映象劫持技術(shù)的原理
更新時間:2012-04-01 | 發(fā)布人:本站 | 點擊率:253 次
主持人:
各位網(wǎng)友大家好�,歡迎大家再次來到賽迪聊天室���,今天我們請到了金山毒霸高級工程師李鐵軍先生做客賽迪網(wǎng)�����,跟大家一起聊一聊關(guān)于病毒里映像劫持技術(shù)的話題���。首先第一個問題希望鐵軍幫我們講解一下這個病毒有哪些特點,另外就目前掌握的數(shù)據(jù)來看���,比較早用這種技術(shù)的病毒是哪一個���?
李鐵軍:
映像劫持技術(shù)本身是操作系統(tǒng)預(yù)知的用做調(diào)試的接口,2000年的時候就有人用這種手段攻擊殺毒軟件�����。
主持人:
當(dāng)時不像現(xiàn)在這么普遍?
李鐵軍:
對��,個別的病毒這么做過�����,但影響力都比較小����。
主持人:
目前掌握數(shù)據(jù)來看哪些早期病毒用過個技術(shù)呢?
李鐵軍:
已經(jīng)很難查得到����,因為這個病毒感染力不大,沒有造成很嚴(yán)重的擴(kuò)散���,簡單的處理掉了���,沒有對它進(jìn)行深入的分析。
主持人:
為什么這次這個病毒這么嚴(yán)重呢����?
李鐵軍:
我們做AV專殺提供解決方案之前一個月左右發(fā)現(xiàn)這個病毒慢慢提升����。我觀察論壇里面這個現(xiàn)象在增加����,我們的客服也報告殺毒軟件不能用����,升級升不了,這樣的現(xiàn)象迅速增加�����。這時候遇到一個很麻煩的問題����,普通用戶遇到這種情況電話指導(dǎo)他很困難。我們發(fā)現(xiàn)需要提供一種工具幫助客戶比較快的解決問題�。這種情況下我們的專殺工具在增加,咨詢越來越多��,肯定是有必要幫助用戶提供更快速的專殺工具����。
主持人:
我也遇到過這樣的網(wǎng)友求助����,確實在電話里指導(dǎo)很困難����。您給介紹一下映像劫持技術(shù)是怎樣的運作機(jī)理,它有什么特征呢���?
李鐵軍:
它本身就是操作系統(tǒng)調(diào)試的接口����,大家知道計算機(jī)任務(wù)管理器的進(jìn)程一欄里有一列叫映像名稱��,映像劫持是跟這個對應(yīng)的���,這個映像被它定位到另外一個程序���,結(jié)果下一次重啟的時候會發(fā)現(xiàn)它運行了另外這個程序。
主持人:
正常的都是跟它對應(yīng)的程序��?
李鐵軍:
對��,路徑里面都定義了���,這個位置指到病毒所涉及的區(qū)域�����,正常的情況下就起不來了�。這種是非常有效的�����,只要重啟馬上升效��。
主持人:
為什么進(jìn)入安全模式殺毒也殺不了呢���?
李鐵軍:
首先映像劫持在安全模式下也是有效的�����,其次它把安全模式定義那項直接刪除了�����,你的系統(tǒng)啟動到安全模式就死了����。破壞安全模式很早也有,去年有一個流氓軟件我們還命名為“破壞安全模式”�,主要目的就是不讓計算機(jī)啟動安全模式。
主持人:
近期哪些病毒利用了這個技術(shù)呢����?
李鐵軍:
我們已經(jīng)把它看作一系列的病毒現(xiàn)象,是多種對付殺毒軟件的招數(shù)都用在一個病毒上���。我們分析的時候發(fā)現(xiàn)這個病毒和用戶自己遇到的總是有一點差異��。比如病毒的進(jìn)程名�����、文件名都是不一樣的�,會發(fā)現(xiàn)很多人利用這種技術(shù)把這些病毒融合在一個技術(shù)里�����,這就構(gòu)成了AV病毒的現(xiàn)象��,是一個現(xiàn)象���,成了一個集合��。
主持人:
現(xiàn)在是一個病毒趨勢�����,病毒作者都覺得這個挺好用的��。
李鐵軍:
我們注意到網(wǎng)友用軟件的過程中只是發(fā)現(xiàn)殺毒軟件工作不正常�����,但是安全意識不是很強(qiáng)的用戶會發(fā)現(xiàn)電腦沒有任何異常��,所以他自己用電腦都覺得跟其它沒什么不一樣的地方�����。它不破壞文件����,不會像蠕蟲病毒一樣發(fā)包��,它就是不讓殺毒軟件工作���。對系統(tǒng)性能影響非常小����。
主持人:
早期有一些病毒也能關(guān)閉殺毒軟件,也是利用這樣的技術(shù)嗎����?
李鐵軍:
不是,是盯著只要發(fā)現(xiàn)就通過系統(tǒng)命令關(guān)閉掉�。
主持人:
網(wǎng)友有什么方法可以區(qū)別出是中了IFEO病毒呢?
李鐵軍:
機(jī)器會出現(xiàn)一系列的現(xiàn)象�����,比如進(jìn)入不了安全模式��,殺毒公司網(wǎng)站訪問不了���,“殺毒”��、“木馬”�����、“專殺工具”之類的文字一在某個窗口出現(xiàn)這個窗口就被關(guān)掉��,這都是典型的現(xiàn)象���。
主持人:
只是在普通的文檔里出現(xiàn)這些文字��,出現(xiàn)文字的窗口也會關(guān)閉是嗎����?
李鐵軍:
對�����。我們研發(fā)部有一個QQ群幫用戶解決問題����,原來叫殺毒群���,中毒用戶一點這個群進(jìn)去QQ就被關(guān)閉了���。名稱得改才能防止攻擊。我們提供了一些解決方案��,想提供給真正中毒的用戶幫他解決問題是比較難的���。因為他已經(jīng)中毒了就需要通過一個正常的電腦我們指導(dǎo)他去操作�。我們專殺工具發(fā)布以后很困惑,到底該怎么推給用戶呢����?我們在瀏覽器標(biāo)題欄這一頁跟“殺毒”有關(guān)的字都過濾掉,同時我們盡可能的用圖片�����、不用文字��,通過這些方法來防止病毒的破壞����。(責(zé)任編輯:李磊)
渝公網(wǎng)安備 50024202000196號
域名注冊知識
虛擬主機(jī)知識
網(wǎng)站建設(shè)知識
網(wǎng)絡(luò)推廣知識
網(wǎng)絡(luò)營銷知識
常見技術(shù)問題
QQ空間
新浪微博
開心網(wǎng)
人人網(wǎng)