計(jì)算機(jī)安全-2.2 病毒分析

1、計(jì)算機(jī)安全技術(shù)計(jì)算機(jī)病毒分析8/28/202211 計(jì)算機(jī)病毒的狀態(tài)計(jì)算機(jī)病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動(dòng)態(tài)靜態(tài)病毒，是指存在于輔助存儲(chǔ)介質(zhì)中的計(jì)算機(jī)病毒，一般不能執(zhí)行病毒的破壞或表現(xiàn)功能，其傳播只能通過文件下載(拷貝)實(shí)現(xiàn)因?yàn)殪o態(tài)病毒尚未被加載、尚未進(jìn)入內(nèi)存，不可能獲取系統(tǒng)的執(zhí)行權(quán)限病毒之所以處于靜態(tài)，有兩種可能沒有用戶啟動(dòng)該病毒或運(yùn)行感染了該病毒的文件該病毒存在于不可執(zhí)行它的系統(tǒng)中當(dāng)病毒完成初始引導(dǎo)，進(jìn)入內(nèi)存后，便處于動(dòng)態(tài)。動(dòng)態(tài)病毒本身處于運(yùn)行狀態(tài)，通過截流盜用系統(tǒng)中斷等方式監(jiān)視系統(tǒng)運(yùn)行狀態(tài)或竊取系統(tǒng)控制權(quán)。病毒的主動(dòng)傳染和破壞作用，都是動(dòng)態(tài)病毒的“杰作”8/28/202221 計(jì)

2、算機(jī)病毒的狀態(tài)計(jì)算機(jī)病毒的基本流程與狀態(tài)轉(zhuǎn)換病毒由靜態(tài)轉(zhuǎn)變?yōu)閯?dòng)態(tài)的過程，稱為病毒的啟動(dòng)。實(shí)際上，病毒的啟動(dòng)過程就是病毒的首次激活過程內(nèi)存中的動(dòng)態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。當(dāng)內(nèi)存中的病毒代碼能夠被系統(tǒng)的正常運(yùn)行機(jī)制所執(zhí)行時(shí)，動(dòng)態(tài)病毒就處于可激活態(tài)一般而言，動(dòng)態(tài)病毒都是可激活的系統(tǒng)正在執(zhí)行病毒代碼時(shí)，動(dòng)態(tài)病毒就處于激活態(tài)病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài)對(duì)于處于不同狀態(tài)的病毒，應(yīng)采用不同的分析、清除手段8/28/202231 計(jì)算機(jī)病毒的狀態(tài)計(jì)算機(jī)病毒的基本流程與狀態(tài)轉(zhuǎn)換8/28/202242 計(jì)算機(jī)病毒的基本環(huán)節(jié)計(jì)算機(jī)病毒要完成一次完整的傳播破壞

3、過程，必須經(jīng)過以下幾個(gè)環(huán)節(jié)：分發(fā)拷貝階段潛伏繁殖階段破壞表現(xiàn)階段在任何一個(gè)環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延8/28/20225病毒的目的快速傳染隱藏自己變形8/28/20226病毒感染的一般過程 計(jì)算機(jī)病毒的感染過程與生物學(xué)病毒的感染過程非常相似，它寄生在宿主程序中，進(jìn)入計(jì)算機(jī)，并借助操作系統(tǒng)和宿主程序的運(yùn)行，復(fù)制自身，大量繁殖。計(jì)算機(jī)病毒感染的一般過程為： 當(dāng)計(jì)算機(jī)運(yùn)行染毒的宿主程序時(shí)，病毒奪取控制權(quán)。 尋找感染的突破口。 將病毒程序嵌入感染目標(biāo)中。8/28/20227文件型病毒傳染原理和特征8/2

4、8/20228核心態(tài)與用戶態(tài)操作系統(tǒng)代碼、設(shè)備驅(qū)動(dòng)程序代碼使用特權(quán)級(jí)0(Ring 0)，工作于系統(tǒng)核心態(tài)普通的用戶程序使用特權(quán)極3(Ring 3) ，工作在用戶態(tài)Windows 2000/XP下普通應(yīng)用程序?qū)诵膽B(tài)功能的調(diào)用示意8/28/20229獲取API函數(shù)地址Win32程序一般運(yùn)行在Ring 3級(jí)，處于保護(hù)模式Win32下的系統(tǒng)功能調(diào)用，不是通過中斷實(shí)現(xiàn)，而是通過調(diào)用動(dòng)態(tài)連接庫(kù)中的API函數(shù)實(shí)現(xiàn)Win32 PE病毒和普通Win32 PE程序一樣需要調(diào)用API函數(shù)實(shí)現(xiàn)某些功能，但是對(duì)于Win32 PE病毒來說，它只有代碼節(jié)，并不存在引入函數(shù)節(jié)病毒就無法象普通PE程序那樣直接調(diào)用相關(guān)API函

5、數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址8/28/202210搜索感染目標(biāo)文件搜索文件是病毒尋找目標(biāo)文件的非常重要的功能在Win32匯編中，通常采用如下幾個(gè)API函數(shù)進(jìn)行文件搜索FindFirstFile根據(jù)文件名查找文件FindNextFile根據(jù)調(diào)用FindFirstFile函數(shù)時(shí)指定的一個(gè)文件名查找下一個(gè)文件FindClose用來關(guān)閉由FindFirstFile函數(shù)創(chuàng)建的一個(gè)搜索句柄8/28/202211病毒感染技術(shù)感染是一個(gè)病毒賴以長(zhǎng)期存活的根本，所以要大規(guī)模的搜索，感染感染再感染！FindFirst，F(xiàn)indClose，除非你hook了某些系統(tǒng)API（參考Win32.Kri

6、z)，否則這三個(gè)API是Win32病毒必備的、搜索再搜索，感染再感染。目前Win32病毒分為兩個(gè)主流，一類最常見，覆蓋host程序最后一個(gè)section的relocation，或者干脆直接綴在最后一個(gè)section后面，把它擴(kuò)大一些。這種技術(shù)很簡(jiǎn)單，例子可參見Funlove，有著復(fù)雜的polymorphism引擎，體積比較大的病毒一般也都用這種技術(shù)。第二類就是像Elkern那樣把自己盡可能地插進(jìn)host體內(nèi)，盡可能地插，對(duì)于VC編譯出來的PE文件，它的是4K，所以section之間的空隙加起來很可能有4，5K，足可以容下一個(gè)Win32病毒。這種技術(shù)比較麻煩一些，調(diào)試也復(fù)雜，主要流行的有Elke

7、rn。8/28/202212蠕蟲傳染原理8/28/202213蠕蟲與漏洞網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同，又可以將其細(xì)分郵件蠕蟲主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞MIME描述漏洞8/28/202214蠕蟲與漏洞網(wǎng)頁(yè)蠕蟲（木馬）主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁(yè)蠕蟲可以分為兩種用一個(gè)IFrame插入一個(gè)Mail框架，同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的，首先由一個(gè)包含特殊代碼

8、的頁(yè)面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn)行它，完成蠕蟲傳播系統(tǒng)漏洞蠕蟲利用RPC溢出漏洞的沖擊波、沖擊波殺手利用LSASS溢出漏洞的震蕩波、震蕩波殺手系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗試溢出，然后將自身復(fù)制過去它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蠕蟲8/28/202215蠕蟲的工作方式與掃描策略蠕蟲的工作方式一般是“掃描攻擊復(fù)制”8/28/202216蠕蟲的工作方式與掃描策略蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到盡量多的計(jì)算機(jī)中掃描模塊采用的掃描策略是：隨機(jī)選取某一段IP地址，然后對(duì)這一地址段上的主機(jī)

9、進(jìn)行掃描沒有優(yōu)化的掃描程序可能會(huì)不斷重復(fù)上面這一過程，大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞對(duì)掃描策略的改進(jìn)在IP地址段的選擇上，可以主要針對(duì)當(dāng)前主機(jī)所在的網(wǎng)段進(jìn)行掃描，對(duì)外網(wǎng)段則隨機(jī)選擇幾個(gè)小的IP地址段進(jìn)行掃描對(duì)掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描把掃描分散在不同的時(shí)間段進(jìn)行8/28/202217蠕蟲的工作方式與掃描策略蠕蟲常用的掃描策略選擇性隨機(jī)掃描(包括本地優(yōu)先掃描)可路由地址掃描(Routable Scan)地址分組掃描(Divide-Conquer Scan)組合掃描(Hybrid Scan)極端掃描(Extreme Scan)8/28/202218感染的主機(jī)數(shù)與感染強(qiáng)度示意圖8/28/

10、202219木馬的傳染方式8/28/202220特洛伊木馬的定義特洛伊木馬(Trojan Horse)，簡(jiǎn)稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、欺騙(哄騙，Spoofing)等手段進(jìn)入被攻擊的計(jì)算機(jī)系統(tǒng)中，竊取信息，實(shí)施遠(yuǎn)程監(jiān)控8/28/202221特洛伊木馬的定義木馬與病毒一般情況下，病毒是依據(jù)其能夠進(jìn)行自我復(fù)制

11、即傳染性的特點(diǎn)而定義的特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來定義的，更多情況下是根據(jù)其意圖來定義的木馬一般不進(jìn)行自我復(fù)制，但具有寄生性，如捆綁在合法程序中得到安裝、啟動(dòng)木馬的權(quán)限，DLL木馬甚至采用動(dòng)態(tài)嵌入技術(shù)寄生在合法程序的進(jìn)程中木馬一般不具有普通病毒所具有的自我繁殖、主動(dòng)感染傳播等特性，但我們習(xí)慣上將其納入廣義病毒，也就是說，木馬也是廣義病毒的一個(gè)子類木馬的最終意圖是竊取信息、實(shí)施遠(yuǎn)程監(jiān)控木馬與合法遠(yuǎn)程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性8/28/202222特洛伊木馬的結(jié)構(gòu)木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序

12、)三部分組成8/28/202223特洛伊木馬的基本原理運(yùn)用木馬實(shí)施網(wǎng)絡(luò)入侵的基本過程8/28/202224特洛伊木馬的基本原理用netstat查看木馬打開的端口8/28/202225特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立控制端要與服務(wù)端建立連接必須知道服務(wù)端的木馬端口和IP地址由于木馬端口是事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲得服務(wù)端的IP地址獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描8/28/202226特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立8/28/202227特洛伊木馬的基本原理木馬通道與遠(yuǎn)程控制木馬連接建立后，控制端端口和服務(wù)端木馬端口之間將會(huì)出

13、現(xiàn)一條通道控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)的遠(yuǎn)程控制就如同本地操作8/28/202228特洛伊木馬的基本原理木馬的基本原理特洛伊木馬包括客戶端和服務(wù)器端兩個(gè)部分，也就是說，木馬其實(shí)是一個(gè)服務(wù)器-客戶端程序攻擊者通常利用一種稱為綁定程序(exe-binder)的工具將木馬服務(wù)器綁定到某個(gè)合法軟件上，誘使用戶運(yùn)行合法軟件。只要用戶運(yùn)行該軟件，特洛伊木馬的服務(wù)器就在用戶毫無察覺的情況下完成了安裝過程攻擊者要利用客戶端遠(yuǎn)程監(jiān)視、控制服務(wù)器，必需先建立木馬連接；而建立木馬連接，必需先知道網(wǎng)絡(luò)中哪一臺(tái)計(jì)算機(jī)中了木馬獲取到木馬服務(wù)器的信息

14、之后，即可建立木馬服務(wù)器和客戶端程序之間的聯(lián)系通道，攻擊者就可以利用客戶端程序向服務(wù)器程序發(fā)送命令，達(dá)到操控用戶計(jì)算機(jī)的目的8/28/202229特洛伊木馬的傳播方式木馬常用的傳播方式，有以下幾種：以郵件附件的形式傳播控制端將木馬偽裝之后添加到附件中，發(fā)送給收件人通過OICQ、QQ等聊天工具軟件傳播在進(jìn)行聊天時(shí)，利用文件傳送功能發(fā)送偽裝過的木馬程序給對(duì)方通過提供軟件下載的網(wǎng)站(Web/)傳播木馬程序一般非常小，只有是幾K到幾十K，如果把木馬捆綁到其它正常文件上，用戶是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站被人利用，提供的下載軟件往往捆綁了木馬文件，在用戶執(zhí)行這些下載的文件的同時(shí)，也運(yùn)行了木馬通過一般的病

15、毒和蠕蟲傳播通過帶木馬的磁盤和光盤進(jìn)行傳播8/28/202230特洛伊木馬技術(shù)的發(fā)展木馬的發(fā)展及成熟，大致也經(jīng)歷了兩個(gè)階段Unix階段Windows階段木馬技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代第一代木馬只是進(jìn)行簡(jiǎn)單的密碼竊取、發(fā)送等，沒有什么特別之處第二代木馬在密碼竊取、發(fā)送等技術(shù)上有了很大的進(jìn)步，冰河可以說是國(guó)內(nèi)木馬的典型代表之一第三代木馬在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度第四代木馬在進(jìn)程隱藏方面，做了很大的改動(dòng)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程；或者掛接PSAPI(Process Status AP

16、I)，實(shí)現(xiàn)木馬程序的隱藏8/28/202231駐留在內(nèi)存為了生存，病毒要盡可能長(zhǎng)時(shí)間地駐留在內(nèi)存中，而不是host程序一結(jié)束就完蛋了。有三種種方法，一是象Funlove那樣在系統(tǒng)目錄里釋放一個(gè)文件，并修改注冊(cè)表或者建立一個(gè)系統(tǒng)服務(wù)。這種方式很普通，也很普遍，大多數(shù)病毒包括蠕蟲都這么干。另一種方式則是感染所有的已運(yùn)行進(jìn)程。在Win2K下很容易實(shí)現(xiàn),CreateRemoteThread，但要想在所有Win32平臺(tái)下實(shí)現(xiàn)，則要比較高的技巧。工作在ring 0病毒，內(nèi)核模式病毒。8/28/202232內(nèi)核模式病毒W(wǎng)indowsNT/2K環(huán)境下第一個(gè)以內(nèi)核模式驅(qū)動(dòng)程序運(yùn)行，并駐留內(nèi)存的寄生型病毒是Inf

17、is.Infis作為內(nèi)核模式驅(qū)動(dòng)程序駐留內(nèi)存，并且掛鉤文件操作，它能夠在文件打開時(shí)立即感染該文件。安裝程序把病毒拷貝到系統(tǒng)內(nèi)存中，并在系統(tǒng)注冊(cè)表中添加該病毒的注冊(cè)項(xiàng)。該病毒把自己的可執(zhí)行代碼連同自己的PE文件頭一起追加到目標(biāo)文件的末尾，然后從自己代碼中提取出一個(gè)名為INF.SYS的獨(dú)立驅(qū)動(dòng)程序，把這個(gè)程序保存在%SystemRoot% system32 drivers目錄下，修改注冊(cè)表，保證下一次系統(tǒng)啟動(dòng)時(shí)病毒也能夠進(jìn)入運(yùn)行狀態(tài)。8/28/202233檢測(cè)方法檢查系統(tǒng)驅(qū)動(dòng)程序列表中已經(jīng)裝入的驅(qū)動(dòng)程序的名稱，如果在驅(qū)動(dòng)程序列表中發(fā)現(xiàn)了病毒驅(qū)動(dòng)程序，說明基本上感染了病毒病毒可能使用隱藏技術(shù)避免在驅(qū)

18、動(dòng)程序列表中出現(xiàn)，需要通過計(jì)算機(jī)管理器中的驅(qū)動(dòng)程序列表。8/28/202234病毒的隱藏技術(shù)隱藏是病毒的天性，在業(yè)界對(duì)病毒的定義里，“隱蔽性”就是病毒的一個(gè)最基本特征，任何病毒都希望在被感染的計(jì)算機(jī)中隱藏起來不被發(fā)現(xiàn)，因?yàn)椴《径贾挥性诓槐话l(fā)現(xiàn)的情況下，才能實(shí)施其破壞行為。為了達(dá)到這個(gè)目的，許多病毒使用了各種不同的技術(shù)來躲避反病毒軟件的檢驗(yàn)，這樣就產(chǎn)生了各種各樣令普通用戶頭痛的病毒隱藏形式。 隱藏窗口 & 隱藏進(jìn)程 & 隱藏文件 桌面看不到任務(wù)管理器中不可見 文件中看不到8/28/202235進(jìn)程隱藏Windows 9x中的任務(wù)管理器是不會(huì)顯示服務(wù)類進(jìn)程，結(jié)果就被病毒鉆了空子，病毒將自身注冊(cè)為“

19、服務(wù)進(jìn)程”，可以躲避用戶的監(jiān)視。Windows2000/xp/2003等操作系統(tǒng)上已經(jīng)無效了，直接使用系統(tǒng)自帶的任務(wù)管理器便能發(fā)現(xiàn)和迅速終止進(jìn)程運(yùn)行 。8/28/202236通過DLL實(shí)現(xiàn)進(jìn)程隱藏Windows系統(tǒng)的另一種“可執(zhí)行文件”-DLL，DLL文件沒有程序邏輯，是由多個(gè)功能函數(shù)構(gòu)成，它并不能獨(dú)立運(yùn)行，一般都是由進(jìn)程加載并調(diào)用的。 運(yùn)行DLL文件最簡(jiǎn)單的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自帶的動(dòng)態(tài)鏈接庫(kù)工具，可以用來在命令行下執(zhí)行動(dòng)態(tài)鏈接庫(kù)中的某個(gè)函數(shù)，Rundll32的使用方法如下：Rundll32 Dll FuncName例如我們編寫了

20、一個(gè)MyDll.dll，這個(gè)動(dòng)態(tài)鏈接庫(kù)中定義了一個(gè)MyFunc的函數(shù)，那么，我們通過Rundll32.exe MyDll.dll MyFunc就可以執(zhí)行MyFunc函數(shù)的功能。假設(shè)我們?cè)贛yFunc函數(shù)中實(shí)現(xiàn)了病毒的功能，那么我們不就可以通過Rundll32來運(yùn)行這個(gè)病毒了么？在系統(tǒng)管理員看來，進(jìn)程列表中增加的是Rundll32.exe而并不是病毒文件，這樣也算是病毒的一種簡(jiǎn)易欺騙和自我保護(hù)方法 8/28/202237特洛伊DLL 特洛伊DLL的工作原理是使用木馬DLL替換常用的DLL文件，通過函數(shù)轉(zhuǎn)發(fā)器將正常的調(diào)用轉(zhuǎn)發(fā)給原DLL，截獲并處理特定的消息。例如，我們知道WINDOWS的Socke

21、t1.x的函數(shù)都是存放在wsock32.dll中的，那么我們自己寫一個(gè)wsock32.dll文件，替換掉原先的wsock32.dll（將原先的DLL文件重命名為wsockold.dll）我們的wsock32.dll只做兩件事，一是如果遇到不認(rèn)識(shí)的調(diào)用，就直接轉(zhuǎn)發(fā)給wsockold.dll（使用函數(shù)轉(zhuǎn)發(fā)器forward）；二是遇到特殊的請(qǐng)求（事先約定的）就解碼并處理。這樣理論上只要木馬編寫者通過SOCKET遠(yuǎn)程輸入一定的暗號(hào)，就可以控制wsock32.dll（木馬DLL）做任何操作 8/28/202238動(dòng)態(tài)嵌入技術(shù) DLL木馬的最高境界是動(dòng)態(tài)嵌入技術(shù)，動(dòng)態(tài)嵌入技術(shù)指的是將自己的代碼嵌入正在運(yùn)行

22、的進(jìn)程中的技術(shù)。理論上來說，在Windows中的每個(gè)進(jìn)程都有自己的私有內(nèi)存空間，別的進(jìn)程是不允許對(duì)這個(gè)私有空間進(jìn)行操作的，但是實(shí)際上，我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存存在多種動(dòng)態(tài)嵌入技術(shù)中：窗口Hook、掛接API、遠(yuǎn)程線程 8/28/202239遠(yuǎn)程線程技術(shù)遠(yuǎn)程線程技術(shù)指的是通過在另一個(gè)進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。在進(jìn)程中，可以通過CreateThread函數(shù)創(chuàng)建線程，被創(chuàng)建的新線程與主線程（就是進(jìn)程啟動(dòng)時(shí)被同時(shí)自動(dòng)建立的那個(gè)線程）共享地址空間以及其他的資源通過CreateRemoteThread也同樣可以在另一個(gè)進(jìn)程內(nèi)創(chuàng)建新線程，被創(chuàng)建的遠(yuǎn)程線程同樣

23、可以共享遠(yuǎn)程進(jìn)程的地址空間，所以，實(shí)際上，我們通過一個(gè)遠(yuǎn)程線程，進(jìn)入了遠(yuǎn)程進(jìn)程的內(nèi)存地址空間，也就擁有了那個(gè)遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限。這種病毒難以處理。 8/28/202240文件隱藏早期，把病毒文件屬性設(shè)為隱藏，修改文件不顯示隱藏文件。高級(jí)階段通過HOOK文件讀取函數(shù)，自動(dòng)隱藏病毒文件。公開的主流檢測(cè)隱藏文件主要有兩種方法：第一種是文件系統(tǒng)層的檢測(cè)，屬于這一類的有Ice sword，darkspy，gmer等。第二種便是磁盤級(jí)別的低級(jí)檢測(cè)（Disk Low-Level Scanning），屬于這一類的ark也很多，典型代表為rootkit unhooker，（is的插件），rootkit reve

24、aler，blacklight等。8/28/202241加殼木馬再狡猾，可是一旦被殺毒軟件定義了特征碼，在運(yùn)行前就被攔截了。要躲過殺毒軟件的追殺，很多木馬就被加了殼，相當(dāng)于給木馬穿了件衣服，這樣殺毒軟件就認(rèn)不出來了，但有部分殺毒軟件會(huì)嘗試對(duì)常用殼進(jìn)行脫殼，然后再查殺。除了被動(dòng)的隱藏外，最近還發(fā)現(xiàn)了能夠主動(dòng)和殺毒軟件對(duì)著干的殼，木馬在加了這種殼之后，一旦運(yùn)行，則外殼先得到程序控制權(quán)，由其通過各種手段對(duì)系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞，最后在確認(rèn)安全(殺毒軟件的保護(hù)已被瓦解)后由殼釋放包裹在自己體內(nèi)的木馬體并執(zhí)行之。8/28/202242AV 終結(jié)者Autorun.inf 一個(gè)暗藏殺機(jī)的文本格式，以至于有些殺軟都加入病毒庫(kù)，傳播U盤病毒的罪魁禍?zhǔn)祝芏嗲闆r下我們把它視為敵人，如果配合系統(tǒng)默認(rèn)的自動(dòng)播放功能,那激活病毒的機(jī)率將會(huì)是100%。線程插入全名叫“遠(yuǎn)程創(chuàng)建線程”。這樣的病毒通常是Dll格式的文件，可能依附系統(tǒng)服務(wù)EXE載體Rundll32.exe注冊(cè)表插入進(jìn)程。那么除非用第三方工具，否則無法發(fā)現(xiàn)宿主內(nèi)的dll病毒，因?yàn)檫M(jìn)程管理器里毫無異常。這種技術(shù)在木馬界應(yīng)用非常廣泛，具有一定的隱蔽性。我們可以下載第三方工具，可以查看進(jìn)程模塊的，推薦用冰刃。主要檢測(cè)Explorer進(jìn)程模