病毒的常用技术-发文于2013-9-16

病毒常用技术行为:

自保护，系统启动项，IE工具条，系统可执行挂钩（我理解inline hook系统dll），IE首页，系统服务，BHO插件，映像劫持，系统外壳，屏保，调试器，输入法注入，winsock lsp，打印机

，证书相关，组策略相关，创建进程，结束进程（通过查找窗口或类名，进程名），创建服务或者驱动服务，启动驱动服务，写进程内存，操作内核内存，创建远程线程，加载驱动，消息钩

子自防护，操作物理内存，创建符号链接，操作物理磁盘，knows Dll，操作线程APC，操作线程上下文(SetThreadContext)，消息钩子，句柄自防护，进程自防护，线程自防护，窗口自防护

，管道自防护,

自己添加：

打开时清空内容，修改DACL打不开文件夹，释放pe文件，感染pe文件，自己启动wuauclt等系统文件写入进程运行代码(傀儡进程)，启动cmd或WScript运行脚本，关闭杀软防火墙安全中心等注

册表键，绑定开端口，连接url，下载者下载文件，修改注入url或者页面内容，远程溢出漏洞shellcode，IRC及Bot命令，截屏及远程控制操作注册表命令行等，ddos及arp大流量，反调试，

虚拟机检测，多态变形加密，隐藏在图片视频等中，最小化正常窗口伪造假客户端，读其他进程读qq号等敏感信息，键盘按键记录，开启定时器做上面操作，cookie stuffing，call pop重定

位，禁用任务管理器注册表等，wmi操作注册表(修改dns)，

病毒感染技术简单总结：

病毒种类：    引导型（写MBR），寄生感染(代码添加到宿主头和尾部)， 插入式（在宿主中间找cavity空字节）和逆插入式感染(宿主程序插入病毒中间)，   链式感染，   破坏性感染，  

       滋生感染（同名com，exe的劫持），       没有入口点感染(改中间代码，类似inline hook或者修改中断tsr)，         零长度感染(改空字节,压缩原文件)，病毒基础技术：     

重定位(call pop)，  动态获取DLL地址(线程初始化通过esp堆栈指针拿ExitThread地址，遍历seh获得异常处理函数，    通过peb的PEB_LDR_DATA三种方式获得kernel32.dll基址),动态获取

API地址(函数名加密)，

弄清几个问题：

绕过主防样本的分析，需要考虑下面6个问题：

对于简单的病毒木马，可以用ida,od跟到. 动态解密的现在使用火绒，api mon，xuetr跟踪病毒行为，这个容易

漏掉行为，跟踪不全。要去解密病毒，静态分析解密后的病毒，看是否有绕过主防的行为，提取出需求。针对这个，需要

做六点。

1. 总结已经有的木马的各种隐藏，注入技术。常用隐藏点，比如隐藏在图片，视频的实现方式。

   注入explore等系统进程的常用方式。  如果在分析样本中发现了新的注入点，添加到主防过滤中。

2. 总结常用病毒多态变形技巧。即使用行为跟踪找到某种绕过行为，也需要分析解密病毒代码，看实现方式。     帖子没看完。 ----做了网络行为，远控的总结，提取网络需

求 ----修改主防代码，统计绕过弹窗。

3. 常用的病毒木马反调试的技巧，虚拟机检测逃逸的技巧，避免在 VMWARE虚拟机里执行时，检测到虚拟机，行为改变。这种

   带有反调试，逃逸的病毒更有可能含有绕过主防的高质量代码。   

4.总结分析PE病毒的一些常用分析技巧，分析步骤。  

5.总结病毒常用的VirtualAlloc分配内存，解密shellcode，然后执行的加解密算法，今天分析的小军的样本，和上周的av4.exe注入都是动态

  解密执行，后面的很可能大部分都是。

6.如果病毒加了壳，简单的壳或者vmp，themida等。目前是直接报毒，这种病毒只能看行为。后面有时间的话，脱下简单的壳.  

 

1.进程注入：

AppInit_DLLs注册表，dll劫持(ComRes注入)，SetWindowsHookEx，CreateRemoteThread(注入service)，APC注入(线程附加，文件异步打开),输入法注入，劫持进程创

建,ShellExecuteHooks,lsp\spi 注入网络，bho，输入表加函数，---DXG方式注入使用DirectX的进程---，修改KnowDLLs的Section注入，通过LoadImageNotifyRoutine修改导入表注入，hook 

NtMapViewOfSection修改OEP的代码来注入， 通过漏洞注入shellcode,RegisterUserApiHook,

木马隐藏:

1.html，js，css,flash网页木马

2.视频(基于合并事件)，图片

3.捆绑可执行文件

4.IRC网络接受指令。 Cookie Stuffing

2.多态变形：

加花干扰静态反汇编，加密(解密算法，跳转,病毒主体代码),

多态:改变密钥,每个样本代码不相同.但解密后代码相同---结合虚拟机对解密后代码检查特征值。

变形：改变密钥，而且每次加密的原始病毒代码不同，造成解密后的代码不相同。插入垃圾代码(不破坏游泳寄存器，

      不改变内存内容，解密时用flags时不改变flags)，

病毒种类： 引导型（写MBR），寄生感染(代码添加到宿主头和尾部)，插入式（在宿主中间找cavity空字节）和逆插入式感染(宿主程序插入病毒中间)，

   链式感染，破坏性感染，滋生感染（同名com，exe的劫持），没有入口点感染(改中间代码，类似inline hook或者修改中断tsr)，

           零长度感染(改空字节,压缩原文件)，

病毒技术：重定位(call pop)，动态获取DLL地址(线程初始化通过esp堆栈指针拿ExitThread地址，遍历seh获得异常处理函数，

           通过peb的PEB_LDR_DATA三种方式获得kernel32.dll基址),动态获取API地址(函数名加密)，

论坛：

http://bbs.hackav.com/   黑客反病毒

http://www.54kubi.cn/forum.php

http://www.antivirus-china.org.cn/ ;

https://www.icsalabs.com/ ;

http://www.virusbtn.com/index 病毒公告牌

http://j00ru.vexillium.org/  j00ru博客

http://www.osronline.com/     http://www.osronline.com/page.cfm?name=ListServer

http://forum.sysinternals.com/forums.html?SID=4910166z5f65a5764c1a4d797b9b44909953704

http://advdbg.org/ ;

http://www.mouseos.com/index.html

http://www.krnl.info/forum.php

http://www.driverdevelop.com/first.html

http://www.xfocus.net/articles/index.html

http://code.ijinshan.com/

http://www.antigameprotect.com/forum.php?fromuid=1848

http://www.dbgtech.net/

http://hi.baidu.com/micropoint/archive/tag/%E4%BA%86%E8%A7%A3_%E6%8E%A2%E8%AE%A8%E4%B8%BB%E5%8A%A8%E9%98%B2%E5%BE%A1%E6%8A%80%E6%9C%AFproactive%20defense  微点有很多病

毒相关

http://www.cnblogs.com/Tbit/archive/2010/05/12/1733079.html   windows内核技术精华站点

http://www.hacker.com.cn/   黑客防线

http://bbs.micropoint.com.cn/index.asp 微点bbs

http://vxheaven.org/29a/main.html  29A

http://bbs.duba.net/  金山毒霸