一、傳播形式

木馬病毒傳播迅速，主要歸因于其傳播方式的多樣性。內(nèi)核木馬及其他木馬病毒的傳播方式主要有以下幾種：

1、利用下載進行傳播，在下載的過程中進入程序，當下載完畢打開文件就將病毒植入到電腦中。

2、利用系統(tǒng)漏洞進行傳播，當計算機存在漏洞，就成為木馬病毒攻擊的對象。

3、利用郵件進行傳播，很多陌生郵件里面就摻雜了病毒種子，一旦郵件被打開，病毒就被激活。

4、利用遠程連接進行傳播。

5、利用網(wǎng)頁進行傳播，在瀏覽網(wǎng)頁時會經(jīng)常出現(xiàn)很多跳出來的頁面，這種頁面就是病毒駐扎的地方。

6、利用蠕蟲病毒進行傳播等。

二、危害

木馬病毒對用戶計算機造成的危害很嚴重，具體如下：

木馬病毒對計算機的直接破壞方式是改寫磁盤，對計算機數(shù)據(jù)庫進行破壞，給用戶帶來不便。當木馬破壞程序后，使得程序無法運行，給計算機的整體運行帶來嚴重的影響。

另外，一些木馬可以通過磁盤的引導區(qū)進行，病毒具有強烈的復制功能，把用戶程序傳遞給外部鏈接者。還可以更改磁盤引導區(qū)，造成數(shù)據(jù)形成通道破壞。病毒也通過大量復制搶占系統(tǒng)資源，對系統(tǒng)運行環(huán)境進行干擾，影響計算機系統(tǒng)運行速度。

三、什么是內(nèi)核級木馬

內(nèi)核級木馬一個無進程、無DLL、無啟動項的、集多種Rootkit技術(shù)特征的獨立功能遠程控制后門程序。其利用線程注射DLL到系統(tǒng)進程，解除DLL映射并刪除自身文件和啟動項，關(guān)機時恢復。

它是內(nèi)核級的木馬程序，主要部分工作在Ring0，因此有很強的隱蔽性和殺傷力。

四、內(nèi)核級木馬如何產(chǎn)生

目前，傳統(tǒng)應(yīng)用層木馬由于當下一些主動防御軟件，殺毒的免費使用，各類反病毒工具對其伎倆了如指掌，而木馬能帶來巨大危害的主要原因在其隱蔽性。

各類反病毒工具的快速發(fā)展就導致木馬謀取利益的成本大幅度提高，其帶來的利益以及威脅程度呈現(xiàn)逐年下降的趨勢。

由于傳統(tǒng)應(yīng)用層木馬的隱蔽性大幅度下降，黑客為了提升帶來的效益以及獲得被控主機更加持久的控制權(quán)，因而提升木馬的隱藏技術(shù)就顯得更加迫在眉睫。

內(nèi)核級木馬的隱藏主要使用內(nèi)核Rootkit技術(shù)，內(nèi)核Rootkit程序在使得遠程黑客能夠更長期的享有目標機器的底層系統(tǒng)控制權(quán)的同時在很大程度上不被殺毒軟件發(fā)現(xiàn)，從而對被控主機造成更加嚴重的安全威脅。

此外內(nèi)核Rootkit不僅僅存在于windows系統(tǒng)中，同樣存在于linux等其他系統(tǒng)中。而對于信息安全工作者，找出防御內(nèi)核級木馬的最有效途徑自然是要深入了解內(nèi)核木馬的工作機制。

內(nèi)核Rootkit攻擊技術(shù)，內(nèi)核Rootkit隱藏技術(shù)，掌握其規(guī)律和特性，才能更好的找到應(yīng)對此類木馬的措施，以及對未來可能出現(xiàn)的安全隱患做好一些提前的防備。

五、內(nèi)核&傳統(tǒng)木馬隱藏技術(shù)對比

內(nèi)核級木馬隱藏主要有進程隱藏，文件隱藏，自啟動隱藏，通信隱藏等，主要與木馬的架構(gòu)有關(guān)，那么對于一些主從型內(nèi)核級木馬，木馬涉及到的功能模塊越多自然對應(yīng)涉及的隱藏項也就越多，甚至有時候還要做注冊表隱藏，服務(wù)隱藏等。

3.1.進程隱藏

進程隱藏最初技術(shù)體系為最簡單的混淆字符隱藏，如系統(tǒng)進程名為svchost.exe，木馬進程名改為svch0st.exe隱藏，緊接著到注冊服務(wù)隱藏，dll注入隱藏。

現(xiàn)在內(nèi)核級木馬大部分通過進程控制塊中的活動進程鏈表（ActiveProcessLinks）中摘除自身來達到隱藏，或通過從PspCidTable表中摘除自身等方法來達到隱藏目的。

3.2.文件隱藏

文件隱藏最初是通過存放于敏感目錄（系統(tǒng)目錄）并混淆文件名來實現(xiàn)，后來有些人通過掛鉤應(yīng)用層上的FindFirstFile,FindNextFile等API來實現(xiàn)該目的，現(xiàn)在在內(nèi)核層隱藏文件方法一般會用FSDHook或FSD Inline Hook來實現(xiàn)。

3.3.自啟動隱藏

自啟動隱藏先后經(jīng)歷了添加注冊表Run值，修改系統(tǒng)啟動文件，注冊為服務(wù)，修改定時程序，感染系統(tǒng)文件技術(shù)來實現(xiàn)，現(xiàn)在黑客開始關(guān)注于在硬盤固件，bIOS等地方做手腳來實現(xiàn)自啟動隱藏。

3.4.通訊隱藏

對于通信隱藏來說，現(xiàn)在有些研究者已經(jīng)實現(xiàn)了NDIS小端口驅(qū)動層的隱藏，不過主流的木馬仍然在TDI層面上通信或者在NDIS中間層上通信。

如何對付內(nèi)核級木馬？

一般的殺毒工具可以把病毒查殺掉，但是對于內(nèi)核級木馬病毒，能夠穿透還原技術(shù)，一般的技術(shù)人員是無法解決的。作為網(wǎng)吧熱點，針對這樣難以對付的病毒，小編分享到清除內(nèi)核級木馬病毒的方法。

1．首先是要安裝一個具備進程管理功能的安全工具軟件，查看系統(tǒng)進程，可有經(jīng)驗的技術(shù)人員對可疑進程是可以識別的，點擊其中的IE瀏覽器進程，發(fā)現(xiàn)其中包括了一個可疑的木馬模塊hack.dll。

2．下一步可以看到多個被明顯標識出的系統(tǒng)服務(wù)，說明這些服務(wù)都不是系統(tǒng)自身的服務(wù)。比如像是一個取名為Hack的服務(wù)較為可疑，因為它的名稱和木馬模塊的名稱相同。

3．找出工具軟件中與文件管理相關(guān)的標簽，在模擬的資源管理器窗口中，按照可疑模塊的路徑指引，很快發(fā)現(xiàn)了那個可疑的木馬模塊文件hack.dll。

4．找到了病毒存在的根源，接下來就是病毒的查殺了：

a,在進程管理選項中首先找到被明顯標識的IE瀏覽器進程，選中它后通過鼠標右鍵中的“結(jié)束這個進程”命令清除它；

b,接著點擊服務(wù)管理選項，選擇名為Hack的服務(wù)后，點擊右鍵菜單中的“刪除選中的服務(wù)”命令來刪除；

c,再選擇程序中的文件管理選項，對木馬文件進行最后的清除操作；

d,在系統(tǒng)的system32目錄找到hack.dll和hack.exe文件后，點擊右鍵菜單中的“直接刪除文件”命令，完成對木馬的最后一擊；

e,然后重新啟動系統(tǒng)再進行查看，確認木馬是否被清除干凈。

聲明：我們尊重原創(chuàng)者版權(quán)，除確實無法確認作者外，均會注明作者和來源。轉(zhuǎn)載文章僅供個人學習研究，同時向原創(chuàng)作者表示感謝，若涉及版權(quán)問題，請及時聯(lián)系小編刪除！

Hi，我是超級盾

更多干貨，可移步到，微信公眾號：超級盾訂閱號！精彩與您不見不散！

超級盾：從現(xiàn)在開始，我的每一句話都是認真的。

如果，你被攻擊了，別打110、119、120，來這里看著就行。

截至到目前，超級盾成功抵御史上最大2.47T黑客DDoS攻擊，超級盾具有無限防御DDoS、100%防CC的優(yōu)勢。