澳门新葡8455最新网站-澳门新葡新京-官网

信息化管理办公室
设为澳门新葡8455最新网站  |  加入收藏
 澳门新葡8455最新网站  中心概述  资讯动态  规章制度  信息资源  网络服务  文件下载  安全防护  学校澳门新葡8455最新网站 
内容页
当前位置: 澳门新葡8455最新网站>>安全防护>>正文
木马病毒隐身术解密之文件注入和反弹连接
2010-04-01 00:00   安全防护 审核人:

一、进程及DLL文件注入

进程注入,就是指木马将自己注入到某个正常的进程当中,然后,它就可以以此正常进程的子线程的方式运行。此时,它的进程名就不会在任务管理器中的进 程列表框中出现。这样一来,用户将不能通过任务管理器来发现它。而且,杀毒App即使能够发现它,但要将它从正常的进程当中清除它,也不会很容易的。

由于防火墙对于系统中正常的网络相关进程(例如 Services.exe、Svchost.exe等)默认都是放行的,因此,木马一般都是注入到这些系统进程当中,并以此来穿透防火墙。但是,木马程序 只有在获得了与这些系统进程相同的系统权限,才能够有可能注入成功的。不过,就目前来说,已经有许多木马具有了这种功能来实现远程进程注入。

至于DLL文件注入的目的,一般都是用来躲过防火墙的拦截。它主要是利用了防火墙在信任某个App后,会对它所加载的所有DLL文件也全部信任。因 此,只要木马将自己注入到这些DLL文件当中,就可以躲过防火墙的监控,然后就可以与攻击者进行网络通信,或者下载其它木马、键盘记录程序和后门程序等 等。在 Windows系统中,DLL注入利用最多的,就是IE浏览器。

对于DLL文件注入的木马,可以通过验证系统文件的数字签名,来发现系统的 DLL文件是否已经被修改过,这可以通过Windows系统中的“系统信息”中的数字签名验证程序来完成。对于进程注入,可以通过使用IceSword软 件来查看进行所加载的模块,只要发现不是Windows系统本身的,就说明已经有木马注入。然后,就可以通过IceSword来强行终止这个非法模块,再 在相应位置完全删除它。现在,还有一些杀毒App已经可以查杀注入型的木马,例如瑞星杀毒App。至于防火墙,现在开始有一种新的技术,就是当防火墙检测到某 个应用程序所加载的文件被修改后,就会对它的网络连接进行阻止。只是现在这种技术还没有加入到家用防火墙中来。

二、 TCP/IP堆栈旁通

对于一些个人防火墙来说,它们一般只会对由Windows系统本身所产生的TCP/IP堆栈进行过滤,而对其它方式所产生的网络数据堆栈却不会进行 任何检查就会放行。因此,木马也就利用防火墙的这个漏洞,在其运行后,同时安装某个网络驱动,然后通过它来与系统中的网络接口卡进行通信,这样就能够躲过 防火墙的检测。

要想阻止这种方式的木马攻击,只要在防火墙中设置一条规则,禁止所有非标准 Windows系统所产生的TCP/IP堆栈通过。现在一些个人防火墙的最新版本,都已经具有了这些功能。因此,计算机网络用户最好不断升级自己的防火墙App,以此来防止这种木马穿墙术。

关闭窗口

澳门新葡8455最新网站-澳门新葡新京-官网 澳门新葡8455最新网站 信息化管理办公室

XML 地图 | Sitemap 地图