你必须学习隐藏木马软件的三大黑客技术!

道高一英尺,魔高一英尺,检测恶意软件的新战术和技术正在兴起,但高级黑客也在使用的恶意软件。

1.反汇编和调试器(保护器)

恶意软件作者知道恶意软件研究人员的工作路径,以及他们用来狩猎威胁的工具。例如,研究人员和程序员通常使用反汇编程序和调试器来找到代码的功能。

有许多工具和技术可以检测反汇编程序和调试器,包括内置的Windows功能。这些技术的设计目的主要是帮助对抗盗版——盗版商会使用这些工具来破解版权保护软件。

不幸的是,恶意软件作者也使用相同的技术来检测他们的程序是否在恶意软件分析师的计算机上运行。如果恶意软件检测到这些工具,它们可以停止运行或改变自己的行为,使分析师的工作难以开展。

图片[1]-你必须学习隐藏木马软件的三大黑客技术!-源码客

2.Rootkits。

在最高级别,rootkit是一系列工具或技术,可以让恶意软件深入系统,对操作系统无法看到。计算机处理器有不同层次的执行权(ring0-3),攻击者可以利用这些权限级别玩高层程序。

例如,Windows和Linux等操作系统可分为用户空间和核心空间。在最高层,您只需要知道核心空间(ring0)的权限高于用户空间(ring3)。如果您有一个程序需要列出目录中的文件列表,您可以调用用户空间函数来做这件事,但也可以调用核心函数。

如果恶意程序获得核心权限,则可以欺骗在用户空间中运行的程序。因此,如果一个程序通过用户空间函数调用来扫描文件系统,那么核心rotkit在分析文件时可以被欺骗。当用户空间函数扫描到恶意文件时,rootkit可以欺骗它说:这些不是你想要找到的文件,或者更具体地说,它们只是绕过这些文件,不会将其作为用户空间程序的执行结果返回。更糟糕的是,虚拟化为rotkit欺骗增加了另一层保护,因为其在核心下运行的管理程序高于核心权限。

简言之,恶意软件有时可以使用rootkit功能隐藏本地反病毒软件——通过隐藏操作系统本身的文件、网络连接或其他东西。然而,大多数**现在都有自己的核心驱动和保护措施,以避免常见的rootkit欺骗。

3.注入代码、过程和DLL。

注入过程或动态链接库(DLL)代表了一系列可以在另一个过程中执行代码的技术。恶意软件作者经常使用这些技术,使其恶意代码在必要的Windows过程中执行。

例如,他们可以注入explorer.exe、svchost.exe、notepad.exe或其他合法的windows可执行程序。通过选择必要的windows注入过程,恶意软件很难被**软件检测和杀死。恶意软件还可以通过勾结传统的网络流程隐藏其恶意流量。随着时间的推移,微软修复了网络罪犯使用的许多流程或代码注入技术,但研究人员和攻击者不断寻找新技术,如最近发现的atombombing内存注入技术。

还有一些方法可以使用恶意软件来避免**检测,如捆绑或附着在法律程序中,以及通过休眠来避免自动分析的计时攻击。当然,还有很多其他的例子。

那么,如何检测或挫败反恶意软件程序呢?不幸的是,没有简单的方法来解决这个问题,技术军备竞赛仍在进行中。然而,我们的**武器库确实有一个非常强大的武器行为分析恶意软件测试。

许多避免技术要么修改恶意软件代码,以避免基于特征代码的检测和静态分析,要么执行一些明显的恶意行为。但即使你可以改变,你所做的也不能改变,至少只要恶意软件想要实现它的感染计算机,创建后门或加密文件,这些行为是必不可少的。因此,许多先进的测试解决方案都建立了基于行为识别恶意软件的系统。

一般来说,这些解决方案创建了一个像受害者计算机一样的沙箱,并配备了所有正常的配套软件。当系统收到新的/可疑文件时,它将在沙箱环境中执行,以检查其行为。通过监控数百个已知的恶意软件行为,包括已知的避免技术,这些解决方案可以准确、积极地报告执行文件是否恶意。在机器学习的进一步推动下,行为分析可能是恶意软件防御的未来和整体防御的未来。

尽管如此,网络罪犯也知道沙箱,包括(包括一系列技术,如从CPU序列检查到检查已知的注册表),或,甚至(即检查最近是否有人移动鼠标,以确认主机是由人操作还是自动化)。一旦恶意软件用这些技术检测到沙箱,就不会执行恶意操作以避免分析。

此外,地下恶意软件卖家已经创建了一个保护器,可以检测到一些沙箱。然而,一些先进的测试解决方案也考虑到了这一点。它们不仅使用现成的虚拟环境,而且使用整个系统代码模拟,创建一个沙箱环境,可以看到恶意程序发送到物理CPU或内存。这种真正的可见性使更先进的恶意软件解决方案能够检测和消除一些更狡猾的恶意软件沙箱回避技术。

恶意软件和安全制造商之间的军备竞赛不会结束。通往更强大防御的第一步是学习黑客使用的最新骗局。网络犯罪分析是现代安全防御不可或缺的关键组成部分,因为他们绕过了遗留的**解决方案,不断创新偷渡恶意软件的方法。

© 版权声明
THE END
喜欢就支持以下吧
点赞14
分享
相关推荐
  • 暂无相关文章
  • 评论 抢沙发
    源码客的头像-源码客

    昵称

    取消
    昵称表情图片