分享
 
 
 

木马病毒隐身穿墙术解密之文件注入-查杀预防

王朝数码·作者佚名  2011-01-26
窄屏简体版  字體: |||超大  

对于木马病毒当前所使用的隐身和穿墙术,到这篇已经是第三篇了,虽然每篇的篇幅都不是很长,但每篇都介绍了二至三个木马常用的隐身穿墙术的技巧,可见木马病毒的作者和使用者,在躲避安全软件检测上下了多少的功夫。而且,就算这篇介绍木马隐身穿墙术的文章结束后,还会有新的仍不会大家所熟悉的技术出现。但在新的木马隐身穿墙术出现之前,我们还是先来看看本次要说明的几种木马使用的隐身穿墙技巧吧!

一、进程及DLL文件注入

进程注入,就是指木马将自己注入到某个正常的进程当中,然后,它就可以以此正常进程的子线程的方式运行。此时,它的进程名就不会在任务管理器中的进程列表框中出现。这样一来,用户将不能通过任务管理器来发现它。而且,杀毒软件即使能够发现它,但要将它从正常的进程当中清除它,也不会很容易的。

由于防火墙对于系统中正常的网络相关进程(例如Services.exe、Svchost.exe等)默认都是放行的,因此,木马一般都是注入到这些系统进程当中,并以此来穿透防火墙。但是,木马程序只有在获得了与这些系统进程相同的系统权限,才能够有可能注入成功的。不过,就目前来说,已经有许多木马具有了这种功能来实现远程进程注入。

至于DLL文件注入的目的,一般都是用来躲过防火墙的拦截。它主要是利用了防火墙在信任某个软件后,会对它所加载的所有DLL文件也全部信任。因此,只要木马将自己注入到这些DLL文件当中,就可以躲过防火墙的监控,然后就可以与攻击者进行网络通信,或者下载其它木马、键盘记录程序和后门程序等等。在Windows系统中,DLL注入利用最多的,就是IE浏览器。

对于DLL文件注入的木马,可以通过验证系统文件的数字签名,来发现系统的DLL文件是否已经被修改过,这可以通过Windows系统中的“系统信息”中的数字签名验证程序来完成。对于进程注入,可以通过使用IceSword软件来查看进行所加载的模块,只要发现不是Windows系统本身的,就说明已经有木马注入。然后,就可以通过IceSword来强行终止这个非法模块,再在相应位置完全删除它。现在,还有一些杀毒软件已经可以查杀注入型的木马,例如瑞星杀毒软件。至于防火墙,现在开始有一种新的技术,就是当防火墙检测到某个应用程序所加载的文件被修改后,就会对它的网络连接进行阻止。只是现在这种技术还没有加入到家用防火墙中来。

二、TCP/IP堆栈旁通

对于一些个人防火墙来说,它们一般只会对由Windows系统本身所产生的TCP/IP堆栈进行过滤,而对其它方式所产生的网络数据堆栈却不会进行任何检查就会放行。因此,木马也就利用防火墙的这个漏洞,在其运行后,同时安装某个网络驱动,然后通过它来与系统中的网络接口卡进行通信,这样就能够躲过防火墙的检测。

要想阻止这种方式的木马攻击,只要在防火墙中设置一条规则,禁止所有非标准Windows系统所产生的TCP/IP堆栈通过。现在一些个人防火墙的最新版本,都已经具有了这些功能。因此,计算机网络用户最好不断升级自己的防火墙软件,以此来防止这种木马穿墙术。

三、反弹连接技术

现在的计算机网络用户,一般都是使用PPPOE拔号方式,或通过代理服务器及NAT的方式连接互联网的,这就给攻击者通过木马的客户端主动连接其服务器器端的设置了一道不小的阻碍。因此,攻击者为了消除这道阻碍,就编写了一些具有反弹技术的木马。

使用反弹技术,只要木马监测到系统已经有一个活动的网络连接,其服务器端就会主动地按攻击者设置的方式连接攻击者所在的客户端。而防火墙一般对系统内部发出的网络连接请求是不会拦截的,因此,木马就这样轻而容易举地穿过了系统防火墙的拦截。

但是,仅仅使用反弹技术,木马有时是过得了系统防火墙这关,而过不了硬件式网络防火墙这关的。因此,为了能穿透硬件式网络防火墙,木马又打上了隧道技术的主意。它们将要发送到内容封装到其它网络防火墙允许通过的网络协议当中,例如HTTP、DNS和SMTP等,然后就可以借助这些协议包将这些内容发送到攻击者指定的位置(例如一个Email地址)。这些内容当中可能包括了用户登录系统的账号、密码、公网IP地址、打开了的端口和运行了的服务等等。然后,攻击都会以同样的方式来连接木马的服务器端了。

要防范反弹式木马。第一就是使用具有应用程序过滤功能的个人防火墙,它们一般对请求网络连接的应用程序都进行拦截并提示用户是否通过。现在大部份最新版本的个人防火墙都已经具有了这种功能。例如ZA、瑞星及Tiny firewall pro等。第二就是使用具有免重组深度检测技术的硬件式网络防火墙,就有可能防范利用隧道方式进行攻击的木马。

从本次介绍木马病毒隐身穿墙术系列文章中可以发现,每一种方法不论有多好,都有其弱点存在,也就说明能够有办法防范和清除它们。但是,现在所有的木马,肯定不会只使用一种躲避方法。它们往往是几种方法同时使用,例如,同时对使用加壳、加密和注入技术,这样就能大大提高杀毒软件和防火墙体测到它们的难度。但不管怎么说,木马的编写和保护技术在发展的同时,安全技术也在不断的发展,只要能找到它们存在的弱点,防范和清除它们也是完全可以做到的。其实,最终解决问题的关键还在于用户本身,约束自己的网络操作行为,了解一定的安全防范技术,这样就能大大减少木马的侵扰。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有