原理篇
什么是恶意代码?
计算机病毒蠕虫(Worm)和特洛伊木马(Trojan Horse)等。
Trojan Horse等
恶意代码的危害
计算机病毒
传染性、依附性蠕虫
独立的程序
木马与病毒的区别:
病毒主要特殊性是能自我复
具有传染性和破坏性病毒
木马与远程控制软件的区别:
远程控制软件是在被控制的
制,具有传染性和破坏性。
病毒的传染是没有可控性的传染,即
使是病毒编制者也可能无法对其
它以自我复制的方式
目标系统知道和允许的情况下对目标系统进行远程控制的客户/服务器软件,控制通常不具有隐蔽进行控制,它以自我复制的方式进行繁殖和感染文件。
木马的特殊性是木马攻击者
具有控
性和破坏性,而木马恰恰相反。
远程控制软件是“善意”的控制,是为管理或应用服务的。
而木马则是“恶意”的控制目能够对木马实施控制,具有可控性。
而木马则是“恶意”的控制,目的是对目标系统执行恶意操作或
窃取信息。
特洛伊木马的结构
特洛伊木马的基本特性–隐蔽性
特洛伊木马的植入手段
木马线方木马上线通知方法
木马启动方式的隐蔽技术-利用注册表启动项隐蔽启动利用注表文件关联项进行隐蔽启动
1. 利用注册表隐蔽启动-利用注册表文件关联项进行隐蔽启动
2. 插入文件中或与其它文件捆绑在一起隐蔽启动
--常见 3. 利用特定的系统文件或其它一些特殊方式隐蔽启动
修改文件关联
冰河
HKEY_CLASSES_ROOT
HKEY CLASSES ROOT
C:/windows/notepad.exe %1C: /windows/system/Sysexplr.exe %1
注:
利用注册表文件关联项进行隐蔽启动
Windows\\CurrentVersion
CurrentVersion\\
Microsoft\\Windows
HKEY_LOCAL_MACHINE\\Microsoft
HKEY_LOCAL_MACHINE
Run :
RunOnce :
RunServices :
RunServicesOnce :
添加键值(一般是在Run中),这样使得 在很多黑客木马软件中,常常在这里
在很多黑客木马软件中,常常在这里添加键值(一般是在
常常在这里
常常在这里添加键值(一般是在中)这样使得木马软件可以随着windows启动而启动并且很隐秘。
文件中设置[boot]Shell=Explorer.exe木马.exe,则以后系统启动时启
有的木马利用此机制,在Wininit.ini文件指令启动自己。
则木马.exe在系统下次启动或重启时会隐蔽地启动。
木马运行形式的隐蔽技术
1. 进程列表欺骗(API的拦截技术
Windows 98
3. 特洛伊DLL
4. 利用远程线程技术插入到其它进程中运行
进程列表欺骗
一般的进程列表工具都是调用系统提供的枚举进程函数实现进程列举的。
的拦截技术进行进程的列表欺骗,即通过建立一个后
,拦截应用程序对PSAPI、ToolHelp API (查询系统信息的API)中与枚举进程相关的函数的调用来实现对进程的遍历调用的控制,当进程ID(PID)为木马程序进程的时候直接跳过,就实现了木马进
在System Repair Engineer 的进程空间里面,
有大量的API函数和预期值不符。
这是因为在这台计
算机上被植入了灰鸽子后门程序
算机上被植入了灰鸽子后门程序。
从函数名可以得出,被HOOK的API和注册表的各
种枚举操作以及文件的枚举操作相关。
例如:
EnumServiceStatusExA
u Se ceStatus函数可以把把所有已运行模
块枚举出来。
上述被HOOK的API函数将造成通过正常的方法是
无法发现灰鸽子的文件和注册表键值的。
特洛伊DLL 使用木马DLL 替换已知的系统DLL ,截获进程对此系统DLL 中所有函数的调用,并对函数调用进行过滤分析
远程线程技术
CreateRemoteThread
一般步骤:
首先,
然后,
最后,
注:
木马信式蔽术
木马通信形式的隐蔽技术
针对防火墙所采用的技术
协议,如
,如Ping。
采用潜伏技术进行通信的木马一般都是使用ICMP协议
它是由内核或进程直接处理而不会打开通信端口。
ICMP_ECHOREPLY(Ping的回包)
ICMP ECHOREPLY
但是ICMP_ECHOREPLY报文却往往不会在过滤策略中出现,这是因为一旦不允许ICMP_ECHOREPLY报文通过就意味着主机没有办法对外进行Ping的为旦不允许ICMP ECHOREPLY
操作
木马程宿机藏
木马程序在宿主机磁盘上的隐藏
3.在目标系统的不同文件夹或同文件夹下生成多个木马文件
3在目标系统的不同文件夹或同一文件夹下生成多个木马文件的副本。
c:\windows\MBBManager.exe Explore32.exe c:\windows\system\editor.exe
Explore32.exe关联HLP文件;
MBBManager.exe在启动时加载;
MBBManager exe
Editor.exe关联TXT文件。
注:
Thanks。