-
-
[旧帖]
[讨论][求助]机器狗和还原软件的因果
0.00雪花
-
发表于:
2008-11-18 10:14
4363
-
[旧帖] [讨论][求助]机器狗和还原软件的因果
0.00雪花
网上大部分人都分析过机器狗,并发表了不少关于机器狗运行流程原理的文章,但从来未提到防御机器狗?(今天,认真想了一晚,才明白[可能],所以写这编文章,想和大家讨论一下,找一下解决的方法)
我以前也得到过一份旧的机器狗样本,也分析过一下(驱动部分还没能力分析),大致流程:
1. 创建一个服务并启动服务。
2. 从自身释放出一个驱动文件,并加载。
3. 将要过滤(穿透)的文件写入。
以上都是针对(所有)“还原软件”和硬件。可能因为所有“还原软件”只不过也是利用了 Windows 低层的 API 来实现“文件过滤”,所以,机器狗也同样利用之。
驱动防火墙的方法没用吗?
没用!!!网上也没有对付机器狗的软件(不用试也知,所有杀毒软件也没法全识别)。
还有,我从网上找了一些驱动的代码,做了一个和驱动防火墙相关的驱动(定义了一些网吧环境和游戏加载的驱动,其它的驱动一概阻止加载驱动),但发现,我上面提到的样本可以被我自已做的驱动拦截下来,但今天发现网吧里有一台机还是让机器狗穿透了(还不知为什么?)!!!真不知它如何过的(它不可会终止我做的驱动再加载的),请高手解释下,还有什么方法加载驱动?
我觉得最好的方法是阻止机器狗运行,不能运行就不能加载驱动来穿透了吧?
但因为有加密、加壳、加花等等,又变成没法分析病毒指令了(如:杀毒软件没法识别病毒和误报)
难道机器狗的方法能用一世吗?
只要有所谓的“还原软件”,就有可能?这就是因果吧?
[课程]FART 脱壳王!加量不加价!FART作者讲授!