假如江民2008是“病毒”……【分享】
假如江民2008是“病毒”……
看到这几个字,有点怪怪的吧,什么叫假如江民2008是“病毒”……啊?大家都知道,在和平年代国家为了保持军队的战斗力,那就会时不时的搞些军事演习,演习中一般分为红蓝两方,对方就是你的假想敌人,在演习中你就得把这个假想敌人灭掉。
那今天我们就把这种模式搬到IT行业中来试试,玩玩这个假想“病毒”! 2007年有期《电脑报》里江民不是被评为最高4A佳绩吗,呵呵~~这说明江民就不是随便盖滴!这里我们就以江民为例吧,还请大家多多指点。江民的粉丝们别乱扔砖头啊。
安装好江民后就可以开始进攻了。首先在任务栏里删除江民的kvsrvxp.exe或KVMonXP.kxp程序,会显示无法中止进程。如图:
嗯!看来江民做得不错,我们要从任务栏进程发起攻击是搞不定它的(这不废话吗,要是在进程里都被你干掉了,那还有得混?),既然删进程不行那就试试直接删你的文件,呵呵~~这个大家不想都知道,在江民还在使用过程中要删除其文件那也是没门的。笔者试过了,不管关不关掉江民监控中心(就是关掉KVMonXP.kxp,但还有个kvsrvxp.exe),除了江民的Data文件里的文件(该文件夹下的可能是江民的一些数据和日志,其所有文件都能删,但该Data文件夹不能删)外,其它任何一个删不掉。如图:
删不掉?仅仅是因为它还有程序在使用中吗?没这么简单,这是因为江民修改了NtOpenFile函数,通过SSDT挂钩方式来保护其文件不被恶意删除。
也删不掉它文件,那就再来服务里试试,改变或停掉它的服务类型,一般的杀软用服务管理器改变其服务类型差不多都能搞定。立马找到服务—>KVSrvXP—>右击属性—>启动类型,改为手动或禁用,晕~~这也拒绝访问,这如果是病毒的话……汗~~
为什么改不了江民的服务启动类型呢?打开IceSword,在SSDT里也可找到红色的江民修改的NtSetValueKey函数。
好,到这里我们知道了为什么干不掉假想“病毒”——江民了,它主要是利用SSDT挂钩方式来保护其进程、文件及服务。我们只要恢复被它修改的SSDT挂钩,那我们就可以……嘿嘿,想干嘛就干嘛了。
在IceSword里设置禁止进线程创建,然后找到SSDT项,选中所有被江民修改的项(显示为红色的项)修复,这时会发现不管是在Process Explorer里还是在IceSword里仍然还不能删除它的进程也不能改动它的服务?而且IceSword里刚恢复的那些SSDT挂钩过一会又被还原了,又是一片红……要是这是病毒,这些方法还搞不定的话,那真晕了。后面就想到,在进程这些操作了是不是也重启才能生效呢?于是重启,哈哈~~这个假想“病毒”果然服输给干掉了,不过江民也真够人折腾的,我也服了!
说在最后:
说了上面那么多还没说到点子上,罪过,罪过。
最开始是源于江民安装后服务默认的是自启动,一开机就有个kvsrvxp.exe进程,由于不想看到这家伙,因为平时没用而它又占用资源,但又不想卸载,所以……其实这个假想“病毒”试验,一是要看看江民的自我保护能力,更重要的则是通过这个假想“病毒”试验来映射出如何清除顽固病毒。
顽固病毒,到底顽固在哪里?
首先,顽固病毒的进程、文件(可能隐藏进程及文件)及相关的注册表键值无法删掉(病毒自我保护),其次,杀毒软件反复杀,也杀不掉,清不完(病毒自我复制再生能力强)。
那么是什么原因导致病毒顽固清除不掉?
1、远程线程注入到某个进程(如Explorer.exe 或其他系统进程);
2、驱动加载,一般权限无法操作;
3、挂钩SSDT,实时监控并恢复相关的注册表、文件内容;
4、挂钩ShellExecuteHooks,使用Explorer 资源管理器自动加载其病毒本身;
5、挂钩Svchost.exe系统服务中,注册ServiceDLL,或篡改系统正常的ServiceDLL;
6、挂钩WinSock LSP;
7、病毒体随机性,以 *door?.dll 的形式变换;
8、PE可执行文件感染型,如熊猫烧香。
那剩下的就只要根据电脑的实际情况,利用所知所学,用杀毒软件再配以必要的辅助工具,如IceSword、Process Explorer、Wsyscheck 、WinHex……等,我想就算它再狠也还是狠不过你吧!
PS:如果是某顽固病毒的话,我们还可以用终截者实验室出品的一个强力删除工具《xDel》来试试,该工具可以通过修改句柄权限的方法删除文件、发送IRP删除文件或直接破坏文件的头512字节来达到破坏病毒文件的目的。
