1   1  /  1  页   跳转

[问题/讨论] 总结点东西

收藏
backway
头像
卡卡反病毒小组
  • 帖子:2473
  • 注册: 2008-11-20
  • 来自:
发表于: 2009-02-04 17:56 | 只看楼主 短消息 资料
字号: 1楼

总结点东西

鄙人不才,不敢用“讲义”做标题。

想着还有10多天就要不得不申请毕业了,想留点什么,就收录了下面这些东东,供大家参考下。高手可以飘过。

————————————————————————————————————————————————

windows操作系统中的几个常见名词:


应用程序:是指为了完成某(几)项特定任务而被开发运行与操作系统上的计算机程序。每一个应用程序运行于独立的进程,他们拥有自己独立的地址空间。

动态链接库文件:即Dynamic Link Library(DLL)。在windows操作系统中,程序在执行的时候,必须链接到dll文件,才能够正确的运行。dll多数情况下是带有dll扩展名的文件,但也可能是EXE或其他扩展名,dll不是独立运行的程序,它们向运行于windows操作系统下的程序提供代码、数据或函数。程序可根据dll文件中的指令打开、启用、查询、禁用和关闭驱动程序。


线程(Thread):就是在一个进程里产生的多个执行进度实例。比如一个采用多线程技术的网络文件传输程序能通时分出三个线程来同时执行网络数据传输、文件保存和绘制传输进度条的操作。这样这个程序运行就非常流畅了。
远程线程(Remote Thread)技术:指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。在进程中,可以通过创建线程(Create Thread)函数创建进程,被创建的新线程与主线程(就是进程启动时被同时  建立的那个线程)共享地址空间以及其他的资源,而通过Create Remote Thread也同样可以在令一个进程内创建新线程,被创建的远程线程同样可以共享远程进程的地址空间,所以通过一个远程线程,进入了远程进程的内存地址空间,也就拥有了那个远程进程相当的权限。由于我们的程序代码寄生在其他进程的内部,所以使用任务管理器是看不见这个“寄生”进程的。

修改其他进程内存:在windows操作系统中,每个进程都有自己私有内存空间,其他进程不得对该私有空间进行操作,这样一个应用程序就无法进入另一个进程的地址空间而不会破坏另一个进程的运行,这样是的系统更加稳定。但实际上有很多方法可操作私有空间,利用第三方程序对一个程序的嵌入代码行为就是其中一种方法。


挂起进程:挂起进程在操作系统中可以定义为暂时被淘汰出内存的进程,机器的资源是有限的,在资源不足的情况下,操作系统对在内存中的程序进行合理的安排,其中有的进程被暂时调离出内存,当条件允许的时候,会被操作系统再次调回内存,重新进入等待被执行的状态即就绪态。进程被挂起后一般可以恢复。

结束进程:强制终止进程,释放内存空间与其他资源。
进程间的消息操作:进程间的相互通信,一个进程会以发生消息的形式来改变另一个进程的行为。病毒也会利用这种方式进行攻击,甚至进行消息洪水攻击来关闭某个安全软件的进程。

钩子(HOOK):windows消息处理机制的一个平台,应用程序可以在上面设置子程序以监视指定窗口的某种消息,而所监视的窗口可以是其他进城所创建的。当消息到答案后,在目标窗口处理函数前处理它。钩子机制允许应用程序截获处理windows消息或置顶事件。每当特定的消息发出,在没有达到牡丹窗口前,钩子程序就先捕获该消息,这时钩子函数可以出来该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。病毒通过安装全局钩子同样可以捕获鼠标、键盘等外设的信息,如密码等。

驱动(Drivers):驱动简单而言就是介于硬件和操作系统之间的一层解释层。驱动级的病毒只要让它把驱动加载起来了那就是无所不能的,因为它可以做到对硬件的直接访问,而且很难清楚。

访问物理内存:在NT/2K/XP中,操作系统利用虚拟内存管理技术来维护地址空间映像,每个进程分配一二4GB的虚拟地址空间。运行在用户态的应用程序,不能直接访问物理内存地址,而运行在核心态的驱动程序,能将虚拟地址空间映射为物理地址空间,从而访问物理内存空间。如果要在应用程序中以物理地址访问内存,自然而然的办法事编写一个专用的驱动程序,里面设置一定的IOCTL码,应用程序通过调用DeviceIoCtrol来实现这样的功能。但是还有一种方法可以省去编写专用驱动程序这一步就能访问物理内存。系统内建一个叫做Physical Memory的内核对象,可以通过系统核心文件NNTDLL.DLL中的有关API进行操纵,从而实现物理内存的直接访问。通过访问物理内存同样可以使病毒进入内核空间,从而获得对系统最大的访问和控制权。

服务(Services):服务是指执行指定系统功能的程序‘例程或进程,以便支持其他程序,尤其是低层(接近硬件)程序,是一种运行于后台的应用程序类型。

内核:是操作系统最基本的部分,它是为众多应用程序提供对计算机硬件的安全访问的一部分软件,这种访问是有限的,并且内核决定一个程序在什么时候对某部分硬件操作多长时间,直接对硬件操作是非常复制的,所以内核通常提供一种硬件抽象的方法来完成这些操作,硬件抽象隐藏了复杂性,为应用软件和硬件提供了一套简洁,统一的接口,使程序设计更为简单而在连接用户层与内核层之间也有一套接口,这是位于系统最上层的一套接口,直接操作系统内核就是通过非法调用NtSystemDdbugConnntrol等函数来越过这第一层接口对内核进行调试。通过这个方法也可以获得对系统的最大的访问和控制权限。



—————————————————————————————————————————————————



SREng日志中的常见特殊正常项:

启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [N/A]
<NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>  [N/A]
<nwiz><nwiz.exe /install>[N/A] NV显卡相关启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <switch><c:\windows\system32\壁纸自动换.exe> []
    <switch><c:\windows\system32\bgswitch.exe>[] 壁纸自动换的自启项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <KernelFaultCheck><%systemroot%\system32\dumprep 0 -k> [N/A] microsoft的错误报告程序,可取消


服务:

[Human Interface Device Access / HidServ][Stopped/Manual Start]
    C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
音频后台服务

[Help and Support / helpsvc][Stopped/Disabled]
    <C:\windows\System32\svchost.exe -k netsvcs-->%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A> microsoft帮助与支持服务
[System Restore Service / srservice][Stopped/Auto Start]
    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>
系统还原服务


驱动:

[Secdrv / Secdrv][Stopped/Manual Start]
    <system32\DRIVERS\secdrv.sys><N/A>
微软对其Description:SafeDisc driver

[sptd / sptd][Running/Boot Start]
<\SystemRoot\System32\Drivers\sptd.sys><N/A>
[d347bus / d347bus][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\d347bus.sys><>
[d347prt / d347prt][Running/Boot Start]
<\SystemRoot\System32\Drivers\d347prt.sys><>
DAEMON Tools的驱动文件

[npkcrypt / npkcrypt][Stopped/Auto Start]
      <\??\C:\Program files\Tencent\QQ\npkcrypt.sys><N/A>

[npkcusb / npkcusb][Stopped/Auto Start]
    <\??\C:\Program files\Tencent\QQ\npkcusb.sys><N/A>
QQ的文件


[oreans32 / oreans32]
    <\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>
ARP防火墙的驱动

[CMBProtector / CMBProtector][Running/Auto Start]
      <\??\D:\WINDOWS\system32\Drivers\CMBProtector.dat><N/A>
招行的插件


其他可疑的Google。


——-———————————————————————————————————————————


以上如有错误,欢迎下面同志拍砖指正~~~










用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; iCafeMedia; MAXTHON 2.0)
本帖被评分 3 次
最后编辑backway 最后编辑于 2009-02-07 15:34:08
分享到:
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-02-07 12:39 | 短消息 资料
字号: 2楼

回复:总结点东西

写点东西不容易..帮顶了..

楼主在反病毒区回帖很多,应该很有经验了.PF个..
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-02-07 14:39 | 短消息 资料
字号: 3楼

回复: 总结点东西

建议楼主将正常注册表项(包括服务、驱动)所对应的软件含义也一并标注,这样更直观……

帖子不错,加分了……
打酱油的……
gototop
 
backway
头像
卡卡反病毒小组
  • 帖子:2473
  • 注册: 2008-11-20
  • 来自:
发表于: 2009-02-07 15:35 | 只看楼主 短消息 资料
字号: 4楼

回复:总结点东西

附加了文件的解释
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT