腾讯计算机经理刘钊: 如何手动盗用木马

在进入腾讯之前，刘钊与木马没有任何“友谊”. 他唯一一次记得与病毒密切接触是在1998年，当时他的计算机突然无法启动. “回想起来，我认为我被CIH病毒击中了，因为那天恰好是26日. ”现在，他成为Leifeng.com的一名反病毒安全专家. （作者注: CIH病毒是一种可破坏计算机系统硬件的恶性病毒. 它于1998年广泛传播. 作者是Chen Yinghao. ）

2010年，研究信息地质的Liu Zhao加入了腾讯，负责计算机管家的界面开发. 但是，很快他就发现计算机管理员中的一项工作比设计界面要有趣得多，后者是为计算机管理员提供“炮弹”-使用各种手势来勒死木马.

一旦他亲自接触了病毒和木马，这个人的才干就被激发了出来，他毫不犹豫地踏上了通往病毒木马的“不归路”.

[腾讯计算机经理安全专家刘钊]

木马“收割机”

恐怖电影中的木马和僵尸都有一个共同的特征，那就是: 如果选择的无武装战斗，对手的数量级优势肯定会让你痛苦.

每天，全世界的黑客都像细胞分裂一样制造出无数的木马. 而“优秀”的木马将拥有数百种变体. 面对木马的海洋，安全研究人员需要一个``联合收割机''.

刘钊参与研发的“木马收割机”被称为哈勃分析系统，它是腾讯计算机经理的后方“火力支持”. 就像天文望远镜哈勃望远镜一样，哈勃望远镜也有无数个镜组，它们是判断恶意程序的“规则”. 每天，系统都会自动筛选全世界的样本，并通过无数已知规则筛选那些已知的木马和完全无害的程序，并将它们立即分为“黑色”和“白色”两个列表. 系统无法判断的一些灰色程序是刘钊的任务.

他必须使用各种手势来研究典型程序的行为，直到他知道这些程序的真实身份（黑色或白色）为止. 在为这些恶意程序添加新的标识规则之后，系统已完成升级.

归根结底，刘钊及其同事驾驶哈勃望远镜使用的无数“规则”是对付木马的“最终杀手”.

进行软件界面开发时，您正在与计算机进行通信，这是严格而精确的.

制作普通产品时，您正在与用户交流，就像与朋友聊天一样.

在对抗木马时，您正在与木马的作者打交道-一个活着的黑客. 我的对手竭尽所能逃避跟踪，我竭尽全力抓住他. 这不是聊天，而是斗争.

这是刘钊心中作品的魅力.

代码背后的“暗影”

借助各种自动化工具，可以在短短几分钟内识别出一种简单的新型木马. 但是，“大师”作品可能要花几天时间.

在刘钊的眼中，这些病毒木马背后的黑客水平可以说是参差不齐，某些欺骗用户的方法甚至是“简单”的. 他举了一些例子:

在办公室里，经常听到刘钊的遗憾.

当我看到这种类型的木马时，我不会立即想到该木马的作者. 相反，我想到的是受害用户，他们因为没有养成良好的安全习惯而陷入了这种简单的骗局.

[一名黑客在乌克兰发电厂攻击了包含宏病毒的Excel文件]

但是，以刘钊为代表的安全研究团队正在迅速成长. 他们的知识可以快速启用管家软件，用户可以使用保护软件轻松检测并杀死这些“简单的木马”. 这种情况迫使黑客不断升级其“武器”. 在过去的两年中，黑客与安全研究人员之间的“神与魔鬼之战”突然变得激烈起来. 开发木马的黑客已将其欺骗目标从用户转移到了安全研究人员.

常见的宏病毒是将一段VB代码添加到Office文档中. 但是，许多黑客并没有在常规代码位置阻止恶意代码，而是将其放在文本形式中，这可以避免检测和杀死某些自动工具. 但是，为了避免安全研究人员被手动杀死，他们还将代码文本的大小减小到最小. 当安全人员打开代码查看时，什么也看不到.

此外，某些黑客会使用CPU指令集中非常不受欢迎的指令，向木马程序的指令“添加鲜花”. 可以用短语“滚动小牛”解释的指令被称为“滚动小牛”. 对于计算机，这些“附加指令”与普通指令没有什么不同. 但是对于屏幕前的安全研究员来说，它充满了担忧.

在正常应用中，作者会隐藏许多木马. 他们只需更改程序中的几行代码即可达到恶意目的. 对于此类“病态”程序，恶意代码仅占很小的比例. 当这些“不说话的”指令混入成千上万行普通程序代码时，从理论上讲，只有手动才能找到这些“ li ghosts”. 这时，最有效的方法是在沙箱中执行木马程序，并观察木马程序在动态环境中将执行什么行为.

简单来说，沙箱是一个封闭的虚拟环境. 恶意程序将认为它已成功感染了用户的系统并开始了恶意操作. 这样一来，他们就可以立即露出脚并露出自己的真实形状.

但是，众神与恶魔之间的战斗远没有停止. 许多木马已“演变为”一个功能，该功能可检测它们是否在沙箱中或是否由安全研究人员使用动态调试器控制.

许多木马会在沙箱中采取无害的姿势，或者在遇到调试器时会自动崩溃. 这时，我们需要检查木马的代码，检查其中的“对策”代码，然后有选择地跳过这些代码，让木马再次运行.

刘钊所做的一切都是为了最终抓住木马“出现”的证据. 一旦掌握了它的行为，就可以以可恨的方式“用手撕”木马. 一般的木马都会提交给防病毒引擎进行检查和查杀，而对于“特立独行”木马，则需要开发特殊的查杀工具.

【哈勃分析系统启动木马查杀工具】

然而，事实是残酷的. 从安全研究人员开发反病毒规则到用户使用反病毒工具，都必须存在细微的时间差异.

此后的补救措施始终是万不得已的方法.

如果该木马足够“野蛮”，则很有可能在您杀死木马时成功转移了资金或成功销毁了文件. 面对这些情况，我们无能为力. 因此，最好的方法是在问题发生之前就加以预防. 如果人们可以提高警惕，不要运行非官方程序，也不要单击可疑的电子邮件或链接，木马什么也做不了.

刘钊说.

“残酷”对手

作为安全专家，刘钊无法击败所有对手. 这是事实.

勒索的木马是刘钊面临的“残酷对手”. 一旦这种源自国外的木马程序被成功感染，它将锁定用户的设备或文件. 然后，勒索消息将显示在设备上. 支付“赎金”后，用户将获得黑客的解锁密码.

[勒索木马拼图的界面]

刘钊告诉Leifeng.com，

2015年流行的Android手机锁定屏幕勒索木马将使用欺骗手段获得用户授权，然后在屏幕顶部覆盖一层蒙版，以使所有用户点击无效.

但是，这种勒索木马未能击败他. 经过研究，他和他的团队发现，只要将它们连接到计算机，他们就可以通过调试模式将命令发送到手机，以关闭顶级掩码，然后杀死木马. 如果电话未设置为调试模式，则还可以重新启动进入安全模式，禁止所有第三方程序请求并杀死木马. 为此，哈勃系统还启动了一种特殊工具来检测和杀死此类木马.

[Android手机勒索木马]

真正可怕的对手是“计算机秘密锁定”类型的勒索木马. 这是勒索的木马，于2015年初开始流行. 令人恐惧的不是木马本身的技术，而是其中一些使用RSA加密算法对用户文件进行加密. 不要小看这种RSA算法，大多数银行都在使用这种加密算法来保护用户的数据安全.

如果采用暴力破解方法，则足够长的RSA密钥需要最佳的计算机群集才能连续工作数千年. 到目前为止，世界上所有的黑客都还没有发现这种加密算法的弱点. 换句话说，如果这种加密算法存在漏洞，那么我们所有的银行帐户都将面临危险.

[CTB-Locker勒索木马的勒索请求界面]

对于这种类型的木马，唯一的解决方案是在出. 但是，刘钊告诉Leifeng.com（在“ Leifeng.com”公众号上进行搜索），在这一波神秘的木马浪潮席卷全球的过程中，中国大陆已成为唯一未被“污染”的纯净土地.

当前，未检测到大型PC锁定型勒索木马. 一个重要的原因是中国用户无法连接到黑暗的网络，因此即使他们愿意支付赎金，也无法实现. .

面对这种“坏”土壤，木马作者似乎没有动力将勒索的木马翻译成简体中文. 对于刘钊来说，这可能是一个令人尴尬的好消息.

“ Houseman”或“ The Iron Man”

许认为，刘钊有着标准的宅男面孔. 但是在代码世界中，他是一个“铁人”，站在我们的面前，正与木马病毒作斗争.

我们每天坐在钢筋建筑中，感到安全；我们不知道世界仍然很疯狂. 这些由相信丛林法则的黑客炮制的木马，旨在抢夺我们每个人的金钱，财产，宝贵信息以及对互联网世界的信任. 如果您了解刘钊和木马之间的战争. 我相信您会得出以下结论:

这场战争不是小事，没有疏忽的余地.

也许下一次腾讯计算机经理弹出木马警告时，您会认为在这场无休止的战争中，刘钊和他的同事赢得了另一场战斗.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-295978-1.html