后门技术
========================================

开发技术
----------------------------------------
- 管控功能实现技术
    - 系统管理：查看系统基本信息，进程管理，服务管理
    - 文件管理：复制/粘贴文件，删除文件/目录，下载/上传文件等
    - Shell管理
    - 击键记录监控
    - 屏幕截取
    - 音频监控
    - 视频监控
    - 隐秘信息查看
    - 移动磁盘的动态监控
    - 远程卸载
- 自启动技术
    - Windows自启动
        - 基于Windows启动目录的自启动
        - 基于注册表的自启动
        - 基于服务程序的自启动
        - 基于ActiveX控件的自启动
        - 基于计划任务（Scheduled Tasks）的自启动
    - Linux自启动
- 用户态进程隐藏技术
    - 基于DLL插入的进程隐藏
        - 远程线程创建技术
        - 设置窗口挂钩（HOOK）技术
    - 基于SvcHost共享服务的进程隐藏
    - 进程内存替换
- 数据穿透和躲避技术
    - 反弹端口
    - 协议隧道
        - HTTP
        - MSN
        - Google Talk
- 内核级隐藏技术（Rootkit）
- 磁盘启动级隐藏技术（Bootkit）
    - MBR
    - BIOS
    - NTLDR
    - boot.ini
- 还原软件对抗技术

后门免杀
----------------------------------------
- 传统静态代码检测
    - 加壳
    - 添加花指令
    - 输入表免杀
- 启发式代码检测
    - 动态函数调用
- 云查杀
    - 动态增大自身体积
    - 更改云查杀服务器域名解析地址
    - 断网
    - 利用散列碰撞绕过云端“白名单”
- 攻击主防杀毒软件
    - 更改系统时间
    - 窗口消息攻击
    - 主动发送IRP操纵主防驱动
- 利用证书信任
    - 盗取利用合法证书
    - 利用散列碰撞伪造证书
    - 利用合法程序 DLL劫持问题的“白加黑”

检测技术
----------------------------------------
- 基于自启动信息的检测
- 基于进程信息的检测
- 基于数据传输的检测
- Rootkit/Bootkit的检测

后门分析
----------------------------------------
- 动态分析
- 静态分析
    - 反病毒引擎扫描
    - 文件格式识别
    - 文件加壳识别及脱壳
    - 明文字符串查找
    - 链接库及导入/导出函数分析