歷代木馬程序隱身的技術(shù)分析第2/2頁(yè)
更新時(shí)間:2007年11月05日 22:34:48 作者:
3.如何插入進(jìn)程
(1)使用注冊(cè)表插入DLL
早期的進(jìn)程插入式木馬的伎倆,通過修改注冊(cè)表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達(dá)到插入進(jìn)程的目的。缺點(diǎn)是不實(shí)時(shí),修改注冊(cè)表后需要重新啟動(dòng)才能完成進(jìn)程插入。
(2)使用掛鉤(Hook)插入DLL
比較高級(jí)和隱蔽的方式,通過系統(tǒng)的掛鉤機(jī)制(即“Hook”,類似于DOS時(shí)代的“中斷”)來插入進(jìn)程(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他進(jìn)程中“偷雞摸狗”),需要調(diào)用SetWindowsHookEx函數(shù)(也是一個(gè)Win32 API函數(shù))。缺點(diǎn)是技術(shù)門檻較高,程序調(diào)試?yán)щy,這種木馬的制作者必須具有相當(dāng)?shù)腤in32編程水平。
你知道嗎——什么是API
Windows中提供各種功能實(shí)現(xiàn)的接口稱為Win32 API(Application Programming Interface,即“應(yīng)用程序編程接口”),如一些程序需要對(duì)磁盤上的文件進(jìn)行讀寫,就要先通過對(duì)相應(yīng)的API(文件讀寫就要調(diào)用文件相關(guān)的API) 發(fā)出調(diào)用請(qǐng)求,然后API根據(jù)程序在調(diào)用其函數(shù)時(shí)提供的參數(shù)(如讀寫文件就需要同時(shí)給出需要讀寫的文件的文件名及路徑)來完成請(qǐng)求實(shí)現(xiàn)的功能,最后將調(diào)用結(jié)果(如寫入文件成功,或讀取文件失敗等)返回給程序。
(3)使用遠(yuǎn)程線程函數(shù)(CreateRemoteThread)插入DLL
在Windows 2000及以上的系統(tǒng)中提供了這個(gè)“遠(yuǎn)程進(jìn)程”機(jī)制,可以通過一個(gè)系統(tǒng)API函數(shù)來向另一個(gè)進(jìn)程中創(chuàng)建線程(插入DLL)。缺點(diǎn)很明顯,僅支持 Windows 2000及以上系統(tǒng),在國(guó)內(nèi)仍有相當(dāng)多用戶在使用Windows 98,所以采用這種進(jìn)程插入方式的木馬缺乏平臺(tái)通用性。
木馬將自身作為DLL插入別的進(jìn)程空間后,用查看進(jìn)程的方式就無法找出木馬的蹤跡了,你能看到的僅僅是一些正常程序的進(jìn)程,但木馬卻已經(jīng)偷偷潛入其中了。解決的方法是使用支持“進(jìn)程模塊查看”的進(jìn)程管理工具(如“Windows優(yōu)化大師”提供的進(jìn)程查看),木馬的DLL模塊就會(huì)現(xiàn)形了。
不要相信自己的眼睛:恐怖的進(jìn)程“蒸發(fā)”
嚴(yán)格地來講,這應(yīng)該算是第2.5代的進(jìn)程隱藏技術(shù)了,可是它卻比前幾種技術(shù)更為可怕得多。這種技術(shù)使得木馬不必將自己插入到其他進(jìn)程中,而可以直接消失!
它通過Hook技術(shù)對(duì)系統(tǒng)中所有程序的進(jìn)程檢測(cè)相關(guān)API的調(diào)用進(jìn)行了監(jiān)控,“任務(wù)管理器”之所以能夠顯示出系統(tǒng)中所有的進(jìn)程,也是因?yàn)槠湔{(diào)用了 EnumProcesses等進(jìn)程相關(guān)的API函數(shù),進(jìn)程信息都包含在該函數(shù)的返回結(jié)果中,由發(fā)出調(diào)用請(qǐng)求的程序接收返回結(jié)果并進(jìn)行處理(如“任務(wù)管理器”在接收到結(jié)果后就在進(jìn)程列表中顯示出來)。
而木馬由于事先對(duì)該API函數(shù)進(jìn)行了Hook,所以在“任務(wù)管理器”(或其他調(diào)用了列舉進(jìn)程函數(shù)的程序)調(diào)用EnumProcesses函數(shù)時(shí)(此時(shí)的API函數(shù)充當(dāng)了“內(nèi)線”的角色),木馬便得到了通知,并且在函數(shù)將結(jié)果(列出所有進(jìn)程)返回給程序前,就已將自身的進(jìn)程信息從返回結(jié)果中抹去了。就好比你正在看電視節(jié)目,卻有人不知不覺中將電視接上了DVD,你在不知不覺中就被欺騙了。
所以無論是“任務(wù)管理器”還是殺毒軟件,想對(duì)這種木馬的進(jìn)程進(jìn)行檢測(cè)都是徒勞的。這種木馬目前沒有非常有效的查殺手段,只有在其運(yùn)行前由殺毒軟件檢測(cè)到木馬文件并阻止其病毒體的運(yùn)行。當(dāng)時(shí)還有一種技術(shù)是由木馬程序?qū)⑵渥陨淼倪M(jìn)程信息從Windows系統(tǒng)用以記錄進(jìn)程信息的“進(jìn)程鏈表”中刪除,這樣進(jìn)程管理工具就無法從“進(jìn)程鏈表”中獲得木馬的進(jìn)程信息了。但由于缺乏平臺(tái)通用性而且在程序運(yùn)行時(shí)有一些問題,所以沒有被廣泛采用。
你知道嗎——什么是Hook
Hook是Windows中提供的一種用以替換DOS下“中斷”的一種系統(tǒng)機(jī)制,中文譯名為“掛鉤”或“鉤子”。在對(duì)特定的系統(tǒng)事件(包括上文中的特定API函數(shù)的調(diào)用事件)進(jìn)行Hook后,一旦發(fā)生已Hook的事件,對(duì)該事件進(jìn)行Hook的程序(如:木馬)就會(huì)收到系統(tǒng)的通知,這時(shí)程序就能在第一時(shí)間對(duì)該事件做出響應(yīng)(木馬程序便搶在函數(shù)返回前對(duì)結(jié)果進(jìn)行了修改)。
毫無蹤跡:全方位立體隱藏
利用剛才介紹的Hook隱藏進(jìn)程的手段,木馬可以輕而易舉地實(shí)現(xiàn)文件的隱藏,只需將Hook技術(shù)應(yīng)用在文件相關(guān)的API函數(shù)上即可,這樣無論是“資源管理器”還是殺毒軟件都無法找出木馬所在了。更令人吃驚的是,現(xiàn)在已經(jīng)有木馬(如:灰鴿子)利用該技術(shù)實(shí)現(xiàn)了文件和進(jìn)程的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟件在其運(yùn)行前進(jìn)行攔截。
跟殺毒軟件對(duì)著干:反殺毒軟件外殼
木馬再狡猾,可是一旦被殺毒軟件定義了特征碼,在運(yùn)行前就被攔截了。要躲過殺毒軟件的追殺,很多木馬就被加了殼,相當(dāng)于給木馬穿了件衣服,這樣殺毒軟件就認(rèn)不出來了,但有部分殺毒軟件會(huì)嘗試對(duì)常用殼進(jìn)行脫殼,然后再查殺(小樣,別以為穿上件馬夾我就不認(rèn)識(shí)你了)。除了被動(dòng)的隱藏外,最近還發(fā)現(xiàn)了能夠主動(dòng)和殺毒軟件對(duì)著干的殼,木馬在加了這種殼之后,一旦運(yùn)行,則外殼先得到程序控制權(quán),由其通過各種手段對(duì)系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞,最后在確認(rèn)安全 (殺毒軟件的保護(hù)已被瓦解)后由殼釋放包裹在自己“體內(nèi)”的木馬體并執(zhí)行之。對(duì)付這種木馬的方法是使用具有脫殼能力的殺毒軟件對(duì)系統(tǒng)進(jìn)行保護(hù)。
你知道嗎——什么是殼
顧名思義,你可以很輕易地猜到,這是一種包在外面的東西。沒錯(cuò),殼能夠?qū)⑽募?比如EXE)包住,然后在文件被運(yùn)行時(shí),首先由殼獲得控制權(quán),然后釋放并運(yùn)行包裹著的文件體。很多殼能對(duì)自己包住的文件體進(jìn)行加密,這樣就可以防止殺毒軟件的查殺。比如原先殺毒軟件定義的該木馬的特征是“12345”,如果發(fā)現(xiàn)某文件中含有這個(gè)特征,就認(rèn)為該文件是木馬,而帶有加密功能的殼則會(huì)對(duì)文件體進(jìn)行加密(如:原先的特征是“12345”,加密后變成了 “54321”,這樣殺毒軟件當(dāng)然不能靠文件特征進(jìn)行檢查了)。脫殼指的就是將文件外邊的殼去除,恢復(fù)文件沒有加殼前的狀態(tài)。
相關(guān)文章
ART OF WEB-SQL-INJECTION第2卷 ORACLE篇
在國(guó)外對(duì)ORACLE的攻擊一直很收關(guān)注,只是國(guó)內(nèi)研究的人不太多,或者技術(shù)不夠~這里我就打響第一炮吧2007-10-10如何防止QQ被盜密碼 比較詳細(xì)找回qq號(hào)的方法
今天小編教大家如何更高幾率的找回QQ密碼,需要的朋友可以參考一下2008-02-02