• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

特別報道:反病毒工程師應急處理突發病毒

【本文根據毒霸反病毒工程師週末真實生活記錄,如有雷同,絕對抄襲。合作網站如欲轉載,請註明文章作者「禹林」!】

【賽迪網-IT技術報道】週六的早餐,騰飛是坐在自己卡位上吃的,一杯豆漿,兩個菜包子。這是他連續第三周的週末在單位吃早餐。自從2月底磁碟機爆發以來,他和毒霸的其他反病毒工程師們就再沒又清閒過。「快吃快吃,吃完把昨晚的那幾個AUTO木馬樣本給我。」

圖1 病毒分析師的早餐

經過各殺毒軟體廠商近一個月的圍追堵截後,磁碟機病毒事件已經平息下去,虛擬世界恢復了往日的平靜,遊戲玩家們又開始投入各網游的激烈戰鬥中。但對於毒霸的反病毒工程師們來說,他們卻絲毫不敢放鬆警惕。

圖2 分析師在工作中

經過對AV終結者、機器狗、磁碟機等一系列「重量級」病毒,以及磁碟機「藏匿」後湧現出的新病毒的分析,騰飛和同事們發現,在磁碟機事件後,國內計算機的開機藍屏、殺毒軟體無法啟動的案例依舊沒有減少,而罪魁禍首是一批具有AUTO傳播功能的下載器程序。可是大部分用戶和一些安全廠商沉浸在「打敗」磁碟機的喜悅中,僅僅將這些現象作為常規病毒來處理,全然沒有意識到一個不同於磁碟機的「慢性病毒」已接過磁碟機的接力棒。

圖3 某個下載器的嘍名單

「真不知道做病毒的人還有完沒完,剛送走磁碟機這麼一個瘟神,又來了堆AUTO小鬼。」騰飛搖著頭笑笑。他認為病毒作者之間是有直接聯繫的,最近連續的幾個重量級病毒可能是病毒作者們向反病毒行業輪流發起的挑戰,為的是削弱安全軟體廠商們的意志。「下載器一個又一個,我們的時間全耗在上面了,平時回家就很晚,原本還指望著週末能和老婆去灣仔吃海鮮,結果還是得吃食堂。」

「要知足!要知足!食堂免費又好吃!結婚的男人耳朵太軟了!」另外幾個仍打著光棍的反病毒工程師故意嚷嚷著。

騰飛從壓縮包裡找出一個病毒,把它丟進OLLYDBG,幾秒鐘後病毒的二進制代碼就全部顯示了出來。「這段時間我們分析了不少病毒,從代碼上就可以很明顯的看出,這些病毒在一些關鍵技術上具有相似之處。」騰飛說。「關閉進程,解除安全軟體的印象劫持,恢復SSDT表,主動防禦功能就失效了,好幾個病毒都是這麼幹。」

圖4 工作中

半個小時後,騰飛看完代碼,「又是一個下載器,水牛的新變種,有點難對付,清理專家和毒霸搞不定,得做專殺。」他轉過頭,衝著身後一個卡位上喊了聲,「Sakana!和你猜的一樣,有活幹啦!我寫完分析報告就交給你。」

Sakana是騰飛的同事,擔任毒霸反病毒工程師已經兩年了,雖然看上去仍帶著學生的稚氣並且電腦上擺滿了日式卡通模型,卻已是病毒流行趨勢分析和病毒專殺工具方面的專家。在磁碟機仍在肆虐時,他就已經開始擔心會湧現出大批磁碟機的「弟子」,並且採用普通方法無法處理,果然應驗了。

吃過午飯後,騰飛把一份完整的病毒分析報告發給了Sakana,這個速度在病毒分析工作哦中已經是比較快的速度,一些剛入門的病毒分析師,可能要用一整天。從分析報告上,可以一目瞭然地看出,這個版本的水牛已經不同於病毒作者以前那些自娛自樂式的版本,早先的版本,清理專家就可以將其清除乾淨,而這個版本卻針對毒霸進行了猛烈的對抗,它通過搜索進程和窗口名稱、查找編碼、模擬用戶指令、恢復SSDT表等方法,輕而易舉地就把毒霸、清理專家,以及其它多家國內外知名廠商的產品幹掉,即便是宣稱自己擁有主動防禦技術的一些廠商也不能倖免。當殺毒軟體都被解決之後,「水牛」就下載大量盜號木馬執行盜號。

「因為使用普通的技術暫時無法抵擋住病毒的進攻,那就需要使用專殺工具。」Sakana解釋說,「專殺工具採用的是『後發制人』的機制,它刻意避開病毒搜索的進程、窗口的字符串和編碼,讓病毒無法關閉它,然後針對病毒弱點發起反擊。」

圖5 知識就是力量

不過,專殺的製作也不是那麼容易的,因為是緊急趕製,可能存在較多的BUG,為防止與系統衝突,需要經過多次調校。Sakana這次做的水牛專殺,從拿到分析報告到提交測試,一共花了10個小時,而騰飛這期間又分析了另外幾個病毒。在修改了從測試打回來的三次藍屏後,水牛專殺終於正式提交。

騰飛終於可以站起身子走動一下,這時已是凌晨1點,而他身邊的其他同事,依然在代碼中過濾著每一個可疑動作,今天一天,大家處理了5個最難啃的下載器。「哈,今天算是又把時間耗掉了,看來我也是病毒的受害者。」騰飛給老婆打完電話,準備回家。「希望專殺能盡快放出去,很多電腦等著用,不能看著做病毒的人那麼猖獗,早點把他們的氣焰打下去,我們也就能早點輕鬆了。」

(

加入好友line@vga9721w
線上客服
@hd119