文档介绍:会计学
1
木马的隐藏技术
进程隐藏
进程、线程、服务
进程:一个正常的Windows应用程序,在运行之后,都会在系统之中产生一个进程,分别对应一个不同的PID(进程标识符)。这个进程会被系统分配一个虚拟的内存空间地址段,一切相关的程序操作,都会在这个虚拟的空间中进行
线程:一个进程,可以存在一个或多个线程,线程之间同步执行多种操作,一般地,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃
服务:一个进程当以服务的方式工作的时候,它将会在后台工作,不会出现在任务列表中,但可通过服务管理器检查任何的服务程序是否被启动运行
第1页/共24页
进程隐藏
想要隐藏木马的服务器端,可以伪隐藏,也可以真隐藏
伪隐藏是指程序的进程仍然存在,只不过是让它消失在进程列表里
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作
第2页/共24页
进程隐藏
伪隐藏
把木马服务器端的程序注册为一个服务,这样,程序就会从任务列表中消失了,当按下Ctrl+Alt+Delete的时候,也看不到这个程序。但是通过服务管理器,会发现在系统中注册过的服务
API的拦截技术。通过建立一个后台的系统钩子,拦截Tool Help的Process32Next()等相关的函数来实现对进程和服务的遍历调用的控制,当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过,这样就实现了进程的隐藏
第3页/共24页
进程隐藏
真隐藏
当进程为真隐藏的时候,那么这个木马的服务器部分程序运行之后,就不是一般进程,也不是某个服务,而是完全的溶进了系统的内核
原理:不把木马做成一个应用程序,而做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。而这个应用程序对于系统来说,是一个绝对安全的程序,这样,就达到了彻底隐藏的效果,这样的结果,导致了查杀黑客程序难度的增加
第4页/共24页
真隐藏实现方式
在Windows系统中常见的真隐藏实现方式有:
利用DLL实现简单隐藏
采用替代技术的DLL木马
采用动态嵌入技术的DLL木马
第5页/共24页
利用DLL实现简单隐藏
利用DLL实现简单隐藏
假设编写了一个木马DLL,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现该进程而并不会出现该木马DLL
如果该进程是可信进程,那么木马DLL作为该进程的一部分,也将成为被信赖的一员
MyDll MyFunc
注:使用此命令时函数名需要完全匹配
,在系统管理员看来,,这样也是木马的一种简易欺骗和自我保护方法
使用RunDLL32的方法进行进程隐藏很简单,但非常容易被识破
第6页/共24页
真隐藏实现方式
在Windows系统中常见的真隐藏实现方式有:
利用DLL实现简单隐藏
采用替代技术的DLL木马
采用动态嵌入技术的DLL木马
第7页/共24页
采用替代技术的DLL木马
工作原理是替换常用的DLL文件,截获并处理特定的消息,将正常的调用转发给原DLL
例如,Windows的Socket ,,()
:一是如果遇到不认识的调用,(使用函数转发器forward);二是遇到特殊的请求(事先约定的)就解码并处理。这样,理论上只要木马编写者通过Socket远程输入一定的暗号,(木马DLL)做任何操作
此种技术是比较古老的技术,因此微软也做了相当的防范
在Windows的system32目录下有一个dllcache目录,一旦操作系统发现被保护的DLL文件被篡改(利用数字签名技术),就会自动从dllcache中恢复该文件
第8页/共24页
真隐藏实现方式
在Windows系统中常见的真隐藏实现方式有:
利用DLL实现简单隐藏
采用替代技术的DLL木马
采用动态嵌入技术的DLL木马
第9页/共24页