国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全

木馬病毒解密之文件注入和反彈連接

時(shí)間:2011-05-03 15:15來(lái)源: 點(diǎn)擊:
對(duì)于木馬病毒當(dāng)前所使用的隱身和穿墻術(shù),到這篇已經(jīng)是第三篇了,雖然每篇的篇幅都不是很長(zhǎng),但每篇都介紹了二至三個(gè)木馬常用的隱身穿墻術(shù)的技巧。
Tags木馬病毒(20)解密(7)  

  對(duì)于當(dāng)前所使用的隱身和穿墻術(shù),到這篇已經(jīng)是第三篇了,雖然每篇的篇幅都不是很長(zhǎng),但每篇都介紹了二至三個(gè)常用的隱身穿墻術(shù)的技巧,可見(jiàn)木馬的作者和使用者,在躲避安全軟件檢測(cè)上下了多少的功夫。而且,就算這篇介紹木馬隱身穿墻術(shù)的文章結(jié)束后,還會(huì)有新的仍不會(huì)大家所熟悉的技術(shù)出現(xiàn)。但在新的木馬隱身穿墻術(shù)出現(xiàn)之前,我們還是先來(lái)看看本次要說(shuō)明的幾種木馬使用的隱身穿墻技巧吧!

  一、進(jìn)程及DLL文件注入

  進(jìn)程注入,就是指木馬將自己注入到某個(gè)正常的進(jìn)程當(dāng)中,然后,它就可以以此正常進(jìn)程的子線程的方式運(yùn)行。此時(shí),它的進(jìn)程名就不會(huì)在任務(wù)管理器中的進(jìn)程列表框中出現(xiàn)。這樣一來(lái),用戶(hù)將不能通過(guò)任務(wù)管理器來(lái)發(fā)現(xiàn)它。而且,殺毒軟件即使能夠發(fā)現(xiàn)它,但要將它從正常的進(jìn)程當(dāng)中清除它,也不會(huì)很容易的。

  由于對(duì)于系統(tǒng)中正常的網(wǎng)絡(luò)相關(guān)進(jìn)程(例如Services.exe、Svchost.exe等)默認(rèn)都是放行的,因此,木馬一般都是注入到這些系統(tǒng)進(jìn)程當(dāng)中,并以此來(lái)穿透防火墻。但是,木馬程序只有在獲得了與這些系統(tǒng)進(jìn)程相同的系統(tǒng)權(quán)限,才能夠有可能注入成功的。不過(guò),就目前來(lái)說(shuō),已經(jīng)有許多木馬具有了這種功能來(lái)實(shí)現(xiàn)遠(yuǎn)程進(jìn)程注入。

  至于DLL文件注入的目的,一般都是用來(lái)躲過(guò)防火墻的攔截。它主要是利用了防火墻在信任某個(gè)軟件后,會(huì)對(duì)它所加載的所有DLL文件也全部信任。因此,只要木馬將自己注入到這些DLL文件當(dāng)中,就可以躲過(guò)防火墻的監(jiān)控,然后就可以與攻擊者進(jìn)行網(wǎng)絡(luò)通信,或者下載其它木馬、鍵盤(pán)記錄程序和后門(mén)程序等等。在Windows系統(tǒng)中,DLL注入利用最多的,就是IE瀏覽器。

  對(duì)于DLL文件注入的木馬,可以通過(guò)驗(yàn)證系統(tǒng)文件的數(shù)字簽名,來(lái)發(fā)現(xiàn)系統(tǒng)的DLL文件是否已經(jīng)被修改過(guò),這可以通過(guò)Windows系統(tǒng)中的“系統(tǒng)信息”中的數(shù)字簽名驗(yàn)證程序來(lái)完成。對(duì)于進(jìn)程注入,可以通過(guò)使用IceSword軟件來(lái)查看進(jìn)行所加載的,只要發(fā)現(xiàn)不是Windows系統(tǒng)本身的,就說(shuō)明已經(jīng)有木馬注入。然后,就可以通過(guò)IceSword來(lái)強(qiáng)行終止這個(gè)非法模塊,再在相應(yīng)位置完全刪除它?,F(xiàn)在,還有一些殺毒軟件已經(jīng)可以查殺注入型的木馬,例如瑞星殺毒軟件。至于防火墻,現(xiàn)在開(kāi)始有一種新的技術(shù),就是當(dāng)防火墻檢測(cè)到某個(gè)應(yīng)用程序所加載的文件被修改后,就會(huì)對(duì)它的網(wǎng)絡(luò)連接進(jìn)行阻止。只是現(xiàn)在這種技術(shù)還沒(méi)有加入到家用防火墻中來(lái)。

  二、堆棧旁通

  對(duì)于一些個(gè)人來(lái)說(shuō),它們一般只會(huì)對(duì)由Windows系統(tǒng)本身所產(chǎn)生的TCP/IP堆棧進(jìn)行過(guò)濾,而對(duì)其它方式所產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)堆棧卻不會(huì)進(jìn)行任何檢查就會(huì)放行。因此,也就利用防火墻的這個(gè)漏洞,在其運(yùn)行后,同時(shí)安裝某個(gè)網(wǎng)絡(luò)驅(qū)動(dòng),然后通過(guò)它來(lái)與系統(tǒng)中的網(wǎng)絡(luò)接口卡進(jìn)行通信,這樣就能夠躲過(guò)防火墻的檢測(cè)。

  要想阻止這種方式的木馬攻擊,只要在防火墻中設(shè)置一條規(guī)則,禁止所有非標(biāo)準(zhǔn)Windows系統(tǒng)所產(chǎn)生的TCP/IP堆棧通過(guò)。現(xiàn)在一些個(gè)人防火墻的最新版本,都已經(jīng)具有了這些功能。因此,計(jì)算機(jī)網(wǎng)絡(luò)用戶(hù)最好不斷升級(jí)自己的防火墻軟件,以此來(lái)防止這種木馬穿墻術(shù)。

------分隔線----------------------------

推薦內(nèi)容