议题作者:网络幽灵
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com)
现在的木马大多是DLL注入和EXE注入,相对来说DLL注入类的内存特征码的查找比EXE简单,EXE注入的内存特征码很难找,CCL在这种代码注入的情况下根本不起作用,到现在我找FLUX的内存特征码已经找了好久了都没有结果当然其它方法我也试过了。希望你们有更好的方法……
先说下FLUX吧,玩过的人应该都知道。FLUX的服务端有两个进程,一个远程连接进程和一个守护进程,先说第一个进程:
生成的服务端可以插入IE和MSN,还可以插入指定程序,这个插入是与远方建立连接,有个特点--只要是插入IE,瑞星的内存就报警,内存虽然杀掉了但是文件没杀掉,下次照样启动,内存当然还是报警。在这里为了躲过瑞星内存我不插入IE,只要不插入IE就可以过瑞内,我选择插入realsched.exe,正常上线,这个进程不被杀。
下面要说的是重点,FLUX的服务端的守护进程,这个进程是默认插入explorer.exe,并且一直守护着服务端文件,只要FLUX运行了,你就删不掉它,连咔吧也奈何不了它,你删了它有出现了,安全模式下也删不掉,除非结束explorer进程再删,当realsched.exe被结束,一会就又启动了。所以瑞星盯这个盯得特别紧,当然也是在内存中报警了。
回顾以下FLUX的服务端是写入两段代码到两个进程,复制到第一个自己指定的进程中可以避免杀毒软件的内存报警,但是第2个进程不能自己指定,想过杀毒软件的内存追杀有两方法:
(1)可以让它注入其它进程使它做守护进程,比如说svchost就不错,用OD打开查找到explorer改成ssvchost(为了可以使它插入这个进程,此处的ssvchost.exe是将一个程序改名的文件,放在explorer同一目录并运行,在任务管理器中可以看到,配合explorer.exe文件字数都是12),结果还是插入explorer,好象要在汇编中改,但是我汇编很差,改不了,希望有人能指点指点。
(2)找它注入的特征代码,在
www.vxer.cn论坛里发了找这种木马的特征码,CCL作者说了几种方法,如在内存中用如LordPE专业的dump工具dump下来找特征码,但是我dump下来之后,此时已经肯定fulx运行了,但瑞星不杀,此法不行。我用WHEX将内存中的explorer直接另存为也不行,内存中直接修改explorer添00,出错,无法修改。
这里引用CCL作者的话:
===============================================================
winhex在文件中填0后可能就运行不了了。
这样,将FLUX入口处的代码改为
push INFINITE
call sleep
然后一运行不就停止了吗。这时先用内存查一下,如果报警,就用winhex分段填0试。
如果运行后内存查不报警,这招就不行了,其实就是想办法让他运行后停住,这样填0不会报错
=========================================================================
似乎很明白,但是理解不透,还是改不了。当然除了上面的方法还有其它方法,可能有人知道怎么改,但是都没有公布方法,在这里只讨论技术,怎么查找exe注入型木马的病毒特征码。在
www.vxer.cn论坛依然没解决,好久了,可能斑竹忙吧。下面是FLUX服务端运行时调用的API
(1)API 函数调用“CreateProcess”已被成功截取。
命令行参数为“"C:\Documents and Settings\Administrator\桌面\复件 flux-server.exe" ”。
(2)API 函数调用“WriteProcessMemory”已被成功截取。
此项用以修改其它程序的虚拟内存且可能改变其性能。
(3)API 函数调用“WriteProcessMemory”已被成功截取。
此项用以修改其它程序的虚拟内存且可能改变其性能。
(4)API 函数调用“CreateRemoteThread”已被成功截取。
此项允许程序执行其代码于另一程序上(DLL注入)。--->注入explorer.exe作守护进程
(5)API 函数调用“CreateProcess”已被成功截取。
命令行参数为“"C:\WINDOWS\system32\comine.exe"”。
(6)API 函数调用“CreateRemoteThread”已被成功截取。
此项允许程序执行其代码于另一程序上(DLL注入)。--->创建通讯进程
(7)API 函数调用“CreateRemoteThread”已被成功截取。
此项允许程序执行其代码于另一程序上(DLL注入)。
在这里提出,希望能找到解决的方法。
