病毒如何实现隐蔽性隐藏技术揭秘

病毒如何实现隐蔽性隐藏技术揭秘

ID:9432107

大小:53.00 KB

页数:7页

时间:2018-04-30

病毒如何实现隐蔽性隐藏技术揭秘_第1页
病毒如何实现隐蔽性隐藏技术揭秘_第2页
病毒如何实现隐蔽性隐藏技术揭秘_第3页
病毒如何实现隐蔽性隐藏技术揭秘_第4页
病毒如何实现隐蔽性隐藏技术揭秘_第5页
资源描述:

《病毒如何实现隐蔽性隐藏技术揭秘》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、病毒如何实现隐蔽性隐藏技术揭秘~教育资源库  隐藏是病毒的天性  隐藏是病毒的天性,在业界对病毒的定义里,隐蔽性就是病毒的一个最基本特征,任何病毒都希望在被感染的计算机中隐藏起来不被发现,因为病毒都只有在不被发现的情况下,才能实施其破坏行为。为了达到这个目的,许多病毒使用了各种不同的技术来躲避反病毒软件的检验,这样就产生了各种各样令普通用户头痛的病毒隐藏形式。由于木马后门的行为特征已具备病毒条件,因此这里把木马后门也统一归纳为病毒来描述。  开山鼻祖:隐藏窗口、隐藏进程、隐藏文件  在计算机流行的早期,计算机病毒和木马后门等危害程序在普通用户范围的普及

2、并不是很广泛,这个时期的用户群对计算机和网络安全的防范意识可以说是几乎没有的,普通用户的系统也多为脆弱的dash;这里提到的隐藏,就是简单的将文件属性设置为隐藏而已,除此之外,再无别的保护手段了,然而,由于系统设计时为了避免初学者胡乱删除文件而默认不显示系统和隐藏文件的做法(到了dash;大部分对电脑操作不熟悉的用户根本不知道隐藏文件的含义,更别提设置为显示所有文件了,在那个安全软件厂商刚开始探索市场的时代,用户更是不会留意太多安全产品及其实际含义,因而这个时期成了各种初期木马技术发展的重要阶段,利用这种手段制作的木马被统称为第一代木马。  以现在的技

3、术和眼光看来,这些早期技术作品的发现和清理是相对较简单的了,因为它们采用的进程隐藏技术在nt体系上的dash;文件夹选项里面设置显示所有文件和取消隐藏受保护的系统文件,就能发现那个被隐藏起来的木马程序了。对于Windows9x用户,使用任意一款第三方的进程管理工具如Windows优化大师的进程管理组件即可轻松发现。  继续发展:使用线程注射技术的dll木马  虽然现在使用线程注射的木马病毒和流氓软件已经遍地开花了,但是从那个混沌时代经历过来的人都不会忘记首个采用线程注射的dll木马广外幽灵在当时所带来的恐惧,线程注射到底是种什么东西呢?下面就让我们来详

4、细讲解一下。发展中的线程注射技术木马  首先,用户可能不会了解线程(thread)的意思,而要讲解线程,就不能不先提到进程(process)的概念。许多刚接触计算机的用户无法理解进程是什么东西:常常听到高手说打开任务管理器关闭某某进程,但是一看到任务管理器列表里的一堆东西,头就大了。许多用户知道使用任务管理器关闭一些失去响应的任务,但是如果某个任务没有在应用程序列表里出现,用户就不知所措了。到底什么是进程呢?进程是指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块,系统通过控制这个数据块为运行中的程序提供数据交换和决定程序生存期限,任何程序

5、都必须拥有至少一个进程,否则它不被系统承认。  进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映像,它通常和某个在磁盘上的文件保持着对应关系,一个完整的进程信息包括很多方面的数据,我们使用进程查看工具看到的应用程序选项卡包含的是进程的标题,而进程选项卡包含的是进程文件名、进程标识符、占用内存等,其中进程文件名和进程标识符是必须掌握的关键,进程标识符是系统分配给进程内存空间时指定的唯一数字,进程从载入内存到结束运行的期间里这个数字都是保持不变的,而进程文件名则是对应着的介质存储文件名称,根据进程文件名我们就可以找到最初的可执行文件12下一

6、页友情提醒:,特别!位置。  任务管理器的应用程序项里列出来的任务,是指进程在桌面上显示出来的窗口对象,例如用户打开otethreadinjection),通常情况下,各个进程的内存空间是不可以相互访问的,这也是为程序能够稳定运行打下基础,这个访问限制让所有进程之间互相独立,这样一来,任何一个非系统关键进程发生崩溃时都不会影响到其他内存空间里的进程执行,从而使nt架构的稳定性远远高于win9x架构。  但是在一些特定的场合里,必须让进程之间可以互相访问和管理,这就是远程线程技术的初衷,这个技术实现了进程之间的跨内存空间访问,其核心是产生一个特殊的线程,

7、这个线程能够将一段执行代码连接到另一个进程所处的内存空间里,作为另一个进程的其中一个非核心线程来运行,从而达到交换数据的目的,这个连接的过程被称为注射(injection)。  远程线程技术好比一棵寄生在大树上的蔓藤,一旦目标进程被注射,这段新生的线程就成为目标进程的一部分代码了,只要目标进程不被终止,原进程无论是否还在运行都不会再影响到执行结果了。官方给hook技术来定义  与线程注射离不开的是hook技术,这个hook,又是什么呢?其官方定义如下:  钩子(hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口

8、的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。