当前位置：文档库 › 木马免杀全攻略和特征码替换大全

木马免杀全攻略和特征码替换大全

木马免杀全攻略和特征码替换

简而告之……

1.杀毒原理

通常，一个病毒防御工作者拿到一个截获或上报上来的病毒时，先是分析这个病毒文件执行后的动作，所谓“动作”，就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。

搞明白这些后，下一步一般会研究这个病毒的文件结构，然后找出与众不同的地方，将其定义为特征码。而这个特征码定义的高明与否，就要看他定义的位置是否刁钻，例如他如果定义的是病毒文件更改注册表键值那部分代码的话，这显然不会太难！因为只要病毒文件更改键值，99%的情况下这个文件里一定存在被更改键值的字符串，所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码做免杀是非常容易的，只需找到相应的位置，并更改字母的大小写即可。而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外，所定义的特征码还有一个分支，即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征，它的原理大体与上面介绍的文件特征码一样。

当特征码定义出来之后，就会被提交到另外的一个部门，然后进入

病毒定义库，当用户更新后，以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉！也就是说，杀毒软件只认特征码，不认文件。

由此可见，病毒防御工作者寻找特征码的方式也不过如此，但这只是定义病毒文件特征码的工作，别的例如修复被感染文件等技术步骤和本文无关，在这也就不介绍了，有兴趣的朋友可以自己研究一下。

2.免杀分类

免杀的方法有很多，无奈没见哪为朋友综合系统的介绍，也苦了小菜们求学无门，只好掏银子找“师傅”，所以我就自告奋勇站出来一次，不足之处还请各位高手多多包涵……

我个人总结的免杀方法总共分两类，即主动免杀与被动免杀。

一、主动免杀

1.修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符，并将其修改。

2.修改输入表：查找此文件的输入表函数名（API Name），并将其移位。

3.打乱文件结构：利用跳转（JMP），打乱文件原有结构。

4.修改入口点：将文件的入口点加1。

5.修改PE段：将PE段移动到空白位置

二、被动免杀

1.修改特征码：用一些工具找出特征码并针对特征码做免杀处理。

2.用Vmprotect：使用Vmprotect加密区段。

3.文件加壳：可以用一些比较生僻的壳对木马文件进行保护。

有的朋友看到这里有可能蒙了，PE、Vmprotect、入口点……这些都是什么意思啊？不要着急，下面我会一一介绍的，只要你看完这篇文章，就一定会成为免杀高手！怎么样？Go！

3.实战演习

1.）修改字符特征

好，下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么，然后在利用逆向思维分而治之。

现在假如我们拿到一个木马样本灰鸽子，首先当然要分析它究竟有什么功能，怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的，但考虑到我们的读者，我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。

我们打开RegSnap，新建一个快照，打开RegSnap后，点击[新建快照]按钮（如图1），在弹出的对话框中选择[生成所有项目的快照]（如图2）。

然后保存快照，现在已经将RegSnap配置好了，下面运行我们的木

马程序（提醒：做免杀时，一定要记住养好随时备分的好习惯，以防止修改错误或是实验运行时破坏、删除木马）。

木马运行完毕后，我们在按照上面的方法重新做一个快照并保存，然后按快捷键F5，在弹出的“比较快照”对话框中选择刚才保存的快照，在“第一个快照”中选择我们刚才第一次保存的快照，而“第二个快照”选择我们后保存的快照存档，很快结果就出来了（如图3）。

有的朋友对于使用RegSnap收集到的信息感到无力分析，抱怨收集到的东西太多，在这里我简单的介绍一下，首先应注意的是生成做对比的两个快照之间的时间要尽可能短，另外要排除带有OpenSaveMRU的注册表键值，还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来，逐一分析。

文件列表于C:\WINDOWS\*.*

新增文件

木马.exe

注册表报告

新增主键

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\ MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件Server02.exe

键值: 字符串: "复件Server02"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEG ACY_*6728*9A6C*670D*52A1\0000\Class

键值: 字符串: "LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEG ACY_*6728*9A6C*670D*52A1\0000\ClassGUID

键值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEG ACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService

键值: 字符串: "木马服务"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description

键值: 字符串: "灰鸽子服务端程序。远程监控管理."

……

这里我只摘录了部分关键性的木马动作记录，全部记录请见光盘。通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件，而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。

那么我们回到瑞星的研究分析室，看看那些大哥大姐们会怎么办……

瑞星大哥：“最近这灰鸽子太猖狂啦！我们是不是应该多定义几套特征码？”

瑞星大姐：“恩，不错！先在注册表那定义一套特征码在说吧。”

A1Pass：“STOP！！”（只见画面突然定格，A1Pass将播放器最小化。）通过上面的对话，我们可以知道他们要将注册表的某个字符定义为特征码，从上面RegSnap分析出来的记录来看，他们的选择真的是太多了！那么他们究竟会用到哪些呢？其实，就做为一个黑客来讲，只要不影响服务端正常运行，就应该尽量多的改掉木马的所有字符，当然全部改变是不可能的，除非你自己编写木马。

有的朋友要问了，除了注册表别的就不可以改了吗？答案当然是否定的，譬如生成新文件的名称与路径、注入的进程名等动作，这些我们可以利用WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写，而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。

下面我为大家演示一下怎样更改注入进程的名称。

首先配置服务端，通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的，根据注册表的推理，我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。既然如此，我们就先请出我们的第一把武器“WinHex”！

WinHex是一款极为出名16进制编辑器。得到ZDNetSoftwareLibrary 五星级最高评价，拥有强大的系统效用。在这里，我们只用它来编辑文件，其余不做过多讨论。首先我们用WinHex 打开我们的木马文件“Server.exe”，打开后如图5所示。

然后我们按[Ctrl]+[F]快捷键调出查找文本对话框，输入IEXPLORE.EXE后点击“是”（如图6）。

结果如图7所示。下面我们就对其进行大小写转换，用鼠标点击要更改的字母（例如I），然后在按键盘上的i，即可完成更改，就象使用WINDOWS的记事本一样。更改完毕后，按[Ctrl]+[S]快捷键保存即可。

就这么简单？对！就这么简单！其他的例如注册表、生成新文件的名称与路径等等都可以利用此方法更改。

但是不幸的是，经过这样改后，还不足以对付例如金山、江民等品牌杀毒软件，要想对付这些杀毒软件的查杀，我们还需要对我们的木马进行进一步处理。

下面，我们开始学习输入表函数（APIName）免杀！

2.）修改输入表

不知有的朋友是否知道，PE文件的正常运行是离不开其内部输入表函数的，而不同的程序，其内部输入表函数的名称与在文件中的位置是不一样的，所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看，“瑞星大哥”

已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行！

[PE文件小知识：PE文件是WINDOWS系统中特有的一种文件结构，它包括PE文件头、输入表与相关资源文件等等]

经过我的测试，直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃！那就没有办法了吗？我可没那么容易认输！经过一翻苦战，终于让我在LordPE中找到了解决办法，同时FoBnN的文章也给了我非常大的启发……

我们先打开LordPE，点击[PE编辑器]按钮，在弹出的对话框中选中木马文件，打开后点击[目录]（如图8），再点击导入表后面的[…]（如图9）。

在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA（如图10），有的朋友要问了，为什么非选择InternetOpenUrlA这个输入表函数呢？呵呵！那是因为这个输入表里有特征码哦，关于怎样确定特征码，我在后面会介绍，大家先别着急。

好的，关于LordPE就先停在这，下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置，并将其用0填充（操作方法：单击WinHex右面的16进制信息，输入0即可）（如图11、12）。

然后将其写到空白区域（既显示000000的区域），一定要从头开始写入，这样在以后计算地址时不容易出错，除此之外也要注意输入表函数的大小写不要搞错（如图13）。

保存后我们在回到LordPE那里，在需要更改的InternetOpenUrlA 输入表函数上单击右键，在弹出的菜单里选择“编辑”，将Thunk里的信息改成000B9D5E（如图14）即可。

有的朋友要问了，刚才我们不是把那个输入表函数放到000B9D60那里了吗？到这怎么变成000B9D5E了？其实原理很简单，因为每个输入表函数前面都是有一个空格的，我们虽不用真正把那个空格加进去，但填写它的地址时一定要空出来，否则就会出错！而将000B9D60减去一个空格所占的位置，其地址正好为000B9D5E，还不十分明白的朋友在仔细看看图13，下面我们在回到LordPE，看看我们改过的输入表函数变成什么样了（如图15）？

那我们该怎么办呢？其实简单的很，只要在重新改一下输入表函数的名称就可以了（如图16）。

有的时候因为我们所填写的地址为比较靠后的，例如我们现在改的这个000B9D5E，后面仅能容纳两个字节，所以更改输入表函数时只能键入两个字，对于这种情况我们可以先把Thunk里的信息改成如

000B9D60这样的起始地址，改输入表函数名更改完毕后在将000B9D60改回原来的值（既000B9D5E），保存后即可成功，我们试一下看看（如图17）。

经测验鸽子的各项功能均正常！在用瑞星查一下试试（如图18），结果当然不言而喻……

3.）修改特征码

虽然到这我们免杀已经成功，但是为了学到更多的技术，为了让我们免杀的鸽子存活的更久，下面我在为大家介绍一下特征码的查找与修改技巧。

特征码是杀毒软件的心脏，但同样也是我们的心脏！就看谁先找到对方地心脏，并能发出致命一击，谁就是胜利者！

一提到查找特征码，就不得不说说MyCCL与CCL，这两个软件的名字相信留心过免杀技术的朋友不会陌生，但由于软件操作的傻瓜化，很多时候对于CCL的介绍只是一带而过，这可苦了入门的朋友！这一小节我就先介绍一下MyCCL的用法……

我们先来认识一下MyCCL（如图19），根据这张图我们下面就来大体介绍一下MyCCL的应用方法。首先点击第1处选择文件，然后在第2处输入分块个数，分块个数越多，定位越精确，然而生成的速度同时也就越慢，生成的文件总体积也就越大，就象灰鸽子这么大的

服务端，如果分块数为300的话，那么它生成文件的总体积将超过230M！所以在这里不建议填写太大的数字，一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒，图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹，我们到那个文件夹下开始杀毒，查到病毒就让杀毒软件将其彻底删除，注意，这一点很重要！处理完毕后点击第3处的二次处理，在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。

下面我们在“区间设定”里右键单击特征码区间，在弹出的菜单中选择“复合精确定位此处特征”（如图20），然后重复上面的操作，直到你认为[单位长度]已经小到很方便更改的时候，特征码的定位就算结束了。

好了，一口气说了这么多，不知道刚入门的朋友是否懂得一些MyCCL的用法了没有……

但是上面我们定位的是文件特征码，还有内存特征码没有定义，这里我们要用到CCL的内存特征码定位功能，打开CCL后，我们依次选择[文件]→[特征码验测]→[内存特征码]（如图21）。

在弹出的对话框中选择我们要进行免杀操作的木马，然后会进入“定位范围选择窗口”（如图22）。

由图中可知，第一个CODE段的偏移量为00000400，也就是说我们可以用00000400做为起始位置，那么我么就在用户输入区的“起始位置”处填写00000400，下面的那个验测大小怎么填写呢？看到图22中画线的那个“当前文件大小”了吗？我们可以用WINDOWS 系统自带的计算器进行计算，把计算器的“查看”菜单设置为科学型、十六进制、四字（如图23）。

然后用当前文件大小的值减去起始值00000400，得到的结果为000B9A00，那么我们就在“验测大小”后填上000B9A00，然后点击“填加区段”按钮（如图24）。

最后点击确定，在新弹出的对话框中点击运行，不过需要注意的是，在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待……

然而光找特征码是不够的，我们还得学会怎样更改，而关于特征码地更改是非常有学问的！这里为了方便广大读者能学以致用，在此我只介绍部分理论知识，着重介绍实践操作，但是我想请大家注意，免杀的方法象你做完免杀的木马一样，都有生存时间，而过了这个时间，这种免杀方法就变的不在实用，或者免杀效果大打折扣！所以要想真正成为免杀高手，还的打牢基本功，不断创造出新的免杀方法，因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊！

关于需要注意的问题就先讲的这，下面我带大家先来了解一下目前更改特征码的办法。

1. 大小写替换（只适用于文件免杀）

适用于：出现可识别的英文字母或词组，并且确定其不是相关函数（如输入表函数）。

操作方法：如咱们“实战演习”的第一节讲的一样，只须将大小写替换一下就可以了，例如特征码中出现了A，你只要将其替换为a即可。原理：利用WINDOWS系统对大小写不敏感，而杀毒软件却对大小写非常敏感这一特性达到免杀目的。

2.用00填充

适用于：几乎任何情况，但成功率不是非常高。

操作方法：例如我们找到了一处特征码0009EE7F_00000005，那么根据这段特征码信息我们可以知道它的位置在0009EE7F，大小为5个字节，也就是0009EE7F-0009EE83这一段内容（如图25）。

一直跟着文章实践操作的朋友肯定有疑问，你是怎么找到那个地址的呢？而我怎么找不到呢？那是因为WinHex的默认偏移量为decimal模式，我们单击Offset栏将其改为16进制模式即可（如图26）。

然后我们有选择的一处处地用00填充（如图27）。

记住要多试几次，80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码，只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量，然后在进行相应操作即可。

原理：由于PE文件的特殊格式以及程序编译语言等问题，使得生成目标代码的效率并不高，难免出现一些“垃圾信息”，而这些信息存在与否对与程序是否能正常运行并不起决定性的作用，而当木马的这部分“垃圾信息”被定义为特征码时，我们完全可以将其删除，而删除的方法就是用无任何意义的00将其替换。

3.跳到空白区域

适用于：几乎任何情况，成功率比较高。

操作方法：还是以特征码0009EE7F_00000005为例子，假如我们使用00填充的方法失败了那么不要多想，接下来马上试试OllyDbg，关于OllyDbg我就不多介绍了，它是非常棒而且非常专业的一个动态反汇编/调试工具，这里我们只用它来帮助我们进行免杀作业，首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址，因为OllyDbg的工作原理是先将程序释放到内存空间里，然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序，我们用其转换完毕后得到的内存地址为0049FA7F（如图28）。

下面我们用OllyDbg打开我们的木马服务端，首先找到一处空白区，并域记下这的地址004A24A5，然后找到我们刚转换过来的地址0049FA7F，先将以0049FA7F开始以下的这三行数据选定，然后单击右键选则[复制]→[到接剪贴板]（如图29）。

将其复制到本文文档里备用，然后在将这三行代码一一NOP掉（如图30）。

最后右键点击0049FA7F，在弹出的对话框中选择汇编，并写入“jmp 004A24A5”这条汇编指令（如图31）。

记住，在点击[汇编]按钮之前一定先把“使用NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84（仔细观察图31）。好，下面我们回到004A24A5这处刚才找到的空白地址（如图32）。

然后用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去，然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码（如图33）。

然后单击右键→[复制到可执行文件]→[所有修改]（如图34）。

在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。

原理：大家先看图35，由图中可知，正象此方法的名字“跳到空白区域”一样，这种方法的原理就是将原本含有特征码的信息转移到空白区域，并把原先位置的信息全部NOP掉，并在那里加一个跳转指令，让其跳到004A24A5处，也就是我们找到的空白区域，并把原来在0049FA84的信息移到这里，加完信息后在加一条指令让其在跳回去，以使程序连贯起来。

4.上下互换

适用于：几乎任何情况，成功率比较高。

操作方法：先用OllyDbg载入木马程序，假定其特征码为0009EE7F_00000005，我们还是先用《偏移量转换器》将其转换为内存地址，上面我们已经知道0009EE7F对应的内存地址为0049FA7F，然后在OllyDbg中找到相应位置，利用上面“跳到空白区域”里介绍的修改方法将0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。

原理：杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的，而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的，所以我们只需将其上下互换，杀毒软件自然就不认识了。

5.ADD与SUB 互换

适用于：在内存特征码中出现ADD或SUB指令的，成功率比较高。

操作方法：用OllyDbg载入木马程序，假定其特征码所对应的地址中有ADD或SUB指令，例如00018A88：XXXXX 00000088 ADD ECX 10000000

我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000，

更改完毕后保存为EXE文件即可。

原理：我们都知道1+1=2，我们也知道1-（-1）=2，上面就是利用了这个原理，其中ADD指令的就是加意思，而SUB则是减的意思。虽然被我们互换了一下，但是最终结果还是一样的，可是换完之后杀毒软件就不认识了。

到这里，关于特征码的查找与修改就讲完了，但是除此之外呢？答案是还有许多！！下面我们就一起看看其他免杀方法。

4.）其他免杀方法

改文件头：

这里所说的改文件头包括加头去头，文件加花。关于加头去头，我们还是用OllyDbg。用OllyDbg载入后，OllyDbg会自动停在入口点

（如图36）。

我们将头三行机器码复制保存起来，然后找到空白区域，用汇编的方法一一将其写入（如图37）。

然后在后面写入一条JMP指令，让其跳到初始入口点的第四行，相信一直仔细看本文的朋友一定明白其原理，如果忘了的话可以看上面修改特征码的第三种方法，原理与这差不多，修改完毕后如下所示：004A2A73 0000 add byte ptr ds:[eax],al

004A2A75 0000 add byte ptr ds:[eax],al

004A2A77 55 push ebp

004A2A78 8BEC mov ebp,esp

004A2A7A B9 04000000 mov ecx,4

004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50

004A2A84 0000 add byte ptr ds:[eax],al

004A2A86 0000 add byte ptr ds:[eax],al

004A2A88 0000 add byte ptr ds:[eax],al

上面的add byte ptr ds:[eax],al就是所谓的空白区域，我们看到改完后的头文件位于004A2A77，所以我们还要用PEditor改一下入口点，打开PEditor后载入文件，将入口点处的地址改为我们的新文件头地址004A2A77（如图38），保存后即可。

入口点加1：

打开PEditor后载入文件，将原来的入口点+1即可，例如我们的入口点为004A2A77，加1后应该是004A2A78（如图39），然后点击“应用更改”即可完成更改。

用这种简便的免杀方法即可以轻松的对付大部分杀毒软件。

用Vmportect加密：

Vmportect是新一代的软件保护程序，利用虚拟机保护代码，可以对指定的部分区段进行加密，能让被保护的程序复杂化，最开始他被用于PcShare里的SYS文件免杀，效果值得称道！其实对于普通文件他照样发挥的比较出色！下面我们就用他来加密我们的那个存在特征码以0049FA7F开始的区段。打开Vmportect后载入程序，在“转储”选项卡下的任意地方单击由键，在弹出的菜单中选择“前往地址”（如图40）。

然后在弹出的对话框中填入0049FA7F，点击“是”按钮即可跳到相应位置，然后点击“添加地址”按钮（如图41）。

并选则是即可，最后点击“编辑”按钮即可对以0049FA7F开头的区段进行加密（如图42）。

移动PE段的位置：

关于这种方法，可是绝学！今天借此机会贡献给各位朋友，希望此方法能在你免杀时助你一臂之力！那么修改PE段究竟能起到什么作用呢？首先当然可以达到长期免杀的目的，其次可以保护我们的免杀文件，其他人无法学走我们的免杀方法（A1Pass：要想真正达到这个目的，除此之外你还不能让别人看到这篇文章，所以这期的X档案赶紧全包了吧！呵呵！）。为什么呢？因为一些反汇编工具无法载入经过修改PE文件头的程序。

我们先来看看PE段，怎么看？先用WinHex载入我们的木马（如图43）。

看到图中PE那两个字了吗？这两个字的P所在位置就是PE段的入口点，我这里是00000100。我们在仔细看看图43，看看PE下一行的第一个16进制是不是E0？好，下面我们用WINDOWS系统自带的计算器计算一下，得到16进制的E0就是十进制的224。这是什么意思呢？它代表的就是PE段的大小，在WinHex中一行能显示16个字符，224个字符正好是14行，我们将这14行内容复制保存起来，并记住PE段的末尾地址，我这里是000001EF，最后将这个PE段用0填充（如图44）。

软件大数据脱敏方法与设计方案

本技术公开了一种软件大数据脱敏方法，其特征在于，所述方法包括如下步骤：S1：在数据采集后将采集的数据进行检测，通过预先输入数据库的特征码与采集的数据进行的特征码进行比对，将采集数据的特征码与数据库内预存的特征码一致的数据进行列出；S2：将列出的数据进行的预存特征码进行删除，并保留数据的其他数据源代码，将处理后的数据与原数据进行数据对比，将对比结果输出至外部设备；S3：通过外部设备进行反馈，并根据反馈结果进行下一步操作，若反馈结果为终止，则停止对处理后的数据进行脱敏，直接将处理后的数据发送至数据库内进行存储，若反馈结果需要进行脱敏，进入步骤S4；S4：将处理后的数据中加入数据变形码。技术要求 1.一种软件大数据脱敏方法，其特征在于，所述方法包括如下步骤： S1：在数据采集后将采集的数据进行检测，通过预先输入数据库的特征码与采集的数据进行的特征码进行比对，将采集数据的特征码与数据库内预存的特征码一致的数据进行列出； S2：将列出的数据进行的预存特征码进行删除，并保留数据的其他数据源代码，将处理后的数据与原数据进行数据对比，将对比结果输出至外部设备； S3：通过外部设备进行反馈，并根据反馈结果进行下一步操作，若反馈结果为终止，则停止对处理后的数据进行脱敏，直接将处理后的数据发送至数据库内进行存储，若反馈结果需要进行脱敏，进入步骤S4； S4：将处理后的数据中加入数据变形码，将处理后的数据进行变形，将变形后的数据发送至数据库内进行存储。 2.根据权利要求1所述的一种软件大数据脱敏方法，其特征在于，所述数据变形码采用分段结构，在采集数据中任意一个字节位置加入一段掩码字节，通过掩码字节对目标数据代码进行掩藏。

木马攻防感想

木马攻防的感想前言木马技术是最常见的网络攻击手段之一，它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类，针对常见的木马攻击方式提出了一些防范措施。木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友，木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。【关键词】：木马程序、攻击手段、防范技术、木马的危害

一、木马概述 1.木马的定义及特征 1.1木马的定义在古罗马的战争中，古罗马人利用一只巨大的木马，麻痹敌人，赢得了战役的胜利，成为一段历史佳话。而在当今的网络世界里，也有这样一种被称做木马的程序，它为自己带上伪装的面具，悄悄地潜入用户的系统，进行着不可告人的行动。有关木马的定义有很多种，作者认为，木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。木马程序一般由两部分组成的，分别是Server（服务）端程序和Client（客户）端程序。其中Server 端程序安装在被控制计算机上，Client端程序安装在控制计算机上，Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。首先，服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现了对本地计算机的控制。因为木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序，服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征据不完全统计，目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制，在不同的环境下运行，发挥着不同的作用，但是它们有着许多共同的特征。（1）隐蔽性

木马免杀技术

木马免杀技术一、杀毒软件的查杀模式杀毒软件的查杀模式分三种 1.文件查杀 2.内存查杀 3.行为查杀这三种是目前杀毒软件常用的杀毒模式。所谓的文件查杀就是杀毒软件对磁盘中的文件进行静态扫描，一旦发现文件带有病毒库中的病毒特征代码就给予查杀。内存查杀是杀毒软件把病毒特征代码释放到内存中，然后与内存中的文件进行比对，发现有文件中带有病毒特征代码就给予查杀。现在最厉害的内存查杀当然是瑞星了，其他杀毒软件也有内存查杀但比不上瑞星的厉害。行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如：啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程，还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。行为杀毒的典型杀毒软件—绿鹰PC万能精灵。二.根据杀毒软件的查杀模式总结出免杀方法主要针对文件的文件查杀和内存查杀 1.文件查杀 A.加壳免杀 B.修改壳程序免杀 C.修改文件特征代码免杀 D.加花指令免杀 2.内存查杀 A.修改内存特征代码 B.阻止杀毒软件扫描内存 ====================================================== ================ A.加壳免杀建议你选择一些生僻壳、茾@恰⑿驴牵蛘呒佣嘀乜牵馍钡氖奔洳怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。 B.修改壳程序免杀主要有两种：一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。 C.修改文件特征代码免杀，此方法的针对性是非常强的，就是说一般情况下你是修改的什么杀毒软件的特征代码，那么就只可以在这种杀毒软件下免杀。以前常用的工具有CCL特征码定位器，不过现在用起来不是那么方便了，比如黑防鸽子他有多出特征代码，给新手学习定位增加了一定的难度，现在主要推荐的是MYCCL特征码定位器，个人感觉定位速度快，准确率高，尤其对那些有多处特征码的定位。如黑防鸽子的卡巴文件特征代码：特征码物理地址/物理长度如下: [特征] 000A0938_00000002 [特征] 000A0B26_00000002 [特征] 000A0E48_00000002

木马攻击技术的概述

目录一、木马概述 (3) 1.木马的定义及特征 (3) 1.1木马的定义 (3) 1.2木马的特征 (3) 2.木马的工作原理 (4) 3.木马的分类 (5) 4.木马的功能 (6) 5.木马的工作过程 (7) 二、木马的传播方式 (8) 三、木马的清除 (9) 四、如何避免木马攻击 (9) 五、结语 (9) 六、参考文献 (10)

前言木马技术是最常见的网络攻击手段之一，它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类，针对常见的木马攻击方式提出了一些防范措施。木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友，木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。【关键词】：木马程序、攻击手段、防范技术、木马的危害

木马病毒的行为分析样本

西安翻译学院XI’AN FANYI UNIVERSITY 毕业论文题目: 网络木马病毒的行为分析专业: 计算机网络技术班级: 姓名: 彭蕊蕊指导教师: 朱滨忠 5月目录学号: 院系: 诒华

1 论文研究的背景及意义........................... 错误!未定义书签。 2 木马病毒的概况................................. 错误!未定义书签。 2.1 木马病毒的定义............................ 错误!未定义书签。 2.2 木马病毒的概述............................ 错误!未定义书签。 2.3 木马病毒的结构............................ 错误!未定义书签。 2.4 木马病毒的基本特征........................ 错误!未定义书签。 2.5木马病毒的分类............................. 错误!未定义书签。 2.6木马病毒的危害............................. 错误!未定义书签。 3 木马程序病毒的工作机制......................... 错误!未定义书签。 3.1 木马程序的工作原理........................ 错误!未定义书签。 3.2 木马程序的工作方式........................ 错误!未定义书签。 4 木马病毒的传播技术............................. 错误!未定义书签。 4.1 木马病的毒植入传播技术.................... 错误!未定义书签。 4.2 木马病毒的加载技术........................ 错误!未定义书签。 4.3 木马病毒的隐藏技术........................ 错误!未定义书签。 5 木马病毒的防范技术............................. 错误!未定义书签。 5.1防范木马攻击............................... 错误!未定义书签。 5.2 木马病毒的信息获取技术.................... 错误!未定义书签。 5.3 木马病毒的查杀............................ 错误!未定义书签。 5.4 反木马软件................................ 错误!未定义书签。 6 总结........................................... 错误!未定义书签。

木马和计算机病毒的特点

木马和计算机病毒的特点木马和计算机病毒有什么相同点呢，下面是小编为你整理了相关内容，希望对你有帮助。木马和病毒的相似点木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能. 还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马! 木马和病毒的区别

网络渗透攻击实训项目

安全技术及应用实训报告项目一：网络渗透攻击实训项目学号：09011319 姓名：雷超信息技术分院计算机技术机网络技术

目录任务1 社会工程学 (1) 1.1 “社会工程学”概述 (1) 1.2 “社会工程学”特点 (1) 1.3“社会工程学”的3个步骤 (1) 1.4 知识运用 (1) 任务2 木马免杀 (1) 2.1 木马免杀概述 (1) 2.2 木马免杀原理 (2) 2.3 木马免杀的实现步骤 (2) 任务3 木马捆绑 (3) 3.1 木马捆绑概述 (3) 3.2 木马捆绑原理 (3) 3.2 实验步骤 (3) 任务4 木马植入 (4) 4.1 木马植入的方式 (4) 4.2 实验步骤 (4) 任务5 远程控制 (5) 5.1 远程控制的概念 (5) 5.2 远程控制原理 (6) 5.3 远程控制运用 (6) 5.4 实验步骤 (6) 任务6 主机发现 (6) 6.1 主机发现概述 (6) 6.2 主机发现原理 (6) 6.3 主机发现的实现 (6) 6.4 实验步骤 (7)

任务7 端口扫描 (7) 7.1 口扫描原理 (7) 7.2 实现步骤 (7) 任务8 漏洞扫描 (8) 8.1 漏洞扫描概述 (8) 8.2 漏洞扫描原理 (9) 8.3 实现步骤 (9) 任务9 缓冲区溢出 (10) 9.1 缓冲区溢出概述 (10) 9.2 缓冲区溢出原理 (10) 9.3 缓冲区溢出危害 (10) 任务10 ARP 欺骗 (11) 10.1 ARP欺骗定义 (11) 10.2 ARP欺骗原理 (11) 10.3 ARP命令解释 (12) 任务11 网络嗅探 (12) 11.1 网络嗅探概述 (12) 11.2 网络嗅探原理 (12) 11.3 实现步骤 (13)

计算机木马病毒的普遍特征及其解决方案

计算机木马病毒的普遍特征及其解决方案发表时间：2019-08-15T15:04:29.160Z 来源：《信息技术时代》2018年11期作者：王春玲 [导读] 本文介绍了计算机病毒的发展历史，感染用户计算机的的方式。针对目前流行的木马病毒，介绍了其普遍特征，并以“COOL-GAMESETUP病毒为例，描述了主要特点和完整解决方案。阐述了计算机用户针对病毒做好防范的重要性和具体方法。（乌伊岭区就业局，黑龙江伊春 153038）摘要：本文介绍了计算机病毒的发展历史，感染用户计算机的的方式。针对目前流行的木马病毒，介绍了其普遍特征，并以“COOL-GAMESETUP病毒为例，描述了主要特点和完整解决方案。阐述了计算机用户针对病毒做好防范的重要性和具体方法。关键词：COOL—GAMESETUP；计算机病毒；系统注册表；可执行文件随着计算机科学技术的高速发展，计算机系统功能日渐复杂，对社会及人们的生活产生了巨大的影响，由于计算机用户对病毒了解知识层次高低不同，病毒本身的复杂和隐蔽性，加上现在大部分计算机都连结在网络中，都存在着自然和人为等诸多因素的潜在威胁，病毒扩散、各种计算机病毒层出不穷，计算机病毒造成的安全问题越来越严峻。因此，如何提高计算机用户的防御病毒能力，增强安全意识，已成为当前急需解决的问题。否则计算机病毒会大面积传播，给企业及个人的财产、隐私造成极大损失。从1986年美国学生弗里德一科恩以测试计算机安全为目的编写首个电脑病毒以来，目前世界上约有6万多种电脑病毒，它们已经从最初给用户带来小麻烦发展到严重威胁电脑和网络的安全。随着用户操作系统、使用软件的更新换代，计算机病毒的发展也经历了从简单到复杂的过程。从计算机病毒的发展过程，可以将计算机病毒分为以下几个阶段： 1、DOS时期命令行用户界面下的病毒 DOS时期的计算机病毒主要是引导型病毒和文件感染病毒。DOS病毒出现在早期，当时计算机功能比较单一，DOS引导病毒利用软盘等移动介质启动计算机时插入，破坏计算机分区表信息、修改系统自动扇区等，导致系统无法启动。文件感染型病毒一般感染exe、com、bat等文件，导致文件无法正常运行。现在绝大多数用户使用的是Windows操作系统。DOS病毒已经成为历史，现在基本已经无法对用户计算机造成损害了。 2、Windows可视化界面下的病毒随着Windows可视化操作系统的出现和普及，计算机病毒也随即发展到一个新阶段，此阶段的病毒可分为Office文档类宏病毒、文件类PE病毒。宏病毒是专门针对微软MS Office软件的一种病毒，它由MS Office的宏语言编写，只感染MS Office文档，其中以MSWord文档为主。用户在打开含有宏病毒的Office文档后，宏病毒就会自动运行，使计算机中病毒。PE是windows32位系统的一种文件格式，能感染这种文件的病毒都叫PE病毒。PE病毒较以往病毒更加复杂，往往调用Windows系统API函数接口，解决方法也比较复杂。此外，Linux也是操作系统之一，但其桌面易用性不为大多数用户所接受，Linux环境下的病毒也比较少，此处就不做叙述。 3、网络环境下的病毒在Internet大面积普及的今天，大部分计算机都已经成为了网络世界中的一个节点。网络的流行使得人们交换信息变得更加便捷，同时也给计算机病毒的传播提供了更多的途径。网络环境下的病毒主要传播途径有网络邮件、WEB页面传播和局域网内传播。不明身份者发来的邮件，不明下载点的软件都有可能成为病毒的载体。病毒往往伪装成邮件附件，文件名含以计算机中常用文件后缀名，加以各类命名诱使使用者打开 WEB页面中藏有JS、VBS等恶意代码，使用者一打开该网页，代码立即运行，使使用者计算机病毒。局域网也是病毒传播的温床，公司网络中一旦一台机器中毒，马上蔓延到局域网中其他机器。网络病毒种类繁多，主要以蠕虫类病毒和木马类病毒为主。蠕虫类病毒善于复制自身，能迅速感染到网络类所有计算机，利用操作系统的漏洞等，容易突然爆发，大面积波及。木马类病毒主要插种在软件中，容易导致计算机用户私人隐私外泄，造成个人网络账号、密码、网银账户等的财产损失。计算机木马病毒在网络条件下传播速度尤其快，一般会导致用户感染后无法使用注册表编辑器、无法查看隐藏文件，无法格式化硬盘，分区格式化也不能操作，无法进入安全模式进行病毒查杀。以“COOL—GAMESETUP”病毒为例，它是一个熊猫烧香的变种，容易伪装成应用程序的图标来迷惑用户，它会下载其他病毒并执行，使得计算机内所有可执行文件(．exe)无法运行，用户计算机感染该病毒后具有以下特征：后具有以下特征： (1)病毒会删除安全软件的开机启动项目和服务项目 (2)每1秒添加自己的启动项，并将文件隐藏显示注册表键值破坏。 (3)每隔6秒在每个驱动器下(A和B驱动器除外)，删除所在的autorun．inf文件或文件夹，并创建autorun．inf和对应的(空格)．exe文件。 (4)每隔6秒停止部分安全软件服务，删除部分安全软件的服务和开机自启动项目。 (5)每10秒关闭程序进程。~Navp．exe、rav．exe、rsagent．exe、ravmon．exe、raymond．exe、ravstub．exe、ravtask．exe、ccenter．exe、360tray．exe、360safe．exe等，被关闭的进程大部分为卡巴斯基、瑞星、360安全卫士等防病毒或木马软件进程。 (6)每3O分钟会检测用户是否联网，从指定网站下载一次木马。 (7)病毒会感染扩展名为exe、pf、com、sic的文件，把自己附加到文件的头部，并在扩展名为htm、html、asp、php、Jsp、aspx的文件中添加一网址，用户一旦打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的。且该网页有漏洞，新变种的病毒会被下载并运行。 (8)感染后会在感染目录下创建Desktop～．ini文件，其内写入当前系统时间，减缓计算机运行速度。针对木马病毒的特征和发作严重程度，可执行以下解决方案： (1)拔掉计算机的网线，断开网络连接。将计算机的共享目录设置密码或者取消网络用户的写权限。 (2)如计算机已经无法进入安全模式，即进入安全模式就蓝屏，使用U盘启动盘或光盘启动盘启动，进行纯DOS方式下查杀病毒。另外一种方式是直接使用安装盘进行重新安装或者纯净的Ghcst镜像进行恢复。 (3)纯DOS方式查杀病毒结束或重新安装结束后，进入Win—dows界面。对于“COOL—GAMEsETuP”病毒，需要制作一个bat文件进行运

木马免杀之汇编花指令技巧(精)

木马免杀之汇编花指令技巧作者：逆流风（发表于《黑客X档案》07.07，转载注明出处）相信很多朋友都做过木马免杀，早期的免杀都是加壳和改特征码，现在免杀技术已经发展到花指令免杀，改壳之类的，而这些需要一定的汇编知识，但是汇编却不是一块容易啃的骨头，所以我写了这篇菜鸟版的免杀汇编教程，帮助小菜们快速入门，掌握免杀必备的汇编知识，改花指令，改特征码的技巧和编写自己的花指令。一、免杀必备的汇编知识 push 压栈，栈是一种数据结构，记住四个字：先进后出。压栈就是把数据放如栈中，从栈顶放如，出栈的时候也是从栈顶取出，所以会有先进后出的特点！先进后出我们可以这样理解，例如：一个乒乓球筒，我们放入乒乓球，然后取出乒乓球，取出的都是就后放进的球。就如我们放入球的顺序是球1、2、3、4，取出的顺序是球4、3、2、1。 pop 出栈，与push相对应。 mov a,b 把b的值送给a，把它看作编程中的赋值语句就是b赋值给a，这时a的值就是b了。 nop 无作用，就是什么也没做。 retn 从堆栈取得返回地址并跳到该地址执行。下面是一些算术运算指令： ADD 加法 sub 减法 inc 加1 dec 减1 最后是跳转指令： jmp 无条件跳 je 或jz 若相等则跳

jne或jnz 若不相等则跳 jb 若小于则跳 jl 若小于则跳 ja 若大于则跳 jg 若大于则跳 jle 若小于等于则跳 jge 若大于等于则跳这些就是我们需要掌握的，怎么样不多吧，一些指令可能看不明白，看了后面的就会清楚了。对了，忘了讲寄存器了，寄存器是中央处理器内的其中组成部份。寄存器是有限存贮容量的高速存贮部件，它们可用来暂存指令、数据和位址。我们需要了解的是8个通用寄存器:EAX,EBX,ECX,EDX,ESI,EDI,EBP,ESP 二、特征码和花指令的修改特征码我就不多说了，大家都知道的，现在杀毒软件查杀都用特征码查杀，改了木马的特征码，杀毒软件就查不出我们的木马，这样就达到免杀的效果。而花指令是程序中的无用代码，程序多它没影响，少了它也能正常运行。加花指令后，杀毒软件对木马静态反汇编使，木马的代码就不会正常显示出来，加大杀毒软件的查杀难度。花指令的原理是堆栈平衡。前面介绍push说了，堆栈平衡可以这样理解，有进有出，不管花指令怎么写，我们要达到的目的是加花后，堆栈与未加之前一样。网上的花指令因为是公布出来的，所以免杀周期不长，一般公布出来不久就会被杀毒软件查杀，但是我们只要简简单单的修改一两句就可以达到免杀了。下面我们来看看5种修改方法。（也适用于特征码修改）我们先看看木马彩衣(金色鱼锦衣花指令 1、push ebp 2、mov ebp,esp 3、add esp,-0C 4、add esp,0C

一个简单木马程序的设计与开发.

一个简单木马程序的设计与开发 1 前言 1.1 课题背景随着互联网技术的迅猛发展，网络给人们带来了很多便利，但是也带来了许多麻烦。各种网页木马，后门，下载者，病毒，利用各种系统漏洞，网站漏洞，程序漏洞，邮箱漏洞，U 盘及社会工程学等在网上横行，给广大用户带来了重要资料丢失，机密文件提前泄密，邮箱帐号，游戏帐号，各类照片被人恶意修改后传播到网上，系统被格盘，系统被监视，摄像头被人暗中开启并录像传播等非常严重的后果。使得许多朋友，闻木马,就变色。为了使更多朋友了解木马病毒，通过编写一个简单的木马,来分析它及其的变形，提出相应的防范措施。 1. 2 国内外研究现状从有关的资料看，国内外的windows系统下的木马，功能已经从简单发展到全面，大致包括以下功能：上传下载文件，删除文件，复制文件，粘贴文件，文件编辑，文件重命名，文件剪切，新建文件，修改文件，修改文件的创建时间等；获得目标主机名，IP地址，以及目标主机地理位置，系统打了多少补丁，安装了些什么软件，MAC地址，安装了几个处理器，内存多大，网速多快，系统启动时间，系统目录，系统版本等；取得目标主机的CMD权限，添加系统管理员，对目标主机进行注册表操作，开启目标主机3389端口，软件自动更新，使目标主机成为HTTP，SOCK5代理服务器，对目标主机的服务进行操作，对目标主机的开机自启动项进行操作，目标主机主动向控制端发起连接，也可主动向目标主机发起连接等，暗中打开用户摄像头，监控，录制用户隐私生活，对用户进行屏幕监控等。木马的隐蔽性更强了，从原来的单纯隐藏在某个目录中，发展到了替换系统文件，修改文件修改时间等。木马从EXE文件靠注册表启动，发展到了DLL文件远程线程插入，替换修改系统DLL文件，靠驱动文件等高级水准，更有写入系统核心中的。木马深藏在系统中，甚至在许多杀毒软件启动前启动，或者是绑定到杀毒软件上，或者修改杀毒软件规则，使得杀毒软件误以为它是合法文件，或者是将木马DLL文件插入到WINLOGON.EXE 中，以至于在安全模式下也无法删除。有的病毒会在系统部分盘中，创建Autorun.inf文件，然后把病毒也复制到该目录下隐藏着，使得用户双击该盘时，运行该病毒，对此，某些用户格式化了系统盘再重装系统，也无法删除它。更有木马，病毒会感染某些盘中的EXE文件，COM文件，使得用户重装系统后，运行该文件后又运行病毒。木马中招的方式包括：访问不安全网站，访问某些被入侵后的安全网站，在不同机子上使用U盘，通过U盘传播的木马病毒也越来越多，对系统或是一般程序进行溢出后，上传木马，对网络中的主机进行漏洞扫描，然后利用相关漏洞自动传播，利用邮箱漏洞配合网页木马，使用户中招，直接通过QQ等聊天软件传给用户，并叫其运行，在QQ等聊天软件中发布网址给好友，好友不知情下点击中招，通过物理接触主机以及远程破解主机密码等手段中招。木门在被杀毒软件查杀后，一般马上就会有变种或是升级版本流传，通过对木马进行加壳，修改木马特征码，修改程序等手段使木马免杀。木马还包括ASP和PHP以及ASPX，JSP木马，它们能过网页的形式存在，也可以有很多功能，如常见的ASP木马就有如下功能：登录验证，上传下载文件，删除，复制，移动，编辑文件，新建文件，新建目录，搜索文件，更改文件名，查看文件修改时间，serv_u漏洞提权，查看服务器信息，查看环境变量，注册表操作，探查网站是否支持PHP，查找网站上已经存在的木马，包括已经加密后的，对服务器上所有盘的文件操作，对数据库进行操作，对网站

木马特征

木马特征、常见木马入侵手法、木马防范在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马，当初怎么就想不通它与病毒扯上关系了。经过一番了解，原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市，从而一举占领敌方城市的故事，因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟：它就是通过潜入你的电脑系统，通过种种隐蔽的方式在系统启动时自动在后台执行的程序，以“里应外合”的工作方式，用服务器/客户端的通讯手段，达到当你上网时控制你的电脑，以窃取你的密码、游览你的硬盘资源，修改你的文件或注册表、偷看你的邮件等等。一旦你的电脑被它控制，则通常表现为蓝屏然死机；CD-ROM莫名其妙地自己弹出；鼠标左右键功能颠倒或者失灵或文件被删除；时而死机，时而又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多等等。不过要知道，即使发现了你的机器染上木马病毒，也不必那么害怕，因为木马病毒与一般病毒在目的上有很大的区别，即使木马运行了，也不一定会对你的机器造成危害。但肯定有坏处，你的上网密码有可能已经跑到别人的收件箱里了，这样黑客们就可以盗用你的上网账号上网了！木马程序也是病毒程序的一类，但更具体的被认为黑客程序，因为它入侵的目的是为发布这些木马程序的人，即所谓的黑客服务的。本文将就木马的一些特征、木马入侵的一些常用手法以及如何避免木马的入侵各方面作一些综合说明。木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的。一般它们都有以下基本特征： 1、隐蔽性是其首要的特征如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini 文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。它的

病毒特征与木马特征

首先说明，这篇文章后半部分是我本人的拙见，粗浅得很，写出来权当练笔，请大家指正的同时也请大家勿笑在下：）病毒特征，也算是老掉牙的东西了，本不该拿出来，但作为病毒专区，我想这样的文章还是贴一些为妙，至少能让人看出自己是不是中毒了。这种特殊程序有以下几种特征：未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏再正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。传染性。是病毒的基本特征。病毒一旦侵入系统，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源。再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。系统被感染病毒后一般情况下用户是感觉不到它的存在的，只有在其发作，出现不正常反映时用户才知道。潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如"PETER-2"在每年2月27日会提三个问题，答错后会将硬盘加密。著名的"黑色星期五"在逢13号的星期五发作。国内的"上海一号"会在每年三、六、九月的13日发作。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。（以上转自eNet：https://www.wendangku.net/doc/804436082.html,/document/20001017/2000101720204001.shtml，以下为本人浅见。）那如何得知自己是否中毒呢？一，凭直觉，如果你对你的爱机非常熟悉，一但中毒，你就会觉得手中的鼠标别扭，就会有不爽的感觉，就会有不对劲的感觉，好像说得是玄了点，但本人爱机多次中毒，基本都是这么感觉出来的。

木马病毒的行为分析

西安翻译学院 XI’AN FANYI UNIVERSITY 毕业论文题目：网络木马病毒的行为分析专业：计算机网络技术班级： 103120601 姓名：彭蕊蕊指导教师：朱滨忠 2013年5月学号：10312060108 院系：诒华学院成绩：

目录 1 论文研究的背景及意义...................................................................................... - 3 - 2 木马病毒的概况 .................................................................................................. - 4 - 2.1 木马病毒的定义......................................................................................... - 4 - 2.2 木马病毒的概述......................................................................................... - 4 - 2.3 木马病毒的结构......................................................................................... - 4 - 2.4 木马病毒的基本特征................................................................................. - 5 - 2.5木马病毒的分类.......................................................................................... - 5 - 2.6木马病毒的危害.......................................................................................... - 6 - 3 木马程序病毒的工作机制.................................................................................. - 6 - 3.1 木马程序的工作原理................................................................................. - 6 - 3.2 木马程序的工作方式................................................................................. - 7 - 4 木马病毒的传播技术.......................................................................................... - 7 - 4.1 木马病的毒植入传播技术......................................................................... - 8 - 4.2 木马病毒的加载技术................................................................................. - 9 - 4.3 木马病毒的隐藏技术................................................................................ - 11 - 5 木马病毒的防范技术......................................................................................... - 11 - 5.1防范木马攻击............................................................................................. - 11 - 5.2 木马病毒的信息获取技术...................................................................... - 12 - 5.3 木马病毒的查杀...................................................................................... - 12 - 5.4 反木马软件............................................................................................... - 12 - 6 总结 .................................................................................................................... - 13 -

木马免杀全攻略和特征码替换大全

木马免杀全攻略和特征码替换简而告之…… 1.杀毒原理通常，一个病毒防御工作者拿到一个截获或上报上来的病毒时，先是分析这个病毒文件执行后的动作，所谓“动作”，就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。搞明白这些后，下一步一般会研究这个病毒的文件结构，然后找出与众不同的地方，将其定义为特征码。而这个特征码定义的高明与否，就要看他定义的位置是否刁钻，例如他如果定义的是病毒文件更改注册表键值那部分代码的话，这显然不会太难！因为只要病毒文件更改键值，99%的情况下这个文件里一定存在被更改键值的字符串，所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码做免杀是非常容易的，只需找到相应的位置，并更改字母的大小写即可。而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外，所定义的特征码还有一个分支，即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征，它的原理大体与上面介绍的文件特征码一样。当特征码定义出来之后，就会被提交到另外的一个部门，然后进入

病毒定义库，当用户更新后，以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉！也就是说，杀毒软件只认特征码，不认文件。由此可见，病毒防御工作者寻找特征码的方式也不过如此，但这只是定义病毒文件特征码的工作，别的例如修复被感染文件等技术步骤和本文无关，在这也就不介绍了，有兴趣的朋友可以自己研究一下。 2.免杀分类免杀的方法有很多，无奈没见哪为朋友综合系统的介绍，也苦了小菜们求学无门，只好掏银子找“师傅”，所以我就自告奋勇站出来一次，不足之处还请各位高手多多包涵…… 我个人总结的免杀方法总共分两类，即主动免杀与被动免杀。一、主动免杀 1.修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符，并将其修改。 2.修改输入表：查找此文件的输入表函数名（API Name），并将其移位。 3.打乱文件结构：利用跳转（JMP），打乱文件原有结构。 4.修改入口点：将文件的入口点加1。 5.修改PE段：将PE段移动到空白位置