網(wǎng)絡(luò)病毒分析_第1頁
網(wǎng)絡(luò)病毒分析_第2頁
網(wǎng)絡(luò)病毒分析_第3頁
網(wǎng)絡(luò)病毒分析_第4頁
網(wǎng)絡(luò)病毒分析_第5頁
已閱讀5頁,還剩52頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)與信息安全技術(shù)計算機病毒分析2/1/202311計算機病毒的狀態(tài)計算機病毒在傳播過程中存在兩種狀態(tài),即靜態(tài)和動態(tài)靜態(tài)病毒,是指存在于輔助存儲介質(zhì)中的計算機病毒,一般不能執(zhí)行病毒的破壞或表現(xiàn)功能,其傳播只能通過文件下載(拷貝)實現(xiàn)因為靜態(tài)病毒尚未被加載、尚未進(jìn)入內(nèi)存,不可能獲取系統(tǒng)的執(zhí)行權(quán)限病毒之所以處于靜態(tài),有兩種可能沒有用戶啟動該病毒或運行感染了該病毒的文件該病毒存在于不可執(zhí)行它的系統(tǒng)中當(dāng)病毒完成初始引導(dǎo),進(jìn)入內(nèi)存后,便處于動態(tài)。動態(tài)病毒本身處于運行狀態(tài),通過截流盜用系統(tǒng)中斷等方式監(jiān)視系統(tǒng)運行狀態(tài)或竊取系統(tǒng)控制權(quán)。病毒的主動傳染和破壞作用,都是動態(tài)病毒的“杰作”2/1/202321計算機病毒的狀態(tài)計算機病毒的基本流程與狀態(tài)轉(zhuǎn)換病毒由靜態(tài)轉(zhuǎn)變?yōu)閯討B(tài)的過程,稱為病毒的啟動。實際上,病毒的啟動過程就是病毒的首次激活過程內(nèi)存中的動態(tài)病毒又有兩種狀態(tài):可激活態(tài)和激活態(tài)。當(dāng)內(nèi)存中的病毒代碼能夠被系統(tǒng)的正常運行機制所執(zhí)行時,動態(tài)病毒就處于可激活態(tài)一般而言,動態(tài)病毒都是可激活的系統(tǒng)正在執(zhí)行病毒代碼時,動態(tài)病毒就處于激活態(tài)病毒處于激活態(tài)時,不一定進(jìn)行傳染和破壞;但進(jìn)行傳染和破壞時,必然處于激活態(tài)對于處于不同狀態(tài)的病毒,應(yīng)采用不同的分析、清除手段2/1/202331計算機病毒的狀態(tài)計算機病毒的基本流程與狀態(tài)轉(zhuǎn)換2/1/202342計算機病毒的基本環(huán)節(jié)計算機病毒要完成一次完整的傳播破壞過程,必須經(jīng)過以下幾個環(huán)節(jié):分發(fā)拷貝階段潛伏繁殖階段破壞表現(xiàn)階段在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延,或者清除病毒我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延2/1/20235病毒的目的快速傳染隱藏自己變形2/1/20236病毒感染的一般過程

計算機病毒的感染過程與生物學(xué)病毒的感染過程非常相似,它寄生在宿主程序中,進(jìn)入計算機,并借助操作系統(tǒng)和宿主程序的運行,復(fù)制自身,大量繁殖。計算機病毒感染的一般過程為:①當(dāng)計算機運行染毒的宿主程序時,病毒奪取控制權(quán)。②尋找感染的突破口。③將病毒程序嵌入感染目標(biāo)中。2/1/20237文件型病毒傳染原理和特征2/1/20238核心態(tài)與用戶態(tài)操作系統(tǒng)代碼、設(shè)備驅(qū)動程序代碼使用特權(quán)級0(Ring0),工作于系統(tǒng)核心態(tài)普通的用戶程序使用特權(quán)極3(Ring3),工作在用戶態(tài)Windows2000/XP下普通應(yīng)用程序?qū)诵膽B(tài)功能的調(diào)用示意2/1/20239獲取API函數(shù)地址Win32程序一般運行在Ring3級,處于保護(hù)模式Win32下的系統(tǒng)功能調(diào)用,不是通過中斷實現(xiàn),而是通過調(diào)用動態(tài)連接庫中的API函數(shù)實現(xiàn)Win32PE病毒和普通Win32PE程序一樣需要調(diào)用API函數(shù)實現(xiàn)某些功能,但是對于Win32PE病毒來說,它只有代碼節(jié),并不存在引入函數(shù)節(jié)病毒就無法象普通PE程序那樣直接調(diào)用相關(guān)API函數(shù),而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址2/1/202310搜索感染目標(biāo)文件搜索文件是病毒尋找目標(biāo)文件的非常重要的功能在Win32匯編中,通常采用如下幾個API函數(shù)進(jìn)行文件搜索FindFirstFile根據(jù)文件名查找文件FindNextFile根據(jù)調(diào)用FindFirstFile函數(shù)時指定的一個文件名查找下一個文件FindClose用來關(guān)閉由FindFirstFile函數(shù)創(chuàng)建的一個搜索句柄2/1/202311病毒感染技術(shù)感染是一個病毒賴以長期存活的根本,所以要大規(guī)模的搜索,感染感染再感染!FindFirstFile,F(xiàn)indNextFile,F(xiàn)indClose,除非你hook了某些系統(tǒng)API(參考Win32.Kriz),否則這三個API是Win32病毒必備的、搜索再搜索,感染再感染。目前Win32病毒分為兩個主流,一類最常見,覆蓋host程序最后一個section的relocation,或者干脆直接綴在最后一個section后面,把它擴大一些。這種技術(shù)很簡單,例子可參見Funlove,有著復(fù)雜的polymorphism引擎,體積比較大的病毒一般也都用這種技術(shù)。第二類就是像Elkern那樣把自己盡可能地插進(jìn)host體內(nèi),盡可能地插,對于VC編譯出來的PE文件,它的filealignment是4K,所以section之間的空隙加起來很可能有4,5K,足可以容下一個Win32病毒。這種技術(shù)比較麻煩一些,調(diào)試也復(fù)雜,主要流行的有Elkern。2/1/202312蠕蟲傳染原理2/1/202313蠕蟲與漏洞網(wǎng)絡(luò)蠕蟲最大特點是利用各種漏洞進(jìn)行自動傳播根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同,又可以將其細(xì)分郵件蠕蟲主要是利用MIME(MultipurposeInternetMailExtensionProtocol,多用途的網(wǎng)際郵件擴充協(xié)議)漏洞MIME描述漏洞2/1/202314蠕蟲與漏洞網(wǎng)頁蠕蟲(木馬)主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁蠕蟲可以分為兩種用一個IFrame插入一個Mail框架,同樣利用MIME漏洞執(zhí)行蠕蟲,這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運作的,首先由一個包含特殊代碼的頁面去下載放在另一個網(wǎng)站的病毒文件,然后運行它,完成蠕蟲傳播系統(tǒng)漏洞蠕蟲利用RPC溢出漏洞的沖擊波、沖擊波殺手利用LSASS溢出漏洞的震蕩波、震蕩波殺手系統(tǒng)漏洞蠕蟲一般具備一個小型的溢出系統(tǒng),它隨機產(chǎn)生IP并嘗試溢出,然后將自身復(fù)制過去它們往往造成被感染系統(tǒng)性能速度迅速降低,甚至系統(tǒng)崩潰,屬于最不受歡迎的一類蠕蟲2/1/202315蠕蟲的工作方式與掃描策略蠕蟲的工作方式一般是“掃描→攻擊→復(fù)制”2/1/202316蠕蟲的工作方式與掃描策略蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo),一般是盡快地傳播到盡量多的計算機中掃描模塊采用的掃描策略是:隨機選取某一段IP地址,然后對這一地址段上的主機進(jìn)行掃描沒有優(yōu)化的掃描程序可能會不斷重復(fù)上面這一過程,大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞對掃描策略的改進(jìn)在IP地址段的選擇上,可以主要針對當(dāng)前主機所在的網(wǎng)段進(jìn)行掃描,對外網(wǎng)段則隨機選擇幾個小的IP地址段進(jìn)行掃描對掃描次數(shù)進(jìn)行限制,只進(jìn)行幾次掃描把掃描分散在不同的時間段進(jìn)行2/1/202317蠕蟲的工作方式與掃描策略蠕蟲常用的掃描策略選擇性隨機掃描(包括本地優(yōu)先掃描)可路由地址掃描(RoutableScan)地址分組掃描(Divide-ConquerScan)組合掃描(HybridScan)極端掃描(ExtremeScan)2/1/202318感染的主機數(shù)與感染強度示意圖2/1/202319木馬的傳染方式2/1/202320特洛伊木馬的定義特洛伊木馬(TrojanHorse),簡稱木馬,是一種惡意程序,是一種基于遠(yuǎn)程控制的黑客工具,一旦侵入用戶的計算機,就悄悄地在宿主計算機上運行,在用戶毫無察覺的情況下,讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限,進(jìn)而在用戶的計算機中修改文件、修改注冊表、控制鼠標(biāo)、監(jiān)視/控制鍵盤,或竊取用戶信息古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊城;現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬,采用偽裝、欺騙(哄騙,Spoofing)等手段進(jìn)入被攻擊的計算機系統(tǒng)中,竊取信息,實施遠(yuǎn)程監(jiān)控2/1/202321特洛伊木馬的定義木馬與病毒一般情況下,病毒是依據(jù)其能夠進(jìn)行自我復(fù)制即傳染性的特點而定義的特洛伊木馬主要是根據(jù)它的有效載體,或者是其功能來定義的,更多情況下是根據(jù)其意圖來定義的木馬一般不進(jìn)行自我復(fù)制,但具有寄生性,如捆綁在合法程序中得到安裝、啟動木馬的權(quán)限,DLL木馬甚至采用動態(tài)嵌入技術(shù)寄生在合法程序的進(jìn)程中木馬一般不具有普通病毒所具有的自我繁殖、主動感染傳播等特性,但我們習(xí)慣上將其納入廣義病毒,也就是說,木馬也是廣義病毒的一個子類木馬的最終意圖是竊取信息、實施遠(yuǎn)程監(jiān)控木馬與合法遠(yuǎn)程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性2/1/202322特洛伊木馬的結(jié)構(gòu)木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成2/1/202323特洛伊木馬的基本原理運用木馬實施網(wǎng)絡(luò)入侵的基本過程2/1/202324特洛伊木馬的基本原理用netstat查看木馬打開的端口2/1/202325特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立控制端要與服務(wù)端建立連接必須知道服務(wù)端的木馬端口和IP地址由于木馬端口是事先設(shè)定的,為已知項,所以最重要的是如何獲得服務(wù)端的IP地址獲得服務(wù)端的IP地址的方法主要有兩種:信息反饋和IP掃描2/1/202326特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立2/1/202327特洛伊木馬的基本原理木馬通道與遠(yuǎn)程控制木馬連接建立后,控制端端口和服務(wù)端木馬端口之間將會出現(xiàn)一條通道控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制,實現(xiàn)的遠(yuǎn)程控制就如同本地操作2/1/202328特洛伊木馬的基本原理木馬的基本原理特洛伊木馬包括客戶端和服務(wù)器端兩個部分,也就是說,木馬其實是一個服務(wù)器-客戶端程序攻擊者通常利用一種稱為綁定程序(exe-binder)的工具將木馬服務(wù)器綁定到某個合法軟件上,誘使用戶運行合法軟件。只要用戶運行該軟件,特洛伊木馬的服務(wù)器就在用戶毫無察覺的情況下完成了安裝過程攻擊者要利用客戶端遠(yuǎn)程監(jiān)視、控制服務(wù)器,必需先建立木馬連接;而建立木馬連接,必需先知道網(wǎng)絡(luò)中哪一臺計算機中了木馬獲取到木馬服務(wù)器的信息之后,即可建立木馬服務(wù)器和客戶端程序之間的聯(lián)系通道,攻擊者就可以利用客戶端程序向服務(wù)器程序發(fā)送命令,達(dá)到操控用戶計算機的目的2/1/202329特洛伊木馬的傳播方式木馬常用的傳播方式,有以下幾種:以郵件附件的形式傳播控制端將木馬偽裝之后添加到附件中,發(fā)送給收件人通過OICQ、QQ等聊天工具軟件傳播在進(jìn)行聊天時,利用文件傳送功能發(fā)送偽裝過的木馬程序給對方通過提供軟件下載的網(wǎng)站(Web/FTP/BBS)傳播木馬程序一般非常小,只有是幾K到幾十K,如果把木馬捆綁到其它正常文件上,用戶是很難發(fā)現(xiàn)的,所以,有一些網(wǎng)站被人利用,提供的下載軟件往往捆綁了木馬文件,在用戶執(zhí)行這些下載的文件的同時,也運行了木馬通過一般的病毒和蠕蟲傳播通過帶木馬的磁盤和光盤進(jìn)行傳播2/1/202330特洛伊木馬技術(shù)的發(fā)展木馬的發(fā)展及成熟,大致也經(jīng)歷了兩個階段Unix階段Windows階段木馬技術(shù)發(fā)展至今,已經(jīng)經(jīng)歷了4代第一代木馬只是進(jìn)行簡單的密碼竊取、發(fā)送等,沒有什么特別之處第二代木馬在密碼竊取、發(fā)送等技術(shù)上有了很大的進(jìn)步,冰河可以說是國內(nèi)木馬的典型代表之一第三代木馬在數(shù)據(jù)傳輸技術(shù)上,又做了不小的改進(jìn),出現(xiàn)了ICMP等類型的木馬,利用畸形報文傳遞數(shù)據(jù),增加了查殺的難度第四代木馬在進(jìn)程隱藏方面,做了很大的改動,采用了內(nèi)核插入式的嵌入方式,利用遠(yuǎn)程插入線程技術(shù),嵌入DLL線程;或者掛接PSAPI(ProcessStatusAPI),實現(xiàn)木馬程序的隱藏2/1/202331U盤病毒的特點隨著U盤等移動存儲介質(zhì)使用的越來越廣泛,它已經(jīng)成為木馬、病毒等傳播的主要途徑之一。U盤病毒,并不是單指某一種病毒,也不是說只是通過U盤傳播的病毒,而是泛指所有通過移動存儲介質(zhì)進(jìn)行傳播的病毒事實上它可以通過系統(tǒng)上所有的分區(qū)進(jìn)行傳播,只是因為很多時候它們都表現(xiàn)在U盤上,所以我們才統(tǒng)稱這些病毒為U盤病毒

目前U盤病毒傳播的方式主要有以下幾種:1、通過autorun.inf文件進(jìn)行傳播的(目前U盤病毒最普遍的傳播方式)2、偽裝成其他文件,病毒把U盤下所有文件夾隱藏,并把自己復(fù)制成與原文件夾名稱相同的具有文件夾圖標(biāo)的文件,當(dāng)你點擊時病毒會執(zhí)行自身并且打開隱藏的該名稱的文件夾。

3、通過可執(zhí)行文件感染傳播,很古老的一種傳播手段,但是依然有效。2/1/2023321.關(guān)鍵文件Autorun.infAutorun.inf文件本身并不是病毒,它是自動運行的一個配置文件。這個文件通常在驅(qū)動器的根目錄下(是一個隱藏的系統(tǒng)文件),文件的內(nèi)容包含著一些簡單的命令,告訴系統(tǒng)這個新插入的光盤或硬件應(yīng)該自動啟動什么程序,也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標(biāo)改成某個路徑下的圖標(biāo),它的格式通常是下面這樣:[AutoRun]open=auto.exe//自動運行auto.exe程序shellexecute=auto.exe//啟動指定的auto.exeshell\Auto\command=auto.exe//定義設(shè)備右鍵菜單執(zhí)行命令行,右鍵U盤的時候會出現(xiàn)auto菜單2/1/2023331.關(guān)鍵文件Autorun.inf由于windows系統(tǒng)中的自動播放功能默認(rèn)情況下是處于未配置的狀態(tài)。這就使得只要在機器上接入移動的存儲介質(zhì),就會自動的播放。這個原因也是導(dǎo)致U盤病毒傳播的一個最主要的因素。我們只要在U盤的根目錄下建立autorun.inf文件和某些特定的執(zhí)行程序,并把執(zhí)行程序的路徑和名字寫到autorun.inf文件中,就可以在U盤插入系統(tǒng)后自動運行該執(zhí)行文件,而這些執(zhí)行程序可以是任何我們想要它運行程序(病毒、木馬、灰色軟件等等)。2/1/202334解決辦法

---11、關(guān)閉“ShellHardwareDetection”服務(wù),關(guān)閉這個服務(wù)后再放入光盤或U盤時系統(tǒng)將不再掃描這些移動介質(zhì)的內(nèi)容,也就不會運行Autorun.inf中所配置的文件了。關(guān)閉服務(wù)的方法如下:單擊開始菜單的運行,輸入“services.msc”(也可以通過點擊開始->設(shè)置->控制面板->管理工具->服務(wù))來打開服務(wù)窗口,在窗口右側(cè)顯示的內(nèi)容中找到“名稱”列,在“名稱”列里找到“ShellHardwareDetection”(可以隨便單擊一下“名稱”列里的內(nèi)容,再按鍵盤上的S鍵,快速地定位),單擊右鍵,再單擊屬性彈出屬性對話框,先選擇停止,然后在常規(guī)選項卡里的“啟動類型(E)”右邊的下拉菜單中選擇“已禁用”,最后確定退出,重啟計算機即可。2/1/202335解決辦法

---22、關(guān)閉windows的自動播放功能,方法如下:在開始、運行中輸入gpedit.msc后回車。會出現(xiàn)組策略的控制窗口,在該窗口中選擇計算機設(shè)置->管理模板->系統(tǒng)->關(guān)閉自動播放,雙擊關(guān)閉自動播放,然后選擇已啟用,選擇關(guān)閉所有驅(qū)動器。2/1/202336解決辦法

---33、修改注冊表來禁止自動播放,方法如下:在開始運行中輸入regedit.exe后回車,調(diào)出注冊表編輯器,定位到[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer]進(jìn)行修改。"NoDriveTypeAutoRun"指定按設(shè)備類型禁止自動播放。1:未知類型,4:可移動磁盤,8:硬盤,10:網(wǎng)絡(luò)驅(qū)動器,20:光驅(qū),40:RAM驅(qū)動器,80:未知類型,F(xiàn)F:所有類型。若要禁止某一類型自動播放,直接使用對應(yīng)的值,若要禁止幾種類型,則使用它們數(shù)值相加的值,如95=1+4+10+80,91=1+10+80,b5=1+4+10+20+80。"NoDriveAutoRun"指定按盤符禁止自動播放。相關(guān)設(shè)置可以參考NoDrives值,最大值為hex:ff,ff,ff,03,禁止所有盤自動播放。2/1/2023372.披著各種偽裝的U盤病毒

U盤原來存在的文件夾全部被隱藏,取而代之的是一個偽裝成文件夾圖標(biāo)的EXE文件。因為操作系統(tǒng)缺省情況下,并不顯示已知文件類型的文件擴展名,也就是說類似于“我的工作報告.exe”的程序,缺省情況下我們只看到“我的工作報告”,并且這個文件看上去就是個文件夾,很多人就會去直接雙擊訪問。又是Windows缺省設(shè)置在幫助病毒傳播者欺騙用戶,缺省情況下windows不顯示文件擴展名。U盤病毒偽裝者利用社會工程學(xué)成功的入侵了超過50萬臺PC。2/1/202338解決辦法如果你修改了文件夾選項,配置了顯示文件的擴展名,這個文件夾偽裝者就會露出真面目2/1/202339病毒高級技術(shù)2/1/202340駐留在內(nèi)存為了生存,病毒要盡可能長時間地駐留在內(nèi)存中,而不是host程序一結(jié)束就完蛋了。有三種種方法,一是象Funlove那樣在系統(tǒng)目錄里釋放一個文件,并修改注冊表或者建立一個系統(tǒng)服務(wù)。這種方式很普通,也很普遍,大多數(shù)病毒包括蠕蟲都這么干。另一種方式則是感染所有的已運行進(jìn)程。在Win2K下很容易實現(xiàn),CreateRemoteThread,但要想在所有Win32平臺下實現(xiàn),則要比較高的技巧。工作在ring0病毒,內(nèi)核模式病毒。2/1/202341內(nèi)核模式病毒W(wǎng)indowsNT/2K環(huán)境下第一個以內(nèi)核模式驅(qū)動程序運行,并駐留內(nèi)存的寄生型病毒是Infis.Infis作為內(nèi)核模式驅(qū)動程序駐留內(nèi)存,并且掛鉤文件操作,它能夠在文件打開時立即感染該文件。安裝程序把病毒拷貝到系統(tǒng)內(nèi)存中,并在系統(tǒng)注冊表中添加該病毒的注冊項。該病毒把自己的可執(zhí)行代碼連同自己的PE文件頭一起追加到目標(biāo)文件的末尾,然后從自己代碼中提取出一個名為INF.SYS的獨立驅(qū)動程序,把這個程序保存在%SystemRoot%\system32\drivers目錄下,修改注冊表,保證下一次系統(tǒng)啟動時病毒也能夠進(jìn)入運行狀態(tài)。2/1/202342檢測方法檢查系統(tǒng)驅(qū)動程序列表中已經(jīng)裝入的驅(qū)動程序的名稱,如果在驅(qū)動程序列表中發(fā)現(xiàn)了病毒驅(qū)動程序,說明基本上感染了病毒病毒可能使用隱藏技術(shù)避免在驅(qū)動程序列表中出現(xiàn),需要通過計算機管理器中的驅(qū)動程序列表。2/1/202343病毒的隱藏技術(shù)隱藏是病毒的天性,在業(yè)界對病毒的定義里,“隱蔽性”就是病毒的一個最基本特征,任何病毒都希望在被感染的計算機中隱藏起來不被發(fā)現(xiàn),因為病毒都只有在不被發(fā)現(xiàn)的情況下,才能實施其破壞行為。為了達(dá)到這個目的,許多病毒使用了各種不同的技術(shù)來躲避反病毒軟件的檢驗,這樣就產(chǎn)生了各種各樣令普通用戶頭痛的病毒隱藏形式。隱藏窗口&隱藏進(jìn)程&隱藏文件桌面看不到任務(wù)管理器中不可見文件中看不到2/1/202344進(jìn)程隱藏Windows9x中的任務(wù)管理器是不會顯示服務(wù)類進(jìn)程,結(jié)果就被病毒鉆了空子,病毒將自身注冊為“服務(wù)進(jìn)程”,可以躲避用戶的監(jiān)視。Windows2000/xp/2003等操作系統(tǒng)上已經(jīng)無效了,直接使用系統(tǒng)自帶的任務(wù)管理器便能發(fā)現(xiàn)和迅速終止進(jìn)程運行。2/1/202345通過DLL實現(xiàn)進(jìn)程隱藏Windows系統(tǒng)的另一種“可執(zhí)行文件”----DLL,DLL文件沒有程序邏輯,是由多個功能函數(shù)構(gòu)成,它并不能獨立運行,一般都是由進(jìn)程加載并調(diào)用的。運行DLL文件最簡單的方法是利用Rundll32.exe,Rundll/Rundll32是Windows自帶的動態(tài)鏈接庫工具,可以用來在命令行下執(zhí)行動態(tài)鏈接庫中的某個函數(shù),Rundll32的使用方法如下:

Rundll32DllFileName

FuncName

例如我們編寫了一個MyDll.dll,這個動態(tài)鏈接庫中定義了一個MyFunc的函數(shù),那么,我們通過Rundll32.exeMyDll.dll

MyFunc就可以執(zhí)行MyFunc函數(shù)的功能。

假設(shè)我們在MyFunc函數(shù)中實現(xiàn)了病毒的功能,那么我們不就可以通過Rundll32來運行這個病毒了么?在系統(tǒng)管理員看來,進(jìn)程列表中增加的是Rundll32.exe而并不是病毒文件,這樣也算是病毒的一種簡易欺騙和自我保護(hù)方法2/1/202346特洛伊DLL特洛伊DLL的工作原理是使用木馬DLL替換常用的DLL文件,通過函數(shù)轉(zhuǎn)發(fā)器將正常的調(diào)用轉(zhuǎn)發(fā)給原DLL,截獲并處理特定的消息。例如,我們知道WINDOWS的Socket1.x的函數(shù)都是存放在wsock32.dll中的,那么我們自己寫一個wsock32.dll文件,替換掉原先的wsock32.dll(將原先的DLL文件重命名為wsockold.dll)我們的wsock32.dll只做兩件事,一是如果遇到不認(rèn)識的調(diào)用,就直接轉(zhuǎn)發(fā)給wsockold.dll(使用函數(shù)轉(zhuǎn)發(fā)器forward);二是遇到特殊的請求(事先約定的)就解碼并處理。這樣理論上只要木馬編寫者通過SOCKET遠(yuǎn)程輸入一定的暗號,就可以控制wsock32.dll(木馬DLL)做任何操作2/1/202347動態(tài)嵌入技術(shù)DLL木馬的最高境界是動態(tài)嵌入技術(shù),動態(tài)嵌入技術(shù)指的是將自己的代碼嵌入正在運行的進(jìn)程中的技術(shù)。理論上來說,在Windows中的每個進(jìn)程都有自己的私有內(nèi)存空間,別的進(jìn)程是不允許對這個私有空間進(jìn)行操作的,但是實際上,我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存存在多種動態(tài)嵌入技術(shù)中:窗口Hook、掛接API、遠(yuǎn)程線程2/1/202348遠(yuǎn)程線程技術(shù)遠(yuǎn)程線程技術(shù)指的是通過在另一個進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個進(jìn)程的內(nèi)存地址空間。在進(jìn)程中,可以通過CreateThread函數(shù)創(chuàng)建線程,被創(chuàng)建的新線程與主線程(就是進(jìn)程啟動時被同時自動建立的那個線程)共享地址空間以及其他的資源通過CreateRemoteThread也同樣可以在另一個進(jìn)程內(nèi)創(chuàng)建新線程,被創(chuàng)建的遠(yuǎn)程線程同樣可以共享遠(yuǎn)程進(jìn)程的地址空間,所以,實際上,我們通過一個遠(yuǎn)程線程,進(jìn)入了遠(yuǎn)程進(jìn)程的內(nèi)存地址空間,也就擁有了那個遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限。這種病毒難以處理。2/1/202349文件隱藏早期,把病毒文件屬性設(shè)為隱藏,修改文件不顯示隱藏文件。高級階段通過HOOK文件讀取函數(shù),自動隱藏病毒文件。公開的主流檢測隱藏文件主要有兩種方法:第一種是文件系統(tǒng)層的檢測,屬于這一類的有Icesword,darkspy,gmer等。第二種便是磁盤級別的低級檢測(DiskLow-LevelScanning),屬于這一類的ark也很多,典型代表為rootkit

unhooker,filereg(is的插件),rootkitrevealer,blacklight等。2/1/202350加殼木馬再狡猾,可是一旦被殺毒軟件定義了特征碼,在運行前就被攔截了。要躲過殺毒軟件的追殺,很多木馬就被加了殼,相當(dāng)于給木馬穿了件衣服,這樣殺毒軟件就認(rèn)不出來了,但有部分殺毒軟件會嘗試對常用殼進(jìn)行脫殼,然后再查殺。除了被動的隱藏外,最近還發(fā)現(xiàn)了能夠主動和殺毒軟件對著干的殼,木馬在加了這種殼之后,一旦運行,則外殼先得到程序控制權(quán),由其通過各種手段對系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞,最后在確認(rèn)安全(殺毒軟件的保護(hù)已被瓦解)后由殼釋放包裹在自己"體內(nèi)"的木馬體并執(zhí)行之。2/1/202351AV終結(jié)者Autorun.inf

一個暗藏殺機的文本格式,以至于有些殺軟都加入病毒庫,傳播U盤病毒的罪魁禍?zhǔn)?,很多情況下我們把它視為敵人,如果配合系統(tǒng)默認(rèn)的"自動播放"功能,那激活病毒的機率將會是100%。線程插入全名叫“遠(yuǎn)程創(chuàng)建

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論