这篇博客介绍了木马程序的发展历程,从最原始的密码窃取到现在的驱动级木马和高级隐藏技术。第一代木马功能简单,第二代如冰河木马技术提升,第三代利用ICMP等技术增加查杀难度。第四代采用内核插入式隐藏,第五代为驱动级木马,使用Rootkit技术进行深度隐藏。第六代则涉及身份认证和特殊反显技术,如PassCopy和暗黑蜘蛛侠。
目录
木马程序技术
木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:
第一代
第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。
第二代
第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。
第三代
第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
第四代
第四代,在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。
第五代
第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间内,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效力。有的驱动级木马可驻留BIOS,并且很难查杀。
第六代
第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。
1147
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
