當前位置:
首頁 > 最新 > 分享一種可關閉大多數殺軟的技術

分享一種可關閉大多數殺軟的技術

聲明:本文由expsky@MS509Team原創,僅用於技術交流分享,禁止將相關技術應用到不當途徑。

木馬與殺軟的對抗從未停止,這樣的對抗客觀上也促進了安全技術的進步與發展。病毒、木馬除了本身的功能以外,最重要一部分就是與殺軟的對抗,這也是技術難點所在。試想一下如果在一台沒裝殺軟的電腦上,病毒木馬不需要什麼注入、白加黑、rootkit技術來隱藏進程,不需要用什麼高深未公開的方式來實現自啟動,不需要精心構造隱秘通道實現C&C通信,不需要加密混淆來躲避靜態查殺,也不用擔心調用了跨進程內存讀寫或者註冊表敏感位置讀寫、磁碟扇區讀寫、驅動載入等被殺軟主防列為的危險API…….只需一個十多年前的簡單木馬就可以為所欲為。

關閉殺軟,是病毒木馬追求的最理想狀態,但能做到這點只有極少數的特種木馬或rootkit型木馬能辦到,絕大部分木馬也只是通過各種技術手段來繞過殺軟的部分功能,少有聽說能關掉殺軟的木馬。

真有能關掉殺軟的技術手段嗎?

原理思路

我們嘗試用模擬真實用戶的操作,來關閉殺軟。這裡用360安全衛士目前最新版作為實驗對象。是否能成功,我們一起往下看。

(聲明:本人並不刻意針對360,而正是認可360在國內安全行業具有的代表性,並且該技術思路可以適用於其餘絕大部分殺軟)

要模擬真實用戶關閉360安全衛士的流程如下:

1)滑鼠右鍵點擊桌面右下角360衛士的系統托盤圖標

2)在彈出的托盤菜單中點擊【退出】按鈕

3)在彈出的360衛士退出窗口中點擊【繼續退出】按鈕

完成以上步驟後360安全衛士就會被關閉。

接下來就是如何用程序自動模擬完成這些動作。

技術實現

點擊相關窗口的按鈕是通過對應的窗口類名得到相應的窗口句柄,然後實現點擊。

通過「彗星小助手」的窗口SPY功能可以找出需要的窗口類名,而通過窗口類名找出窗口句柄是常規windows編程的知識,本文就不再累述

這裡需要注意的是,系統360衛士托盤圖標可能直接顯示在桌面右下角的系統托盤上,也可能在隱藏的系統托盤區域。兩種情況都需要考慮到

系統托盤的窗口類

Shell_TrayWnd >> TrayNotifyWnd >> ToolbarWindow32 通過這樣的窗口關係找出系統托盤

而隱藏區域的系統托盤窗口類名是NotifyIconOverflowWindow

360衛士托盤菜單窗口類名:Q360TrayMenuClass

360衛士退出窗口類名:Q360HIPSClass

到此就可以定位到所有需要的窗口,我們還需要定位到窗口上的兩個【退出】按鈕

這裡需要注意的是,按鈕實際上也是一個子窗口,普通的windows按鈕通過彗星小助手可以直接定位識別,但現在很多軟體包括這裡的360衛士,按鈕都是自繪出來的,不是傳統的按鈕控制項,不能直接識別。不過也有辦法,因為【退出】按鈕相對於父窗口的位置是固定,通過父窗口的位置與【退出】按鈕的相對位置,就可以分別定位到兩個需要點擊的【退出】按鈕,模擬滑鼠點擊就可以自動關閉360安全衛士

定位360衛士托盤菜單的【退出】按鈕位置:

x坐標 = 托盤菜單的x坐標 + 托盤菜單的寬度(260)- 20

y坐標 = 托盤菜單的y坐標 + 托盤菜單的高度(560)- 10

說明:-20和-10 即為【退出】按鈕相對窗口右下角的位置

定位360衛士退出窗口上的【繼續退出】按鈕位置:

x坐標= 360退出窗口x坐標 + 360退出窗口的寬度(600)- 120

y坐標= 360退出窗口y坐標 + 360退出窗口的高度(400)- 40

說明:-120和-40 即為【繼續退出】按鈕相對窗口右下角的位置

真實演示

「空談誤國,實幹興邦」,理論講得再好,實現不了還是等於零。所以按照上面的技術思路我實現了一個演示工具,成功關閉了360衛士。大概1秒鐘左右360安全衛士就被關閉了。

從上面的動圖可以看出,關閉過程中會有窗口閃動。因為實現原理本來就是模擬用戶的實際操作,所以用戶真實關閉360衛士會出現的窗口這裡都會出現。

有人可能會質疑這樣不是就被用戶發現了嗎,其實這已經不重要了,木馬已經在沒有防護的環境下植入用戶電腦,相關惡意代碼已經成功執行。

結 尾

如何防禦這種攻擊手段,通常的做法是在關閉安全軟體的時候要求輸入驗證碼,確保是人的真實操作,但驗證碼這種方式會影響用戶使用體驗,也不是最佳的方案。要想找到一個特別理想的方案不是太容易,做安全很多時候都是不得不去犧牲一些其他代價

由於本演示程序具有危害,所以這裡就不提供源碼了,但本文已經把這個原理以及相關的窗口類名稱等重要信息說的很清楚,熟悉windows編程的話很容易自己就可以實現。唯一還有一個小點需要注意的是在系統托盤裡如何定位到360衛士圖標的位置,我是通過圖像識別的方法來實現的,也許還有其他更好的辦法。

本文的目的不是宣揚去攻擊安全軟體,而是想說明攻防的博弈永遠沒有盡頭,而攻擊者對安全技術研究的深度、廣度、還有腦洞的大小,都會使得各種新型攻擊方式出現,安全從業人員不能放鬆警惕。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

Malwaresearch:在Openmalware.org上查找惡意軟體的命令行工具
惡意廣告又找到了新的方法繞過廣告屏蔽工具
對眾多知名公司造成影響的Oracle Responsys本地文件包含漏洞
LoadLibrary:一款能夠允許Linux程序從DLL文件中載入或調用函數的工具
TLS 1.3如何用性能為HTTPS正名

TAG:FreeBuf |

您可能感興趣

花唄借唄將大規模「關閉」,這三種用戶可能被永久關閉和徵信
手機耗電太快?教你一招,只要關閉這個開關,就可節省幾倍的電量
手機總是多出莫名其妙的照片?這兩個設置沒關閉,內存再大也不夠
大型強子對撞機關閉待升級;新技術10分鐘內完成癌細胞檢測
華為手機老莫名其妙多出照片?這三個設置不關閉,多少內存也不夠
新光控神經元可關閉大腦痛感,減少止疼葯的使用
手機發熱耗電快,關閉這兩個功能,告別一天三充
手機容易發燙?關閉這倆個開關,玩多久都不會輕易發燙
二尖瓣關閉不全是種什麼樣的病?
使用蘋果手機,這四大功能最好關閉,不然你的隱私就全暴露了
手機耗電太快?教你一招,只要關閉這個開關,就可節省10倍的電量
可能是今年最恐怖電影,無數人選擇關閉電腦…
關島到底有多神秘,四大軍種扎堆,二戰後關閉的跑道重新啟用
手機上這個功能最雞肋,關閉後瞬間流暢很多,很多人都不知道
只要關閉這3個開關,手機就能空出大量的內存,比原來流暢50倍
手機這3大功能要小心使用,關閉手機WIFI,最後一個更是驚人!
燃氣灶總閥門是否需要常常關閉?這個誤區多數人都在做!
蘋果這個不錯的技能被關閉,很多人表示一直無法理解原因
嘗試一口它,你的幸福大門可能就要關閉!
華為手機電池不耐用?一定要關閉這2個開關,最好馬上就關閉!