第十一章 恶意代码行为
//第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习
1.下载器和启动器
下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包
在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新
的恶意代码。
启动器(也称为加载器)是一类可执行文件,用来安装立即运行或者将来秘密执行的恶意代码。
启动器通常包含一个它要加载的恶意代码。
2.后门
backdoor是另一种类型的恶意代码,它能让攻击者远程访问一个受害的机器。后门是一种常见
的恶意代码,它们拥有多种功能,并且以多种形式与大小存在。后门代码往往实现了全套功能,
所以当使用一个后门时,攻击者通常不需要下载额外的恶意代码。
后门程序利用互联网的通信方式是多样的,常用的方法是利用80端口使用HTTP协议。HTTP为
恶意代码提供了和其他流量混淆的机会。
后面拥有一套的通用功能,例如操作注册表,列举窗口,创建目录,搜索文件,等等
(1)反向shell
反向shell是从被感染机器上发起的一个链接,它提供攻击者shell访问感染机器的权限。反向
shell或者作为一个单独的恶意代码存在,或者作为一个复杂后面程序中的组件而存在。在反向
shell中,攻击者能够如同本地系统一样运行命令。
netcat反向shell,windows反向shell
(2)远程控制工具
远程控制工具(RAT)被用来远程管理一台或多台计算机。远程控制工具经常为了特定目标,
如窃取信息或者旁路一个网络执行针对性攻击。
(3)僵尸网络
是被感染主机的一个集合。它们由单一实体控制,通常由一个称为僵尸控制器的机器作为
服务器。僵尸网络的目标是尽可能多的感染机器,构造更大的僵尸主机网络ÿ