当前位置：首页 > 实用文档 > 其他范文> 超强穿透力攻破你的“壳”病毒防范

超强穿透力攻破你的“壳”病毒防范

时间：2022-04-29 11:06:45 其他范文收藏本文下载本文

“天使号角”为你分享5篇“超强穿透力攻破你的“壳”病毒防范”，经本站小编整理后发布，但愿对你的工作、学习、生活带来方便。

超强穿透力攻破你的“壳”病毒防范

篇1：超强穿透力攻破你的“壳”病毒防范

万物生存总要有一栖身之所，我们痛恨的病毒和木马也不例外，他们狡猾的躲避在“壳”中等待人们的探望，一旦激发将不可收拾，也许很多网友对程序加壳的概念还是很模糊，首先我来给大家简单介绍一下什么是壳吧。“在自然界中，植物用壳来保护种子，动物用壳来保护身体。同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务”（引用段钢先生编著的《加密与解密》第二版对壳的概念的解释）。

现在越来越多的程序都加壳保护了，给程序加壳的目的在于可以对软件达到压缩的目的，并且可以保护程序不被非法修改或反编译程序。而现在的病毒制造者把加壳技术用于病毒上，这就提高了杀毒软件对病毒的查杀难度。一个流行的病毒，本来杀毒软件可以查杀的，但是，给病毒加上壳后，杀毒软件就不一定可以查杀了。如果杀毒软件对病毒查不出来，那病毒的破坏目的就达到了。因此，判断一款杀毒软件的杀毒能力，其杀壳能力是相当重要的！光华反病毒软件经多年收集各种壳的详细资料和对各种壳的研究开发，目前已可以查杀各类壳多种，其杀壳能力在所有的杀毒软件是处于领先地位的。

以下是我随便收集了一些常见的壳对光华反病毒软件的杀壳能力进行评测：

UPX

ASPack

ASProtect

Krypton

PELock

PECompact

yoda’s Protec

√

光华反病毒软件对加上这些壳的病毒都能很好的识别并查杀，

当然，我只是列出了几种，光华反病毒软件能查杀的壳远不止这些。如果一款杀毒软件连常用的壳都不识别，那是很可怕的事情。比如一个木马客户端程序，利用常用的壳给程序加上壳让你的杀毒软件不可识别，从而达到它窃取资料的目的。而有的杀毒软件丝毫反映都没有，自己的资料被窃取了还不清楚呢，那是很可悲的。杀毒软件对壳的识别能力越强大，病毒的可乘之机就越小。这就增加了病毒作者利用病毒破坏的难度。当然，除了给病毒加壳之外，病毒作者还会通过修改病毒特征码来达到躲避杀毒软件识别而不被查杀的目的。这就需要杀毒软件的病毒特征库足够庞大了。光华反病毒软件通过十几年的积累，不断的收集病毒样本并不断扩大病毒特征库，病毒库样本从今年年初上市时的16万多种增加到现在的18万多种，成为目前世界范围内杀毒种类最为庞大的杀毒软件。目前光华反病毒软件能查杀已知病毒13万多种，木马、后门有害数据5万多种，可以解除 2000 余种壳，并对未知病毒的查处达到90％以上。

“壳”保护“种子”不受伤害，为其起着防护的作用。一些病毒很狡猾的藏匿于“壳”中，伺机出动侵害电脑系统及电脑硬件，只有穿透“壳”将其扼杀在摇篮里才能避免损失。病毒、木马的危害很大，经常是不经意中流入，无意间激活，所以防患于未然，在病毒、木马没有被启动之前发现并消灭它才是关键。光华反病毒软件，以最先进的技术率先将破“壳”量提升到2000余种，发现病毒即时提醒，彻底消除“壳”中病毒难以发现的困扰。

本着“科技使生活更快乐，科技使我们更安全”的宗旨，光华反病毒软件以坚定的信念服务于大众，为用户铸造一道坚强的信息安全防线，确保网络信息安全。登陆（http://www.viruschina.com）即可了解更多信息，并可下载免费试用版，立刻开始体验光华反病毒的神奇超强杀毒能力。

篇2：“暗黑拦截马”,隐藏在”壳”下的病毒病毒防范

近日百度安全实验室发现了一款使用爱加密加固技术进行加壳的病毒，该病毒会在后台静默启动，拦截用户收到的短信，并窃取用户的短信内容，手机号，IMSI号等信息发送给远程服务器。而目前很多用户的银行服务，支付宝等账号服务都绑定了手机号，很多支付，修改密码等操作的验证码都是通过短信直接发送到用户手机上的，一旦不法分子通过病毒获取到了这些信息，很有可能对用户的各种账号服务产生威胁，甚至会导致用户在金钱上的损失。

下面让我们来分析一下发现的这款加壳后的病毒样本。

该病毒安装后显示为Tel_SD，看起来像一个工具软件，为了增加用户删除病毒的难度，在运行后会激活设备管理器，而且在第一次启动后，病毒会隐藏其在启动界面的图标，使得用户无法轻易找到该病毒。

图1.安装后的病毒图2.运行时试图激活设备管理器

图3.运行后隐藏图标

图4. 手机系统中的病毒文件目录

首先，使用逆向工具对样本进行逆向分析，逆向后整个APK内的文件结构如下：

图5. APK内文件结构

在这里我们可以看到只有很少的代码文件。

再来看一下AndroidManifest.xml文件：

图6. AndroidManifest.xml

APK在脱壳前后的代码结构：

图7. 脱壳前图8. 脱壳后

在原始代码中，我们就可以找到在AndroidManifest文件中声明的组件了，

接下来我们对原始代码进行分析，发现此病毒恶意行为的主要流程如下图所示：

图9. 主要流程

后台服务静默启动并注册广播Reciever组件以及短信数据库更新监测组件的代码：

图10. BootReceiver代码片段

图11. CoreService代码片段

该病毒在后台拦截短信保存到数据库的同时，也会通过接收到的特殊短信命令来设置远程服务器ServerIP，下面是相关代码：

图12. SMSReceiver代码片段

后台静默发送信息到远程服务器的代码：

图13. CoreService中上传数据代码片段

综上，我们可以看出应用加固技术是一柄双刃剑，不但可以被普通的Android 应用开发者使用来提高那些正常APP的安全保障，也可以被不法分子利用，使得原来很容易被识别的病毒在被加固后无法轻易识别。百度安全实验室第一时间提供相关病毒信息给爱加密工作人员，目前爱加密已对该病毒上传者进行了调查。百度安全实验室提醒应用加固厂商，进一步完善应用风险检测，才能给用户提供良好的安全保障

篇3：告诉你木马生成器不能随便碰病毒防范

前一阵子，在论坛里看到一人，介绍他的盗QQ、游戏密码的木马，只要设置好E-mail的用户名及该E-mail的密码，就可以了，

告诉你木马生成器不能随便碰病毒防范

。是否知道这个木马是包含后门的?在你用它来帮你的同时，盗取的用户名及密码也都会发送给木马作者一份，而我们就是要利用嗅探工具来得到这个木马作者所用E-mail的用户名及密码。然后，来个“为民除害”。最后希望大家不要使用木马，不然害人的同时还会害己(有些木马还会盗取你的账号及密码)。

下面就以一款针对某网络游戏的木马来做分析，来看看如何得到木马中的一些“隐藏”信息。首先要准备的一些必要的工具：

①下载我们所需要的嗅探工具，解压后得到xsniff.exe;

②一个传奇木马软件，网络上有很多。

下面就来开始抓获这个木马中的谍中谍。

第一步：点击“开始→运行”，输入“CMD”(不含引号)，打开“命令提示符窗口”。

第二步：进入嗅探工具所在目录，输入“xsniff.exe -pass -hide -log pass.log”(不含引号)，这样局域网里的明文密码(包括本机)都会被记录到pass.log中。

第三步：下面打开该网游的木马，输入你的邮箱地址，点击发送测试邮件的按钮，显示发送成功后，再打开生成的pass.log文件(括号内的文字为注释，并不包含在pass.log文件中)：

TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 (前面的IP是发信人的IP地址，后面的IP是接收方的IP地址，PORT是指端口) USER: ZXhlY3V0YW50[admin] (USER是信箱用户名，前面的ZXhlY3V0YW50为加密的数据，后面[]内的为用户ID) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 PASS: YWRtaW5zdXA=[adminsup] (PASS是邮箱的密码，YWRtaW5zdXA=为加密数据，后面[]内的为密码) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 MAIL FROM: (类似于发邮件时的信息，指信息发送的目的邮箱) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 RCPT T <1@1.***> (测试信箱的地址)

第四步：现在我们已经知道了这个木马是使用admin@1234.***邮箱来发信的，用户名是admin，密码是adminsup，

于是，进入这个邮箱，删掉那些信吧。

第五步：不要以为这就结束了，木马是狡猾的，很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试，并对系统进行备份，以便还原)。

第六步：使用前面的命令，让xsniff开始嗅探，进入该游戏，随便申请一个ID，接着退出，再去看看pass.log文件。

TCP [04/08/04 19:20:39] 61.187.***.160->61.135.***.125 Port: 1157->25 PASS: YWRtaW5zdXA=[admin] TCP [04/08/04 19:20:40] 61.187.***.160->61.135.***.125 Port: 1157->25 MAIL FROM:

看到了吗?木马终于漏出了狐狸尾巴，用户名为admin，密码为admin，邮箱是为admin@12345.***，这个邮箱才是作者的后门程序，木马真正的后门。

第七步：最后，将该邮箱里的邮件清除，然后恢复系统。

篇4：当心你的手机中毒――手机病毒的剖析与防治病毒防范

手机病毒是病毒的一个分支，虽然其存在只有短短数年，但在将来很可能会随着3G的推广而大量涌现，

病毒类型：手机病毒

病毒目的：破坏手机系统，狂发短信等

手机病毒的始作俑者

我用手机的时间很长了，大概在上世纪90年代中后期就开始了。那个时候还没有手机病毒这个东东存在。为什么我敢这么肯定呢，因为我对最早的手机病毒记忆深刻。那是在6月左右，短信炸弹病毒在西班牙现身，向许多手机用户发送了骂人的短信。

当时，我才配了电脑没有多久，正忙着在电脑知识方面“充电”，听说这条新闻后，感觉该病毒的编写者无聊至极，尽做些损人不利己的事情。不过，短信炸弹病毒并不能算是真正的手机病毒，充其量就是一个流氓，偏爱手机的流氓。

病毒危害：中了手机病毒，轻则图标被窜改，某些程序不能运行，重则手机上的资料被删除，在机主不知道的情况下向电话簿中的所有用户发送带病毒的短信，造成系统变慢，甚至出现死机。可以说，手机病毒比PC平台上的病毒还要可恨一点，在它传播过程中会狂发短信让你破费。

蓝牙助病毒传播

在电脑上，碰到病毒并不稀奇，不过手机碰到病毒就真的很稀奇了。那年是，我换了带蓝牙的手机(Symbian操作系统)，美滋滋地带着它出差，有一天我发现手机特别的慢。

后来我才知道自己中了蓝牙恶霸病毒，一个通过蓝牙传播的蠕虫病毒，它会自动在蓝牙中寻找新的手机或其他设备，一旦发现猎物，就会发送病毒文件，所以我的手机不慢才怪。这个病毒是第一个真正意义上的手机病毒。

病毒原理：我们可以把手机当成一台袖珍的电脑，这样就容易理解为什么病毒也可以入侵手机了。由于手机中一些程序具备写入功能，病毒可以利用这个功能写入手机中，然后执行。需要注意的是，不同手机操作系统之间开放度不高(例如接口)，手机病毒很难通吃所有的手机操作系统，往往只对一个手机操作系统有效，例如Symbian等，

手机病毒的传播方式主要有三种，第一种是通过下载进入手机;第二种是通过恶意短信进入手机，例如移动病毒等;第三种是通过蓝牙进入手机，例如蓝牙恶霸病毒等。第二种和第三种传播方式是手机病毒用得较多的。

骷髅头霸占手机

此后，我就关闭了蓝牙功能，反正平时也用不上，真到用时才开就是了。提高安全警惕后，再也没有被蓝牙恶霸病毒骚扰过。不过，后来还是又栽了一次。那天我发现手机上的程序图标都变成了海盗的骷髅头标志，当时就一愣，难道手机被加勒比海盗攻陷了?

除了打电话，其他的功能，例如短信、彩信等都不能用了。请来了高手，才搞定了该病毒――手机，又从高手嘴中得知世上还有通信录盗窃犯、彩信病毒这样的手机病毒。我无比憎恨这些手机病毒。

小编点睛：手机病毒相对电脑上的病毒而言，还是非常少的，而且手机病毒的开发还比较“神秘”，很多并没有对它予以关注。但随着3G的到来，对此领域的关注也会增多，相应的手机病毒可能在今后会大量出现。目前国外已经出现了能直接盗取手机余额的病毒，手机病毒最终会走向为自己牟利的道路。

克制病毒方案

懂得处理手机病毒的人不是很多，如果你学会了克制手机病毒的方法，以后在为同事和朋友解决这类病毒引起的手机故障时，就会游刃有余。

方法1：使用杀毒软件

如果对手机病毒了解不多，最好安装手机版杀毒软件，安装的过程非常简单，跟安装其他手机程序差不多。安装好后(图1)，升级杀毒软件的病毒库信息到最新，点击“扫描”(图2)，等待扫描结果即可，剩下的操作跟电脑上的杀毒软件类似，就不多说了。

图1 图2

方法2：手动处理

在手机平台上缺乏一些安全辅助工具，所以手动处理手机病毒的难度较高，必须对手机系统非常熟悉才可以。先清除手机里面的短信，然后寻找病毒文件，这也是手动处理的难度所在，需要很丰富的经验。

小提示：如果手机系统已经不能正常运行，可以按以下方法处理：先将手机卡取出，接着将它插入其他手机中(新插入的手机型号最好不一样)，启动手机后，将卡里面所有信息删除即可。

篇5：实施D.I.C.E 决定你的最佳反病毒方案病毒防范

如果我们用PC工作，我们就必须对付永远也不会灭绝的病毒问题，它们不但会导致电脑“岩机”或死机，还会破坏我们的网络。它们可以从网络的共享文件夹中删除文件，感染其它的计算机，而且占有全部的网络带宽。因此，我们必须要使用某种反病毒方案，不过可选的余地太多了。要做出最佳的决策，我们就需要考虑各种参数，并且需要回答关于你对反病毒保护需要的特定问题。下面我们就描述这个所谓的D.I.C.E 。

困难（D-Difficulty）

几乎没有什么产品不存在某种类型的困难。如果你仅在一个客户端上实现标准化，你可能需要手工检查每一台电脑来对客户端进行核对。你可能还需要在一些计算机上安装客户端并且卸载其当前所安装的程序。你可能还需要训练那些拥有不同的客户端的用户，并且确信每一个客户端都进行了更新，并且还要确定如果发生病毒他们应该做的事情。

如果你要启用公司的反病毒服务器，通常从后端控制台就可以推动客户端的反病毒工作。许多更新的产品甚至允许你自动卸载PC上的任何老的反病毒产品。你还需要设置你的配置，以便所有的客户端都进行了更新，并且在病毒发生时各项程序都能到位。虽然从全局角度配置反病毒软件比起为一台客户端都进行配置要容易一些，不过你要更加仔细地考虑你配置的方方面面，因为你的设置会影响到每一个人。

投资（I-Investment）

如果你在企业中使用了反病毒软件，你极有可能需要为此支付金钱。虽然有几种不错的免费的反病毒解决方案可用，不过它们只供个人使用。企业版和个人版的成本是不同的。一般的客户端版本要比公司服务器可用的反病毒程序要昂贵得多。

不过，有部分成本你必须考虑，这绝不仅仅是一个初始的购买价格，而是你需要每年都需要为能够升级反病毒程序而花费的金钱。你必须要为更新反病毒程序付出代价，否则你就将计算机暴露给了那些没有针对其采取保护措施的新病毒。这种费用随着厂商而不同。一般说来，如果你购买了一个公司级的方案，厂商会告诉你每年应付的款项是多少。如果你正使用着现成的解决方案，你可能会在软件安装之后才能获知你每年应付的金额。

性能（C-Capability）

虽然每一个反病毒解决方案都向你提供了相同的基本性能（防护病毒嘛），不过很多方案可能会提供你感兴趣的额外的能力。如果你采用的是公司服务器级的方案，你会自动地授受这样一种方案：从一个中央位置配置和监视你全部的系统反病毒软件。此外，你能够从服务器将定期的更新分发到客户端，并确认它们正在被安装，

如果你使用本地的反病毒软件，你可能需要手动更新你的每一台电脑，或者训练你的用户这样做，而且相信他们会这样做。

你还必须考虑你的电子邮件的解决方案。你正感兴趣的反病毒扫描器与Outlook，Outlook Express，Foxmail，Thunderbird, Eudora等电子邮件客户端集成吗？那你的PDA和智能电话又如何呢？你需要为它们使用防病毒保护吗？需要考虑的另外一个因素是你正在运行的服务器产品。你需要在你的Microsoft Exchange server或者Netware上运行反病毒的保护吗？

从一个供应商那里找到一个统一的解决方案，来为你所有的系统提供保护可以为你带来极大的利益。通常情况下，你可以从与你的桌面客户端相同的控制台上控制你的服务器反病毒产品。此外，你的反病毒方案可能会附带有其它的应用程序。一般情况下，会包含某种形式的反间谍保护，不过，还会有许多其它的选项。现在的反病毒软件包还会包含防火墙、甚至反垃圾邮件方案等。

扩展性（E-Expandability）

你想要一个可以与企业一起成长的解决方案吗？虽然你可能还没有一个大型的服务器架构，你是否计划在未来几年增加几个呢？你的反病毒方案能够处理这种额外的负担吗？它能够保护你正在其上实施反病毒软件的服务器的操作系统吗?

那么这些服务器上的应用程序怎么办？你会在你的环境中增加新的PDA或者智能电话吗？如果你正使用一个本地的解决方案，你需要在什么层次上修改公司的方案？你打算用多长时间达到那种层次？本地的客户端还会为你服务多长时间？现在这项投资值得吗？

如果你需要一个具有扩展性的方案，以上这些都是你应该考虑的问题。

结束语

总之，围绕着选择反病毒方案，你需要考虑许多方面。你的企业花费一些时间和努力来选择一个恰当的方案是值得的。虽然部署一个反病毒软件看起来好像不需要什么学问，但对你的企业来说，你需要确保对其赋予恰当的优先权却是相当关键的。丢失一个重要的文件绝对不仅仅意味着你需要确认你为部署一个反病毒方案而花费的时间、金钱和努力。

关于D.I.C.E.框架

仔细观察上述的D.I.C.E.的框架，你会发现笔者并没有对这些要素进行重要性的排队。这是因为，决定哪一个方面是最需要关注和最需要的权力在于你自己。这是你在开始选择一个反病毒方案之前就应该决定的问题。一旦你有了自己的决定，你就可以按照对你有利的方式来实施这个框架

★ 求职信病毒