周六的早餐，騰飛是坐在自己卡位上吃的，一杯豆?jié){，兩個菜包子。這是他連續(xù)第三周的周末在單位吃早餐。自從2月底磁碟機爆發(fā)以來，他和毒霸的其他反病毒工程師們就再沒又清閑過。“快吃快吃，吃完把昨晚的那幾個AUTO木馬樣本給我。”

圖1　病毒分析師的早餐

經(jīng)過各殺毒軟件廠商近一個月的圍追堵截后，磁碟機病毒事件已經(jīng)平息下去，虛擬世界恢復了往日的平靜，游戲玩家們又開始投入各網(wǎng)游的激烈戰(zhàn)斗中。但對于毒霸的反病毒工程師們來說，他們卻絲毫不敢放松警惕。

圖2　分析師在工作中

經(jīng)過對AV終結者、機器狗、磁碟機等一系列“重量級”病毒，以及磁碟機“藏匿”后涌現(xiàn)出的新病毒的分析，騰飛和同事們發(fā)現(xiàn)，在磁碟機事件后，國內計算機的開機藍屏、殺毒軟件無法啟動的案例依舊沒有減少，而罪魁禍首是一批具有AUTO傳播功能的下載器程序�？墒谴蟛糠钟脩艉鸵恍┌踩珡S商沉浸在“打敗”磁碟機的喜悅中，僅僅將這些現(xiàn)象作為常規(guī)病毒來處理，全然沒有意識到一個不同于磁碟機的“慢性病毒”已接過磁碟機的接力棒。

圖3　某個下載器的嘍啰名單
“真不知道做病毒的人還有完沒完，剛送走磁碟機這么一個瘟神，又來了堆AUTO小鬼�！彬v飛搖著頭笑笑。他認為病毒作者之間是有直接聯(lián)系的，最近連續(xù)的幾個重量級病毒可能是病毒作者們向反病毒行業(yè)輪流發(fā)起的挑戰(zhàn)，為的是削弱安全軟件廠商們的意志�！跋螺d器一個又一個，我們的時間全耗在上面了，平時回家就很晚，原本還指望著周末能和老婆去灣仔吃海鮮，結果還是得吃食堂�！�

“要知足！要知足！食堂免費又好吃！結婚的男人耳朵太軟了！”另外幾個仍打著光棍的反病毒工程師故意嚷嚷著。

騰飛從壓縮包里找出一個病毒，把它丟進OLLYDBG，幾秒鐘后病毒的二進制代碼就全部顯示了出來�！斑@段時間我們分析了不少病毒，從代碼上就可以很明顯的看出，這些病毒在一些關鍵技術上具有相似之處。”騰飛說�！瓣P閉進程，解除安全軟件的印象劫持，恢復SSDT表，主動防御功能就失效了，好幾個病毒都是這么干�！�

圖4　工作中

半個小時后，騰飛看完代碼，“又是一個下載器，水牛的新變種，有點難對付，清理專家和毒霸搞不定，得做專殺�！彼�轉過頭，沖著身后一個卡位上喊了聲，“Sakana！和你猜的一樣，有活干啦！我寫完分析報告就交給你。”

Sakana是騰飛的同事，擔任毒霸反病毒工程師已經(jīng)兩年了，雖然看上去仍帶著學生的稚氣并且電腦上擺滿了日式卡通模型，卻已是病毒流行趨勢分析和病毒專殺工具方面的專家。在磁碟機仍在肆虐時，他就已經(jīng)開始擔心會涌現(xiàn)出大批磁碟機的“弟子”，并且采用普通方法無法處理，果然應驗了。

吃過午飯后，騰飛把一份完整的病毒分析報告發(fā)給了Sakana，這個速度在病毒分析工作哦中已經(jīng)是比較快的速度，一些剛入門的病毒分析師，可能要用一整天。從分析報告上，可以一目了然地看出，這個版本的水牛已經(jīng)不同于病毒作者以前那些自娛自樂式的版本，早先的版本，清理專家就可以將其清除干凈，而這個版本卻針對毒霸進行了猛烈的對抗，它通過搜索進程和窗口名稱、查找編碼、模擬用戶指令、恢復SSDT表等方法，輕而易舉地就把毒霸、清理專家，以及其它多家國內外知名廠商的產(chǎn)品干掉，即便是宣稱自己擁有主動防御技術的一些廠商也不能幸免。當殺毒軟件都被解決之后，“水�！本拖螺d大量盜號木馬執(zhí)行盜號。

“因為使用普通的技術暫時無法抵擋住病毒的進攻，那就需要使用專殺工具。”Sakana解釋說，“專殺工具采用的是‘后發(fā)制人’的機制，它刻意避開病毒搜索的進程、窗口的字符串和編碼，讓病毒無法關閉它，然后針對病毒弱點發(fā)起反擊�！�

圖5　知識就是力量

不過，專殺的制作也不是那么容易的，因為是緊急趕制，可能存在較多的BUG，為防止與系統(tǒng)沖突，需要經(jīng)過多次調校。Sakana這次做的水牛專殺，從拿到分析報告到提交測試，一共花了10個小時，而騰飛這期間又分析了另外幾個病毒。在修改了從測試打回來的三次藍屏后，水牛專殺終于正式提交。

騰飛終于可以站起身子走動一下，這時已是凌晨1點，而他身邊的其他同事，依然在代碼中過濾著每一個可疑動作，今天一天，大家處理了5個最難啃的下載器。“哈，今天算是又把時間耗掉了，看來我也是病毒的受害者�！彬v飛給老婆打完電話，準備回家�！跋Ｍ麑�殺能盡快放出去，很多電腦等著用，不能看著做病毒的人那么猖獗，早點把他們的氣焰打下去，我們也就能早點輕松了。”

標簽： ssd 安全 代碼 搜索

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。