专栏首页黑白安全木马手工查杀和隐藏控制技术分析

木马手工查杀和隐藏控制技术分析

实验条件:

上兴远控、comodo防火墙、360安全卫士

step1.生成木马

step2.关闭360安全卫士、comodo防火墙。使用木马感染靶机后,靶机并无明显异常

开启windows任务管理器,并无明显中毒特征,cpu使用率和内存占用率并无明显异常。

使用netstat/an命令查看系统端口连接,无明显异常

step2.采用COMODO防火墙安全软件killswitch观察进程和网络活动发现四个未知程序

感染木马后并没有立即在服务项中发现异常

查看网络连接,测试后发现如果木马控制端不进行耗费流量的操作,木马也很难发现

运行comodo autorun analyzer分析:发现未知程序,但未知程序很多,无法准确判定程序是否是恶意程序

查看360Min.exe进程属性,也是未知标识,并无法准确判定程序的性质

打开COMODO ids入侵检测系统,发现可以检测出木马的操作。

step3.360安全卫士的检测

关闭靶机comodo防火墙,打开360安全卫士。在木马控制端开启靶机摄像头,提示如下图。

360对于系统关键部分提供了特殊的保护,在360安全卫士的设置中找到了摄像头的控制开关。

当开启靶机的屏幕实时显示时无论是360安全卫士或是comodo防火墙都无法进行拦截

一段时间后360安全卫士自动检测到桌面的木马程序并自动删除

实验总结与思考:

未知防,焉能攻

在常用的手段如查看网络连接或是查看进程只能实现收紧搜索范围而非精确定位恶意软件,推测comodo对于软件的安全性判断是基于软件厂商的信任列表。而ids则时基于软件的行为监测。而360对于敏感的部位由特殊的防护,后来也自动删除了程序,表明360的监控是实时的。

上兴远控生成的木马程序具备多种自启动和隐藏能力,甚至有加壳功能来免杀。我想如果改变加壳方式或是添加花指令当木马静止时应该可以躲避安全软件的行为查杀,如果采用进程注入方式将自身注入到一个受信的进程中应该可以部分躲避行为查杀。

在此感想,制作一个合格的木马对黑客的综合技术要求非常高,无论是注册表/服务/网路通信/行为免杀/加壳等等技术都要求精通,如果一方面做的不好则木马就会暴露。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 木马病毒介绍 Trojans virus backdoor rootkit

    木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源...

    周俊辉
  • 高清无码!比鬼片还刺激!且听“诡娃”远控的这首惊魂曲

    近日,360云安全系统发现一款名为“诡娃”的远控木马,正通过钓鱼软件、网页挂马等多渠道扩散。“诡娃”除了能进行操控中招电脑等行为外,还会通过控制指令让中招机器弹...

    周俊辉
  • 安全专家曝新银行木马 专门窃取证书、密码及其他敏感信息

    据科技博客ZDNet北京时间7月5日报道,思科网络安全团队Talos的研究人员最近发现了一种新的银行木马,这种新型木马病毒通过散布一些看似软件公司开出的账单请求...

    周俊辉
  • 如何在Ubuntu 18.04上安装R [快速入门]

    R是一种开源编程语言,专门用于统计计算和图形。在本教程中,我们将在Ubuntu 18.04服务器上安装R.

    姚啊姚
  • QQ被盗引发的思考-DNS域名欺骗

    某日下午13:16分,我正躺在床上休息,昨天生病,今天精神才好了点,然而依旧是无精打采,睡也睡不着,便打开了两天没上的QQ,发现寂静了许久的同乡会QQ群里有同学...

    字节脉搏实验室
  • K-means 在 Python 中的实现

    K-means算法简介 K-means是机器学习中一个比较常用的算法,属于无监督学习算法,其常被用于数据的聚类,只需为它指定簇的数量即可自动将数据聚合到多类中,...

    小莹莹
  • conda环境配置

    新租了服务器,想做个简单的服务端,测试以下网络质量。刚开始打算用npm的http-server做一个,无奈出问题了。后来还是觉得干脆装个django

    py3study
  • python: 基本内置数据类型

    JNingWei
  • 2018年360产品暑期实习面经【背景】【网申笔试】【群面作业】【群面】【二面】【三面】

    po主是985硕士通信专业,找工作集中在产品经理方向,今天和大家分享一下360产品经理从群面到单面的面试经历。

    牛客网
  • 重磅!李航《统计学习方法》第二版上线,6 年耕耘增加无监督学习

    导语:统计学习即机器学习,是计算机及其应用领域的一门重要学科。此前,李航老师完成的《统计学习方法》是了解机器学习最好的教材之一,该书从 2005 年开始写作一直...

    磐创AI

扫码关注云+社区

领取腾讯云代金券