映象劫持技術(shù)的原理
更新時(shí)間:2012-04-01 | 發(fā)布人:本站 | 點(diǎn)擊率:282 次
主持人:
各位網(wǎng)友大家好,歡迎大家再次來到賽迪聊天室,今天我們請(qǐng)到了金山毒霸高級(jí)工程師李鐵軍先生做客賽迪網(wǎng),跟大家一起聊一聊關(guān)于病毒里映像劫持技術(shù)的話題。首先第一個(gè)問題希望鐵軍幫我們講解一下這個(gè)病毒有哪些特點(diǎn),另外就目前掌握的數(shù)據(jù)來看,比較早用這種技術(shù)的病毒是哪一個(gè)?
李鐵軍:
映像劫持技術(shù)本身是操作系統(tǒng)預(yù)知的用做調(diào)試的接口,2000年的時(shí)候就有人用這種手段攻擊殺毒軟件。
主持人:
當(dāng)時(shí)不像現(xiàn)在這么普遍?
李鐵軍:
對(duì),個(gè)別的病毒這么做過,但影響力都比較小。
主持人:
目前掌握數(shù)據(jù)來看哪些早期病毒用過個(gè)技術(shù)呢?
李鐵軍:
已經(jīng)很難查得到,因?yàn)檫@個(gè)病毒感染力不大,沒有造成很嚴(yán)重的擴(kuò)散,簡單的處理掉了,沒有對(duì)它進(jìn)行深入的分析。
主持人:
為什么這次這個(gè)病毒這么嚴(yán)重呢?
李鐵軍:
我們做AV專殺提供解決方案之前一個(gè)月左右發(fā)現(xiàn)這個(gè)病毒慢慢提升。我觀察論壇里面這個(gè)現(xiàn)象在增加,我們的客服也報(bào)告殺毒軟件不能用,升級(jí)升不了,這樣的現(xiàn)象迅速增加。這時(shí)候遇到一個(gè)很麻煩的問題,普通用戶遇到這種情況電話指導(dǎo)他很困難。我們發(fā)現(xiàn)需要提供一種工具幫助客戶比較快的解決問題。這種情況下我們的專殺工具在增加,咨詢?cè)絹碓蕉啵隙ㄊ怯斜匾獛椭脩籼峁└焖俚膶⒐ぞ摺?
主持人:
我也遇到過這樣的網(wǎng)友求助,確實(shí)在電話里指導(dǎo)很困難。您給介紹一下映像劫持技術(shù)是怎樣的運(yùn)作機(jī)理,它有什么特征呢?
李鐵軍:
它本身就是操作系統(tǒng)調(diào)試的接口,大家知道計(jì)算機(jī)任務(wù)管理器的進(jìn)程一欄里有一列叫映像名稱,映像劫持是跟這個(gè)對(duì)應(yīng)的,這個(gè)映像被它定位到另外一個(gè)程序,結(jié)果下一次重啟的時(shí)候會(huì)發(fā)現(xiàn)它運(yùn)行了另外這個(gè)程序。
主持人:
正常的都是跟它對(duì)應(yīng)的程序?
李鐵軍:
對(duì),路徑里面都定義了,這個(gè)位置指到病毒所涉及的區(qū)域,正常的情況下就起不來了。這種是非常有效的,只要重啟馬上升效。
主持人:
為什么進(jìn)入安全模式殺毒也殺不了呢?
李鐵軍:
首先映像劫持在安全模式下也是有效的,其次它把安全模式定義那項(xiàng)直接刪除了,你的系統(tǒng)啟動(dòng)到安全模式就死了。破壞安全模式很早也有,去年有一個(gè)流氓軟件我們還命名為“破壞安全模式”,主要目的就是不讓計(jì)算機(jī)啟動(dòng)安全模式。
主持人:
近期哪些病毒利用了這個(gè)技術(shù)呢?
李鐵軍:
我們已經(jīng)把它看作一系列的病毒現(xiàn)象,是多種對(duì)付殺毒軟件的招數(shù)都用在一個(gè)病毒上。我們分析的時(shí)候發(fā)現(xiàn)這個(gè)病毒和用戶自己遇到的總是有一點(diǎn)差異。比如病毒的進(jìn)程名、文件名都是不一樣的,會(huì)發(fā)現(xiàn)很多人利用這種技術(shù)把這些病毒融合在一個(gè)技術(shù)里,這就構(gòu)成了AV病毒的現(xiàn)象,是一個(gè)現(xiàn)象,成了一個(gè)集合。
主持人:
現(xiàn)在是一個(gè)病毒趨勢,病毒作者都覺得這個(gè)挺好用的。
李鐵軍:
我們注意到網(wǎng)友用軟件的過程中只是發(fā)現(xiàn)殺毒軟件工作不正常,但是安全意識(shí)不是很強(qiáng)的用戶會(huì)發(fā)現(xiàn)電腦沒有任何異常,所以他自己用電腦都覺得跟其它沒什么不一樣的地方。它不破壞文件,不會(huì)像蠕蟲病毒一樣發(fā)包,它就是不讓殺毒軟件工作。對(duì)系統(tǒng)性能影響非常小。
主持人:
早期有一些病毒也能關(guān)閉殺毒軟件,也是利用這樣的技術(shù)嗎?
李鐵軍:
不是,是盯著只要發(fā)現(xiàn)就通過系統(tǒng)命令關(guān)閉掉。
主持人:
網(wǎng)友有什么方法可以區(qū)別出是中了IFEO病毒呢?
李鐵軍:
機(jī)器會(huì)出現(xiàn)一系列的現(xiàn)象,比如進(jìn)入不了安全模式,殺毒公司網(wǎng)站訪問不了,“殺毒”、“木馬”、“專殺工具”之類的文字一在某個(gè)窗口出現(xiàn)這個(gè)窗口就被關(guān)掉,這都是典型的現(xiàn)象。
主持人:
只是在普通的文檔里出現(xiàn)這些文字,出現(xiàn)文字的窗口也會(huì)關(guān)閉是嗎?
李鐵軍:
對(duì)。我們研發(fā)部有一個(gè)QQ群幫用戶解決問題,原來叫殺毒群,中毒用戶一點(diǎn)這個(gè)群進(jìn)去QQ就被關(guān)閉了。名稱得改才能防止攻擊。我們提供了一些解決方案,想提供給真正中毒的用戶幫他解決問題是比較難的。因?yàn)樗呀?jīng)中毒了就需要通過一個(gè)正常的電腦我們指導(dǎo)他去操作。我們專殺工具發(fā)布以后很困惑,到底該怎么推給用戶呢?我們?cè)跒g覽器標(biāo)題欄這一頁跟“殺毒”有關(guān)的字都過濾掉,同時(shí)我們盡可能的用圖片、不用文字,通過這些方法來防止病毒的破壞。(責(zé)任編輯:李磊)
渝公網(wǎng)安備 50024202000196號(hào)
域名注冊(cè)知識(shí)
虛擬主機(jī)知識(shí)
網(wǎng)站建設(shè)知識(shí)
網(wǎng)絡(luò)推廣知識(shí)
網(wǎng)絡(luò)營銷知識(shí)
常見技術(shù)問題
QQ空間
新浪微博
開心網(wǎng)
人人網(wǎng)