|
 | 作者: jingling [jingling]
 论坛用户 |
登录 |
| 中国黑客使用三线程技术 超越国外同类水平 金山反病毒资讯网 ����6月6号新鲜登场的“中国黑客”病毒,经过金山反病毒应急处理中心的技术人员深入分析后,发现一个病毒编写史上的新亮点:“中国黑客”发现了全球首创的“三线程”结构,整个病毒采用汇编语言开发,用了非常多的反跟踪技巧,若真为国人开发,这无疑体现了国内的病毒编写水平已经和国际接轨甚至超越了国外同类水平,更为“可贵”的是还带有自己的创新! ���� ����”中国黑客”采用的独特三线程架构,这个新颖的架构导致传统杀毒软件的内存杀毒技术失效,充分显示了病毒作者对系统深入了解的程度。这里有必要说明一下内存清毒的过程:一般病毒只有一个线程,病毒被加载到机器内存后都会不断地往硬盘写入病毒文件或感染其它执行文件,因此在清除机器中硬盘等介质上的病毒前必须先将内存中的病毒清除,消灭传播源。而“中国黑客”病毒具有三个线程,分为主病毒体和两个监视器, 将其中一个监视器注入到正常程序之中,并远程启动后监视主病毒体并保证主病毒体的运行,一旦主病毒体被清除,此监视器就将主病毒体再次调入。这样就使传统的内存杀毒失效。 ���� ����为了保证病毒在下次系统启动时能运行,另外一个注册表监视器会不断监视注册表中病毒随系统加载的项目,如果一被人工或反病毒软件修改,立即重新写入病毒项,保证自己的控制权。病毒对注册表进行监视也是以前从来没有过的,杀毒软件对注册表的实时保护现在几乎还是一个空白。这一次在注册表实时保护方面,大多数杀毒软件又落在了病毒的后面。 ���� ����在windows95/98/Me系统下,”中国黑客”病毒学习了臭名着著的CIH病毒,使用了VXD(虚拟设备驱动)技术进入到了系统核心层(ring 0)取得了系统的最高权限,也代表病毒这时已经可以为所欲为,一旦加上破坏代码,毁坏BIOS,毁坏硬盘数据都可以轻易做到。可想象一下:一个病毒具有求职信病毒的强传播力同时又具有CIH的强破坏力,它的出现将对网络及计算机安全构成多么巨大的威胁。 ���� ����“中国黑客”利用了流行的QQ即时聊天工具散播政治言论,当病毒运行5个小时后会去寻找用户的QQ发送消息窗口,找到后他会把以下的短句“去他妈的法轮功!”、“反对邪教,崇尚科学!”、“打倒本拉登!”、“向英雄王伟致意!”、“反对霸权主义!”、“社会主义好!” 自动输入到QQ的发送消息窗口中并发送出去,十分钟循环一次,每次选择一个短语,参见附图。如果病毒作者想进一步的话完全可以利用QQ的传送文件功能来传播病毒,这样病毒传播又可以多一个途径。 ���� ����在传播方式上中国黑客寻找用户邮件地址薄来向外发病毒邮件传播与局域网传播。这一点与求职信病毒非常相似,令其快速传播。金山公司仅在6月6号已经收到”中国黑客”病毒主动发来的带毒信件500多封。 ���� ����此外”中国黑客”病毒还预留了接口,很多破坏功能与传播方式只要作者愿意的话很快就可以加上。此外病毒体内的感染开关没有打开,所以目前此病毒还不能感染文件,但实际上病毒体内的感染代码已经比较完整,一旦加上几行代码就可以实现感染WINDOWS下的.EXE、.DLL、.SCR等PE文件。 ���� ����针对这一病毒,国内几大厂商金山、江民、走到了国外厂商的前面已纷纷推出升级包来清除这一新型病毒,金山公司还在发现病毒的当天就提供了免费的第二代专杀“中国黑客“病毒工具提供下载。下载链接:http://www.iduba.net/download/othertools/Duba_RunOuce.EXE |
| 地主 发表时间: 07/19 09:24 |
| 回复: jingling [jingling] 论坛用户 |
登录 |
|
牛 ~! 不过到让杀毒公司有了卖点 切~~~~~~ |
| B1层 发表时间: 07/19 09:27 |
 | 回复: laneagle [laneagle]  论坛用户 |
登录 |
|
中国人是自强的,致敬!! |
| B2层 发表时间: 07/20 02:11 |
 | 回复: xiaoxingchi [xiaoxingchi] 论坛用户 |
登录 |
|
真想认识这位高人! 想法我是早有了 可是技术一直没能跟上想法! |
| B3层 发表时间: 07/26 11:01 |
 | 回复: linda [linda] 论坛用户 |
登录 |
|
是不是金山故意这样来说, 好让人们去用他的防毒工具呢? 是不是商业炒作? |
| B4层 发表时间: 07/29 11:29 |
 | 回复: yangze [yangze]  版主 |
登录 |
|
是不是我们20CN哪个开发的? |
| B5层 发表时间: 07/29 15:10 |
 | 回复: tabris17 [tabris17]  论坛用户 |
登录 |
|
我们下次开发个6线程的 |
| B6层 发表时间: 07/29 15:16 |
 | 回复: temp2002 [temp2002] 论坛用户 |
登录 |
|
两个监视线程? 主线程死了,监视线程可以重新调入? 根本不是这个道理,稍微知道一些线程编程的都知道,主进程产生一个主线程,可以产生多个其它的线程。主线程死了,其它的就全部完蛋。 不就是多了个QQ加话嘛。SENDMESSAGE消息编程,取句柄。然后加字符串。 SENDKEY。也可以。 内存清毒好象也不是什么新东西。没有必要搞的那么神秘。当然了,能够编写出来还是证明这个人很熟练的运用着线程编程,内存查找,RING0等一些高级编程手段。很不错。 但是不是神仙,想借此和国外来对比证明什么。门都没有。 |
| B7层 发表时间: 07/29 17:33 |
 | 回复: clown [clown] 论坛用户 |
登录 |
|
没有什么了不起的~~~~~~~~~~~~~~~~~~~~~有机会看看我的`!!!!! |
| B8层 发表时间: 08/03 20:08 |
| 回复: kuangren [kuangren]  论坛用户 |
登录 |
|
都这么牛呀, |
| B9层 发表时间: 08/07 20:14 |
 | 回复: BlueSnoopy [bluesnoopy] 论坛用户 |
登录 |
|
风起你技术看来不错嘛,有空教教我啊! 是不是真的来的啊? |
| B10层 发表时间: 09/07 17:09 |
 | 回复: beyond317 [beyond317] 论坛用户 |
登录 |
|
呵呵,你们都蛮厉害的嘛 有时间教教我啊,我是网吧的管理员 有时间教教我啦~! |
| B11层 发表时间: 10/29 09:38 |
 | 回复: dinghj [dinghj] 论坛用户 |
登录 |
|
不是oem的吧! |
| B12层 发表时间: 10/29 14:20 |
 | 回复: xiaofashi [xiaofashi] 论坛用户
|
登录 |
|
不要把我哥哥的事乱说,这不好的。 |
| B13层 发表时间: 10/30 17:37 |
| 回复: blindeaf [blindeaf] 论坛用户 |
登录 |
|
厉害,我的偶像。 |
| B14层 发表时间: 10/30 19:10 |
 | 回复: wljjs [wljjs] 论坛用户 |
登录 |
|
我看“中国黑客”的作者一定是爱国主义者。 |
| B15层 发表时间: 10/31 07:19 |
 | 回复: baboo [baboo] 论坛用户 |
登录 |
|
呵呵,听起来很不错啊 |
| B16层 发表时间: 02/03 18:39 |
| 回复: laievf [laievf] 论坛用户 |
登录 |
|
我已经使用了一个三线程的木马名叫“风雪”很厉害,不能终止线程,但DOS里边能删除 |
| B17层 发表时间: 02/03 19:24 |
| 回复: xiaojun [xiaojun]  剑客 |
登录 |
|
|
| B18层 发表时间: 02/03 20:13 |
 | 回复: jacker [jacker] 论坛用户 |
登录 |
|
中国黑客的一些功能: 1,可以锁定注册表键值不被改变(进行注册表键值监视) 2,进程保护(进程不死技术) 另: |
| B19层 发表时间: 02/07 16:03 |
 | 回复: wyf1051985 [wyf1051985] |
登录 |
|
小弟弟今年10岁刚刚学习网络安全知识请各位大哥大姐多关照! 作者: 王远飞 [wyf1051985] 肉鸡!!!!!!肉鸡!!我最新弄的肉鸡!!! 用广外女生连接就可以!密码空 61.138.76.159 61.134.126.98 QQ:65556244 |
| B20层 发表时间: 02/07 19:12 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 中国黑客使用三线程技术 超越国外同类水平