前沿拓展：

ghost win7**

其實(shí)目前網(wǎng)上供下載使用的XP/WIN 7系統(tǒng)文件，基本是大同小異?；謴?fù)系統(tǒng)制作者，為體現(xiàn)制作者的六更含十自己的個(gè)性，在對原系統(tǒng)優(yōu)化的同時(shí)，還會添加一些東西，這樣一些素培處希素省更偉益明殺毒軟件會把優(yōu)化或添加的東西視為**，提示你及時(shí)清除，如果迂到這種情且樣確預(yù)壓創(chuàng)況，要酌情處理。

**名的一般格式都是采用三段來標(biāo)識的：<**前綴>.<**名>.<**后綴> 。這里給大家列舉一小段掃描報(bào)告為例：Backdoor.Win32.Nuclear.~L@779798 E:\HACKER\TrojWare.Win32.PSW.LdPinch.~HP@1852437E:\HACKER\Backdoor.Win32.Nucleroot.NAB@89601 E:\HACKER\Backdoor.Win32.Bandok.j@5314232 E:\HACKER\Backdoor.Win32.Nuclear.ag@6194658 E:\HACKER\Backdoor.Win32.Nuclear.NAG@109155 E:\HACKER\Backdoor.Win32.Nuclear.NAG@149563 E:\HACKER\TrojWare.Win32.PSW.Delf.vg@5527870 E:\HACKER\UnclassifiedMalware@9221441 E:\HACKER\TrojWare.Win32.PSW.LdPinch.~HP@1852437 E:\HACKER\Backdoor.Win32.Bandok.AV@108534 E:\HACKER\**前綴是指一個(gè)**的種類，他是用來區(qū)別**的種族分類的。不同的種類的**，其前綴也是不同的。比如我們常見的木馬**的前綴 Trojan ，蠕蟲**的前綴是 Worm 等等還有其他的。 **名是指一個(gè)**的家族特征，是用來區(qū)別和標(biāo)識**家族的，如上述報(bào)告中的'Nuclear'、'Nucleroot'就是**名。**后綴是指一個(gè)**的變種特征，是用來區(qū)別具體某個(gè)家族**的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示，如 Worm.Sasser.b 就是指 振蕩波蠕蟲**的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該**變種非常多，可以采用數(shù)字與字母混合表示變種標(biāo)。如果跟簡單一點(diǎn)的說的話，那么拿灰鴿子舉例，灰鴿子之所以不斷可以逃過殺毒軟件的追殺，就是因?yàn)槠渥兎N不斷，如果我們比較其殺毒軟件提供的名稱，會發(fā)現(xiàn)其前綴與**名是相同的，但是后綴不同。第一我們來大致了解一下前綴的區(qū)分，和**的分類，這有利于我們判斷**的危害性具體的我會當(dāng)作附錄放在文章的最后面。系統(tǒng)**：前綴為Win32、PE、Win95、W32、W95，這些**的一般公有的特性是可以感染windows**作系統(tǒng)的 *.exe 和 *.dll 文件，并通過這些文件進(jìn)行傳播，當(dāng)然大多數(shù)時(shí)候是來表示該**的運(yùn)行環(huán)境。（Linux的不列舉，大家沒幾個(gè)用Linux的）。木馬**、黑客**Trojan、Hack，這類**一般為遠(yuǎn)控木馬、**木馬、木馬插件等一系列木馬類的**，該類**大家接觸的最多，雖然不具有破壞性，但是會竊取資料。這里補(bǔ)充一點(diǎn)，**名中有PSW或者什么PWD之類的一般都表示這個(gè)**有**的功能(這些字母一般都為“密碼”的英文“password”的縮寫)。腳本**腳本**的前綴是：Script。腳本**的公有特性是使用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的**，如紅色代碼(Script.Redlof)。腳本**還會有如下前綴：VBS、JS(表明是何種腳本編寫的)，如歡樂時(shí)光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。我想大家玩過一些強(qiáng)制關(guān)機(jī)，、倒計(jì)時(shí)關(guān)機(jī)一類的VBS腳本文件，有的時(shí)候該類文件也會被判斷為**的。宏**其實(shí)宏**是也是腳本**的一種，由于它的特殊性，因此在這里單獨(dú)算成一類。宏**的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的**采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的**采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的**采用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的**采用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類**的公有特性是能感染OFFICE系列文檔，第二通過OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎(Macro.Melissa)。后門**后門**的前綴是：Backdoor。該類**的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。如54很多朋友

遇到過的IRC后門Backdoor.IRCBot 。比我我示意免殺技術(shù)時(shí)用到的Bandook就屬于Backdoor一類的。**種植程序**這類**的公有特性是運(yùn)行時(shí)會從體內(nèi)釋放出一個(gè)或幾個(gè)新的**到系統(tǒng)目錄下，由釋放出來的新**產(chǎn)生破壞。如：冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.**ibag)等。破壞性程序**破壞性程序**的前綴是：Harm。這類**的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類**時(shí)，**便會直接對用戶計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。玩笑**玩笑**的前綴是：Joke。也稱惡作劇**。這類**的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類**時(shí)，**會做出各種破壞**作來嚇唬用戶，其實(shí)**并沒有對用戶電腦進(jìn)行任何破壞。如：女鬼(Joke.Girlghost)**。捆綁機(jī)**捆綁機(jī)**的前綴是：Binder。這類**的公有特性是**作者會使用特定的捆綁程序?qū)?*與一些應(yīng)用程序如QQ、IE捆綁起來，表面上看是一個(gè)正常的文件，當(dāng)用戶運(yùn)行這些捆綁**時(shí)，會表面上運(yùn)行這些應(yīng)用程序，第二隱藏運(yùn)行捆綁在一起的**，從而給用戶造成危害。如：捆綁QQ(Binder.QQPass.QQBin)、系統(tǒng)殺手(Binder.killsys)等DDOS攻擊程序其前綴為：DoS，會針對某臺主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；溢出工具其前綴為：Exploit，會自動通過溢出對方或者自己的系統(tǒng)漏洞來傳播自身，或者他本身就是一個(gè)用于Hacking的溢出工具；黑客工具其前綴為：HackTool，這一類是我們最為常見的，也許本身并不破壞你的機(jī)子，但是會被別人加以利用來用你做替身去破壞別人。如啊D、明小子、HDSI、NBSI以及其他一些常用的黑客工具，有時(shí)其也會被標(biāo)識為Application,不過因?yàn)楹诳凸ぞ吖δ芊倍?，所以在主名稱后會有附屬名稱，我們可以通過其來判斷程序的功能。如：Inject為注入、Remote為遠(yuǎn)程連接等。當(dāng)然還有很多**的類型，如下載**了啊、蠕蟲**了啦什么的，不過太多也無法一一列舉（汗一個(gè)，主要是我沒那么些樣本）接下來是**的主名稱，其標(biāo)識該**的名稱或者家族名，我們可以通過它來判斷我們中了什么** 。**的主名稱是由分析員根據(jù)**體的特征字符串、特定行為或者所使用的編譯平臺來定的，如果無法確定則可以用字符串”Agent”來代替主名稱，小于10k大小的文件可以命名為“Samll”。 版本信息 版本信息只允許為數(shù)字，對于版本信息不明確的不加版本信息。 主名稱變種號 如果**的主行為類型、行為類型、宿主文件類型、主名稱均相同，則認(rèn)為是同一家族的**，這時(shí)需要變種號來區(qū)分不同的**記錄。如果一位版本號不夠用則最多可以擴(kuò)展3位，并且都均為小寫字母a—z，如：aa、ab、aaa、aab以此類推。由系統(tǒng)自動計(jì)算，不需要人工輸入或選擇。 附屬名稱 **所使用的有輔助功能的可運(yùn)行的文件，通常也作為**添加到**庫中，這種類型的**記錄需要附屬名稱來與**主體的**記錄進(jìn)行區(qū)分。附屬名稱目前有以下幾種： Client 說明：后門程序的控制端 KEY_HOOK 說明：用于掛接鍵盤的模塊 API_HOOK 說明：用于掛接API的模塊 Install 說明：用于安裝**的模塊 Dll 說明：文件為動態(tài)庫，并且包含多種功能 空 說明：沒有附屬名稱，這條記錄是**主體記錄 附屬名稱變種號 如果**的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同，則認(rèn)為是同一家族的**，這時(shí)需要變種號來區(qū)分不同的**記錄。變種號為不寫字母a—z，如果一位版本號不夠用則最多可以擴(kuò)展3位，如：aa、ab、aaa、aab以此類推。由系統(tǒng)自動計(jì)算，不需要人工輸入或選擇。 **長度 **長度字段只用于主行為類型為感染型（Virus）的**，字段的值為數(shù)字。字段值為0，表示**長度可變。由于**名稱與后綴太多，而且變種的表示也比較繁雜，所以我們只需要將它們與前綴聯(lián)系起來，大致知道這是一個(gè)什么**，第二查詢一下解決方案。。當(dāng)然如果有興趣的童鞋可以自己做**分析來**一個(gè)**，也可以提交專業(yè)網(wǎng)站進(jìn)行分析。如

http://www.virscan.org/

最后個(gè)大家一些記錄，大家對照附錄與文章開始**鑒別之旅吧（其實(shí)本文很沒技術(shù)含量的說…）附錄：Backdoor，危害級別：1， 說明： 中文名稱—“后門”， 是指在用戶不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行可以對被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制，而且用戶無法通過正常的方法禁止其運(yùn)行。“后門”其實(shí)是木**一種特例，它們之間的區(qū)別在于“后門”可以對被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制（如：文件管理、進(jìn)程控制等）。 Worm，危害級別：2， 說明： 中文名稱—“蠕蟲”，是指利用系統(tǒng)的漏洞、外發(fā)郵件、共享目錄、可傳輸文件的軟件（如：MSN、OICQ、IRC等）、可移動存儲介質(zhì)（如：U盤、軟盤），這些方式傳播自己的**。這種類型的**其子型行為類型用于表示**所使用的傳播方式。 Mail，危害級別： 1說明：通過郵件傳播 IM，危害級別： 2，說明：通過某個(gè)不明確的載體或多個(gè)明確的載體傳播自己 MSN，危害級別：3，說明：通過MSN傳播 QQ，危害級別：4，說明：通過OICQ傳播 ICQ危害級別：5，說明：通過ICQ傳播 P2P，危害級別：6，說明：通過P2P軟件傳播 IRC，危害級別：7，說明：通過ICR傳播 其他，說明：不依賴其他軟件進(jìn)行傳播的傳播方式，如：利用系統(tǒng)漏洞、共享目錄、可移動存儲介質(zhì)。 Trojan，危害級別：3，說明： 中文名稱—“木馬”，是指在用戶不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行，而且用戶無法通過正常的方法禁止其運(yùn)行。這種**通常都有利益目的，它的利益目的也就是這種**的子行為。 Spy，危害級別：1，說明：竊取用戶信息（如文件等） PSW，危害級別：2，說明：具有竊取密碼的行為 DL，危害級別：3，說明：下載**并運(yùn)行，判定條款：沒有可調(diào)出的任何界面,邏輯功能為:從某網(wǎng)站上下載文件加載或運(yùn)行. 邏輯條件引發(fā)的**: **1、.不能正常下載或下載的文件不能判定為** ，**作準(zhǔn)則:該文件不能符合正常軟件功能組件標(biāo)識條款的,確定為:Trojan.DL **2.下載的文件是**，**作準(zhǔn)則: 下載的文件是**,確定為: Trojan.DL IMMSG，危害級別：4，說明：通過某個(gè)不明確的載體或多個(gè)明確的載體傳播即時(shí)消息（這一行為與蠕蟲的傳播行為不同，蠕蟲是傳播**自己，木馬僅僅是傳播消息） MSNMSG，危害級別：5，說明：通過MSN傳播即時(shí)消息 QQMSG，危害級別：6，說明：通過OICQ傳播即時(shí)消息 ICQMSG，危害級別：7，說明：通過ICQ傳播即時(shí)消息 UCMSG，危害級別：8，說明：通過UC傳播即時(shí)消息 Proxy，危害級別：9，說明：將被感染的計(jì)算機(jī)作為**服務(wù)器 Clicker，危害級別：10，說明：點(diǎn)擊指定的網(wǎng)頁 ，判定條款：沒有可調(diào)出的任何界面,邏輯功能為:點(diǎn)擊某網(wǎng)頁。**作準(zhǔn)則：該文件不符合正常軟件功能組件標(biāo)識條款的,確定為:Trojan.Clicker。(該文件符合正常軟件功能組件標(biāo)識條款,就參考流氓軟件判定規(guī)則進(jìn)行流氓軟件判定) Dialer，危害級別：12，說明：通過撥號來騙取Money的程序 ，注意：無法描述其利益目的但又符合木馬**的基本特征，則不用具體的子行為進(jìn)行描述 AOL、Notifier ，按照原來**名命名保留。 Virus，危害級別：4，說明：中文名稱—“感染型**”，是指將**代碼附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可運(yùn)行宏的文件）中，使**代碼在被感染宿主文件運(yùn)行時(shí)取得運(yùn)行權(quán)的**。 Harm，危害級別：5，說明：中文名稱—“破壞性程序”，是指那些不會傳播也不感染，運(yùn)行后直接破壞本地計(jì)算機(jī)（如：格式化硬盤、大量刪除文件等）導(dǎo)致本地計(jì)算機(jī)無**常使用的程序。 Dropper，危害級別：6，說明：中文名稱—“釋放**的程序”，是指不屬于正常的安裝或自解壓程序，并且運(yùn)行后釋放**并將它們運(yùn)行。 判定條款：沒有可調(diào)出的任何界面，邏輯功能為:自釋放文件加載或運(yùn)行。 邏輯條件引發(fā)的**: **1：.釋放的文件不是**。 **作準(zhǔn)則: 釋放的文件和釋放者本身沒邏輯關(guān)系并該文件不符合正常軟件功能組件標(biāo)識條款的,確定為:Droper **2：釋放的文件是**。 **作準(zhǔn)則: 釋放的文件是**，確定該文件為:Droper Hack，危害級別：無 ，說明：中文名稱—“黑客工具”，是指可以在本地計(jì)算機(jī)通過網(wǎng)絡(luò)攻擊其他計(jì)算機(jī)的工具。 Exploit，漏洞探測攻擊工具 DDoser，拒絕服務(wù)攻擊工具

Flooder，洪水攻擊工具 ，注意：不能明確攻擊方式并與黑客相關(guān)的軟件，則不用具體的子行為進(jìn)行描述 Spam，垃圾郵件 Nuker、Sniffer、Spoofer、Anti，說明：免殺的黑客工具 Binder，危害級別：無 ，說明：捆綁**的工具 正常軟件功能組件標(biāo)識條款：被檢查的文件體內(nèi)有以下信息能標(biāo)識出該文件是正常軟件的功能組件：文件版本信息,軟件信息（注冊表鍵值、安裝目錄）等。 宿主文件 宿主文件是指**所使用的文件類型，有是否顯示的屬性。目前的宿主文件有以下幾種。 JS 說明：JavaScript腳本文件 VBS 說明：VBScript腳本文件 HTML 說明：HTML文件 Java 說明：Java的Class文件 COM 說明：Dos下的Com文件 EXE 說明：Dos下的Exe文件 Boot 說明：硬盤或軟盤引導(dǎo)區(qū) Word 說明：MS公司的Word文件 Excel 說明：MS公司的Excel文件 PE 說明：PE文件 WinREG 說明：注冊表文件 Ruby 說明：一種腳本 Python 說明：一種腳本 BAT 說明：BAT腳本文件 IRC 說明：IRC腳本

拓展知識：