浅谈win32恶意程序逻辑锁

程序逻辑锁：

恶意程序通过技术使恶意程序的各个部分之间的互动维护其所需状态。

这里的程序逻辑锁是一个广义上定义，从概念上涵盖了DOS时代锁的逻辑锁程序。

例举如下几种表现方式：

1. 进程互保护:通过进程互相监视，在接受到结束其一的信号时，兄弟进程启动它。

2. 文件后缀名关联逻辑锁

3. ZeroAccessRootkit逻辑锁

简述如下：

1. 进程互相保护是数年前一些恶意程序喜欢玩的把戏，因为一些恶意程序自身的隐藏做的不是很好，而阻止别人kill自己需要很多知识技巧，而且使用工具修复系统的人越来越多，这样隐藏自身成为一个难题。一旦被人找出来也就难逃一死，简而有效的方法便是：进程互相监视，“随时准备着”。

2. 对于文件后缀名关联逻辑锁，这真是让人头疼，一旦程序后缀被劫持，任何恶意程序作者不期望运行之类别的东西都是被挡在门外。我曾遇到过一些完善使用此种技术的恶意程序，它们拦截了所有我当时所知的能够“反败为胜”的扩展名，以至于我不能以当时所知的方法运行任何工具，最终只能为该机器重装系统。它劫持了扩展名，这种劫持虽然简单但是行之有效，它将能复原扩展名的方式在逻辑上进行了封堵。这就是一种“逻辑锁”，即使你有强兵利器，你不能将其运转，对于病毒而言同样是废铜烂铁。

3. ZeroAccessRootkit是我所知为数不多的Rootkit，它精妙的结构正是由于“逻辑”二字变得异常酷炫。它通过在启动项中添加看上去是无效的路径来抵抗杀毒软件对自己的检查，它将自己的程序安放在一个除了它自己别人都无法识别的法外存储空间中，对于欲图扫描自己目录的程序，它代表硬盘返回一个它想要的结果，最终当杀软或者其它反病毒工具试图结束它的时候，它让其它人在逻辑上“自裁”！为了防止专杀或者简单的修复工具的出现，它随机地感染驱动。如果想突破它，也只能从逻辑上去突破。

真正的间谍程序应该是会隐藏自己，让自己无形。一旦恶毒之形已经被人发现，离结束统治之日也就不远了，故而即使进程互相监视又有多少真正的意义呢？

逻辑如此炫酷。

2015年3月8日 15:02:41