黑客“教”你们如何隐藏恶意软件

通常情况下，恶意软件会通过各种方式入侵电脑，以实现权限的控制和数据的转移、加密等。但现在，随着杀毒软件的普及和Windows Defender等工具的使用，绝大多数常见的恶意软件在入侵时就会立刻被发现，然后被阻止。

因此，黑客们不得不持续改进他们的攻击策略，以应对瞬息万变的网络安全环境。想要越过这些杀毒软件，就需要采用一定的“隐藏”技术，来确保恶意软件不会被发现，对此，一名前黑客分享了他的常用策略，以及他是如何让恶意软件奏效的。

杀毒软件的演变

恶意软件一直让我着迷。为此，我经常坐在互联网的阴影中，与地下世界的黑客成员们在一起，尽可能地吸收与恶意软件相关的知识和信息，倾听黑客们如何解决问题并提出新的解决方案，将恶意程序植入有安全保障的设备或网络中，这是一件非常有趣的事情。

20世纪 90 年代末，我的黑客之旅刚刚开始，向毫无防备的受害者发送恶意文件简直是小儿科。当时的杀毒软件耗资不菲，因此绝大多数用户都没有杀毒软件，而那些有杀毒软件的用户有时也会忘记启用杀毒软件，或者将其禁用，以便从文件共享网络上下载盗版音乐、电影和游戏。但如今，想要禁用Windows Defender就没那么容易了。

然而，由于人性中的冲动，人们仍然在P2P文件共享网站上寻找破解软件和盗版资源。如果这些资源切实有效，他们甚至更愿意冒着可能被感染的风险。

在大多数情况下，用户必须禁用Windows Defender才能运行高度压缩的安装程序。黑客工具会立即被标记为恶意软件并被删除。更重要的是，仅依靠Windows Defender就能极大地增强 Windows，包括任何售后安全软件。因此，想要突破Windows Defender的防护就需要一定的创造力。

为此，我专门研究了如何让恶意软件不会被诸如Windows Defender等杀毒软件识别出来，以下是黑客常用的技巧和工具。

隐写术

卡巴斯基报告称，高达50%的隐写术攻击以工业组织为目标。尽管从历史上看，隐写术一直被用于数据走私，利用图像隐藏敏感信息，但这种复杂的方法包含一种加密技术，用于在看似无辜的图像文件和音频文件中隐藏恶意软件。

JPEG 和 PNG 等图像是被动文件，因为它们存储的是视觉信息，不可执行。不过，它们可以被编辑以在其结构中存储数据，这意味着它们可以被操纵以隐藏有效载荷或触发其他可执行文件进行攻击。

例如，攻击者可以通过使用合法的 Windows 归档管理器 WinRAR 来诱使用户在不知情的情况下执行恶意文件。

例如，攻击者可以配置 WinRAR，将恶意文件存档为图像。一旦图像被打开，它就会像往常一样打开，同时运行恶意代码。这种技术是在受害者机器上建立反向外壳的有效方法，允许攻击者完全控制设备。

最低有效位隐写术

另一种隐藏方法称为“最低有效位（LSB）隐写术”，即在图像的像素中隐藏恶意代码或数据。它会将恶意代码转换成二进制格式，并将其嵌入到像素值的最低有效位。

为了简化工作原理，图像中的每个像素由每种颜色的三个字节组成。如果红色的像素值是 11001011，攻击者就可以修改它，嵌入整个恶意软件代码的 1 位。整个过程将重复进行，以容纳每一位恶意代码。

图像将完全按照原样显示，没有任何视觉改动，给人的印象是一个合法、安全的文件。为了提取恶意代码，过程会反过来，从图像中包含的最低有效位重新组合恶意二进制数据。这无疑是一个很大的挑战。

在大多数情况下，保持杀毒软件的更新、文件检测功能的启用和防火墙的激活，都可以为防范隐写术攻击提供足够的保护。

文件分割

另一种用于规避 Windows Defender 等安全软件的隐藏技术被称为文件碎片或文件分割。这种方法是将文件分割成多个较小的部分，这些部分通常被放置在不同的文件中或隐藏在操作系统中的不同位置。

想想看。如果将一个文本文档分割成不同的独立部分，当你试图阅读文本的任何一个片段时，上下文就会不清晰。攻击者就是这样躲避检测，通过安全审计，减少引起怀疑的可能性。

想要利用它就需要重新组装，依靠脚本或加载器工具将这些片段重新组合为一个完整的可执行文件。作为 Windows 用户，如果考虑到安全软件会自动过滤并警告试图下载和安装可执行文件的用户可能是恶意的，那么这种方法就会暗中绕过安全软件。

下载器

这一点很有意思，因为这种恶意软件最近一直是新闻焦点。下载器是一个多阶段交付系统，等待攻击者的指令，将恶意软件下载并部署到目标系统上。

可以把它想象成恶意网页安装程序，但它的目的是隐藏在目标计算机上，等待攻击者的指令，然后下载和执行恶意代码。这也允许攻击者引入其他恶意软件，每个恶意软件都设计了多层规避和混淆功能，以逃避检测和后续清除。

与大多数恶意软件一样，下载器通常伪装成其他合法程序，但通常与其他软件捆绑在一起。例如，当一个人下载盗版软件时，很有可能在安装文件中压缩了一个驱动程序。

在网络钓鱼活动中，这些软件也经常作为电子邮件附件出现。如果您收到了陌生人的电子邮件，请不要下载其中的文件附件。

恶意 CSS 规则

这种攻击载体是将恶意 URL 直接编码到 CSS（层叠样式表）文件中，就像攻击者嵌入恶意链接引导受害者的浏览器下载恶意文件一样：

未编码基本示例：

background-image:url(‘http://malicioussite.com/malware.exe’)；

简而言之，CSS 是一种样式表语言，用于定义 HTML文档（包括网站和网络应用程序）的表现形式和布局。

为了躲避“简单字符串匹配”或用于检测精确字符串匹配以识别恶意内容的过滤系统，攻击者使用64位和十六进制等 URL 编码进行混淆，以规避过滤系统。改变 CSS 文件中 URL 的外观可以让攻击者绕过这些检测系统，将恶意内容传播出去。

64位编码示例：

background-image: url(‘data:text/plain;base64,aHR0cDovL21hbGljaW91cy1zaXRlLmNvbS9tYWx3YXJlLmV4ZQ==’)；

十六进制编码示例：

background-image: url(‘\68\74\74\70\3A\2F\2F\6D\61\6C\69\63\69\6F\75\73\2D\73\69\74\65\2E\63\6F\6D\2F\6D\61\6C\77\61\72\65\2E\65\78\65’);

几年前，我在研究一篇新闻报道的主题并同时探索某些 Google Dorks 时，无意中发现了暴露的敏感服务器目录，这些目录并不打算公开访问。

在不知情的情况下，我将其中一个不受保护的父目录的 URL 复制到了剪贴板上。后来，当我在一篇文章中嵌入一个超链接以引用来源时，我粘贴了这个 URL，却没有意识到自己的错误。

幸运的是，我的编辑在文章发表前发现了这个错误。否则，任何点击该链接的人都会被重定向到一个未受保护的父目录，有可能暴露敏感信息，还可能导致我被解雇。

虽然日常用户无法直接控制 CSS 文件的安全性，但网站所有者需要执行严格的内容安全策略。实施 CPS 标头以指示 CSS 文件禁止从不可信任的来源执行恶意 CSS 代码是关键所在。

`黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享