定義
反防毒是病毒軟體對抗防毒軟體以及檢測工具掃描的機制。
性質
特點
隱蔽性高。一般用戶很難判斷他們藏在哪裡,做了些什麼。
不可恢復性。悄無聲息地使防毒軟體以及安全工具確普遍無法運行,難以恢復 。
作用機制
通過偵測防毒軟體,確定關閉甚至刪除防毒軟體以及檢測工具,從而阻止防毒進程。
套用
基本介紹
列舉說明一些常見抗殺軟類病毒的需要注意的檢測位置,從而有針對性的防範反防毒 。
詳細說明
需要注意的檢測位置
一:Run鍵值
典型病毒:AV終結者變種
目的現象:開機啟動雙進程堅守、關閉防毒程式等。
檢測位置:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
補充說明:該位置屬於常規啟動項,很多程式會寫。
二:執行掛鈎
典型病毒:大量惡意軟體以及病毒均會寫入
目的現象:防毒軟體難於清理、關閉防毒程式等。
檢測位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
補充說明:很少有正常程式會寫入該位置,病毒幾率非常大。典型例外:瑞星反病毒軟體
三:AppInit_DLLs
典型病毒:機器狗新變種、磁碟機變種。
目的現象:安全模式也載入、關閉防毒程式等。
檢測位置:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
補充說明:很少有正常程式會寫入該位置,病毒幾率變態大。典型例外:AVG網際網路安全套裝
四:服務以及驅動:
典型病毒:灰鴿子變種
目的現象:難於發現與清理、關閉防毒程式等。
檢測位置:
HKLM\System\CurrentControlSet\Services
補充說明:病毒寫入底層服務與Rootkits驅動,導致清除困難。
五:映像劫持
典型病毒:大多數av病毒均會寫入此位置
目的現象:簡單粗暴地讓某個特定檔案名稱的檔案無法執行
檢測位置:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
補充說明:被劫持的檔案不一定是exe檔案。如Papa在處理恐怖雞感染號病毒時,為了防止ani.ani還原病毒主檔案,便劫持ani.ani檔案。
六:目前已知刪除安全軟體檔案的檢測位置
典型病毒:飄雪變種
目的現象:防毒軟體安裝檔案被刪除、SREng改名後運行立即被刪除等。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
補充說明:已知變種均會修改hosts檔案、在QQ目錄下寫入隱藏的病毒dll並且修改API HOOH。
七:Boot.ini檔案
典型病毒:磁碟機變種
目的現象:獨占訪問Boot.ini檔案,導致未更新的GRUB重啟刪除工具失效。
檢測位置:Boot.ini
補充說明:在Vista作業系統下對該項檢測沒有意義。
小結:
檢測報告的分析工作需要具備常用軟體以及作業系統豐富的使用經驗,才可以比較迅速準確地定位到具體問題。本文僅將對抗殺軟類病毒常見的關注位置找出來供大家參考。其實還有很多病毒會載入的位置本文不做詳述,請具體問題具體分析。
附屬檔案為PapaCheck檢測工具v3.0 目前可以比較全面地檢測到包括對抗防毒軟體、刪除安全工具病毒在內的非感染型病毒的寫入位置。
如在Vista下面使用時,需要右鍵單擊該檔案後點擊“以管理員身份運行”。
註:在腳本運行時請閱讀其中的免責信息。在檢測的過程中有可能會提示“沒有找到pkmws.dll,因此這個程式未能啟動重新安裝套用可能會修復此問題”點擊“確定”即可。提示“插入軟碟”,點擊”“取消”即可。相關提示並不影響檢測報告的生成。如果您沒有執行掃描操作,按“CTRL+C”鍵終止或直接關閉了程式,則會在當前目錄生成papa.com、papascan.bat、papawb.com、papashell.exe、papatask.exe這六個檔案。相關檔案釋放與調用不會對您系統造成影響,檢測結束後直接刪除即可 。
