PC恶意代码特点分类
感染性病毒(virus)
恶意代码感染到其他可执行文件。正常文件仍能执行以前的功能,也会执行病毒的功能
蠕虫病毒(worm)
存在于内存、网络、邮件等非本地存储器,可以利用漏洞感染其他计算器的恶意代码
木马(Trojan)
后门(blackdoor)
在用户不知情的情况下,在被感染主机隐藏运行,能够给控制者访问权限
高级持续性威胁(APT)
利用先进的手段对特定目标进行长期持续性网络攻击。需要对攻击对象的业务流程和目标系统进行精确的收集,收集过程中主动挖掘授信系统和应用程序的漏洞,以及利用0day漏洞(没有被公开的漏洞)进行攻击
间谍软件(spyware)
在未经用户允许的情况下非法收集用户的个人信息及系统操作信息与上网记录、
rookit
用户rootkit(fakegina、dll注入、api挂钩)
内核rootkit(ssdt hook、idt hook)
感染pe
团伙作案apt
利用漏洞的蠕虫病毒
各种软件的木马病毒
勒索软件
恶意代码传播方式
通过移动介质
1、插入u盘,通过windows系统的自动播放功能,运行代码
计算机配置-》管理模板-》windows组件-》自动播放
2、dll劫持
xps2之前:
xps2之后:
文件传播
1、文件感染
修改pe文件添加恶意代码,修改oep
2、软件捆绑
与正常软件捆绑,强制安装,默认安装
网络传播
1、钓鱼网站
伪造网站模仿url word pdfexe
2、即时通讯
通过qq、微信、阿里旺旺
3、网络共享目录
熊猫烧香、永痕芝兰
4、网络下载
网站 ftp
5、漏洞传播
系统漏洞,软件漏洞,协议漏洞,服务漏洞
震网病毒、openssl心脏出血漏洞、smb协议、iis服务漏洞
恶意代码实现技术
加载方式
注册表启动
常见注册表大全.pdf
1、run键
2、注册表注入启动
修改applinit_dlls和load
系统服务
自动类型的服务会在开机自动运行
1、
恶意代码将自己登记为系统服务
随文件执行
- 感染
- 捆绑
-
bootkit
1、定义:感染mbr的方式,绕过内核和启动隐身。其开机启动比windows内核更早加载,实现内核劫持,可以称之为bootkit
2、特点: 在ring3就可以完成hook
- 注入内核的代码没有内存大小限制,也无需自己读入代码
- hook各个版本ntldr
开启菜单中的启动项
开启-程序-启动菜单,其中的程序和快捷方式都在在系统启动的位置如:
1、当前用户:
隐藏方式
进程隐藏
进程迷惑
1、伪装进程
System1.exe
Kernrl.exe
Svch0st.exe
Windows,exe
同名不同路径的进程
真:
为:
进程注入
1、dll注入技术
2、直接注入技术(申请远程内存)
3、进程注入优点
无进程
隐蔽性强(白加黑)
清楚难度大
进程替换
将一个可执行文件重写到一个运行进程的内存空间
恶意代码伪装成核发进程,并且不会产生dll注入让进程奔溃,恶意代码与被替换的用欧相同的特技权
掏空运行进程,写入全新代码
apc注入
1、定义:
线程处于apc队列,插入恶意apc队列,线程将逐个调用apc队列中的所有apc,线程才能会继续沿着它的规定路径执行
2、触发apc
网络隐藏
端口复用
端口反向链接
系统隐藏
隐藏文件
隐藏后缀
当一个可执行程序吧自己命名为1.txt.exe,由于猴嘴隐藏,迷惑用户自行
ads
hook技术
进程保护
若有收获,就点个赞吧
0 人点赞
