菜鸟也来对付最流行的几种病毒捆绑器--●★黑客基地★●
菜鸟也来对付最流行的几种病毒捆绑器
1 黑客基地
我们经常听到有人说“我中毒啦”、“我的文件被感染”啦。而且很多时候人们会发现，病毒被查杀的同时，自己的文件也被破坏了，这一切其实都是和病毒的捆绑技术有关。本文内容仅供参考，切勿用于不当之处！】
最近不知怎么搞的，一夜就冒出许多捆绑机，害得我等菜鸟苦不堪言。今天就各种捆绑器的原理和检测方法做个简单的总结，以帮助各位识别带毒程序。
一、传统的捆绑器　这种原理很简单，也是目前用的最多的一种。就是将b.exe附加到a.exe的末尾。这样当a.exe被执行的时候，b.exe也跟着执行了。这种捆绑器的代码是满网都是。我最早是从jingtao的一篇关于流的文章中得知的。就目前来说，已经没什么技术含量了。
检测方法：稍微懂一点pe知识的人都应该知道。一个完整有效的pe/exe文件，他的里面都包含了几个绝对固定的特点(不管是否加壳)。一是文件以mz开头，跟着dos头后面的pe头以pe\0\0开头。有了这两个特点，检测就变得很简单了。只需利用ultraedit一类工具打开目标文件搜索关键字mz或者pe。如果找到两个或者两个以上。则说明这个文件一定是被捆绑了。不过值得注意的是，一些生成器也是利用了这个原理，将木马附加到生成器末尾，用户选择生成的时候读出来。另外网上流行的多款“捆绑文件检测工具”都是文件读出来，然后检索关键字mz或者pe。
说到这里，相信大家有了一个大概的了解。那就是所谓的“捆绑文件检测工具”是完全靠不住的一样东西。
二、资源包裹捆绑器　就这原理也很简单。大部分检测器是检测不出来的，但灰鸽子木马辅助查找可以检测出捆绑后未经加壳处理的exe文件。但一般人都会加壳，所以也十分不可靠。这个学过编程或者了解pe结构的人都应该知道。资源是exe中的一个特殊的区段。可以用来包含exe需要/不需要用到的任何一切东西。利用这个原理进行100%免杀捆绑已经让人做成了动画。大家可以去下载看看。那捆绑器是如何利用这一点的呢？这只需要用到beginupdateresource、updateresource和endupdateresource这三个api函数就可以搞定。这三个api函数是用来做资源更新/替换用的。作者只需先写一个包裹捆绑文件的头文件header.exe.头文件中只需一段释放资源的代码。而捆绑器用的时候先将头文件释放出来，然后用上面说的三个api函数将待捆绑的文件更新到这个头文件中即完成了捆绑。类似原理被广泛运用到木马生成器上。
检测方法：一般这种很难检测。如果你不怕麻烦，可以先将目标文件进行脱壳。然后用“灰鸽子木马辅助查找”或“restorator”一类工具将资源读出来进行分析。但这种方法毕竟不通用。所以还是推荐有条件的朋友使用虚拟机。
三、编译器捆绑法　暂时不知用什么名字来形容，所以只能用这个来代替。这种方法相当的阴险。是将要捆绑的文件转换成16进制保存到一个数组中。像这样
muma:array[0..9128] of byte=($4d,$5a,$50....$00);
然后用时再用api函数createfile和writefile便可将文件还原到硬盘。这里稍稍学过编程的都知道。代码中的数组经过编译器、连接器这么一搞。连影都没了。哪还能有什么文件是吧？所以就这种方法而言，目前还没有可以查杀的方法。这种方法可以利用编程辅助工具jingtao的dcuanywhere或anskya的anywherefiletopas来实现。
四、最最毒辣的一种　因为暂时用的人较少，且危害性及查杀难度太大，所以就不公布了。此法查杀方法通用性极差。如果流行，估计大家连动画都不敢下着看了。
补充：可以利用一些第三方工具将硬盘和注册表监视起来以后再运行那些你不确定是否被捆绑的程序。这样，一旦硬盘出现变化，或有文件新建，或有文件改变都会被记录在案。就算是查找起来也方便一点。
上一篇:下一篇:Google搜索:Baidu 搜索:
&&最新文章
&&推荐文章
&&最新热门
&&最新专题查看: 27869|回复: 227
在线时间0 小时最后登录评分5 金币102 树叶0 注册时间阅读权限10帖子主题精华0积分3UID316244
初出茅庐, 积分 3, 距离下一级还需 1 积分
树叶0 金币102 积分3
本帖最后由 PCW_陈邓新 于
16:30 编辑
编辑陈邓新
& && & 黑客营故事中的黑客工具在附件中，大家可以下载玩玩。解压密码是123。
希望大家支持网络软件周刊和黑客营,谢谢！你们的支持是我们做好文章和持续发布黑客工具的动力。调查地址：。调查奖品：音响、摄像头等。
& & 7月调查获奖名单：
11:20 上传
下载次数: 2149
下载积分: 金币 -1
274.31 KB, 下载次数: 2149, 下载积分: 金币 -1
11:20 上传
下载次数: 2742
下载积分: 金币 -1
532.64 KB, 下载次数: 2742, 下载积分: 金币 -1
在线时间28 小时最后登录评分3 金币84 树叶0 注册时间阅读权限0帖子主题精华0积分8UID1208638
头像被屏蔽
树叶0 金币84 积分8
提示: 作者被禁止或删除 内容自动屏蔽
在线时间816 小时最后登录评分164 金币707 树叶126 注册时间阅读权限45帖子主题精华0积分411UID1185649
水·毒·狼
中流砥柱, 积分 411, 距离下一级还需 89 积分
树叶126 金币707 积分411
第四期又出来了。。
为啥还是第一期的最火？那个明明没用。。。
留名必须的。
在线时间5640 小时最后登录评分2095 金币2915 树叶5716 注册时间阅读权限150帖子主题精华2积分2683UID953645
树叶5716 金币2915 积分2683
不错留名了
在线时间2 小时最后登录评分5 金币122 树叶0 注册时间阅读权限10帖子主题精华0积分3UID1270831
初出茅庐, 积分 3, 距离下一级还需 1 积分
树叶0 金币122 积分3
在线时间6 小时最后登录评分0 金币29 树叶0 注册时间阅读权限10帖子主题精华0积分2UID1230912
初出茅庐, 积分 2, 距离下一级还需 2 积分
树叶0 金币29 积分2
哟！挺靠前的嘛
在线时间2 小时最后登录评分5 金币102 树叶0 注册时间阅读权限10帖子主题精华0积分3UID1272631
初出茅庐, 积分 3, 距离下一级还需 1 积分
树叶0 金币102 积分3
在线时间15 小时最后登录评分5 金币169 树叶0 注册时间阅读权限15帖子主题精华0积分6UID1272204
初显锋芒, 积分 6, 距离下一级还需 14 积分
树叶0 金币169 积分6
学习又开始了……
在线时间1042 小时最后登录评分322 金币176 树叶111 注册时间阅读权限45帖子主题精华0积分448UID1128657
中流砥柱, 积分 448, 距离下一级还需 52 积分
树叶111 金币176 积分448
俺终于等到了个万能捆绑器啊:33;
在线时间35 小时最后登录评分0 金币417 树叶0 注册时间阅读权限15帖子主题精华0积分9UID1200041
初显锋芒, 积分 9, 距离下一级还需 11 积分
树叶0 金币417 积分9
没有最好只有更好的PCW!谢谢了！
酷软先锋(酷软交流)
酷软先锋(酷软交流)
软件名医(软件技术)
软件名医(软件技术)Service Unavailable}