安全专家讲解如何辨别“打包”程序存在的威胁- 乐天老头的日志- 网易博客

安全专家讲解如何辨别“打包”程序存在的威胁

2010-04-20 11:43:03 阅读5 评论0 字号:

文:(刘晶晶)

摘要:瑞星安全技术专家,将为大家介绍在下载软件过程中,如何避免下到被“二次打包”的恶意软件,又如何通过“拆包”来辨别细节,以及通过相关安全软件来判定其中的流氓行为。

苦于寻找软件xx码,到处搜索“绿色xx”和“xx注册”版本。下载安装后,却发现其中存在大量“猫腻”,轻则同时装入相关广告链接,创建桌面方式,重则直接同步植入木马,利用“后门”上传数据等,所以,杜绝“猫腻”,我们应该先从“拆包”说起……

在本文中,瑞星安全技术专家,将为大家介绍在下载软件过程中,如何避免下到被“二次打包”的恶意软件,又如何通过“拆包”来辨别细节,以及通过相关安全软件来判定其中的流氓行为。

我们经常在安装某些软件,或解开相关压缩包后,会发现其存在有大量第三方插件、广告程序,甚至病毒程度等等。比如在安装时选择“一路回车”、不注意细节,或者某些下载站受到利益诱使,强制二次打包等等。都会不慎“中招”。但是,很多软件、下载的视频等,太多内容又确实需要,我们也不好直接删除,所以如何对其进行有效辨别?就成为了我们所关注的问题。

一、警惕文件被二次“打包”

软件作者在将产品研发完成之后,通常包括主程序文件,链接库文件、INI配置、DAT资源库和日志等多个单个文件。若进行分享,则需要将其进行整合,既“打包”操作,一方面整合,一方面方便用户快速完成配置安装,包括可以通过操作系统快速调用,并整合、关联到对应组件等等。

目前,很多打包工具,比如使用网上随处可搜的“安装程序制作工具”、ClickTeam Install等工具,都可以轻松实现对应操作。但是,在打包文件的同时,很多作者会因盈利所需,和一些第三方厂商合作,绑定加入插件程序等。导致我们下载相关程序,并执行安装的同时,载入对应的绑定程序,而绑定程序,当前也通常分为如下几种类型。安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  通过很多“打包”工具可快速生成新程序安装文件

1.直接绑定流氓工具,同步安装强制使用

很多软件,当前都有绑定流氓工具,比如绑定有一些山寨软件,或强制加入系统当中,替代系统默认工具,比如某些所谓的“看图”工具,会在同步安装的过程中,强制修改文件关联,从而变为默认程序。强制用户使用,通过此类方法来快速抢占用户桌面,达到抢占份额的目的。

如:某工具软件绑定自家浏览器,某下载工具绑定自家播放器等。

2.间接绑定动态链接,后台自动完成下载

考虑因直接绑定,会造成软件体积较大的情况,很多软件,也提供了间接绑定、动态下载的方式,比如某些下载软件,提供有“推荐”下载的勾选提示,一旦用户不慎选中,会自动在后台完成下载,占用带宽资源,造成无谓浪费。

如:安装某播放器,推荐下载某词典,不慎勾选后台自动完成下载。

3.直接绑定后门程序,试图上传用户隐私

和强制安装不同,在安装过程中,快速检测系统潜在漏洞情况。找到隐患点,植入后门程序后,试图上传用户隐私数据,并通过植入到注册表键值和随机启动项、浏览器加载项中,通过预装的窃听程序来对窃取用户的网银、网游密码。

如:安装某软件后,被发现自动打开相关后门,开启上传对应数据。

当前,很多“安装程序制作”工具,都流传于网络当中,方便软件开发者使用,更便于黑客利用。比如“安装程序制作工具”软件,就提供了通过简单几步,快速生成打包文件的方式。比如我们安装软件后,选择输入/输出工作目录,通过拖拽添加相应文件,如源程序,和希望进行“绑定”的程序之后。自定产品使用生命、设定希望同步写入的注册表键值、并设置相关安装设定后,快速保存工程,并通过“生成安装文件”,快速生成操作。安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  通过“安装程序制作工具”可快速生成打包文件 安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  可快速制作专属“打包”软件使用生命安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  设置注册表键值,安装同步写入到相关数据当中安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  选择安装程序样式、名称,完成打包文件配置工作

至此,通过一系列网络流传的打包程序,可以轻松生成二次打包的安装文件,这时将其散播到各类下载站中,通过更为“夸张”的宣传手法,诱骗用户进行下载,并在执行安装的过程中,将流氓插件植入其中。

由此可见,二次打包的方法并非很难,通过一些近乎“傻瓜”的安装制作工具,甚至一般菜鸟也能生成对应程序。特别是对于一些对代码和系统较为熟悉的“老鸟”,一旦加入可绕过主流防护,并跳过安全清理工具的代码内容,便会肆无忌惮的对系统构成威胁。对此,如何辨别包中猫腻?也值得我们仔细研究。

面对形形色色的“打包”工具,实际我们也可以尝试对其进行反向拆解,既然可以整合,为何不能分离?对此,我们通过一些,如“{wn}解包工具”等,即可实现对应辨别方式。而在目前提供“拆解”安装包服务的软件中,Universal Extractor无疑是很多朋友的主要选择。

Universal Extractor是一款近乎于{wn}的文件提取器,支持的文件类型多达40多种。无论是简单的压缩文件如zip、rar、7z,还是软件的安装程序如Inno Setup、InstallShield、Winodws Installer,抑或是一些软盘光盘镜像如IMG、ISO,甚至某些加壳的PE文件都可以使用它将打包在其中的文件提取出来.软件的使用十分方便,只需要指定待提取的文件和目标文件夹,Universal Extractor 会自动分析文件类型并提取完成。通过在资源管理器中使用鼠标右键操作,更是可以一键完成提取。安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  快速通过拆包工具,拆解相关安装包文件

通过拆包软件“拆解”完成之后,我们很快就可以看到安装包存在的猫腻所在,比如这个名为“MM乐园”的网页快捷方式,会在安装后,引导用户自动载入此页面,并在桌面、快速启动处生成此快捷图标等。安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  通过“拆包”工具可以轻松查阅其中潜在威胁 安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  拆包工具同时可以有效xx关键右键菜单限制

这样借助一系列拆包软件,我们也可以轻松实现对其的有效识别,当然,看出了猫腻,找到了端倪,我们还需要对其进行xx操作。

找到了问题,自然要进行处理。对此,我们则可以借助,如瑞星卡卡上网安全助手{zx1}的6.2版本,对其进行有效清理。

比如,对于安装包内一些恶意文件,我们在发现无法直接删除时,则可采用瑞星卡卡“文件粉碎”功能快速完成删除。安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  通过瑞星卡卡“文件粉碎”快速xx恶意威胁安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  快速执行对相关恶意文件的“粉碎”操作

而对于一旦不慎安装,惨遭劫持的系统,瑞星卡卡6.2新版还提供了系统快速修复和xx修复功能,自动修复被篡改和修复的项目。  安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  快速修复被篡改的项目,执行系统快速恢复操作

同时,使用卡卡还可快速扫描流氓插件,并对其进行修复操作,比如通过卡卡“扫描流氓软件”功能,我们可以看到,其提供有多重xx木马程序,同步显示软件名称和危险等级,方便我们快速xx。安全专家讲解如何辨别“打包”程序存在的威胁 - 乐天老头 - 乐天老头

  通过卡卡“扫描流氓插件”快速xx潜在恶意隐患

本文为大家介绍了如何有效辨别和应对“二次打包”程序所存在的威胁。当然,对于一般用户来说,真正有效防止中招的方法,还是应该注意选择好的下载服务。

<#--{zx1}日志--> <#--推荐日志--> <#--引用记录--> <#--相关日志--> <#--推荐日志--> <#--推荐阅读--> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构-->
郑重声明:资讯 【安全专家讲解如何辨别“打包”程序存在的威胁- 乐天老头的日志- 网易博客】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——