从计算机病毒群体处置视角论新冠病毒处置方法

admin 2022年11月26日19:51:49应急响应评论7 views1293字阅读4分18秒阅读模式

笔者曾经是一名反病毒工作者,现在是一名反病毒爱好者,从事计算机反病毒行业16年有余,行业相关授权并落地发明专利30多篇(含国际),说这些没用的,只是为说下文的脚下垫个凳子,不是嘚瑟。

笔者虽然年龄还不算太老,不过从DOS时代至当下,出现过的形形色色的计算机病毒基本全都见过,重点的也都研究过,计算机病毒的要害在哪里,该怎么对抗、怎么免疫也都能说清楚。

举几个例子,也不是秘密,专利都能查到:

当年我们处理那些virut、sality、磁碟机等等的时候,这些具备主动攻击性(蠕虫特性)与寄生性(感染型病毒特性)双重性质的计算机病毒的时候,往往就是他们的驻留特性特别难控制,也是所有杀毒软件厂商在染毒环境下不能很好地清除感染的最大原因,为什么?因为那时候安装的时候,杀毒软件都可能被感染了,杀毒软件拿的是当时计算机系统的最高权限,它被感染了,那不是想感染谁就感染谁?这是清不干净的。所以我们这时候开始研究这些病毒的弱点,发现这些病毒最厉害的地方就是驻留,换位思考后,最厉害的地方同样也是它最弱的地方,第一次尝试,根据特征把驻留的钩子与线程全部干死了,然后扫描清除被感染文件内的病毒代码,发现过会病毒又运行了,才发现杀毒在工作,病毒不在工作,但操作系统还会给被感染的程序创造工作机会,不管用!那么就用冻结的方法软禁它,死灰复燃的计算机病毒一看自己在内存里面的代码还在,不重新工作了,成功在染毒环境下完整的清除了病毒。

所有人都不想中毒了再杀毒,后来衍生了新的想法,这是这类病毒的第二个弱点,会存在一些命名对象,通过创建命名对象防止自身重复运行,那么我们就在需要的环境下给他造一些嘛,只要有了他就不运行了。当然这个方法因为太过于土,最后没被采纳,但肯定是能用的。

上述也仅仅是解决了单机被感染的相关问题,刚才讲过,蠕虫是具备主动攻击性的,这是一种主动行为,被动的免疫和查杀消耗的是用户计算机的系统资源,病毒一直子子孙孙无穷匮,对于用户那是劳民伤财,啥都别干就杀毒了。所以,怎么处理好病毒网络攻击的问题变成了重点。干我们这行的,逆向是基本功,但通过逆向能找到合理的线索和方法才可见过人之处,拍脑袋瞎吵吵是解决不了问题的,那我们得看病毒怎么走路的,你比它走得快会产生间距,你比它走得慢也会存在间距,不在同一条路上,那只能期待缘分相见,只有在同一条路上并且平行的走,才有机会一直干它,直到干死为止。那么我们就看病毒怎么走路,在极端需要的场景下,它怎么传播我们就拿出来它的传播代码传播,它怎么侵入,我们就用他同样的方法侵入,它怎么驻留,那我们就要他挪窝,它感染什么文件,我们就对这些文件反感染,这样它也在传播,我也在传播,他能到的地方我也能到,即使瞬间不能碰见,那传播的广度多了之后也很快能见面,螳螂捕蝉黄雀在后嘛,何况最后可能是一群黄雀在后,弄死了病毒黄雀自杀或者守株待兔就可以了。

我相信现在的科学手段弄清楚奥密克戎这些传播、驻留、感染的基因应该是没难度的,只是不知道群体互相消杀的方法怎么干,不敢轻率的干。仅写此一文,供参考。

原文始发于微信公众号(锐眼安全实验室):从计算机病毒群体处置视角论新冠病毒处置方法

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月26日19:51:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  从计算机病毒群体处置视角论新冠病毒处置方法 http://cn-sec.com/archives/1427126.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: