
一、傳播形式
木馬病毒傳播迅速,主要歸因于其傳播方式的多樣性。內(nèi)核木馬及其他木馬病毒的傳播方式主要有以下幾種:
1、利用下載進行傳播,在下載的過程中進入程序,當下載完畢打開文件就將病毒植入到電腦中。
2、利用系統(tǒng)漏洞進行傳播,當計算機存在漏洞,就成為木馬病毒攻擊的對象。
3、利用郵件進行傳播,很多陌生郵件里面就摻雜了病毒種子,一旦郵件被打開,病毒就被激活。
4、利用遠程連接進行傳播。
5、利用網(wǎng)頁進行傳播,在瀏覽網(wǎng)頁時會經(jīng)常出現(xiàn)很多跳出來的頁面,這種頁面就是病毒駐扎的地方。
6、利用蠕蟲病毒進行傳播等。
二、危害
木馬病毒對用戶計算機造成的危害很嚴重,具體如下:
木馬病毒對計算機的直接破壞方式是改寫磁盤,對計算機數(shù)據(jù)庫進行破壞,給用戶帶來不便。當木馬破壞程序后,使得程序無法運行,給計算機的整體運行帶來嚴重的影響。
另外,一些木馬可以通過磁盤的引導區(qū)進行,病毒具有強烈的復制功能,把用戶程序傳遞給外部鏈接者。還可以更改磁盤引導區(qū),造成數(shù)據(jù)形成通道破壞。病毒也通過大量復制搶占系統(tǒng)資源,對系統(tǒng)運行環(huán)境進行干擾,影響計算機系統(tǒng)運行速度。
三、什么是內(nèi)核級木馬
內(nèi)核級木馬一個無進程、無DLL、無啟動項的、集多種Rootkit技術(shù)特征的獨立功能遠程控制后門程序。其利用線程注射DLL到系統(tǒng)進程,解除DLL映射并刪除自身文件和啟動項,關(guān)機時恢復。
它是內(nèi)核級的木馬程序,主要部分工作在Ring0,因此有很強的隱蔽性和殺傷力。
四、內(nèi)核級木馬如何產(chǎn)生
目前,傳統(tǒng)應(yīng)用層木馬由于當下一些主動防御軟件,殺毒的免費使用,各類反病毒工具對其伎倆了如指掌,而木馬能帶來巨大危害的主要原因在其隱蔽性。
各類反病毒工具的快速發(fā)展就導致木馬謀取利益的成本大幅度提高,其帶來的利益以及威脅程度呈現(xiàn)逐年下降的趨勢。
由于傳統(tǒng)應(yīng)用層木馬的隱蔽性大幅度下降,黑客為了提升帶來的效益以及獲得被控主機更加持久的控制權(quán),因而提升木馬的隱藏技術(shù)就顯得更加迫在眉睫。
內(nèi)核級木馬的隱藏主要使用內(nèi)核Rootkit技術(shù),內(nèi)核Rootkit程序在使得遠程黑客能夠更長期的享有目標機器的底層系統(tǒng)控制權(quán)的同時在很大程度上不被殺毒軟件發(fā)現(xiàn),從而對被控主機造成更加嚴重的安全威脅。
此外內(nèi)核Rootkit不僅僅存在于windows系統(tǒng)中,同樣存在于linux等其他系統(tǒng)中。而對于信息安全工作者,找出防御內(nèi)核級木馬的最有效途徑自然是要深入了解內(nèi)核木馬的工作機制。
內(nèi)核Rootkit攻擊技術(shù),內(nèi)核Rootkit隱藏技術(shù),掌握其規(guī)律和特性,才能更好的找到應(yīng)對此類木馬的措施,以及對未來可能出現(xiàn)的安全隱患做好一些提前的防備。
五、內(nèi)核&傳統(tǒng)木馬隱藏技術(shù)對比
內(nèi)核級木馬隱藏主要有進程隱藏,文件隱藏,自啟動隱藏,通信隱藏等,主要與木馬的架構(gòu)有關(guān),那么對于一些主從型內(nèi)核級木馬,木馬涉及到的功能模塊越多自然對應(yīng)涉及的隱藏項也就越多,甚至有時候還要做注冊表隱藏,服務(wù)隱藏等。
3.1.進程隱藏
進程隱藏最初技術(shù)體系為最簡單的混淆字符隱藏,如系統(tǒng)進程名為svchost.exe,木馬進程名改為svch0st.exe隱藏,緊接著到注冊服務(wù)隱藏,dll注入隱藏。
現(xiàn)在內(nèi)核級木馬大部分通過進程控制塊中的活動進程鏈表(ActiveProcessLinks)中摘除自身來達到隱藏,或通過從PspCidTable表中摘除自身等方法來達到隱藏目的。
3.2.文件隱藏
文件隱藏最初是通過存放于敏感目錄(系統(tǒng)目錄)并混淆文件名來實現(xiàn),后來有些人通過掛鉤應(yīng)用層上的FindFirstFile,FindNextFile等API來實現(xiàn)該目的,現(xiàn)在在內(nèi)核層隱藏文件方法一般會用FSDHook或FSD Inline Hook來實現(xiàn)。
3.3.自啟動隱藏
自啟動隱藏先后經(jīng)歷了添加注冊表Run值,修改系統(tǒng)啟動文件,注冊為服務(wù),修改定時程序,感染系統(tǒng)文件技術(shù)來實現(xiàn),現(xiàn)在黑客開始關(guān)注于在硬盤固件,bIOS等地方做手腳來實現(xiàn)自啟動隱藏。
3.4.通訊隱藏
對于通信隱藏來說,現(xiàn)在有些研究者已經(jīng)實現(xiàn)了NDIS小端口驅(qū)動層的隱藏,不過主流的木馬仍然在TDI層面上通信或者在NDIS中間層上通信。
如何對付內(nèi)核級木馬?
一般的殺毒工具可以把病毒查殺掉,但是對于內(nèi)核級木馬病毒,能夠穿透還原技術(shù),一般的技術(shù)人員是無法解決的。作為網(wǎng)吧熱點,針對這樣難以對付的病毒,小編分享到清除內(nèi)核級木馬病毒的方法。
1.首先是要安裝一個具備進程管理功能的安全工具軟件,查看系統(tǒng)進程,可有經(jīng)驗的技術(shù)人員對可疑進程是可以識別的,點擊其中的IE瀏覽器進程,發(fā)現(xiàn)其中包括了一個可疑的木馬模塊hack.dll。
2.下一步可以看到多個被明顯標識出的系統(tǒng)服務(wù),說明這些服務(wù)都不是系統(tǒng)自身的服務(wù)。比如像是一個取名為Hack的服務(wù)較為可疑,因為它的名稱和木馬模塊的名稱相同。
3.找出工具軟件中與文件管理相關(guān)的標簽,在模擬的資源管理器窗口中,按照可疑模塊的路徑指引,很快發(fā)現(xiàn)了那個可疑的木馬模塊文件hack.dll。
4.找到了病毒存在的根源,接下來就是病毒的查殺了:
a,在進程管理選項中首先找到被明顯標識的IE瀏覽器進程,選中它后通過鼠標右鍵中的“結(jié)束這個進程”命令清除它;
b,接著點擊服務(wù)管理選項,選擇名為Hack的服務(wù)后,點擊右鍵菜單中的“刪除選中的服務(wù)”命令來刪除;
c,再選擇程序中的文件管理選項,對木馬文件進行最后的清除操作;
d,在系統(tǒng)的system32目錄找到hack.dll和hack.exe文件后,點擊右鍵菜單中的“直接刪除文件”命令,完成對木馬的最后一擊;
e,然后重新啟動系統(tǒng)再進行查看,確認木馬是否被清除干凈。
聲明:我們尊重原創(chuàng)者版權(quán),除確實無法確認作者外,均會注明作者和來源。轉(zhuǎn)載文章僅供個人學習研究,同時向原創(chuàng)作者表示感謝,若涉及版權(quán)問題,請及時聯(lián)系小編刪除!
Hi,我是超級盾
更多干貨,可移步到,微信公眾號:超級盾訂閱號!精彩與您不見不散!
超級盾:從現(xiàn)在開始,我的每一句話都是認真的。
如果,你被攻擊了,別打110、119、120,來這里看著就行。
截至到目前,超級盾成功抵御史上最大2.47T黑客DDoS攻擊,超級盾具有無限防御DDoS、100%防CC的優(yōu)勢。