6.6. 后门技术

HEXBLOG 42 0
广告

6.6.1. 开发技术

  • 管控功能实现技术
    • 系统管理:查看系统基本信息,进程管理,服务管理
    • 文件管理:复制/粘贴文件,删除文件/目录,下载/上传文件等
    • Shell管理
    • 击键记录监控
    • 屏幕截取
    • 音频监控
    • 视频监控
    • 隐秘信息查看
    • 移动磁盘的动态监控
    • 远程卸载
  • 自启动技术
    • Windows自启动
      • 基于Windows启动目录的自启动
      • 基于注册表的自启动
      • 基于服务程序的自启动
      • 基于ActiveX控件的自启动
      • 基于计划任务(Scheduled Tasks)的自启动
    • Linux自启动
  • 用户态进程隐藏技术
    • 基于DLL插入的进程隐藏
      • 远程线程创建技术
      • 设置窗口挂钩(HOOK)技术
    • 基于SvcHost共享服务的进程隐藏
    • 进程内存替换
  • 数据穿透和躲避技术
    • 反弹端口
    • 协议隧道
      • HTTP
      • MSN
      • Google Talk
  • 内核级隐藏技术(Rootkit)
  • 磁盘启动级隐藏技术(Bootkit)
    • MBR
    • BIOS
    • NTLDR
    • boot.ini
  • 还原软件对抗技术

6.6.2. 后门免杀

  • 传统静态代码检测
    • 加壳
    • 添加花指令
    • 输入表免杀
  • 启发式代码检测
    • 动态函数调用
  • 云查杀
    • 动态增大自身体积
    • 更改云查杀服务器域名解析地址
    • 断网
    • 利用散列碰撞绕过云端“白名单”
  • 攻击主防杀毒软件
    • 更改系统时间
    • 窗口消息攻击
    • 主动发送IRP操纵主防驱动
  • 利用证书信任
    • 盗取利用合法证书
    • 利用散列碰撞伪造证书
    • 利用合法程序 DLL劫持问题的“白加黑”

6.6.3. 检测技术

  • 基于自启动信息的检测
  • 基于进程信息的检测
  • 基于数据传输的检测
  • Rootkit/Bootkit的检测

6.6.4. 后门分析

  • 动态分析
  • 静态分析
    • 反病毒引擎扫描
    • 文件格式识别
    • 文件加壳识别及脱壳
    • 明文字符串查找
    • 链接库及导入/导出函数分析

发表评论 取消回复
表情 图片 链接 代码

分享