一种绕过病毒"逻辑锁"的策略
来源:互联网 发布:淘宝老年男模特沈老师 编辑:程序博客网 时间:2024/05/21 17:16
张良计
一些批处理病毒一旦运行起来就会篡改扩展名关联,几乎所有的常用二进制加载扩展名都被控制.杀软和工具无法运行也就没办法将之解决.病毒正是通过一套较为完备的”逻辑锁”将用户的电脑控制在自己手中
作为一名公共计算机维护人员,我多次与这种病毒遭遇,之前我遇到它们会尝试着一个或者现场制作一个PE引导U盘,然后运行一些PE下的杀毒软件,但效果通常不佳.特别是当一个远程用户发来求助的时候,我通常会让对方确认C盘下是否有非常重要的资料特别是桌面.如你所知,桌面(Desktop)在很多普通用户眼中并不认为重载系统会丢失它.待用户确认他们没有重要文件在C盘和桌面下然后还原或者系统.
你要知道重载或者还原系统其实是一种极端的处理方式,它通常用来针对一些非常强大的病毒.为什么在这里我们必须使用它呢?究其原因在于批处理病毒完善的”逻辑锁”,请谅解我用”逻辑锁”来称呼这种机制,这个词在Dos时代被用来描述一种对Dos读磁盘机制BUG的利用.关于批处理病毒的逻辑锁你可以参考这里浅谈Win32程序逻辑锁.
它们拦截了所有我当时所知的能够“反败为胜”的扩展名,以至于我不能以当时所知的方法运行任何工具,最终只能为该机器重装系统。它劫持了扩展名,这种劫持虽然简单但是行之有效,它将能复原扩展名的方式在逻辑上进行了封堵。这就是一种“逻辑锁”,即使你有强兵利器,你不能将其运转,对于病毒而言同样是废铜烂铁。
过墙梯
在不断的发展中批处理病毒逐渐封堵了exe,com,src等几乎所有潜在威胁后缀名.在这里我们通过vbs内嵌工具搞定它,通过将工具的二进制代码内嵌到vbs中,绕过扩展名加载机制的阻拦.
你需要将你自制的vbs文件放在一个干净U盘中然后在新的计算机运行它,它能帮助你把内嵌的安全工具运行起来.当然你需要先关闭你计算机上那些已经无法正常工作的杀软,它们可能把我们内嵌文件当成病毒干掉.
这个灵感来源于一个名叫:fuck girlMagazines +18 (3).vbs的脚本病毒,它在大学的机房被发现.这是该病毒样本
- 一种绕过病毒"逻辑锁"的策略
- ajax请求绕过同源策略的实现
- 手动删除病毒的策略
- 一种新型的绕过XSS防御的方法
- “winjava.exe”病毒的一种解决办法
- 获取id 的一种策略
- 绕过 KIS 7 防火墙的一种简单方法
- 绕过 KIS 7 防火墙的一种简单方法
- 一种绕过全局钩子安装拦截的思路
- 绕过问题也是一种能力--记一次接口的问题
- 绕过浏览器相同来源策略的一些方法
- 在开发机上绕过Chrome同源策略的办法
- 三值逻辑的一种实现
- 一种改进的逻辑斯蒂回归
- 绕过selinux权限一种方法
- 一个简单的逻辑备份策略学习
- SAP MRP 消耗的策略及逻辑
- 简单的逻辑备份策略expdp
- oracle 索引类型
- JS实现带格式的复制到剪贴板
- Error: Cannot retrieve metalink for repository: epel. Please verify its path and try again
- OpenCv学习笔记——OpenCV捕获视频
- c#中 foreach 用法
- 一种绕过病毒"逻辑锁"的策略
- 从小到大排序
- Longest common subsequence
- 查看程序中的句柄信息
- [学习总结]5.11—5.17
- openCV图像处理笔记
- application/vnd.android.package-archive到底是什么
- 解决Sybase数据库死锁的方法
- Leetcode 17 Letter Combinations of a Phone Number