木马的隐藏技术PPT教案学习.pptx

会计学
1
木马的隐藏技术
进程隐藏
进程、线程、服务
进程：一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程，分别对应一个不同的PID（进程标识符）。这个进程会被系统分配一个虚拟的内存空间地址段，一切相关的程序操作，都会在这个虚拟的空间中进行
线程：一个进程，可以存在一个或多个线程，线程之间同步执行多种操作，一般地，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃
服务：一个进程当以服务的方式工作的时候，它将会在后台工作，不会出现在任务列表中，但可通过服务管理器检查任何的服务程序是否被启动运行
第1页/共24页
进程隐藏
想要隐藏木马的服务器端，可以伪隐藏，也可以真隐藏
伪隐藏是指程序的进程仍然存在，只不过是让它消失在进程列表里
真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作
第2页/共24页
进程隐藏
伪隐藏
把木马服务器端的程序注册为一个服务，这样，程序就会从任务列表中消失了，当按下Ctrl+Alt+Delete的时候，也看不到这个程序。但是通过服务管理器，会发现在系统中注册过的服务
API的拦截技术。通过建立一个后台的系统钩子，拦截Tool Help的Process32Next()等相关的函数来实现对进程和服务的遍历调用的控制，当检测到进程ID（PID）为木马程序的服务器端进程的时候直接跳过，这样就实现了进程的隐藏
第3页/共24页
进程隐藏
真隐藏
当进程为真隐藏的时候，那么这个木马的服务器部分程序运行之后，就不是一般进程，也不是某个服务，而是完全的溶进了系统的内核
原理：不把木马做成一个应用程序，而做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。而这个应用程序对于系统来说，是一个绝对安全的程序，这样，就达到了彻底隐藏的效果，这样的结果，导致了查杀黑客程序难度的增加
第4页/共24页
真隐藏实现方式
在Windows系统中常见的真隐藏实现方式有：
利用DLL实现简单隐藏
采用替代技术的DLL木马
采用动态嵌入技术的DLL木马
第5页/共24页
利用DLL实现简单隐藏
利用DLL实现简单隐藏
假设编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现该进程而并不会出现该木马DLL
如果该进程是可信进程，那么木马DLL作为该进程的一部分，也将成为被信赖的一员

MyDll MyFunc
注：使用此命令时函数名需要完全匹配
，在系统管理员看来，，这样也是木马的一种简易欺骗和自我保护方法
使用RunDLL32的方法进行进程隐藏很简单，但非常容易被识破
第6页/共24页
真隐藏实现方式
在Windows系统中常见的真隐藏实现方式有：
利用DLL实现简单隐藏
采用替代技术的DLL木马
采用动态嵌入技术的DLL木马
第7页/共24页
采用替代技术的DLL木马
工作原理是替换常用的DLL文件，截获并处理特定的消息，将正常的调用转发给原DLL
例如，Windows的Socket ，，()
：一是如果遇到不认识的调用，(使用函数转发器forward)；二是遇到特殊的请求(事先约定的)就解码并处理。这样，理论上只要木马编写者通过Socket远程输入一定的暗号，(木马DLL)做任何操作
此种技术是比较古老的技术，因此微软也做了相当的防范
在Windows的system32目录下有一个dllcache目录，一旦操作系统发现被保护的DLL文件被篡改(利用数字签名技术)，就会自动从dllcache中恢复该文件
第8页/共24页
真隐藏实现方式
在Windows系统中常见的真隐藏实现方式有：
利用DLL实现简单隐藏
采用替代技术的DLL木马
采用动态嵌入技术的DLL木马
第9页/共24页