遇到过的IRC后门Backdoor.IRCBot 。比我我示意免杀技术时用到的Bandook就属于Backdoor一类的。病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。玩笑病毒玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏 *** 作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。捆绑机病毒捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等DDOS攻击程序其前缀为:DoS,会针对某台主机或者服务器进行DoS攻击;溢出工具其前缀为:Exploit,会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;黑客工具其前缀为:HackTool,这一类是我们最为常见的,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。如啊D、明小子、HDSI、NBSI以及其他一些常用的黑客工具,有时其也会被标识为Application,不过因为黑客工具功能繁多,所以在主名称后会有附属名称,我们可以通过其来判断程序的功能。如:Inject为注入、Remote为远程连接等。当然还有很多病毒的类型,如下载病毒了啊、蠕虫病毒了啦什么的,不过太多也无法一一列举(汗一个,主要是我没那么些样本)接下来是病毒的主名称,其标识该病毒的名称或者家族名,我们可以通过它来判断我们中了什么病毒 。病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。 版本信息 版本信息只允许为数字,对于版本信息不明确的不加版本信息。 主名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 附属名称 病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种: Client 说明:后门程序的控制端 KEY_HOOK 说明:用于挂接键盘的模块 API_HOOK 说明:用于挂接API的模块 Install 说明:用于安装病毒的模块 Dll 说明:文件为动态库,并且包含多种功能 空 说明:没有附属名称,这条记录是病毒主体记录 附属名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 病毒长度 病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。由于病毒名称与后缀太多,而且变种的表示也比较繁杂,所以我们只需要将它们与前缀联系起来,大致知道这是一个什么病毒,然后查询一下解决方案。。当然如果有兴趣的童鞋可以自己做病毒分析来追踪一个病毒,也可以提交专业网站进行分析。如
http://www.virscan.org/
最后个大家一些记录,大家对照附录与文章开始病毒鉴别之旅吧(其实本文很没技术含量的说...)附录:Backdoor,危害级别:1, 说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 Worm,危害级别:2, 说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 Mail,危害级别: 1说明:通过邮件传播 IM,危害级别: 2,说明:通过某个不明确的载体或多个明确的载体传播自己 MSN,危害级别:3,说明:通过MSN传播 QQ,危害级别:4,说明:通过OICQ传播 ICQ危害级别:5,说明:通过ICQ传播 P2P,危害级别:6,说明:通过P2P软件传播 IRC,危害级别:7,说明:通过ICR传播 其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。 Spy,危害级别:1,说明:窃取用户信息(如文件等) PSW,危害级别:2,说明:具有窃取密码的行为 DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒 , *** 作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 事件2.下载的文件是病毒, *** 作准则: 下载的文件是病毒,确定为: Trojan.DL IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息) MSNMSG,危害级别:5,说明:通过MSN传播即时消息 QQMSG,危害级别:6,说明:通过OICQ传播即时消息 ICQMSG,危害级别:7,说明:通过ICQ传播即时消息 UCMSG,危害级别:8,说明:通过UC传播即时消息 Proxy,危害级别:9,说明:将被感染的计算机作为代理服务器 Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。 *** 作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述 AOL、Notifier ,按照原来病毒名命名保留。 Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。 Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。 Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。 逻辑条件引发的事件: 事件1:.释放的文件不是病毒。 *** 作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper 事件2:释放的文件是病毒。 *** 作准则: 释放的文件是病毒,确定该文件为:Droper Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。 Exploit,漏洞探测攻击工具 DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述 Spam,垃圾邮件 Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具 Binder,危害级别:无 ,说明:捆绑病毒的工具 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。 宿主文件 宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。 JS 说明:JavaScript脚本文件 VBS 说明:VBScript脚本文件 HTML 说明:HTML文件 Java 说明:Java的Class文件 COM 说明:Dos下的Com文件 EXE 说明:Dos下的Exe文件 Boot 说明:硬盘或软盘引导区 Word 说明:MS公司的Word文件 Excel 说明:MS公司的Excel文件 PE 说明:PE文件 WinREG 说明:注册表文件 Ruby 说明:一种脚本 Python 说明:一种脚本 BAT 说明:BAT脚本文件 IRC 说明:IRC脚本
linux/input.h 中有定义,这个文件还定义了标准按键的编码等 struct input_event { struct timeval time//按键时间 __u16 type//类型,在下面有定义 __u16 code//要模拟成什么按键 __s32 value//是按下还是释放 }code: 事件的代码.如果事件的类型代码是EV_KEY,该代码code 为设备键盘代码.代码植0~127 为键盘上的按键代码,0x110~0x116 为鼠标上按键代码,其中0x110(BTN_ LEFT)为鼠标左键,0x111(BTN_RIGHT)为鼠标右键,0x112(BTN_ MIDDLE)为鼠标中键.其它代码含义请参看 include/linux/input.h 文件. 如果事件的类型代码是EV_REL,code 值表示轨迹的类型.如指示鼠标的X轴方向REL_X(代码为0x00),指示鼠标的Y 轴方向REL_Y(代码为0x01),指示鼠标中轮子方向 REL_WHEEL(代码为0x08). type: EV_KEY,键盘 EV_REL,相对坐标 EV_ABS,绝对坐标 value: 事件的值.如果事件的类型代码是EV_KEY,当按键按下时值为1,松开时值为0如果事件的类型代码是 EV_ REL,value 的正数值和负数值分别代表两个不同方向的值. /* * Event types */ #define EV_SYN 0x00 #define EV_KEY 0x01 //按键 #define EV_REL 0x02 //相对坐标(轨迹球) #define EV_ABS 0x03 //绝对坐标 #define EV_MSC 0x04 //其他 #define EV_SW 0x05 #define EV_LED 0x11 //LED #define EV_SND 0x12//声音 #define EV_REP 0x14//repeat #define EV_FF 0x15 #define EV_PWR 0x16 #define EV_FF_STATUS 0x17 #define EV_MAX 0x1f #define EV_CNT (EV_MAX+1) 1。模拟按键输入 //其中0 表示释放,1 按键按下,2 表示一直按下 //0 for EV_KEY for release, 1 for keypress and 2 for autorepeat. void simulate_key(int fd,int value) { struct input_event eventevent.type = EV_KEY//event.code = KEY_0//要模拟成什么按键 event.value = value//是按下还是释放按键或者重复 gettimeofday(&event.time,0)if(write(fd,&event,sizeof(event)) <0){ dprintk("simulate key error~~~\n")return } } 2。模拟鼠标输入(轨迹球) void simulate_mouse(int fd,char buf[4]) { int rel_x,rel_ystatic struct input_event event,ev//buf[0],buf[2],小于0 则为左移,大于0 则为右移 //buf[1],buf[3],小于0 则为下移,大于0 则为上移 dprintk("MOUSE TOUCH: x1=%d,y1=%d,x2=%d,y2=%d\n",buf[0],buf[1],buf[2],buf[3])rel_x = (buf[0] + buf[2]) /2rel_y = -(buf[1] + buf[3]) /2//和我们的鼠标是相反的方向,所以取反 event.type = EV_RELevent.code = REL_Xevent.value = rel_xgettimeofday(&event.time,0)if( write(fd,&event,sizeof(event))!=sizeof(event)) dprintk("rel_x error~~~:%s\n",strerror(errno))event.code = REL_Yevent.value = rel_ygettimeofday(&event.time,0)if( write(fd,&event,sizeof(event))!=sizeof(event)) dprintk("rel_y error~~~:%s\n",strerror(errno))//一定要刷新空的 write(fd,&ev,sizeof(ev))} 鼠标和键盘文件打开方法: int fd_kbd// /dev/input/event1 int fd_mouse//dev/input/mouse2 fd_kbd = open("/dev/input/event1",O_RDWR)if(fd_kbdkey.window = window->window//一定要设置为主窗口 event->key.keyval = keyval//FIXME:一定要加上这个,要不然容易出错 g_object_ref(event->key.window)gdk_threads_enter()//FIXME: 记得用这个来发送事件 gtk_main_do_event(event)gdk_threads_leave()gdk_event_free(event)} kernel 里input 模块 input_dev 结构: struct input_dev { void *privateconst char *nameconst char *physconst char *uniqstruct input_id id/* * 根据各种输入信号的类型来建立类型为unsigned long 的数组, * 数组的每1bit 代表一种信号类型, * 内核中会对其进行置位或清位 *** 作来表示时间的发生和被处理. */ unsigned long evbit[NBITS(EV_MAX)]unsigned long keybit[NBITS(KEY_MAX)]unsigned long relbit[NBITS(REL_MAX)]unsigned long absbit[NBITS(ABS_MAX)]unsigned long mscbit[NBITS(MSC_MAX)]unsigned long ledbit[NBITS(LED_MAX)]unsigned long sndbit[NBITS(SND_MAX)]unsigned long ffbit[NBITS(FF_MAX)]unsigned long swbit[NBITS(SW_MAX)]......................................... }/** * input_set_capability - mark device as capable of a certain event * @dev: device that is capable of emitting or accepting event * @type: type of the event (EV_KEY, EV_REL, etc...) * @code: event code * * In addition to setting up corresponding bit in appropriate capability * bitmap the function also adjusts dev->evbit. */ /* 记录本设备对于哪些事件感兴趣(对其进行处理)*/ void input_set_capability(struct input_dev *dev, unsigned int type, unsigned int code) { switch (type) { case EV_KEY: __set_bit(code, dev->keybit)//比如按键,应该对哪些键值的按键进行处理(对于其它按键不予理睬) breakcase EV_REL: __set_bit(code, dev->relbit)breakcase EV_ABS: __set_bit(code, dev->absbit)breakcase EV_MSC: __set_bit(code, dev->mscbit)breakcase EV_SW: __set_bit(code, dev->swbit)breakcase EV_LED: __set_bit(code, dev->ledbit)breakcase EV_SND: __set_bit(code, dev->sndbit)breakcase EV_FF: __set_bit(code, dev->ffbit)breakdefault: printk(KERN_ERR "input_set_capability: unknown type %u (code %u)\n", type, code)dump_stack()return} __set_bit(type, dev->evbit)//感觉和前面重复了(前面一经配置过一次了) } EXPORT_SYMBOL(input_set_capability)static irqreturn_t gpio_keys_isr(int irq, void *dev_id) { int istruct platform_device *pdev = dev_idstruct gpio_keys_platform_data *pdata = pdev->dev.platform_datastruct input_dev *input = platform_get_drvdata(pdev)for (i = 0i <pdata->nbuttonsi++) { struct gpio_keys_button *button = &pdata->buttons[i]int gpio = button->gpioif (irq == gpio_to_irq(gpio)) {//判断哪个键被按了? unsigned int type = button->type ?: EV_KEYint state = (gpio_get_value(gpio) ? 1 : 0) ^ button->active_low//记录按键状态 input_event(input, type, button->code, !!state)//汇报输入事件 input_sync(input)//等待输入事件处理完成 } } return IRQ_HANDLED} /* * input_event() - report new input event * @dev: device that generated the event * @type: type of the event * @code: event code * @value: value of the event * * This function should be used by drivers implementing various input devices * See also input_inject_event() */ void input_event(struct input_dev *dev, unsigned int type, unsigned int code, int value) { struct input_handle *handleif (type >EV_MAX || !test_bit(type, dev->evbit))//首先判断该事件类型是否有效且为该设备所接受 returnadd_input_randomness(type, code, value)switch (type) { case EV_SYN: switch (code) { case SYN_CONFIG: if (dev->event) dev->event(dev, type, code, value)breakcase SYN_REPORT: if (dev->sync) returndev->sync = 1break} breakcase EV_KEY: /* * 这里需要满足几个条件: * 1: 键值有效(不超出定义的键值的有效范围) * 2: 键值为设备所能接受(属于该设备所拥有的键值范围) * 3: 按键状态改变了 */ if (code >KEY_MAX || !test_bit(code, dev->keybit) || !!test_bit(code, dev->key) == value) returnif (value == 2) breakchange_bit(code, dev->key)//改变对应按键的状态 /* 如果你希望按键未释放的时候不断汇报按键事件的话需要以下这个(在简单的gpio_keys 驱动中不需要这个,暂时不去分析) */ if (test_bit(EV_REP, dev->evbit) &&dev->rep[REP_PERIOD] &&dev->rep[REP_DELAY] &&dev->timer.data &&value) { dev->repeat_key = codemod_timer(&dev->timer, jiffies + msecs_to_jiffies(dev->rep[REP_DELAY]))} break........................................................ if (type != EV_SYN) dev->sync = 0if (dev->grab) dev->grab->handler->event(dev->grab, type, code, value)else /* * 循环调用所有处理该设备的handle(event,mouse,ts,joy 等), * 如果有进程打开了这些handle(进行读写),则调用其对应的event 接口向气汇报该输入事件. */ list_for_each_entry(handle, &dev->h_list, d_node) if (handle->open) handle->handler->event(handle, type, code, value)} EXPORT_SYMBOL(input_event)event 层对于input 层报告的这个键盘输入事件的处理: drivers/input/evdev.c: static struct input_handler evdev_handler = { .event = evdev_event, .connect = evdev_connect, .disconnect = evdev_disconnect, .fops = &evdev_fops, .minor = EVDEV_MINOR_BASE, .name = "evdev", .id_table = evdev_ids, }Linux 有自己的 input 子系统,可以统一管理鼠标和键盘事件。 基于输入子系统 实现的 uinput 可以方便的在用户空间模拟鼠标和键盘事件。 当然,也可以自己造轮子, 做一个字符设备接收用户输入,根据输入,投递 input 事件。 还有一种方式就是直接 往 evnent 里写入数据, 都可以达到控制鼠标键盘的功能。 本篇文章就是演示直接写入 event 的方法。 linux/input.h 中有定义,这个文件还定义了标准按键的编码等 struct input_event { struct timeval time//按键时间 __u16 type//类型,在下面有定义 __u16 code//要模拟成什么按键 __s32 value//是按下还是释放 }code: 事件的代码.如果事件的类型代码是EV_KEY,该代码code 为设备键盘代码.代码植0~127 为键盘上的按键代码, 0x110~0x116 为鼠标上按键代码,其中0x110(BTN_ LEFT)为鼠标左键,0x111(BTN_RIGHT)为鼠标右键,0x112(BTN_ MIDDLE)为鼠标中键.其它代码含义请参看 include/linux /input.h 文件. 如果事件的类型代码是EV_REL,code 值表示轨迹的类型.如指示鼠标的X轴方向 REL_X (代码为0x00),指示鼠标的Y 轴方向REL_Y(代码为0x01),指示鼠标中轮子方向 REL_WHEEL(代码为0x08). type: EV_KEY,键盘 EV_REL,相对坐标 EV_ABS,绝对坐标 value: 事件的值.如果事件的类型代码是EV_KEY,当按键按下时值为1,松开时值为0如果事件的类型代码是 EV_ REL,value 的正数值和负数值分别代表两个不同方向的值. /* * Event types */ #define EV_SYN 0x00 #define EV_KEY 0x01 //按键 #define EV_REL 0x02 //相对坐标(轨迹球) #define EV_ABS 0x03 //绝对坐标 #define EV_MSC 0x04 //其他 #define EV_SW 0x05 #define EV_LED 0x11 //LED #define EV_SND 0x12//声音 #define EV_REP 0x14//repeat #define EV_FF 0x15 #define EV_PWR 0x16 #define EV_FF_STATUS 0x17 #define EV_MAX 0x1f #define EV_CNT (EV_MAX+1) 下面是一个模拟鼠标和键盘输入的例子: #include #include #include #include #include #include #include #include #include #include #include void simulate_key(int fd,int kval) { struct input_event eventevent.type = EV_KEYevent.value = 1event.code = kvalgettimeofday(&event.time,0)write(fd,&event,sizeof(event)) event.type = EV_SYNevent.code = SYN_REPORTevent.value = 0write(fd, &event, sizeof(event))memset(&event, 0, sizeof(event))gettimeofday(&event.time, NULL)event.type = EV_KEYevent.code = kvalevent.value = 0write(fd, &event, sizeof(event))event.type = EV_SYNevent.code = SYN_REPORTevent.value = 0write(fd, &event, sizeof(event))} void simulate_mouse(int fd) { struct input_event eventmemset(&event, 0, sizeof(event))gettimeofday(&event.time, NULL)event.type = EV_RELevent.code = REL_Xevent.value = 10write(fd, &event, sizeof(event))event.type = EV_RELevent.code = REL_Yevent.value = 10write(fd, &event, sizeof(event))event.type = EV_SYNevent.code = SYN_REPORTevent.value = 0write(fd, &event, sizeof(event))} int main() { int fd_kbdint fd_mousefd_kbd = open("/dev/input/event1",O_RDWR)if(fd_kbd欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)