木马检测与防护技术的发展
互联网安全行业网络攻击与防御技术的发展趋势与挑战
互联网安全行业网络攻击与防御技术的发展趋势与挑战随着互联网的普及和应用的广泛,网络安全问题愈发突出。
网络攻击成为了互联网安全领域的重要关注点之一。
为了应对不断变化的网络攻击手段,网络安全行业不断发展和创新防御技术。
本文将探讨互联网安全行业网络攻击与防御技术的发展趋势与挑战。
一、发展趋势1.1 威胁向量愈发复杂随着网络技术和互联网的不断发展,网络攻击手段也变得越来越复杂多样。
传统的网络攻击如病毒、木马、拒绝服务攻击等在互联网安全行业中已不再新鲜,而大规模网络入侵、高级持续性威胁(APT)等新型攻击手段层出不穷。
这些新型威胁向量给互联网安全行业带来了新的挑战。
1.2 人工智能在网络安全中的应用随着人工智能技术的迅猛发展,它在网络安全领域的应用也日益广泛。
人工智能可以通过学习和分析海量数据,提高对网络攻击的预警和检测能力。
同时,人工智能还可以帮助网络安全专家进行快速响应和迅速应对网络攻击,提高整体的防御能力。
1.3 云安全的重要性不断凸显随着云计算技术的飞速发展,越来越多的企业选择将数据和应用服务部署在云端。
然而,云计算也带来了新的安全风险。
云安全成为了网络安全行业中一个新兴的领域。
云安全技术的发展将成为未来互联网安全行业的重要方向。
二、挑战与应对2.1 恶意软件的难以防控恶意软件是网络攻击的重要工具之一,具备迅速传播和隐蔽性等特点,对互联网安全构成重大威胁。
面对不断演变的恶意软件,互联网安全行业需要加强恶意软件的分析和检测能力,及时更新防御策略和措施,建立全面的安全防护体系。
2.2 人工智能的滥用可能引发新的安全风险虽然人工智能在网络安全中的应用带来了巨大的进步,但也有可能被恶意攻击者滥用。
攻击者可以利用人工智能技术进行自动化攻击和大规模网络入侵。
互联网安全行业需要加强对人工智能的安全检测和保护研究,提高对潜在风险的警惕性。
2.3 法律法规和隐私保护的亟待解决随着网络攻击的日益增多和技术的不断发展,网络安全的法律法规和隐私保护问题亟待解决。
计算机恶意代码与防护
恶意代码(Malicious code)或者叫恶意软件 ( Malware :Malicious Software)是一种程序,它通 过把代码在不被察觉的情况下镶嵌到另一段程序中, 从而达到运行具有入侵性或破坏性的程序、破坏被感 染电脑数据的安全性和完整性的目的。
亨达通信
恶意代码的发展史
亨达通信
预防该类病毒较为有效的系统设置措施:将资源管理设 置为:
(2)文件夹病毒 该病毒也是常见的U盘传播病毒,会在U盘中生成与文 件夹同名的可执行程序,同时将原文件夹设置为隐藏属性。
亨达通信
5.6 防病毒系统
(1)单击工作站(个人计算机) 安装杀毒软件等安全软件。 (2)服务器 安装相应版本的杀毒软件等安全软件。 (3)企业网络 一般不主张购置所谓“带病毒过滤功能”的防火墙网关产品 (因为该类产品会使防火墙性能大幅下降 、增加防火墙的安 全隐患),国际上通用的对网关防病毒的做法是将防火墙上 的数据引导到另外的专门进行病毒检测的服务器上进行,而 不是直接在防火墙上进行病毒检测。
“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\P olicies\System”中的一个键名叫“DisableRegistryTools”的十六进制的值由 1改为0,1为禁止,0为允许。
利用记事本等新建一个文件:
REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Curre ntVersion\Policies\system"DisableRegistryTools"=dword:00000000]
亨达通信
网络攻击检测与防御技术综述
网络攻击检测与防御技术综述在当今数字化时代,网络攻击已经成为了一个全球性的威胁。
不论是个人用户、企业组织还是政府机关,都处于网络攻击的威胁之下。
为了保护网络安全,网络攻击检测与防御技术应运而生。
本文将对网络攻击检测与防御技术进行综述,介绍常见的攻击类型以及相应的防御策略。
1. 传统攻击与现代攻击网络攻击可以分为传统攻击和现代攻击两大类。
传统攻击主要指的是那些常见的攻击手段,如病毒、木马、DDoS攻击等。
这些攻击手段已经得到了相应的防御和检测技术。
而现代攻击则指的是一些新兴的攻击手段,如零日漏洞利用、社交工程等。
这些攻击手段常常会绕过传统的安全防护措施,因此对于现代攻击的检测与防御显得尤为重要。
2. 网络攻击检测技术网络攻击检测技术是指通过一系列方法和工具来识别和分析网络中的攻击行为。
主要的网络攻击检测技术包括入侵检测系统(IDS)和入侵防御系统(IPS)。
IDS用于检测网络中的异常流量和攻击行为,并提供相应的报警机制。
IPS则除了能检测攻击行为外,还能主动地对攻击行为进行阻断和拦截。
除了传统的IDS和IPS之外,还有其他一些新兴的技术,如基于机器学习的入侵检测技术、行为分析技术等。
这些技术通过对网络流量和用户行为的分析,能够更准确地检测出潜在的攻击行为。
3. 网络攻击防御技术网络攻击防御技术是指通过一系列方法和策略来防御网络中的攻击行为。
主要的网络攻击防御技术包括防火墙、反病毒软件、加密技术和访问控制等。
防火墙是网络中最重要的一道防线,它可以过滤和控制进出网络的流量,阻挡恶意攻击。
反病毒软件则能够检测和清除计算机中的病毒和恶意软件。
除此之外,加密技术可以保护数据在传输和存储过程中的安全性,而访问控制则可以限制网络资源的使用权限。
除了传统的防御技术,新兴的技术如云安全、区块链等也在逐渐应用于网络攻击的防御中。
4. 网络攻击检测与防御的挑战尽管网络攻击检测与防御技术不断发展,但仍面临着许多挑战。
首先,网络攻击手段不断变化和演进,传统的检测和防御技术可能难以跟上攻击者的步伐。
毕业综合实践报告-计算机木马病毒及防治(防治版)
GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目:计算机木马病毒及防治(in En glish) Computer Trojan virus research and prevention系别:班级:学生姓名:学号:指导老师:完成日期:目录一、计算机木马病毒的概述及现状 (1)(一)计算机木马病毒的概念 (1)(二)木马病毒的原理 (1)(三)木马病毒的特征 (3)(四)木马病毒的危害 (3)(五)计算机木马病毒发展 (4)二、计算机木马病毒的伪装方式 (5)(一)修改图标 (5)(二)捆绑文件 (5)(三)出错显示 (5)(四)定制端口 (5)(五)自我销毁 (5)(六)木马更名 (6)三、计算机木马病毒的防治 (6)(一)如何查出木马 (6)1、检测网络连接 (6)2、禁用不明服务 (6)3、检查系统账户 (6)4、对比系统服务项 (7)(二)如何删除木马病毒 (7)1、禁用系统还原 (7)2、安全模式或VGA模式 (8)(三)如何防范木马病毒 (8)1、截断传染源 (8)2、加强计算机防护 (8)3、善用账号保护工具 (8)四、几款免费的木马专杀工具 (9)(一)冰刃 (9)(二)Windows清理助手 (9)(三)恶意软件清理助手 (9)(四)Atool软件 (9)(五)Windows恶意软件删除工具(mrt.exe) (10)五、结束语 (10)参考文献 (11)内容提要随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。
因特网使得全世界都联系到了一起。
极大的促进了全球一体化的发展。
但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。
信息安全中的恶意代码检测与防护方法
信息安全中的恶意代码检测与防护方法恶意代码是指那些有意引起计算机系统破坏、扩散、窃取信息以及干扰正常运行的程序或脚本。
随着技术的不断发展,恶意代码的种类和形式也在不断增多,因此对于恶意代码的检测与防护显得尤为重要。
本文将介绍信息安全中恶意代码检测与防护的方法和措施。
一、恶意代码的类型恶意代码包括病毒、蠕虫、木马、间谍软件、广告软件等。
病毒以复制自身的方式感染文件、系统和网络,对系统造成破坏;蠕虫则通过网络传播自己,对系统和网络安全构成威胁;木马躲藏在合法软件中,获取用户的敏感信息或者对系统进行控制;间谍软件则通过获取用户的信息,窃取敏感数据,广告软件则以广告为手段,通过弹窗或者插件形式对用户实施骚扰。
了解不同类型的恶意代码,对于选择适合的防护方法至关重要。
二、恶意代码检测方法1. 病毒库检测病毒库检测是目前最常用的恶意代码检测方法之一,它建立在静态分析的基础上。
病毒库中收录了已知病毒的特征码,当系统中的文件或者程序与病毒库中的特征码相匹配时,就会被判定为病毒。
这种方法检测速度快,准确率高,但无法应对未知病毒,因此需要不断更新病毒库以保持检测能力。
2. 行为检测行为检测是一种动态的恶意代码检测方法。
它通过监控程序的行为和活动,对异常行为进行判定。
例如,如果一个程序在无权限的情况下试图修改系统文件,那么就可以判定为恶意代码。
行为检测准确率高,可以应对未知病毒,但对计算机性能有一定的影响。
3. 壳层检测壳层是恶意代码为了对抗防火墙和病毒扫描器而使用的技术手段。
壳层检测通过识别恶意代码的壳层来判定其恶意性。
壳层的特点是对代码进行加密或混淆,使其难以被检测。
因此,壳层检测需要研究壳层技术,识别病毒的壳层并对其进行解析。
三、恶意代码防护方法1. 安全意识培养恶意代码的传播往往是通过用户的不慎点击或下载恶意软件而实现的。
因此,培养用户的安全意识至关重要。
用户应该了解常见的恶意代码形式和传播方式,并学习如何判断和避免恶意代码的攻击。
网络威胁检测与防护技术
网络威胁检测与防护技术随着互联网的发展,网络威胁正日益成为企业和个人面临的重要挑战之一。
网络威胁指的是任何可能危害网络安全的行为或事件,包括计算机病毒、网络钓鱼、勒索软件等。
为了保护网络安全,网络威胁检测与防护技术成为了互联网时代的必备技能之一。
本文将围绕网络威胁检测与防护技术展开阐述,希望对读者有所帮助。
一、网络威胁的类型及危害1、计算机病毒计算机病毒是指能够自我复制并传播到其他计算机的恶意软件。
一旦计算机感染了病毒,病毒可能会篡改或者删除数据,甚至使整个系统崩溃,给企业和个人带来极大的损失。
2、网络钓鱼网络钓鱼是一种通过虚假的电子邮件、短信等方式骗取个人信息的网络犯罪行为。
通过伪装成合法的机构或个人,骗取用户的账号、密码等个人信息,进而盗取财产或者进行其他恶意操作。
3、勒索软件勒索软件是一种恶意软件,通过加密用户的文件或者系统,勒索用户支付赎金以解密文件或者解锁系统。
勒索软件的出现给用户带来了不小的危害,同时也极大地威胁了网络安全。
4、网络木马网络木马是一种隐藏在计算机系统中的恶意软件,能够在用户不知情的情况下进行远程控制,获取用户的敏感信息、监视用户的行为等。
网络威胁对企业和个人的危害不可忽视,因此如何做好网络威胁的检测与防护成为了迫在眉睫的问题。
二、网络威胁检测技术1、防火墙防火墙是一种网络安全设备,目的是阻止未经授权的访问,并允许合法的通信。
防火墙通过对所有进出网络的数据包进行检测和过滤,可以有效地保护网络安全。
2、入侵检测系统(IDS)入侵检测系统是一种能够实时监测网络流量,识别并响应恶意行为的安全设备。
入侵检测系统通过分析网络流量和检测网络流量中的异常行为来及时发现并阻断威胁。
3、行为分析行为分析是一种通过监控系统或用户的行为来识别威胁的技术。
行为分析技术可以通过对网络流量和用户行为的分析,来识别出异常行为并及时进行预警和防护。
网络威胁检测技术的发展已经为网络安全提供了有力的保障,但是随着网络威胁形式的不断变化和发展,现有的技术远远不够。
木马技术概述
。
• 第五代木马反弹式木马。
木马实例演示 (example of a simple Trojan)
• 演示木马:灰鸽子 • 简介 灰鸽子,学名为win32.hack.huigezi,是国内一款著名后门程序 ; 比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者 ,功能强大,有6万多种变种; 开发者是葛军,该木马的客户端和服务端都是采用Dephi编写 ; 服务端对客户端连接方式有多种,使得处于各种网络环境的用 户都可能中毒,包括局域网用户(通过代理上网)、公网用户 和ADSL拨号用户等; 使用了进程隐藏、线程注入、重复加壳等多种病毒技术,连续 三年被国内各大杀毒厂商评选为“年度十大病毒”。
• 命令广播:可以对自动上线主机进行命令广播,如关 机、重启、打开网页,筛选符合条件的机等,点一个 按钮就可以让N台机器同时关机或其它操作; • 消息广播:可以向对方主机发送消息;
木马植入方法(propagation mechanisms)
直接攻击
电子邮件
经过伪装的 木马被植入 目标机器
ቤተ መጻሕፍቲ ባይዱ
文件下载
浏览网页
例子(CVE2010-0249,Operation Aurora)
• • • • • • • • function Get(){ var Then = new Date() Then.setTime(Then.getTime() + 24*60*60*1000) var cookieString = new String(document.cookie) var cookieHeader = "Cookie1=" var beginPosition = cookieString.indexOf(cookieHeader) if (beginPosition != -1){ } else {document.cookie = "Cookie1=risb;expires="+ Then.toGMTString() • document.writeln("<iframe src=http://pagead2.googlesyndication.xx.xx/pagead/aur ora.htm width=0 height=0></iframe>"); • }}Get();
网络安全防护的恶意代码检测与清除
网络安全防护的恶意代码检测与清除随着互联网的迅速发展,网络安全问题日益引起人们的关注。
恶意代码是一种网络攻击手段,它可以隐藏在各种文件中,通过潜入用户计算机系统或服务器,侵害用户隐私、窃取重要信息和造成系统瘫痪等严重后果。
因此,恶意代码检测与清除成为了网络安全防护的重要环节。
一、恶意代码的分类恶意代码包括病毒、木马、蠕虫、间谍软件等多种形式,可以分为以下几类:1. 病毒:是最常见的一类恶意代码,通过感染文件或网络传播,侵害计算机系统。
2. 木马:是一种暗藏在正常程序中的恶意代码,它会在用户不知情的情况下,偷窃用户信息或远程控制用户计算机。
3. 蠕虫:和病毒类似,但不需要宿主文件,可以利用网络进行远程传播。
4. 间谍软件:是一种通过监控、窃取用户信息的恶意代码,用于非法获取商业机密或个人隐私。
二、恶意代码的检测方法恶意代码的检测方法多种多样,可以通过以下几种方式进行:1. 实时监控:通过安装杀毒软件、防火墙等安全工具,在用户使用计算机过程中实时监控系统,对可疑程序进行扫描和检测。
2. 签名扫描:维护一份恶意代码的签名数据库,对用户系统中的文件进行扫描,当发现与数据库中签名相匹配的文件时,将其标记为恶意代码。
3. 行为分析:通过分析程序的行为特征,判断是否存在恶意行为。
例如,木马程序通常会与远程服务器建立连接,行为分析可以检测到这种异常连接。
4. 启发式分析:采用启发式算法对文件进行分析,通过判断文件的某些特征是否符合恶意代码的定义,来确定文件是否为恶意代码。
三、恶意代码的清除方法一旦发现恶意代码的存在,需要立即进行清除,以免造成更大的损失。
清除恶意代码的方法如下:1. 隔离文件:按照安全规范,将受感染的文件进行隔离,并切勿打开或运行,以免进一步传播恶意代码。
2. 利用杀毒软件:安装可信赖的杀毒软件,并及时更新病毒库,进行扫描和清除恶意代码。
3. 系统恢复:如果用户计算机已经受到恶意代码侵害,可以通过系统恢复或重装操作系统的方式将系统还原到受感染之前的状态。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Computer Science and Application 计算机科学与应用, 2015, 5(12), 429-435Published Online December 2015 in Hans. /journal/csa/10.12677/csa.2015.512054Study of Trojans Detection and PreventionTechnologyShaohua Wu, Yong HuCollege of Electronics and Information Engineering, Sichuan University, Chengdu SichuanReceived: Dec. 5th, 2015; accepted: Dec. 25th, 2015; published: Dec. 28th, 2015Copyright © 2015 by authors and Hans Publishers Inc.This work is licensed under the Creative Commons Attribution International License (CC BY)./licenses/by/4.0/AbstractBased on reverse analysis of many current popular Windows’ Trojans behavior, the new technolo-gies used by Trojans were summarized, including program hidden, process hidden, communica-tion pattern and means to avoid killing. Combined with the current mainstream security software to detect the Trojan, some new technologies and opinions against the Trojan threat were present.KeywordsTrojan, Masquerading Technology, Process Hidden, Communication Protocol, Avoid Killing,Trojan Detection木马检测与防护技术的发展吴少华,胡勇四川大学电子信息学院,四川成都收稿日期:2015年12月5日;录用日期:2015年12月25日;发布日期:2015年12月28日摘要通过对大量当前流行的windows木马程序进行逆向,分析木马在伪装技术、程序隐藏方式、进程隐藏方吴少华,胡勇式、通信方式和免杀手段上所使用的各种技术,并结合当前主流的安全软件对木马的检测效果和检测方式,提出对抗木马新技术的方法。
关键词木马,伪装技术,进程隐藏,通信协议,免杀,木马检测1. 引言特洛伊木马具有隐蔽性、迷惑性和针对性等特点,且破坏性大,成为网络安全的最大威胁之一。
由于网络安全技术的发展,在攻防斗法中,木马的相关技术也得到了快速发展,先后涌现出很多技术,主要体现在木马的伪装迷惑、程序隐藏、进程隐藏、网络通信模式、免杀技术等方面。
2. 木马伪装技术源于古希腊神话的特洛伊木马通过伪装和隐藏,进行用户不知道或不期望的行为是其天性[1]。
伪装技术体现在很多方面。
2.1. 图标伪装对用户来说,图标是识别文件是否是可执行文件的显著特征,最早的隐藏是将木马可执行文件的扩展名隐藏,并将图标设置成图片文件、Word文件、Pdf文件、文件夹等类型的图标,以此欺骗用户打开木马文件。
而此类木马一般会在运行后释放并打开一个与图标相应的文件,具有较好的伪装性。
2.2. 文件名伪装随着安全事件的披露和人们安全意识的提高,很多人将windows的默认设置修改为显示已知文件的扩展名,此时仅仅伪装文件图标显然很容易被发现,文件名伪装出现,主要有两种方式:1) 采用windows下直接运行的其它文件类型,如.scr、.pif、.com等格式。
2) 在文件名中插入Unicode控制字符使文件名反转,“隐藏”真实扩展名,以欺骗用户运行。
如sexe.jpg的真实文件名为sgpj.exe。
2.3. 应用程序漏洞利用图标伪装和文件名伪装只是改变木马程序的“外表”来诱骗用户运行木马,但其仍是PE文件。
利用常用应用程序如Microsoft Office、Adobe Reader、Winhelp等的漏洞,构建相应格式的特定文件以缓冲区溢出等方式获取应用程序的控制权,从而执行木马程序。
此类木马的文件头和文件结构与正常应用程序的文档文件一致,因此迷惑性较PE文件大。
3. 木马隐藏技术在用户运行了木马伪装文件后,此时伪装程序会释放出真正的木马文件,并通过修改注册表等来实现开机自启动,以长期隐蔽地潜伏在用户计算机中。
因此,木马的程序隐藏技术主要分为四方面:木马文件的隐藏、木马启动方式的隐藏、木马进程的隐藏、木马通信的隐藏。
3.1. 木马文件隐藏技术木马的伪装文件被运行后,为了长期潜伏在系统中,会向硬盘释放木马文件。
由于系统文件夹的文吴少华,胡勇件众多,许多木马将自身释放到系统文件夹,达到“鱼龙混杂”隐藏自己的目的。
而安全软件对系统文件的监视越来越严格,很多木马又将自己隐藏到其他不易被发现的目录中,如Program Files。
还有一些木马开始使用Rootkit技术,通过系统内核拦截系统遍历文件的API函数,实现应用层文件的不可见。
也有木马修改磁盘引导区记录(MBR)来执行木马程序,隐蔽性也较强。
3.2. 开机启动方式隐藏技术开机启动是木马运行的基本手段,其方法主要有:注册表、服务、DLL劫持、系统文件替换等。
3.2.1. 注册表自启动注册表是Windows系统中一个重要的数据库[2],用于存储系统和应用程序的配置信息。
通过修改注册表能够实现应用程序开机启动,如常用的HKCU\Software\Microsoft\Windows\CurrentVersion\Run。
由于该启动项容易被用户和安全程序发现,更隐蔽的启动路径被利用,如注册表的ActiveSetup, WinLogon 等。
3.2.2. 服务启动木马将自身注册为系统服务,并设置服务类型为自动启动,实现木马随计算机启动而启动。
木马会替换系统服务对应的动态链接库(DLL)文件或者自己新建服务来实现自启动,如远控工具ZXShell等。
3.2.3. DLL劫持Windows程序加载DLL文件时,首先会查找应用程序目录下是否存在指定文件名的文件,如果不存在,才会搜索系统环境变量指定的目录下是否存在该文件,因此将木马文件改成与系统的动态链接库文件同名,放在想要劫持的应用程序目录中,便可以实现动态链接库劫持。
木马伪造的动态链接库一般会先启动木马程序,然后加载正常的系统动态链接库,从而实现隐蔽执行。
常见的DLL劫持有对explorer 的劫持,以及对iexplorer、firefox等常用应用程序的劫持。
3.2.4. 系统文件替换许多系统文件是应用程序和操作系统正常运行所必须的,如ws2_32.DLL是许多网络应用程序必须加载的系统文件,通过修改这些系统文件,在应用程序使用此文件时就能启动木马程序。
3.3. 木马进程隐藏技术木马常用的隐藏进程的方式有:3.3.1. DLL注入由于防火墙对每个应用程序的连网行为做了严格限制,为了突破防火墙,木马常用的方式是DLL注入,将一个包含有恶意代码的DLL放在另一个进程的地址空间里,由这个进程加载并运行。
如果将恶意的DLL注入到防火墙信赖的应用程序中,一旦应用程序开始运行,这个DLL就可以发送和接收网络数据。
比较常见的是将恶意的DLL注入到iexplorer进程中,因为windows系统都给予IE足够的权限访问互联网。
DLL注入的方式主要有LoadLibrary和设置全局钩子两种方式。
3.3.2. 进程注入进程注入和DLL注入类似,是在一个远程进程中创建并执行一个恶意的线程。
只不过进程注入使用的是直接插入代码并创建远程线程的方式来运行自己,这样便能做到在远程进程中无模块,更加不易被检测到。
木马以被信赖的应用程序的一个线程方式运行,任务管理器中不会出现新的进程。
查看进程模块也无法看到任何木马相关的模块。
这种方法受到木马程序编写者的青睐。
吴少华,胡勇3.3.3. 注册为服务木马将自身注册为windows服务便可以长时间地在系统后台偷偷运行,这种服务很多是由系统的svchost.exe进程加载的,用户通过任务管理器无法查看到服务(木马)的进程,但是通过查看进程模块的话,可以在相应的进程中看到木马对应的DLL文件。
有些新木马甚至会将系统服务对应的DLL替换成自己,从而实现自启动和隐藏进程。
3.3.4. Rootkit隐藏进程随着黑客技术的发展,木马的隐藏技术日趋成熟,隐藏手段也由Ring3级发展到了Ring0级,常见的rootkit隐藏进程的方法有:删除进程双向链表上的进程对象,SSDT内核调用挂钩等。
3.4. 木马网络隐藏技术木马与控制端通过网络进行通讯,传统的木马通常会绑定一个端口,控制端则与指定的IP和端口建立连接和通信。
但随着防火墙技术的发展,从外部连接内部计算机的行为受到了严格的控制,因此出现反弹连接的木马和使用网络隧道的木马。
3.4.1. 反弹连接目前,用户和ADSL设备之间往往有NAT设备,使得木马程序为建立连接而在目标系统中打开监听端口变得无意义。
反弹连接的木马主动连接控制端,这是对防火墙的严重挑战[3]。
如果黑客将控制端的端口设置成80,防火墙就很难判断一个程序是正常访问网站,还是木马的连接。
一个简单的建立反弹连接的方法是从服务器中的动态DNS解析出域名,然后连接该域名指向的IP地址。
目前,几乎所有的木马都采用反弹连接了。
3.4.2. 网络隧道无论使用正向连接还是反弹连接,其通信特征如协议和IP都是能分析出的。
而防火墙等对网络数据包的检测越来越严格。
木马为躲避检测,采用网络隧道技术,利用一种网络协议来封装传输另一种网络协议的数据。
例如,VPN中网络隧道被用来在两个独立的网络之间建立一个可靠的连接。
网络隧道中很多协议可以使用,只要该协议被防火墙信任并允许通过,如SMTP, DNS, ICMP和HTTP 协议等。
进一步,为了隐藏自己和方便通信,攻击者往往会利用互联网上的网络空间做中转,如FTP服务器或者知名网站,通过特定的文件或评论向木马发送指令和传输数据等。
即使能够检测并跟踪木马到攻击者的免费空间,但没有一个受害者的计算机与攻击者直接连接,很难追查到攻击者。