以下的文章主要向大家講述的是木馬病毒隱身穿墻術(shù)解密之花指令與終止進(jìn)程，兩種攻擊者相對而言更喜歡使用的木馬隱身技術(shù)：給木馬程序加花指令和終止安全軟件進(jìn)程。以下就是具體內(nèi)容的描述，希望在你今后的學(xué)習(xí)中會有所幫助。

比特網(wǎng)專家：在上一篇木馬病毒隱身穿墻術(shù)解密中，已經(jīng)對修改木馬特征碼和加殼方式和應(yīng)對之策做了一個(gè)大致的了解，但木馬的隱身和穿墻術(shù)遠(yuǎn)不止這兩種，今天我們要了解的，就是另外兩種攻擊者喜歡使用的木馬隱身技術(shù)：給木馬程序加花指令和終止安全軟件進(jìn)程。

一、對木馬使用花指令

花指令就是指程序中包括了跳轉(zhuǎn)指令及一些無用的指令在內(nèi)的匯編指令段，有加區(qū)加花和去頭加花兩種，通常是用來改變程序的入口點(diǎn)或打亂整個(gè)程序的順序。而一些殺毒軟件在進(jìn)行木馬查殺工作時(shí)，都是按從程序的開頭到結(jié)尾的順序進(jìn)行檢測的，以此來找到與病毒庫中某一特征碼相似的特征。甚至一些殺毒軟件就是以程序的入口點(diǎn)作為特征碼的。因此，如果木馬的程序順序被打亂，或者程序的入口點(diǎn)被修改，那么，殺毒軟件也就很難檢測出它來，于是就達(dá)到了隱身的目的。能完成這些工作的，就是在木馬程序中使用花指令。

要在木馬程序中使用花指令，可以有兩種方式，一種是使用互聯(lián)網(wǎng)上現(xiàn)成的，另一種是攻擊者自己編寫或者使用花指令生成軟件。由于互聯(lián)網(wǎng)上現(xiàn)成的花指令同樣會被殺毒軟件廠商所得到，因此不會有什么好的保護(hù)效果。對于有一定匯編技術(shù)的攻擊者來說，就會使用自己編寫花指令的方式，還可以使用一些花指令生成軟件，如超級加花器和花蝴蝶等。

正是由于給木馬添加不易被檢測到的花指令需要高超的編程技術(shù)，也就很少有普通的攻擊者使用這種方式，至少在沒有陌生的花指令生成軟件出現(xiàn)之前，是不太喜歡使用它的。

并且，由于對木馬使用花指令也只是對其可執(zhí)行文件本身有效，當(dāng)其加載至內(nèi)存后，這種隱身方式將失去作用。因此，使用具有內(nèi)存查殺功能的殺毒軟件，就能夠非常容易地檢測到只使用這種隱身方式的木馬病毒的。

在當(dāng)前具有內(nèi)存查殺功能的安全軟件之中，查殺花指令保護(hù)木馬比較好的就是EWIDO了。也可以使用Ollydbg程序先將木馬加入到內(nèi)存中后再查殺。同時(shí)，還可以使用像“花指令清除器”一類的花指令檢測軟件，來識別和除去花指令。

二、終止安全軟件進(jìn)程

現(xiàn)在，幾乎所有的木馬都在使用一種十分有效的、躲避安全檢測軟件的方法，就是終止系統(tǒng)中所有安全軟件的進(jìn)程，從而達(dá)到了不會被查殺的目的。

而要實(shí)現(xiàn)這種功能，只要木馬能夠枚舉系統(tǒng)中的所有正在運(yùn)行的進(jìn)程，然后從中找到匹配的安全軟件進(jìn)程名，通過發(fā)送一個(gè)終止進(jìn)程的Windows消息給它，就可以結(jié)束這些正在運(yùn)行的安全軟件。

還可以通過掛起安全軟件的所有子進(jìn)程，以此來凍結(jié)其父進(jìn)程?；蛘咄ㄟ^查找并修改安全軟件已經(jīng)加載在內(nèi)存中的代碼，讓安全軟件的進(jìn)程崩潰而退出運(yùn)行。

有時(shí)，為了防止由于終止安全軟件進(jìn)程而引起計(jì)算機(jī)用戶的注意，會在系統(tǒng)任務(wù)欄的托盤區(qū)產(chǎn)生與安全軟件圖標(biāo)相似的圖標(biāo)來欺騙用戶，以此來延長在系統(tǒng)中存活的時(shí)間。所有的種種，都是為了達(dá)到不被查殺的目的。

要防范這種方式的木馬攻擊。首先，殺毒軟件等安全軟件本身要已經(jīng)具有忽略來自系統(tǒng)結(jié)束任務(wù)消息的功能，以防止通過Windows消息來結(jié)束安全運(yùn)行進(jìn)程的攻擊。另外，最好的方法就是系統(tǒng)用戶自己在平時(shí)使用計(jì)算機(jī)過程當(dāng)中，要不斷查看系統(tǒng)中安全軟件或其它進(jìn)行的運(yùn)行情況，一旦發(fā)現(xiàn)原本開機(jī)啟動(dòng)的安全軟件沒有運(yùn)行或啟動(dòng)不了，就應(yīng)該懷疑是否已經(jīng)有木馬在系統(tǒng)中運(yùn)行了。此時(shí)，應(yīng)當(dāng)檢測系統(tǒng)中所有正在運(yùn)行的進(jìn)程是否有可疑的，例如使用IceSword和ProceXP這兩款軟件來檢測，或通過查看系統(tǒng)日志來發(fā)現(xiàn)可疑問題。

三、修改安全軟件的配置文件

每一個(gè)安全軟件，都會將它的安全設(shè)置放入到一個(gè)配置文件當(dāng)中，然后在每次系統(tǒng)啟動(dòng)時(shí)讀取這個(gè)文件，并以這個(gè)文件中的設(shè)置內(nèi)容來設(shè)置保護(hù)方式。這些配置文件，對于單機(jī)版的安全軟件來說，一般都是保存在用戶系統(tǒng)硬盤當(dāng)中的某個(gè)位置的。

因此，在系統(tǒng)中運(yùn)行的木馬程序也是可以獲得這些安全軟件的配置文件的，然后就可以對這些文件中的配置內(nèi)容進(jìn)行修改。例如修改防火墻對所有的程序都放行，修改殺毒軟件在任何時(shí)候都不進(jìn)行系統(tǒng)掃描檢測。這樣就能躲避殺毒軟件，又能穿過防火墻與攻擊者進(jìn)行網(wǎng)絡(luò)連接。

但是，對于這些配置文件，安全軟件也是會對它們進(jìn)行加密的。因此，要修改這些配置文件也不是那么容易就實(shí)現(xiàn)的。不過，木馬還是會通過一些方法來完成修改安全軟件配置文件的任務(wù)的。例如進(jìn)行反向連接，然后由攻擊者通過遠(yuǎn)程控制修改安全軟件的設(shè)置。還可以通過對安全軟件已經(jīng)加載到內(nèi)存中與配置相關(guān)的位置進(jìn)行填充或修改等等。尤其是對于哪些將安全設(shè)置項(xiàng)寫入到注冊表中的，要修改就更加容易一些了。不過，攻擊者不會常用這種方式，畢竟實(shí)現(xiàn)起來比其它要麻煩得多。

要防止這種木馬攻擊，使用主動(dòng)防御型殺毒軟件(如Mcafee)和防火墻( 如Tiny Firewall)，能達(dá)到一定的預(yù)防效果。還可以使用Filemon和Regmon軟件對系統(tǒng)文件和注冊表進(jìn)行監(jiān)控，以此來提醒用戶有某種非法文件修改行為在發(fā)生，以及哪些文件和注冊表項(xiàng)被修改了。

以上的相關(guān)內(nèi)容就是對木馬病毒隱身穿墻術(shù)解密之花指令和終止進(jìn)程的介紹，望你能有所收獲。