无所畏惧 手杀TDSS病毒
开篇:润墨网以专业的文秘视角,为您筛选了一篇无所畏惧 手杀TDSS病毒范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
TDSS.TDL-4Rootkit(中文名:魔影)是欧美流行的一类恶意程序,被国外安全行业称为“如日中天的网络犯罪技术
>> 无所畏惧 爱到极致无所畏惧 无所畏惧的老鼠 勇敢前行,无所畏惧 你可以无所畏惧 无所畏惧的“战神” 不懂英语,无所畏惧 从无比恐惧到无所畏惧 上天入地 无所畏惧 面对挑战 我无所畏惧 无所畏惧,勇往直前 无所畏惧地跑下去 无所畏惧就是拼的资本 肯定自己,你将无所畏惧 因为有爱,所以无所畏惧 又制裁!俄罗斯无所畏惧 诗意的人生无所畏惧 年轻就像个无所畏惧的混蛋 柯有伦 无所畏惧,有所担心 坚持正向能量 人生无所畏惧 常见问题解答 当前所在位置:l
压缩包密码: virus
测试环境: Vmware Workstation +Windows XP SP3
Windows PE软件: XurTr Sector EditorDisk Genius
将虚拟机恢复干净快照,放入病毒,双击运行,可以观察到病毒运行几秒钟后删除自身文件。等待几分钟后重启虚拟机。
通过监测软件,监测到病毒加载imagehlp.dll,winspool.drv链接库,并将自己复制到系统临时文件夹,命名为*.tmp,*为随机数字。
打开XueTr,选择驱动模块选项卡,发现可疑PE映像,而且系统回调也有异常。如图1。
最主要判断tdss病毒的方法是检测对象劫持,如图2。至此我们可以判断这就是一个TDSS病毒。
在参考了部分资料后,发现除了MBR部分的恶意代码外,此病毒的其它内容是以加密方式写入硬盘尾部扇区。由于感染后的MBR含有硬盘尾部扇区代码的引导代码,Windows每次启动时,此代码都会执行。因为病毒代码并未写入Windows系统所在分区,所以,中毒后若不重建MBR,即使重新安装Windows,也不会清除这个病毒。
在感染的状态下用Sector Editor检测,硬盘最后一个扇区,没有异常,其它的扇区包括MBR也是如此。这是由于病毒在运行的时候,你要检测的话,它会给你返回一个正常的结果,使你无法完成检测和修复。包括病毒的联网行为、病毒感染的驱动等,在感染环境里一般软件根本无法检测。
我们接下来最主要的工作在于PE环境下重建MBR,如果不这样的话,一切都是徒劳。也许有人会问,既然末扇区存在恶意代码,为什么不先清除末扇区的病毒代码呢,那个比重建MBR风险要小啊。我解释一下,经过我的多次试验,只清除末扇区的代码,而不重建MBR会造成电脑无法引导操作系统。原因是病毒在启动过程中也会加载感染前病毒备份的正常的MBR,这样才能完成电脑的启动,可是备份被删除了,就造成了无法引导操作系统。由于该病毒的变种众多,有的具体行为还不能确定,所以还是建议在重建完MBR后再一并清除末扇区的恶意代码。
在PE环境里重建MBR,我们可以使用Disk Genius软件,单击“硬盘”,选择“重建主引导记录(MBR)”,然后弹出一个对话框,点击“是”,完成重建。建议重建前先备份MBR。我们比较一下被感染的和修复后的MBR(截图为前半部分的比较),可以发现有大约四分之三的部分被改写,如图3。
图4是PE环境下用Sector Editor检测的最后一个扇区20971519,可以发现已经被写满了代码。向前一直到20971271扇区,一共249个扇区被写入代码。
在填充之前,先要注意你的硬盘末区是否存在重映射扇区。当硬盘检测到坏扇区时,它会标记这些坏扇区并将其重新映射到“备用扇区”,以维持硬盘正常运行。这样有的情况下重映射扇区与病毒写入的扇区混杂在一起,就无法区分哪些扇区该保留,哪些扇区可以填充。关于重映射扇区,那可以用HD Tune软件查看,如果存在的话,那就先不要处理了。
我是在虚拟机中进行的试验,硬盘不存在重映射扇区,所以我使用16进制00填充了这些扇区。注意不要填充错扇区,不同电脑硬盘的扇区号不一样,否则也会造成系统无法引导。我开始就是尝试清除部分代码,达到破坏病毒运行的目的,结果发现系统也无法引导了。
通过实验可以发现,进入Windows系统后,病毒先检测自身的运行环境,进而选择一种合适的方法完成自身的驱动加载和感染。
在32位系统中,病毒会先获得必要的系统权限,例如加载虚假打印机驱动,然后将一个32位版本的恶意驱动加载到系统内核中。此驱动一旦加载,MBR就被感染了。
在64位系统中,因为内核驱动须通过签名验证方能加载,所以病毒是直接感染MBR,并将程序代码写到硬盘尾部扇区,接着强迫系统重启。系统重启时,病毒即可加载到系统内核中。
而清除TDSS病毒要直接修改硬盘扇区,数据无价,谨慎操作!其实卡巴斯基和Bit Defender都已经了TDSS病毒的专杀工具,使用专杀工具可以安全快捷的清除病毒,所以实机感染不建议手杀!