关注我们

木马手工查杀和隐藏控制技术分析

LzersLzers 安全文摘 2018-06-08 659796 0

实验条件:

上兴远控、comodo防火墙、360安全卫士

step1.生成木马

木马手工查杀和隐藏控制技术分析

使用netstat/an命令查看系统端口连接,无明显异常

木马手工查杀和隐藏控制技术分析

感染木马后并没有立即在服务项中发现异常

木马手工查杀和隐藏控制技术分析

运行comodo autorun analyzer分析:发现未知程序,但未知程序很多,无法准确判定程序是否是恶意程序

木马手工查杀和隐藏控制技术分析

打开COMODO ids入侵检测系统,发现可以检测出木马的操作。

木马手工查杀和隐藏控制技术分析

 

当开启靶机的屏幕实时显示时无论是360安全卫士或是comodo防火墙都无法进行拦截

一段时间后360安全卫士自动检测到桌面的木马程序并自动删除

木马手工查杀和隐藏控制技术分析

 

实验总结与思考:

未知防,焉能攻

在常用的手段如查看网络连接或是查看进程只能实现收紧搜索范围而非精确定位恶意软件,推测comodo对于软件的安全性判断是基于软件厂商的信任列表。而ids则时基于软件的行为监测。而360对于敏感的部位由特殊的防护,后来也自动删除了程序,表明360的监控是实时的。

上兴远控生成的木马程序具备多种自启动和隐藏能力,甚至有加壳功能来免杀。我想如果改变加壳方式或是添加花指令当木马静止时应该可以躲避安全软件的行为查杀,如果采用进程注入方式将自身注入到一个受信的进程中应该可以部分躲避行为查杀。

在此感想,制作一个合格的木马对黑客的综合技术要求非常高,无论是注册表/服务/网路通信/行为免杀/加壳等等技术都要求精通,如果一方面做的不好则木马就会暴露。


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢1评论已闭