木马病毒隐身穿墙术解密之文件注入和反弹连接

　　对于木马病毒当前所使用的隐身和穿墙术，到这篇已经是第三篇了，虽然每篇的篇幅都不是很长，但每篇都介绍了二至三个木马常用的隐身穿墙术的技巧，可见木马病毒的作者和使用者，在躲避安全软件检测上下了多少的功夫。而且，就算这篇介绍木马隐身穿墙术的文章结束后，还会有新的仍不会大家所熟悉的技术出现。但在新的木马隐身穿墙术出现之前，我们还是先来看看本次要说明的几种木马使用的隐身穿墙技巧吧!

　　一、进程及DLL文件注入

　　进程注入，就是指木马将自己注入到某个正常的进程当中，然后，它就可以以此正常进程的子线程的方式运行。此时，它的进程名就不会在任务管理器中的进程列表框中出现。这样一来，用户将不能通过任务管理器来发现它。而且，杀毒软件即使能够发现它，但要将它从正常的进程当中清除它，也不会很容易的。

　　由于防火墙对于系统中正常的网络相关进程(例如Services.exe、Svchost.exe等)默认都是放行的，因此，木马一般都是注入到这些系统进程当中，并以此来穿透防火墙。但是，木马程序只有在获得了与这些系统进程相同的系统权限，才能够有可能注入成功的。不过，就目前来说，已经有许多木马具有了这种功能来实现远程进程注入。

　　至于DLL文件注入的目的，一般都是用来躲过防火墙的拦截。它主要是利用了防火墙在信任某个软件后，会对它所加载的所有DLL文件也全部信任。因此，只要木马将自己注入到这些DLL文件当中，就可以躲过防火墙的监控，然后就可以与攻击者进行网络通信，或者下载其它木马、键盘记录程序和后门程序等等。在Windows系统中，DLL注入利用最多的，就是IE浏览器。

　　对于DLL文件注入的木马，可以通过验证系统文件的数字签名，来发现系统的DLL文件是否已经被修改过，这可以通过Windows系统中的“系统信息”中的数字签名验证程序来完成。对于进程注入，可以通过使用IceSword软件来查看进行所加载的模块，只要发现不是Windows系统本身的，就说明已经有木马注入。然后，就可以通过IceSword来强行终止这个非法模块，再在相应位置完全删除它。现在，还有一些杀毒软件已经可以查杀注入型的木马，例如瑞星杀毒软件。至于防火墙，现在开始有一种新的技术，就是当防火墙检测到某个应用程序所加载的文件被修改后，就会对它的网络连接进行阻止。只是现在这种技术还没有加入到家用防火墙中来。

　　二、TCP/IP堆栈旁通

　　对于一些个人防火墙来说，它们一般只会对由Windows系统本身所产生的TCP/IP堆栈进行过滤，而对其它方式所产生的网络数据堆栈却不会进行任何检查就会放行。因此，木马也就利用防火墙的这个漏洞，在其运行后，同时安装某个网络驱动，然后通过它来与系统中的网络接口卡进行通信，这样就能够躲过防火墙的检测。

　　要想阻止这种方式的木马攻击，只要在防火墙中设置一条规则，禁止所有非标准Windows系统所产生的TCP/IP堆栈通过。现在一些个人防火墙的最新版本，都已经具有了这些功能。因此，计算机网络用户最好不断升级自己的防火墙软件，以此来防止这种木马穿墙术。

　　三、反弹连接技术

　　现在的计算机网络用户，一般都是使用PPPOE拔号方式，或通过代理服务器及NAT的方式连接互联网的，这就给攻击者通过木马的客户端主动连接其服务器器端的设置了一道不小的阻碍。因此，攻击者为了消除这道阻碍，就编写了一些具有反弹技术的木马。

　　使用反弹技术，只要木马监测到系统已经有一个活动的网络连接，其服务器端就会主动地按攻击者设置的方式连接攻击者所在的客户端。而防火墙一般对系统内部发出的网络连接请求是不会拦截的，因此，木马就这样轻而容易举地穿过了系统防火墙的拦截。

　　但是，仅仅使用反弹技术，木马有时是过得了系统防火墙这关，而过不了硬件式网络防火墙这关的。因此，为了能穿透硬件式网络防火墙，木马又打上了隧道技术的主意。它们将要发送到内容封装到其它网络防火墙允许通过的网络协议当中，例如HTTP、DNS和SMTP等，然后就可以借助这些协议包将这些内容发送到攻击者指定的位置(例如一个Email地址)。这些内容当中可能包括了用户登录系统的账号、密码、公网IP地址、打开了的端口和运行了的服务等等。然后，攻击都会以同样的方式来连接木马的服务器端了。

　　要防范反弹式木马。第一就是使用具有应用程序过滤功能的个人防火墙，它们一般对请求网络连接的应用程序都进行拦截并提示用户是否通过。现在大部份最新版本的个人防火墙都已经具有了这种功能。例如ZA、瑞星及Tiny firewall pro等。第二就是使用具有免重组深度检测技术的硬件式网络防火墙，就有可能防范利用隧道方式进行攻击的木马。

　　从本次介绍木马病毒隐身穿墙术系列文章中可以发现，每一种方法不论有多好，都有其弱点存在，也就说明能够有办法防范和清除它们。但是，现在所有的木马，肯定不会只使用一种躲避方法。它们往往是几种方法同时使用，例如，同时对使用加壳、加密和注入技术，这样就能大大提高杀毒软件和防火墙体测到它们的难度。但不管怎么说，木马的编写和保护技术在发展的同时，安全技术也在不断的发展，只要能找到它们存在的弱点，防范和清除它们也是完全可以做到的。其实，最终解决问题的关键还在于用户本身，约束自己的网络操作行为，了解一定的安全防范技术，这样就能大大减少木马的侵扰。

木马病毒隐身穿墙术解密之文件注入和反弹连接相关推荐

木马病毒隐身穿墙术解密之修改特征码和加壳
木马病毒隐身穿墙术解密之修改特征码和加壳作者:比特网 | 比特网本文关键词:安全病毒木马现在,木马病毒在各种安全防范措施的拦截之下,依然没有任何减少的迹象,甚至还在向更多的方向发展.在防范木 ...
木马病毒隐身穿墙术解密之花指令和终止进程
今天我们要了解的,就是另外两种攻击者喜欢使用的木马隐身技术:给木马程序加花指令和终止安全软件进程. 一.对木马使用花指令花指令就是指程序中包括了跳转指令及一些无用的指令在内的汇编指令 ...
.x3m勒索病毒怎么处理 phobos勒索病毒恢复成功百分百解密sql文件恢复
x3m勒索病毒的处理,中了后缀是phobos勒索病毒怎么办? 百分百解密,成功恢复sql被加密文件如何防范勒索软件***? 备份!备份!备份!使用恢复系统,使勒索软件感染永远不会破坏您的个人数据.最 ...
Rootkit 之 adore-ng 模拟木马病毒
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件.进程和网络链接等信息,比较多见到的是Rootkit一般都和木马.后门等其他恶意程序结合使用. 在我们生活中,经常看的电视 ...
安卓强制恢复出厂_删文件、恢复出厂设置都没辙，安卓木马病毒xHelper该如何清除？...
xHelper,一种于2019年3月被发现的木马病毒,主要被用作其他恶意软件(包括但不限于银行木马.勒索软件等)的传播工具,据说曾在不到5个月的时间里就成功感染了3.2万部智能手机和平板电脑. 卡巴斯 ...
python病毒usb文件自动安装_win7禁USB自动安装驱动功能避免木马病毒入侵
用户在限制USB设备使用方面,首先考虑的就是禁止其自动播放,以避免木马病毒入侵,但很多时候,这样的方法并不是很有效.如果你是Win7用户,那就可以通过它独有的"权限控制"技术,从源 ...
网络安全技术第六章——第三节木马的攻击与防治（中木马现象、木马病毒概念结构、木马实施攻击过程、配置传播运行连接木马、远程控制、木马伪装手段、更换图标改名换姓文件捆绑出错显示网页嫁衣自我销毁邮件附件）
木马的攻击与防治木马的攻击防治 1.日常生活现象 2.木马病毒的概念和由来 3.木马病毒的结构 4.木马实施攻击的过程 5.木马的识别与防治方法总结个人防范技巧: 木马的攻击防治 1.日常生活现象 ...
QQ软件已被破坏或部分文件丢失，就是木马病毒引起的
2021.1 刚装了2020新版的QQ,运行一段时间后提示:QQ软件已被破坏或部分文件丢失,无法继续使用,请重新安装QQ.错误码:0x80010001. 于是反复重装系统WIN7,重装QQ,均不行.查 ...
勒索病毒的发展史及解密办法
勒索病毒就像是游走在互联网里的有害细胞,形式多变且难以捉摸.而它的蔓延,给企业和个人都带来了严重的安全威胁. 所以,今天鹅师傅就来扒一扒关于勒索病毒的那些事以及普通人应该如何有效"自救&qu ...

木马病毒隐身穿墙术解密之文件注入和反弹连接

木马病毒隐身穿墙术解密之文件注入和反弹连接

木马病毒隐身穿墙术解密之文件注入和反弹连接相关推荐

最新文章

热门文章