木马

<!DOCTYPE html>

木马

木马

木马的隐藏技术,是重点之一。本地隐藏、通信隐藏、协同隐藏。

木马的历史:

刚进入21世纪,大部分人在用拨号上网,主流系统是windows9x。冰河。此时后门入侵很简单,网络防火墙几乎没有。此时的木马只是能够自我复制到系统目录并且能够开机自启动的可执行程序。


后来有早期网络防火墙。在网吧,由于局域网,即使网吧的某台机子有木马,但是上网通过网关,就像一个与世隔绝的小岛,上面只有一台电话并且是村长的,那么其他村民的消息是要通过这台电话来传递的,你在北京,要直接找王小丫,即使她是你的卧底,那也没法,毕竟只有一台村长的电话。

你不能直接找到王小丫,那怎么办呢?很简单,让王小丫来找你嘛。

于是出现了

网络神偷,第一款反向连接的木马。

在早期网络防火墙,记录本机主动连接请求的功能还没有出现,加上还有一些正常的服务,也是由你自己发起的,普通用户很难知道,哪个才是木马。

灰鸽子,端口反弹型木马。


广外系列木马,运用了远程线程注射,国内第一款无进程木马

远程线程注入是指一个进程在另一个进程中创建线程的技术。

这个木马,分为两部分,exe加dll——动态链接库,exe作用只是开机调用dll。

但是能够进行进程模块查找,就容易将木马删除。


现在,执行挂钩技术,shellExecuteHook。初衷是为程序提供一个额外的通知功能,这个技术通关外壳程序explorer.exe实现的,在系统注册表里,有被称为classID的字符串:比方默认挂钩为shell32.dll,通过它可以在浏览器启动时执行指定的文件或代码。

这个技术,使得dll木马在程序运行时,成为它的内存空间之一。

这个技术,使得木马难以彻底查杀。


网页木马,通过IE浏览器漏洞自动下载程序,或者浏览器插件漏洞。

特点是依赖用户浏览器的漏洞来下载木马。


Rootkit技术,与上述的所有技术不同,它是将战斗转入Ring0系统核心层。

系统分为内核和外核,ring是指运行级别,内核运行Ring0,外核运行ring3,这个级别能操作的相当少。

编写木马常用技术

1,修改注册表

2,调用win32 API编程,API是程序接口可以直接调用

3,多线程技术(一心多用)

4,后台监控技术(隐身技术)

5,定时触发技术。

6,木马加壳技术。通过一系列数学运算,达到缩小文件体积,或者加密程序编码的目的。