有效防御某一类常见黑客攻击

一、概述正在公测的火绒5.0新版初显威力,在用户的试用过程中,顺利完成了对一种常见黑客攻击的防御,不光及时感知、拦截了黑客攻击,还通过“火绒威胁情报系统”完整解析出整个攻击流程,进而实现对该种攻击的多…

一,简述 正在进行公布检测的新版本荷兰绒4.0已成功完成对用户使用期间常见黑客入侵的防御力。它不仅能够及时认知和阻拦黑客入侵,还可以通过“火白天鹅威协情报系统”对整体进行全面分析。进攻该系统进程以实现对于进攻的几斤防御力。 在这种情况下,当用户的网络服务器数据库查询受到进攻时,Velvet 4.0版本号的“应用加强”控制模块被开启以马上阻拦黑客入侵。紧接着,“火苗威协情报系统”接到了相关的威协信息,并进行了分析,以解决整个进攻过程。

[网络黑客完成过程]:黑客入侵网络服务器中的数据库查询,入侵用户的电子计算机,随后嵌入多个“后门病毒”,随后通过“后门病毒”派发各种病毒感染控制模块,甚至可能使受感柒的电子计算机,进攻其他电脑上。 对于这种更常见的黑客入侵行为,Velvet 4.0可以实现多种多样防御力。

1.当黑客入侵网络服务器数据库查询时,它将开启velvet 4.0 [手机应用程序加强 - 数据库查询]防御力功能。此功能可用以加强电子计算机和网络服务器上的各种程序,防止网络黑客使用程序并执行故意操作,如下载病毒感染。

2.如果停用[手机应用程序加强]功能,网络黑客将成功侵入电子计算机并下载后门病毒文件。如果病毒感染文件运行,Velvet 4.0的[文件实时监控系统]将及时阻拦并杀掉,使其无法运作恶; 3.如果关掉上述两个功能,这些“后门病毒”控制用户的电子计算机,当进攻向外进行时,Velvet 4.0的“Zombie Network Protection”功能可以有效阻拦并阻拦网络黑客控制。

Velvet 4.0是荷兰绒防护软件的最新版。整体防御力再度升级。加上并优化多个软核功能(默认设置打开,请不要随意关掉)。这些功能是对于用户在平时使用中经常碰到的安全威协而开发设计的。它们可以有效地解决很多常见的安全隐患,如病毒感染,特洛伊木马,流氓软件,恶意网站等,使用户可以“安全,方便,单独,免費”。使用自己的电脑上。“ 目前,Velvet 4.0首测已经在官网上。欢迎你下载和体验。 

htpp://WWW.huorong.Cn/betaPage.html语言 另外,Velvet 8.0的用户无须担忧,最新版也可以杀掉病毒感染。 二,试品分析 最近,荷兰绒通过4.0手机应用程序加强功能阻拦了网络攻击恶性事件。网络黑客将通过进攻SQL Server网络服务器来传播病毒感染。进攻成功后,数据库查询相关系统进程将实行恶意代码下载以实行后门病毒。此次传播的后门病毒是Gh0st后门病毒的一种变种。具体功能包括:终端设备数据收集,接受和实行控制指令,以及生产调度和实行任何病毒感染控制模块。 后门病毒起动过程 后门病毒的表层是搞混编码。搞混器逻辑性相对简单。首先,破译初始pE图像,随后启用初始pE图像中的导出来涵数Shellex。破译的初始映象是Gh0st后门病毒变种,在病毒感染运作后申请注册为系统服务驻留用户的电子计算机。相关编码,如图所示: image.png 搞混 在实行后门病毒编码之后,首先复位字符串并获得运作需要的接口文档详细地址。相关编码,

如图所示: 复位字符串并获得接口文档详细地址 该病毒感染将在不同的电脑操作系统中实行不同的病毒感染逻辑性。如果是高过Vista的系统,请在命令行后加上Win7主要参数,随后使用当前用户管理权限重启程序。相关编码,如图所示: image.png 使用当前用户管理权限重启 后门病毒布署 病毒感染运作后,它将在Program Files文件目录中建立一个WinRAP文件夹名称,并将其自身拷贝为该文件目录中的任意名字可执行文件,随后掩藏该文件并将其申请注册为系统服务。相关编码,如图所示:

病毒感染实行相关编码 加上感柒信息注册表便于于后续信息搜集和控制。相关编码,如图所示:
加上病毒感染注册表 image.png 病毒感染注册表 侧门控制 搜集用以上传在线包的计算机系统和软件信息。
搜集的信息如下:搜集的信息 检查软件操作信息,如下如图:
检测软件名称 信息搜集相关编码,如图所示:
搜集硬件配置和软件信息 将搜集的信息加上到固定数据头HTTPWWW.NCBUG.Com,实行简单数据加密,并将其发送至网络服务器。服务器域名为fjm187.f3322.org,服务器端口为1987.相关编码,如图所示: image.png 加上固定数据头
上传数据加密的在线数据 在接到服务器返回的数据后,还需要进行破译。在破译之后,可以根据控制指令实行侧门控制功能。相关编码,如图所示:
破译实行控制指令 侧门控制功能如下: image.png 侧门控制 相关编码,如图所示:
侧门功能 公布病毒感染控制模块 后门病毒还将根据不同的电脑操作系统公布不同的病毒感染控制模块以供实行。通过检测vmtoolsd.exe系统进程是否存在来检测虚拟机。如果它不是虚拟机,请检查电脑操作系统的版本号。如果是win8或windows server2012,则公布并运作名叫cscrss.exe的后门病毒,不然释放出来cszrss.exe。相关编码,如图所示:
公布文件 cscrss的故意行为与之前的后门病毒相一致。它只变更服务器域名和端口号。网站域名为etc.xmcxmr.Com,端口号为2218.相关编码,如图所示:
后门病毒cscrss Cszrss是另一种后门病毒。病毒感染逻辑性类似以前的后门病毒。联接网站域名是backmuma.ddns.net,端口号是81.相关编码,如下如图:
后门病毒cszrss 在cszrss中,有一个与“炎帝园控制”相关的字符串,炎帝元控制产生的后门病毒与之前的所有后门程序有一定的共同之处,炎帝远程操作由Gh0st侧门编码改编,所以上面的侧门被判断。二者都是Gh0st侧门的不同变体。 下载并实行其他病毒感染控制模块 后门病毒通过控制指令从C& C网络服务器派发和实行其他病毒感染控制模块,并将蠕虫分析为派发。发送至终端设备的蠕虫称之为notepad_protected.exe。病毒感染将联接不同的网站域名和端口号,以上传在线包,接受指令,以及下载和实行其他病毒感染控制模块。病毒感染联接的C& C服务器地址和端口号信息,如下如图:
C& C服务器地址和端口号信息 相关编码,如图所示: 
侧门联接不同的网站域名 ddos.jqddos.In的网站域名,通过搜索网站域名网站的历史记录,我们知道网站域名下的网站提供了付钱的DDoS进攻服务,网站域名下的网站已经关掉了几年前。基本信息,如图所示:
 ddos.jqddos.In网站域名下的网站信息 病毒感染实行后,它将遍历硬盘文件目录以释放出来lpk.dll文件以进行动态库被劫持。载入lpk.dll后,将通过从资源部分释放出来文件并实行它来再次定位和传播它(将文件作为与生产调度的病毒感染文件相同的文件释放出来)。相关编码,
公布lpk.dll image.png 从资源部分释放出来文件并实行