El mejor entre los virus difíciles de matar

Primero, cierre todos los programas irrelevantes. Luego, comenzamos a verificar el proceso actual. ¿Cuál es el proceso actual? ¡El proceso actual son todos los programas que se están ejecutando! Verificar el proceso actual es verificar el programa que se está ejecutando actualmente. ¿Si hay un programa desconocido? Puede ser un caballo de Troya, porque los caballos de Troya suelen existir en forma de programas.

¿Cómo ver el proceso actual? Utilice herramientas profesionales; de lo contrario, presione las teclas Ctrl + Alt + Suprimir al mismo tiempo para abrir el Administrador de tareas y verificar.

¿Qué tipo de programa es un programa desconocido?

Aquí me gustaría enfatizar nuevamente que es muy importante encontrar un visor de procesos que pueda firmar digitalmente los archivos de proceso; de lo contrario, no podrá saber si un proceso es sospechoso ni el nombre del archivo. por sí solo no es suficiente.

Si un proceso no es un proceso del sistema o un proceso de un programa que estás ejecutando, es lo que llamamos un proceso sospechoso. (Aquellos procesos que no pueden pasar la verificación de firma digital son procesos que no pertenecen al sistema)

¿Qué debe hacer si encuentra un proceso sospechoso? ¿Matarlo y eliminarlo?

No, no lo mates ~ Hay tres razones para no matarlo:

1. Es difícil predecir cuáles serán las consecuencias de matarlo, si es así. interactuar con otros programas o controladores del kernel Interacción del programa, si lo elimina, es probable que sea un suicidio, lo que provocará que el sistema falle.

2. Elimínelo y elimínelo, pero no elimine los elementos de inicio que escribe en el registro. De esta manera, cada vez que encienda la computadora, seguirá intentando cargar el programa. el archivo ha desaparecido, no puedes dejarlo ir. El troyano se ejecuta, pero cada intento de carga lleva tiempo, lo cual es una de las razones por las que el sistema se ralentiza.

3. Finalmente, la detección anterior por sí sola solo puede mostrar que este proceso es un proceso sospechoso, pero no puede confirmar que sea un troyano, por lo que si lo elimina ahora, probablemente sea un homicidio involuntario ~

¿Qué debemos hacer en este momento? La respuesta es ignorarlo, encontrarlo, anotar el nombre del archivo y luego ignorarlo por el momento.

¿Qué pasa si no se encuentra?

Esto significa que su máquina probablemente esté limpia y libre de troyanos.

Alternativamente, el troyano es un troyano que oculta procesos o un troyano sin procesos.

Entonces, ¿cuál es el tipo de ocultamiento del proceso?

Primero, conozcamos algunos de los métodos utilizados por los troyanos para ocultar procesos~

Los métodos actualmente populares para que los troyanos oculten procesos son los siguientes:

0 Ocultación primaria, busque la subventana de enumeración de la ventana del Administrador de tareas, busque la lista de procesos que figuran en el cuadro de lista y escriba sus nombres en guiones. Esto se puede encontrar con herramientas profesionales generales.

1. Ocultación intermedia, HOOK Win32API filtra su propio proceso. Siempre que sea una herramienta de gestión de procesos a nivel de controlador, básicamente puedes encontrarla.

2. Ocultación intermedia y avanzada, HOOK SSDT NtQuerySystemInformation, filtra el proceso de montaje y las herramientas a nivel de controlador con función de recuperación SSDT pueden verificar.

3. El segundo ocultamiento avanzado, INLINE HOOK SSDT, filtra su propio proceso, restaura INLINE o enumera directamente la cadena de procesos a verificar.

4. Ocultación cuasi avanzada, elimina su propio proceso de la cadena de procesos activos y puede ser verificado por herramientas basadas en la tecnología de detección de listas vinculadas de programación de subprocesos.

5. Ocultación avanzada, omitiendo la lista vinculada de programación del kernel para ocultar el proceso, las herramientas de detección basadas en la tecnología HOOK-KiReadyThread pueden verificar.

Para procesos ocultos, utilice herramientas de detección con las funciones correspondientes para verificar ~

Por supuesto, no tenemos que rogar por nada para encontrar el proceso troyano oculto. De lo contrario, cuando no haya ningún troyano o no haya ningún proceso, simplemente continúe con el siguiente paso de la verificación.

Debido a que la inspección de procesos es solo uno de los métodos de inspección, el hecho de que el proceso troyano no pueda verse ni eliminarse no nos impide eliminarlo.

Bien, no importa cuál sea el resultado de la verificación del proceso, comenzaremos el siguiente paso de la verificación, ¡la verificación del módulo!

Consulte la imagen a continuación:

La imagen a continuación es el diagrama de verificación del proceso (utilice principalmente los resultados de la verificación de la firma digital y el nombre de la ruta del archivo como auxiliar para juzgar). El proceso del software antivirus de Rising no es un proceso del sistema, pero a través del nombre del archivo y la ruta, podemos saber que este es el programa de control principal de Rising Jaja, no seas terco, tienes que juzgar desde muchos aspectos ~^-^. ):

Capítulo 2: Módulos

¿Qué es un módulo? Un módulo es un módulo funcional especial con una u otra función, y su manifestación externa suele ser un archivo de biblioteca de vínculos dinámicos (extensión .dll) o un archivo de complemento (extensión .OCX). Las aplicaciones cargan estos módulos para proporcionar una funcionalidad específica al programa.

Así como nuestros televisores pueden recibir más programas después de agregar una antena parabólica, la antena parabólica en sí es independiente del televisor, pero una vez que el televisor usa una antena parabólica, puede proporcionar programas adicionales para la función de televisión. . La antena parabólica es relativa al televisor, del mismo modo que el módulo lo es al programa.

Cada proceso tiene módulos que van desde unos pocos hasta cientos, y cada módulo tiene su propio propósito específico. Por supuesto, si un módulo es un troyano, también tiene su propio propósito troyano.

Cuando la verificación de procesos se hizo más popular y sofisticada, los fabricantes de troyanos comenzaron a crear troyanos sin proceso, es decir, el troyano aparecía como un módulo de modo que no existía en la lista de procesos. No importa cuán avanzadas sean sus técnicas de detección de procesos, no podrá detectar la presencia de un módulo troyano.

En un ordenador puede haber decenas o decenas de procesos, pero hay cientos de módulos. Un aumento en el número aumentará la dificultad de detección.

La herramienta de detección aún debe tener la capacidad de verificar firmas digitales; de lo contrario, será demasiado agotador seleccionar manualmente los troyanos entre cientos de archivos de módulos~ (verificación del módulo troyano, vea la imagen a continuación)

¿Qué debo hacer si me entero?

Jaja, un amigo encontró este problema la última vez y utilizó una desinstalación violenta para eliminarlo.

¡La respuesta sigue siendo no!

No desinstales ni elimines violentamente~~~¿Cuál es el motivo? No mencionemos las razones por ahora. Primero comprendamos el mecanismo de inicio del módulo troyano y luego expliquemos por qué no debemos desinstalarlo y eliminarlo violentamente.

Los troyanos de módulo se dividen en dos tipos: uno es de carga estática y el otro es de inyección dinámica.

La carga estática consiste en registrar el archivo troyano con un determinado valor clave en el registro, de modo que el sistema cargue automáticamente todos los módulos registrados en este valor clave al iniciar o ejecutar un determinado programa, logrando así el propósito de Caballo de Troya ingresa al programa y lleva a cabo sus actividades ilegales. (Las claves en el registro que se pueden cargar para el registro del sistema se explicarán más adelante en la verificación del elemento de inicio)

Carga dinámica, este tipo de troyano es el llamado troyano de inyección de proceso y su implementación no requiere Solo hay un archivo de módulo, también es necesario que haya un inyector que inyecte el archivo de módulo en el proceso. Primero, el inyector se iniciará y luego inyectará el módulo troyano en otros procesos. Una vez completada la inyección, el inyector dejará de ejecutarse, por lo que aún no podrá ver el proceso.

Ahora entiendes por qué no puedes desinstalarlo y eliminarlo violentamente, ¿verdad?

Después de una desinstalación y eliminación violenta, si el módulo se carga estáticamente, aún quedará una entrada en el registro. Cada vez que se inicie la computadora o se ejecuten programas relacionados, el módulo aún se cargará de manera compensatoria. Si hay demasiados módulos, el sistema funcionará más lento.

En el caso de la carga dinámica, lo único que desinstalas y eliminas es el módulo troyano, pero el programa inyectado sigue en tu ordenador. Si el troyano está diseñado correctamente, debería hacer una copia de seguridad de los archivos del módulo, de modo que cuando inicie la máquina nuevamente, encontrará que los archivos del módulo que eliminó violentamente están nuevamente en su máquina y nunca podrá eliminarlos limpiamente. . Si el diseño de este troyano no es razonable o es más cruel, entonces sólo Dios y el creador del troyano saben lo que sucederá~~ -_-!

En otras palabras, no se puede eliminar violentamente, entonces, ¿qué debo hacer? Como en el proceso, copie la ruta y el nombre del archivo del módulo y luego comience el siguiente paso de verificación, ignorándolo por ahora.

Los troyanos de inyección de subprocesos solo inyectan un fragmento de código en el proceso y no existen archivos. Aunque puede ver cada subproceso de cada proceso, no es imposible saber qué subproceso es el troyano, pero es casi imposible. Lo que encontraste es un experto de muy alto nivel, no yo. Mire la segunda imagen a continuación, que es la lista de subprocesos de EXPLORER.exe.

(Por cierto, esta imagen es una captura de pantalla de ProcessExplorer, que es una herramienta de gestión de procesos muy famosa y muy buena. Puedes descargarla aquí: www.sysinternals.com)

¿Qué pasa con este troyano de inyección de subprocesos?

Afortunadamente, los troyanos de inyección de subprocesos también necesitan un programa de inyección para funcionar en conjunto. Nos resulta difícil encontrar el subproceso, pero es mucho más fácil encontrar su programa de inyección.

Ahora, independientemente de si encuentra módulos o subprocesos sospechosos, tenemos que comenzar el siguiente paso, que es la inspección de elementos de inicio.

Capítulo 3: Proyectos de Autoinicio

¿Qué es un Proyecto de Autoinicio? Un elemento de inicio automático significa que una vez registrado el programa, se registra en algún lugar del sistema. Cada vez que se enciende la computadora, el sistema ejecutará automáticamente el programa. Los elementos registrados por el programa se denominan elementos de inicio automático.

El troyano no estará dispuesto a ejecutarlo solo una vez. Si quiere instalarse en su computadora, debe ejecutarse cada vez que lo encienda, para lograr el propósito de autoprotección y normalidad. Trabajo troyano.

Generalmente, los troyanos tendrán uno o más elementos de inicio automático, lo que se ha convertido en un paso necesario para encontrar troyanos. (

Es muy crítico e importante encontrar los elementos de inicio automático de los troyanos, y los requisitos para las herramientas también son muy altos.

¿Cuántos lugares del sistema pueden ejecutarse automáticamente? ¿Sabes? Todo lo que puedo decir es que hay muchos, así que estoy buscando una herramienta que pueda verificar todos estos lugares, y estoy buscando un par de estos para que cuando los combine, debería ser suficiente verificar todos estos lugares. Ni siquiera puedo afirmar que tenga una lista completa de todas las ubicaciones de arranque en el sistema. Por lo tanto, el primer requisito para un verificador de arranque es ser completo. /p>

¿No es suficiente? También debería tener una firma digital. De esta manera no solo nombrará un archivo del sistema.

Además, existe la posibilidad de detectar elementos de inicio ocultos. Primero eche un vistazo a la técnica del troyano para ocultar elementos de inicio:

0, los troyanos no están ocultos, solo buscan lugares para esconderse. En cuanto a los elementos que enumeran, depende de la utilidad utilizada. /p>

1. Los troyanos están ocultos en el nivel de la aplicación y ENGANCHE Win32API. Con la función de enumeración del registro relacionada, dicho troyano es muy fácil de detectar y cualquier programa de detección a nivel de controlador puede hacer el trabajo. p>

2. El troyano está oculto en la capa del núcleo y engancha SSDT. Dicho troyano no será detectado por la gente común. No, debe encontrar un programa de detección profesional para restaurar SSDT. > 3. El troyano está oculto en la capa del núcleo y es muy descarado. Engancha en línea la mayoría de las funciones de servicio de dichos troyanos. Ninguno de los programas funcionará. restaurar INLINE-HOOK

4. Oculte el troyano en la parte inferior y use el método de firma para encontrar la capa inferior de INLINE-HOOK que no es revelada por Microsoft. Funciones como las funciones de la serie Cm*. , es difícil encontrar un troyano de este tipo más allá de los programas de detección subyacentes, como los métodos de escaneo de archivos HIVE o las herramientas subyacentes especializadas para restaurar INLINE-HOOK.

Se pueden encontrar estos cuatro métodos de ocultación. para el uso de software malicioso o troyanos ~, así que no se arriesgue y piense que los troyanos no utilizarán esta tecnología avanzada. Por lo tanto, es mejor usar varias herramientas para verificar los elementos de inicio juntos, sin importar cuán poderosa sea la función. Por lo general, no es lo suficientemente completo. Oye, tal vez los maestros sean vagos ~

Está bien, comencemos a verificar ~ Primero HOOK, INLINE-HOOK, luego el primero va a HOOK, el primero va a HOOK. , el primero Vaya a HOOK, primero a HOOK, primero a HOOK, primero a HOOK

Lo primero que debe hacer es restaurar HOOK, INLINE-HOOK y luego ejecutar la herramienta para comenzar a verificar. .

Teniendo en cuenta los módulos y procesos sospechosos que encontramos anteriormente, esto es lo que haremos y compararemos los lanzamientos de esos módulos y procesos para ver si hay algún lanzamiento de esos módulos y procesos.

Bien, haga una copia de seguridad del registro y elimine los elementos de inicio. ¿No puedes eliminarlo? ¿Olvidaste restaurar HOOK? Una vez restaurada, abra el editor de registro y vea si tiene permiso para eliminar la clave. Haga clic derecho en la clave que desea eliminar, seleccione permisos y luego seleccione "Control total" para eliminarla. por diversión. Es un engaño.

Después de borrarlo, ¿todavía lo tienes? Tienes dos opciones, una es finalizar el proceso y desinstalar el módulo para que pierda la capacidad de reescribirse. El segundo es habilitar la función "Bloqueo del sistema" para bloquear temporalmente el sistema y no permitir que ningún programa escriba en el registro. Llegados a este punto, eliminarlo no será un problema.

Después de la eliminación, reinicie su computadora.

¿No anotaste los procesos y módulos sospechosos? Verifique nuevamente para ver si todavía están allí. Felicitaciones, el troyano ha sido eliminado.

¿Sigues ahí?

Oh, no tengas miedo. Si todavía está allí, demuestra que no has eliminado completamente sus elementos de inicio. Las posibles razones son:

1. el mecanismo de activación del gatillo.

2. También cuenta con otros mecanismos de protección, como programas ocultos o controladores;

A continuación continuaremos analizando el troyano de inicio activado~~~

Capítulo 4: Troyanos activados

Mencioné anteriormente los métodos generales para eliminar troyanos. Mediante los métodos de eliminación anteriores, la mayoría de los troyanos se pueden eliminar. (Olvidé escribirlo la última vez. Si el troyano no se puede iniciar después de reiniciar, el siguiente paso es, por supuesto, eliminar todos los archivos troyanos escritos)

Luego hablé sobre cómo activar el troyano. ¿El significado troyano? Activar un troyano significa que cuando realiza una determinada operación, el mecanismo de inicio del troyano se activará para iniciar el troyano. Si nunca realiza esta operación, el troyano nunca se iniciará. Generalmente, los troyanos se inician y ejecutan automáticamente, y las herramientas de verificación de seguridad y el software antivirus verifican principalmente los elementos de inicio activos del troyano. Por ejemplo, cuando verifican los elementos de inicio automático, verifican la ejecución automática y activa después del inicio. Sólo hay unos pocos elementos comunes que pueden desencadenar comprobaciones de inicio de troyanos, pero hay muchos lugares que desencadenan operaciones de inicio de troyanos. Esta es la razón por la que es difícil detectar y eliminar dichos troyanos.

El rendimiento fue que después de la eliminación, el sistema estaba normal en ese momento y la máquina también estaba muy limpia cuando se revisó nuevamente. Sin embargo, poco después, el troyano resurgió y reapareció.

¡Ahora empezamos a cazar a estos tipos difíciles!

Cabe señalar que para que la discusión sea clara y fácil de entender, se analizan por separado. Por supuesto, el asesinato en sí también se puede llevar a cabo en conjunto. Este es un archivo de configuración. Mire el nombre. ¿Se traduce como "ejecución automática"? Sí, se utiliza para la reproducción automática del CD durante el uso normal. el sistema ejecutará automáticamente el programa Autorun.inf especificado en.

Más tarde, algunas personas lo usaron para discos duros, y cuando colocaron los archivos en el directorio raíz de la partición del disco duro, hicieron clic derecho en la unidad de disco y descubrieron que la acción predeterminada era "Reproducción automática". en lugar de abrir. En este punto, si hace doble clic en la unidad de disco, ya no se abrirá ni explorará la carpeta, sino que ejecutará directamente el programa especificado (también debe cambiar en algún lugar del registro, porque no tiene nada que ver con nosotros, por lo que No hablaré de antivirus, para no darles a los malos la oportunidad de aprovecharse).

Si utiliza la eliminación violenta para detectar virus troyanos, si el archivo Autorun.inf sigue ahí después de eliminar el programa, habrá secuelas, como no poder hacer doble clic para abrir el disco. (Por cierto, Panda Shaoshao usa este activador combinado con el elemento de inicio automático)

Dado que al hacer doble clic en el disco se iniciará el troyano, al verificar, haga clic derecho y seleccione "Abrir". O véalo en el Explorador, búsquelo y haga clic en él. "Compruébelo y elimine el archivo después de encontrarlo.

Por lo general, este tipo de archivo aparecerá como un archivo oculto y algunos más maliciosos "agregarán monitoreo y reescritura en el registro" para proteger. los archivos ocultos, una vez que cambie el sistema a "Mostrar todos los archivos", inmediatamente volverá a ser "Archivos ocultos". Cómo deshacerme de esta protección de reescritura del registro, ya lo escribí en la publicación anterior. entra en detalles aquí.

Otro disparador es modificar la asociación de archivos. ¿Qué es una asociación de archivos? La asociación de archivos se refiere a la correspondencia entre un tipo específico de archivo y un programa específico. Debes saber que existen infinidad de formatos de archivos en nuestro sistema, como por ejemplo: archivos de imágenes (extensiones .bmp .jpg .gif, etc.), archivos de música (mp3 mp4, etc.)… Cuando hace doble clic en una imagen, el sistema llamará al programa de visualización para abrir y mostrar la imagen en lugar de llamar al reproductor para que reproduzca la imagen. ¿Por qué el sistema sabe que debe llamar al programa de visualización en lugar de llamar al reproductor? Esto se debe a que existen asociaciones de archivos. En el registro, los archivos de imágenes están asociados con programas de visualización. En consecuencia, los archivos de música están asociados con reproductores. De esta manera, el sistema sabe qué programa debe llamarse para abrir qué archivo.

Lo inteligente es que ya sabes cómo los troyanos usan asociaciones de archivos para activarlos, ¿verdad? Sí, el astuto troyano cambia la asociación de archivos asociados con un tipo específico de archivo. Una vez que abra este tipo de archivo, activará el inicio del troyano. Cuando se inicia el troyano, llamará al programa asociado normal, por lo que el archivo se seguirá abriendo normalmente y no sabrá que su operación ha iniciado el troyano.

¿Qué asociaciones de archivos cambiará el troyano? Ejem, no lo sé, sólo Dios y el autor del caballo de Troya lo saben.

¿Cuántas asociaciones de archivos en el sistema cambiará? Si abre el Editor del Registro y observa las subclaves debajo de la primera clave, encontrará que hay miles de ellas.

¿Cómo comprobarlo?

Generalmente, los troyanos cambiarán las asociaciones de algunos archivos que utiliza con frecuencia, como archivos de texto, archivos de programa, páginas web, etc. Hay muchos programas o archivos de exportación de registro en Internet que pueden restaurar estas asociaciones de archivos comunes.

Pero este tipo de verificación obviamente no es suficiente. Si usted es el autor del troyano y sabe que estas asociaciones de archivos comunes serán verificadas y restauradas, ¿aún así modificará estas asociaciones? En realidad no, porque tienes muchas opciones. Por ejemplo: elija modificar la asociación de archivos .rar. Este tipo de archivo es un archivo comprimido. Muchos programas de descarga proporcionados en Internet existen en este formato de archivo, por lo que la probabilidad de que los internautas comunes abran archivos comprimidos y los restauren. dichos archivos El programa asociado casi no tiene ningún efecto, porque el resultado directo de la recuperación es que el archivo comprimido no se puede abrir, porque el autor del programa de recuperación no es un dios y no sabe qué software de compresión está utilizando. Él no sabe qué software de compresión está utilizando ni dónde está instalado su software de compresión, por lo que no lo restaurará por usted.

De esta manera, siempre que abra el archivo comprimido, el troyano se activará. Si el archivo asociado con el troyano es un programa oculto, es porque el programa oculto no tiene las características de un programa oculto. virus, escanear el archivo completo no hará que aparezca el virus. Fue descubierto, encontró y eliminó la fuente de lanzamiento de este programa, pero la fuente todavía está allí. De ahora en adelante, el troyano se convertirá en su pesadilla persistente ~ (Acerca de. el programa sombra)