木马核心技术剖析读书笔记之木马实例解析

最新推荐文章于 2021-10-28 12:01:23 发布
最新推荐文章于 2021-10-28 12:01:23 发布
阅读量2.6k 收藏 10
点赞数 4
分类专栏: 读书笔记 木马核心技术剖析读书笔记 文章标签: 木马核心技术剖析 读书笔记 木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/79561496
版权

模块化的木马系统架构

image_1c50udobt17nvkm4kvlrjp198mm.png-773kB

被控端是整个木马的核心,它包含 Dropper 与常驻模块两部分

Dropper

Dropper 是木马在植入过程中执行的组件,只在目标机器上执行一次,然后自行删除。Dropper 首先判断系统环境,如果检测出在沙盒或者虚拟机中运行,则执行错误的功能,或者非木马本身的功能。如果有调试器存在,则放弃执行。如果没有发现异常,则继续获取系统中安装的安全软件类型等信息,对不同的杀软使用不同的穿透策略,如不同方式的启动项写入、不同的文件释放方式、不同的驱动安装方式等。在一些情况下,要利用某些杀软的功能缺陷,对杀软的功能进行禁用或关闭。在 Windows Vista 之后的系统中,Dropper 在执行过程中还要考虑UAC的问题,需将 Droppr 的执行权限提升至管理员权限,而非受限用户权限,否则无法成功植入。完成木马的植入后,Dropper 进行自我清除。Dropper 组件是木马能否成功植入目标机器的关键,有需要对部分代码进行加密,以便降低被安全软件查杀的可能

常驻模块

常驻模块是在木马植入后在目标机器上长期运行的模块。该组件与木马控制端进行通信,传送被控端获取到的数据,接收控制端发来的控制命令。常驻模块需能自动判断目标机器所在的网络是否使用了代理,并能穿透代理。常驻模块通常需要使用 Rootkit 技术,隐藏木马的主要组件模块、通信端口和连接等信息&#

最低0.47元/天 解锁文章
PolluxAvenger
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
木马核心技术剖析读书笔记木马免杀
不急不躁
03-16 2257
免杀原理 基于特征码的检测 基于病毒特征码的检测方法,是目前反病毒软件最常用的检测技术。经过长时间的收集与积累,反病毒软件建立了庞大的已知病毒的特征数据库。在对可疑软件进行检测时,会从特征数据库中匹配已有特征。这种方法相对比较准确、快速,而且可以很容易地通过快速分析,结合新的模板,添加新的病毒文件特征。 特征码可以是一个简单的字符串或者代码字节序列,也可以是包含了已知恶意文件各项特点的...
木马核心技术剖析读书笔记木马通信与防火墙穿透
不急不躁
03-15 1424
基于 TCP 的木马控制通信 TCP 协议是字节流式的传输协议 ,木马通信还需要自定义应用层的协议 被控机器的唯一标识一般是对被控机器的硬盘序列号、MAC 地址等固定信息进行 Hash 计算得到 粘包与分包处理 粘包是指在接收方接收数据时,可能一次接收到多个数据包的数据组成的数据段,也可能收到一个或者几个完整的包与一个后续包的部分数据组成的数据段 TCP粘包产生有两方面原因:...
木马查杀深度剖析》 pdf
08-30
木马查杀深度剖析
木马的C/S架构
neibubo1的专栏
11-21 2809
远程计算机监控和管理,让网络管理员可以不必亲临计算机,就可以像坐在计算机前 面一样进行管理,大大地提高了管理工作的效率和方便性。只是这些功能必须利用操作系 统内建的监控工具或安装其他网络管理工具才能实现。 木马程序是一类特殊的计算机程序,其作用是在一台计算机上监控被植入木马计算机 的情况。与网络管理工具的最大区别在于,木马程序总是偷偷摸摸地进入其他人的计算 机,而网络管理工具则是光明正大地安
TrijianDropper木马(记一次电脑中木马
信安是不可或缺的一部分!
10-28 3997
事件 今天打开电脑发现电脑启动时间比较卡,怀疑是中病毒了,使用火绒扫描了一下发现有两个木马释放器。 溯源 查看了一下发现是昨天做测试的时候点了个网站,这种木马的传输方式一般通过html文件传播,可能是点的网站被感染了,存在于微软浏览器的缓存中,放到虚拟机里面溯源。 木马来源 查看属性找到创建时间,到浏览器中看浏览记录。 发现网站http://221.1.97.166:7777/index.html存在木马。 用virustotal,居然没有发现,就离谱。 木马执行过程 使用沙箱运行木马判断运行过程,
木马核心技术剖析读书笔记木马反分析技术
不急不躁
03-16 920
常见的恶意软分析技术主要包含静态分析和动态分析两大类 反调试 木马程序使用反调试技术,可以阻止调试器对木马程序的加载;阻止调试器对木马程序的执行控制;阻止对木马程序设置断点;阻止调试器读取被调试进程的内存信息,进而延缓整个分析过程 Windows 系统实现了专门的调试器接口,而大多数调试器都是基于这些调试接口实现的 调试器工作机制 反病毒分析过程中,由于不可能获取到被分析软件的源码,...
木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南
最新发布
05-30
它包括两篇精心编写的PDF文档:一篇深入剖析木马如何利用各种技术隐藏自己,包括基于用户模式和内核模式的Rootkit、文件隐藏、文件系统驱动(FSDs)操作、模块隐藏以及端口隐藏等;另一篇则通过实验操作,展示了...
深度解析木马隐藏技术:核心原理与VMware网络实验指南
05-29
- **技术剖析**:深入探讨木马如何利用Rootkit、文件隐藏、文件系统驱动(FSDs)、模块隐藏和端口隐藏等技术进行隐藏。 - **模式分析**:特别关注用户模式和内核模式下的隐藏策略。 **VMware环境中的木马行为实验** ...
网络安全-木马隐藏技术-实验分析-教学与研究-木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南.zip
05-30
本资源深入探讨了木马隐藏技术的核心原理和实验操作,提供了详细的技术剖析以及使用VMware进行网络模拟的指南。这份资料旨在为网络安全专业人员和研究者提供实用的知识和技能,帮助他们理解并对抗恶意软件的隐藏技术...
木马常见植入技术大剖析
12-22
首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。
木马查杀工具原理与实现
06-04
木马查杀工具原理与实现 毕业论文
浅谈木马关键技术的实现 (2011年)
05-21
随着 internet技术的发展和使用的普及,全球信息化已成为大趋势。然而近年来,黑客技术不断成熟起来,网络信息安全面对着极大的挑战。本文主要介绍了木马程序的动态嵌入技术、反向连接技术及ICMP木马通讯技术。
木马核心技术剖析读书笔记木马的隐藏
不急不躁
03-18 2378
文件隐藏 常用的文件隐藏方法有基于用户模式的 Rootkit 也有基于内核模式的 Rootkit 基于用户模式的 Rootkit 在 Windows 中,应用层的大多数功能都是通过调用 Native API 完成的。以 Windows7 为例,Native API 通过 sysenter 指令进入内核,进而调用 SSDT(System Service Dispatch Table,系...
木马核心技术剖析读书笔记木马技术的发展趋势
不急不躁
03-14 1486
通信隐蔽化 为了更好地逃避目标主机上的安全软件、防火墙的拦截,越来越多的木马采用更底层的通信协议,甚至实现不同于 TCP/IP 协议的私有协议,以达到更好的通信过程隐蔽化 基于 Tor 的通信 Tor 提供了一个顶级域 .onion,用户只能通过 Tor 访问网络中的服务和主机,有效地保护了提供服务的主机位置和所有者的身份标识 卡巴斯基发现了多种使用 Tor 进行通信的木马,如 64 ...
木马核心技术剖析读书笔记之Windows 64 位系统下的木马技术
不急不躁
03-15 453
对比 32位系统 64位系统 物理内存最大容量 4GB 2TB 单进程地址空间最大容量 3GB 8TB Windows 64 位系统 当前64位平台上只实现了48位的线性地址空间,0-47位是地址,48-63保持与第47位相同。低地址范围:0x0000000000000000-0x00007FFFFFFFFFFF,高地址范围:0xFFF...
木马核心技术剖析读书笔记木马驱动加载与启动
不急不躁
03-18 1195
Windows 系统启动过程 基于 UEFI 的启动过程 UEFI 固件接口可以实现 BIOS 固件接口类似的功能,逐步成为主流的固件接口之一。它主要提供一组在操作系统启动之前在所有平台上一致的服务,是在 EFI 1.0 基础上发展起来的新型可扩展固件接口,得到了大多数行业主流企业的支持 UEFI 的几乎所有组件都用 C 语言开发完成,不再使用中断、硬件端口直接操作的方法,而是采用 ...
Windows Sockets (WinSock)与SPI木马技术解析
"该资源主要讨论了传输服务提供者,特别是TDI接口和SPI木马在Windows Sockets(Winsock)环境中的应用。传输服务提供者包括基础服务提供者、分层服务提供者和协议链,它们在Winsock中扮演着不同的角色。SPI木马是一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值