el sistema; otros construyen sus propios módulos de software sobre la pila de protocolos existente; otros son simplemente un sistema operativo independiente. También existen firewalls orientados a aplicaciones que solo brindan protección para tipos específicos de conexiones de red, como los protocolos SMTP o HTTP. También existen algunos productos de firewall basados en hardware que en realidad deberían clasificarse como enrutadores de seguridad. Todos estos productos pueden denominarse firewalls porque todos funcionan de la misma manera: analizan los paquetes que entran y salen del firewall y deciden si los dejan pasar o los descartan. Vale la pena mencionar que siempre que desee acceder a Internet, su firewall definitivamente dirá "sí" a algunos programas y puertos.
7. El Tao tiene un pie de alto y el diablo tiene diez pies de alto. ¿Cómo escapan los virus troyanos a la interceptación y detección de cortafuegos y software antivirus?
Como se mencionó anteriormente, una base importante para que el software antivirus detecte y elimine virus es la firma. Por lo tanto, si un programa no contiene todas las firmas definidas en la base de datos de virus, el software antivirus. ¡Naturalmente, no considerará que el programa sea un virus! Los piratas informáticos suelen crear un caballo de Troya y un programa de virus, y luego utilizan varios programas antivirus para eliminarlos. Los distintos programas antivirus obtienen la definición del código de función del programa y luego modifican el código de función y cambian el código del mismo. código de característica a otro código de programa para lograr la misma función. Después de rondas de ataques y modificaciones por parte de la mayoría del software antivirus, ¡este virus puede escapar con éxito a la detección por parte de varios software antivirus! Como se mencionó anteriormente, siempre que desee acceder a Internet, el firewall liberará algunos programas (como el navegador IE) y puertos, por lo que el virus troyano puede introducirse en el proceso del sistema insertando subprocesos en el proceso del sistema y los troyanos. Por lo general, el puerto 80 se usa para conexiones remotas (el puerto predeterminado del servicio WEB), por lo que siempre que su computadora pueda acceder a Internet, el firewall también liberará el troyano. Para los piratas informáticos, el software antivirus y los firewalls comunes (utilizados por usuarios comunes) no son más que frívolos y no tienen ningún efecto en los usuarios. Entonces, cuando utilice software antivirus para escanear todos sus discos duros y no encuentre virus, no se confíe. Es muy probable que haya sido infectado con un virus antivirus, por lo que incluso si está infectado, su software antivirus hará la vista gorda. -
8. Tecnología de ocultación del caballo de Troya, ¿dónde se esconde el programa del caballo de Troya?
El caballo de Troya es muy misterioso de todos modos, pero en última instancia sigue siendo un programa bajo la plataforma Win32. Las aplicaciones Win32 suelen tener interfaces de programación de aplicaciones. Por ejemplo, la "calculadora" que viene con el sistema tiene una interfaz de aplicación que proporciona varios botones numéricos. Aunque los troyanos son aplicaciones Win32, generalmente no contienen formularios ni formularios ocultos. El atributo de archivo del troyano está configurado en "ocultar", que es el método de ocultación más básico. Los usuarios con un poco de experiencia pueden encontrar troyanos fácilmente abriendo el Administrador de tareas y marcando "Mostrar todos los archivos" en las opciones de carpeta, para que aparezca la tecnología de "ocultación de procesos" que se presenta a continuación.
Tecnología de ocultación de procesos de primera generación: puerta trasera de Windows 98
En Windows 98, Microsoft proporcionó un método para registrar un proceso como un proceso de servicio.
Aunque Microsoft no ha proporcionado públicamente los detalles técnicos de implementación de este método (porque este mecanismo no se proporciona en versiones posteriores de Windows), algunos expertos han descubierto el secreto de esta tecnología llamada RegisterServiceProcess. Siempre que se utilice este método, el proceso de cualquier programa puede registrarse como proceso de servicio. Sin embargo, el proceso de servicio no se muestra en el Administrador de tareas de Windows 98, por lo que los caballos de Troya lo explotan.
Tecnología de ocultación de procesos de segunda generación: inserción de procesos
Un proceso puede contener varios subprocesos, lo que puede ayudar a la aplicación a hacer varias cosas al mismo tiempo (por ejemplo, un subproceso escribe un archivo al disco, otro hilo recibe las operaciones clave del usuario y responde rápidamente sin interferir entre sí). Después de que se ejecuta el programa, lo primero que debe hacer el sistema es establecer un subproceso predeterminado para el proceso del programa y luego el programa puede agregar o eliminar subprocesos relacionados según sea necesario.
Una vez que el troyano DLL se inserta en el espacio de direcciones de otro proceso, ese proceso puede hacer lo que quiera. Aquí se explicará brevemente el troyano que roba la contraseña de QQ.
Generalmente, una aplicación recibe operaciones de teclado y mouse, y otras aplicaciones no tienen derecho a "interferir". Pero, ¿cómo pudo el troyano ladrón de cuentas registrar en secreto mi contraseña? Trojan primero inserta 1 archivo DLL en el proceso QQ y se convierte en un hilo en el proceso QQ, por lo que el troyano DLL pasa a formar parte de QQ. Luego, cuando el usuario ingresa la contraseña, debido a que el troyano DLL ha ingresado al proceso QQ en este momento, también puede recibir la contraseña ingresada por el usuario en QQ. ¡Es realmente “difícil protegerse contra los ladrones de casas”!
No creas lo que ves: el aterrador proceso se "evapora"
Estrictamente hablando, esta debería considerarse como la segunda generación de tecnología de ocultación de procesos, pero es mucho más aterradora que la anterior. tecnología anterior. ¡Esta técnica permite que el troyano desaparezca sin ser insertado en otros procesos!
Utiliza tecnología Hook para monitorear los procesos de todos los programas en el sistema y detectar llamadas API relacionadas. La razón por la que el administrador de tareas puede mostrar todos los procesos en el sistema es porque llama a funciones API relacionadas con el proceso, como EnumProcesses. La información del proceso se incluye en el resultado de retorno de la función, que es recibido y procesado por el programa que emitió el. Solicitud de llamada (como tarea. El administrador muestra los resultados en la lista de procesos después de recibirlos).
Pero el troyano engancha la función API de antemano, por lo que cuando el administrador de tareas (u otro programa que llama a la función del proceso de enumeración) llama a la función EnumProcesses (en este momento la función API desempeña el papel de un " insider") Cuando se notifica al troyano, antes de que la función devuelva el resultado (enumerando todos los procesos) al programa, borra su propia información de proceso del resultado devuelto. Al igual que cuando miras un programa de televisión, alguien, sin saberlo, conectó el televisor al DVD y te engañaron antes de que te dieras cuenta.
Por lo tanto, ya sea que se trate del "Administrador de tareas" o de un software antivirus, detectar el progreso de este troyano es inútil. Actualmente, no existen medios muy eficaces para acabar con este troyano. El software antivirus detecta el archivo troyano sólo antes de ejecutarse y evita que se ejecute el virus. También existía una tecnología en ese momento en la que el programa del caballo de Troya eliminaba su propia información de proceso de la "lista vinculada de procesos" utilizada por el sistema Windows para registrar la información del proceso, de modo que la herramienta de gestión de procesos no podía obtener la información del proceso del caballo de Troya de la "lista vinculada de procesos". Sin embargo, debido a la falta de versatilidad de la plataforma y algunos problemas en el funcionamiento del programa, no se ha utilizado ampliamente.
¿Qué es un anzuelo? Hook es un mecanismo del sistema proporcionado por Windows para reemplazar la "interrupción" en DOS. La traducción al chino es "gancho" o "gancho". Después de conectar un evento específico del sistema (incluido el evento de llamada de la función API específica en el artículo anterior), una vez que ocurre el evento enganchado, el programa que enganchó el evento (como un caballo de Troya) recibirá una notificación del sistema. El programa puede entonces responder al evento inmediatamente (el caballo de Troya modificará el resultado antes de que regrese la función).
Traceless: ocultación tridimensional completa
Utilizando el proceso de ocultación de ganchos que acabamos de presentar, Trojan puede ocultar archivos fácilmente. Solo necesita aplicar la tecnología de gancho a las funciones API relacionadas. al archivo ni el Explorador ni el software antivirus pueden descubrir dónde está el troyano. Aún más sorprendente es que los troyanos (como Gray Dove) ya utilizan esta técnica para ocultar archivos y procesos. La mejor manera de prevenir este troyano es bloquearlo antes de que se ejecute con un software antivirus.
Lucha contra el software antivirus: shell del software antivirus
Los troyanos son astutos, pero una vez definidos por el software antivirus, se bloquearán antes de ejecutarse. Para evitar ser perseguidos por el software antivirus, muchos troyanos son bombardeados, lo que equivale a ponerse una capa para que el software antivirus no pueda reconocerlos. Sin embargo, algunos programas antivirus intentarán eliminarlos. caparazón común y luego mátalos (Muestra, no creas que no te reconoceré cuando te pongas un chaleco). Además de la ocultación pasiva, recientemente se ha descubierto un caparazón que puede combatir activamente el software antivirus. Una vez que se agrega el caballo de Troya a este shell, una vez que se ejecuta, este shell primero obtendrá el control del programa y destruirá el software antivirus instalado en el sistema a través de varios medios. Finalmente, después de confirmar que es seguro (la protección del software antivirus ha colapsado), el shell liberará el troyano envuelto en su propio cuerpo y lo ejecutará. La forma de lidiar con este tipo de caballo de Troya es utilizar software antivirus con capacidades de descompresión para proteger el sistema.
¿Qué es una concha? Como sugiere el nombre, puedes adivinar fácilmente que esto es lo que está envuelto afuera. Sí, el shell puede empaquetar un archivo (como EXE) y luego, cuando se ejecuta el archivo, el shell primero obtiene el control, luego libera y ejecuta el cuerpo del archivo empaquetado. Muchos shells pueden cifrar el cuerpo del archivo que encapsulan, lo que puede impedir que el software antivirus realice análisis. Por ejemplo, el software antivirus original definió el troyano como "12345". Si un archivo contiene esta característica, se considera un troyano y un shell con función de cifrado cifrará el cuerpo del archivo (por ejemplo, la característica original es "12345", y después del cifrado se convierte en "54321", y el antivirus el software no funcionará. Quitarlo. Shelling se refiere a eliminar la capa exterior de un archivo y restaurarlo a su estado original
9. matar
En resumen, es imposible confiar en firewalls y software antivirus para hacer todo. Se puede decir que mientras navegue por Internet, puede estar infectado y es posible que no. poder descubrir qué es el virus. Entonces, ¿cómo pueden los usuarios comunes sin conocimientos profesionales de seguridad de redes proteger sus propias redes? ¿Qué pasa con la seguridad?
1.
Como se mencionó anteriormente, la mayor fuente de virus son los troyanos web, y los troyanos web deben depender de las vulnerabilidades del sistema para sobrevivir. Si su sistema no tiene vulnerabilidades explotadas por los troyanos web, naturalmente no tendrá ningún efecto. Para evitar que los virus troyanos ingresen a la computadora, es necesario parchear el sistema a tiempo y luego usar herramientas de escaneo de vulnerabilidades para verificar si el sistema tiene vulnerabilidades hasta que no se anuncien.
2. -software antivirus a tiempo
Aunque el software antivirus no es omnipotente, todavía es necesario instalar un buen software antivirus cada año. Se anuncian una gran cantidad de vulnerabilidades del sistema y se publican parches de vulnerabilidad. proporcionado en el sitio web oficial para que los usuarios lo descarguen. Sin embargo, todavía hay muchas vulnerabilidades no descubiertas que pueden ser aprovechadas por los piratas informáticos, por lo que es necesario instalar un mejor software antivirus y Rising. Kaspersky también habilita la tecnología de máquinas virtuales y la tecnología de seguimiento del comportamiento, y tiene excelentes capacidades de escaneo de archivos y de memoria. En comparación con otros programas antivirus, lo mejor de Rising es su poderosa verificación de memoria. La desventaja es que muchos virus troyanos han sido específicamente. dirigido a Rising.
3. Realice copias de seguridad del sistema y prepárese para la recuperación ante desastres.
Ahora que ha parcheado e instalado el software antivirus, no es una panacea. debe estar preparado para el envenenamiento, realizar copias de seguridad del sistema a tiempo y restaurar rápidamente el sistema operativo en caso de una falla catastrófica para evitar el riesgo de pérdida de datos y la molestia de reinstalar el sistema.