亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學習啦 > 學習電腦 > 電腦安全 > 病毒知識 > 關于下一代遠程控制木馬的思路探討

      關于下一代遠程控制木馬的思路探討

      時間: 曉斌668 分享

      關于下一代遠程控制木馬的思路探討

        今天學習啦小編要跟大家講解下下一代遠程控制木馬的思路,下面就是學習啦小編為大家整理到的資料,請大家認真看看!

        下一代遠程控制木馬的思路探討

        傳統(tǒng)意義上的遠程控制木馬由于適用面不廣,使用比較單一,只注重功能不注重一些安全上的問題,出現(xiàn)過的事故就有:

        1.控制者被反查

        2.控制者機器被利用文件下載上傳文件反控

        3.相關黑客被殺

        4.抓雞黑客被網(wǎng)警追捕

        5.主要成員被國際通緝 等等。

        傳統(tǒng)的遠程控制木馬

        最初

        1. 大多使用tcp協(xié)議作為其主要通信協(xié)議,沒有采用對應的加密措施。

        2. 木馬文件經(jīng)過加殼或者沒有加殼,可輕易被分析出特征碼。

        3. 相關功能都被整合到了一起,免殺時間短。

        4. 不穩(wěn)定性,遇到復雜的網(wǎng)絡環(huán)境可能存在上線難的問題。

        5. 上線采用動態(tài)域名,經(jīng)過不可靠第三方中轉(zhuǎn)信息可被輕易攔截或者偽造。

        6. 大多采用注冊表啟動或者注冊服務啟動,少有修改文件方式。

        7. 存在可執(zhí)行文件,dll,sys,啟動方式大多采用獨立啟動,沒有或者少有文件感染,進程注入。

        8. 種馬感染方式單一,大多采用網(wǎng)絡傳輸方式感染。

        9. 駐留方式單一,大多是駐留在系統(tǒng)。不存在反沙盒分析功能。

        10. 大多是c/s結構,即client/server。木馬文件普遍較大。

        后來

        1. 除了tcp木馬之外出現(xiàn)了udp木馬,但依然沒有采取加密措施。

        2. 木馬在原有加殼基礎之上,開始出現(xiàn)了自寫殼,反調(diào)試等反分析措施。

        3. 由原來的整合到一起開始出現(xiàn)了生成器/控制端的模式,免殺時間稍微變長。

        4. 上線開始出現(xiàn)了多種上線模式,出現(xiàn)了網(wǎng)站空間上線、FTP上線、數(shù)據(jù)庫上線。

        5. 穩(wěn)定性變強。出現(xiàn)了反彈上線木馬。

        6. 開始出現(xiàn)修改系統(tǒng)文件,修改服務啟動方式隱藏自身。

        7. 開始出現(xiàn)了迷你版本木馬,出現(xiàn)了無進程,文件感染,進程注入技術應用。

        8. 出現(xiàn)了多種感染方式,木馬本身在感染母體后出現(xiàn)了感染移動設備的情況。

        9. 開始出現(xiàn)了駐留bios,感染映像文件木馬。依然不存在反沙盒分析能力。

        10. 出現(xiàn)了b/s,即瀏覽器/服務器模式交互通信木馬。穩(wěn)定性變強。文件比起上一代變小了一些。

        現(xiàn)在

        1. 除了tcp,udp木馬之外,開始出現(xiàn)了https,ssl木馬,但本身還是會被抓到木馬原型。

        2. 木馬在原有加殼,自寫殼,反調(diào)試基礎之上,出現(xiàn)了shellcode木馬,dll木馬,純進制文件靠其他文件加載木馬。

        3. 由原來的生成器/控制端模式開始出現(xiàn)了模塊化木馬,抗分析,免殺能力變強。

        4. 上線由原來的單一上線模式出現(xiàn)了支持混合協(xié)議上線模式木馬,一個服務器被封,可保持被控者依然不掉。

        5. 穩(wěn)定性在原有基礎之上變得更強,除了反彈上線之外,出現(xiàn)了依靠其他服務上線木馬。

        6. 除了原來的修改、感染文件方式之外,出現(xiàn)了感染聲卡,感染網(wǎng)卡方式。

        7. 除了無進程之外,出現(xiàn)了無文件,無端口端口木馬技術應用。

        8. 除了感染移動設備外,出現(xiàn)了跨平臺感染木馬,內(nèi)網(wǎng)感染木馬,會感染比如智能交易終端之類的設備。

        9. 出現(xiàn)了反內(nèi)存分析、文件定時自動變異木馬,會給分析帶來一定難度。

        10.出現(xiàn)了混合控制方式木馬,可以b/s也可以c/s。

        11.由原來的從vc/delphi/vb之類的語言編寫的遠控木馬開始出現(xiàn)了腳本編寫的遠控木馬程序。體積更小,方式更加隱蔽。

        目前面臨的問題。

        1. 遠控傳輸協(xié)議的問題,沒有好的加密協(xié)議很容易出現(xiàn)通信被攔截/偽造問題,給自己帶來危險。一些防火墻設備也可以輕易攔截通信。

        2. 遠控的免殺問題,傳統(tǒng)的木馬很容易在取到特征后就被殺毒軟件查殺,一直沒有出現(xiàn)好的反殺毒軟件思路。

        3. 啟動加載方式問題,傳統(tǒng)的比如注冊表,文件,服務啟動,很容易被比如(x60之類)軟件攔截,許多殺軟也比較看重注冊表。

        4. 文件駐留問題,駐留在系統(tǒng)很容易被取到樣本文件,也會導致木馬本身生存周期變短。

        5. 文件操作問題,所有功能都集中在了一起,很容易被識別為木馬文件。

        暫時性的解決措施:

        1. 遠控傳輸協(xié)議采用公鑰方式加密,文件生成時可選擇偽造某種可信軟件報文方式。

        2. 在文件特征上,采用密鑰方式分段加密,內(nèi)存分段解密運行后刪除上一次操作記錄,靜動交互+加密模式對抗特征捕獲。

        3. 加載方式采用非注冊表加載,注入硬件核心驅(qū)動文件加載。

        4. 系統(tǒng)只駐留主要支持文件,或者完全靠注入后文件操作。

        5. 功能文件采用插件方式,用完即刪,即使被捕獲也很難被分析認定為木馬。

        未解決的問題:

        源頭/ip地址很容易被偵查員捕獲的問題,采用私有云,p2p方式待實踐。

        只有更新的木馬/黑客技術才能促進整體的安全進步。

      380369