6.3. 后门技术¶
6.3.1. 开发技术¶
- 管控功能实现技术
系统管理:查看系统基本信息,进程管理,服务管理
文件管理:复制/粘贴文件,删除文件/目录,下载/上传文件等
Shell管理
击键记录监控
屏幕截取
音频监控
视频监控
隐秘信息查看
移动磁盘的动态监控
远程卸载
- 自启动技术
- Windows自启动
基于Windows启动目录的自启动
基于注册表的自启动
基于服务程序的自启动
基于ActiveX控件的自启动
基于计划任务(Scheduled Tasks)的自启动
Linux自启动
- 用户态进程隐藏技术
- 基于DLL插入的进程隐藏
远程线程创建技术
设置窗口挂钩(HOOK)技术
基于SvcHost共享服务的进程隐藏
进程内存替换
- 数据穿透和躲避技术
反弹端口
- 协议隧道
HTTP
MSN
Google Talk
内核级隐藏技术(Rootkit)
- 磁盘启动级隐藏技术(Bootkit)
MBR
BIOS
NTLDR
boot.ini
还原软件对抗技术
6.3.2. 后门免杀¶
- 传统静态代码检测
加壳
添加花指令
输入表免杀
- 启发式代码检测
动态函数调用
- 云查杀
动态增大自身体积
更改云查杀服务器域名解析地址
断网
利用散列碰撞绕过云端“白名单”
- 攻击主防杀毒软件
更改系统时间
窗口消息攻击
主动发送IRP操纵主防驱动
- 利用证书信任
盗取利用合法证书
利用散列碰撞伪造证书
利用合法程序 DLL劫持问题的“白加黑”
6.3.3. 检测技术¶
基于自启动信息的检测
基于进程信息的检测
基于数据传输的检测
Rootkit/Bootkit的检测
6.3.4. 后门分析¶
动态分析
- 静态分析
反病毒引擎扫描
文件格式识别
文件加壳识别及脱壳
明文字符串查找
链接库及导入/导出函数分析