《实验原理c木马隐藏的技术程序》(组图)_病毒安全_

实验原理

c木马隐藏技术程序隐藏：木马程序隐藏通常是指使用各种手段来伪装木马程序，使普通用户无法在表面上直接识别木马程序。为了达到这个目的，可以通过程序捆绑来实现。程序捆绑方法是将多个exe程序链接在一起以形成一个exe文件。运行exe文件时，多个程序同时运行。捆绑程序的方法有很多，例如将多个exe文件以资源的形式组合到一个exe文件中，或者使用专用的安装和打包工具来组合多个exe文件。这也是捆绑恶意软件的许多程序的做法。因此，木马程序可以使用程序捆绑方法将其自身与常规exe文件绑定。双击运行捆绑的程序时，将运行普通的exe文件，并且木马程序将在后台安静地运行。程序隐藏只能达到无法在表面上识别木马程序的目的，但是可以在任务管理器中找到木马程序的痕迹，这需要木马程序才能实现进程隐藏。进程隐藏：隐藏木马程序的进程显示可以防止用户通过任务管理器查看木马程序的进程，从而改善木马程序的隐藏性。当前，隐藏木马进程的方式主要有两种：API拦截：API拦截技术是一种进程伪隐藏方法。它使用Hook技术监视和拦截系统中某些程序显示的API函数调用对流程的处理，然后修改该函数返回的流程信息，并从结果中删除自身，从而导致任务管理器和其他工具无法执行显示木马程序。

具体的实现过程是木马程序建立后台系统挂钩（Hook），拦截PSAPI的EnumProcessModules和其他相关函数的调用，当检测结果为木马的进程ID（PID）时直接跳过马程序。这样，进程信息将不包括木马程序的进程，从而达到隐藏木马进程的目的。远程线程注入：远程线程注入是隐藏进程的一种方式。它主要使用CreateRemoteThread函数在目标进程中创建远程线程，共享目标进程的地址空间，并获取目标进程的相关权限，从而修改目标进程的内部数据并启动DLL Trojan。以这种方式启动的DLL Trojan占用目标进程的地址空间，而它本身是目标进程的线程，因此它不会出现在进程列表中。 DLL木马的执行过程是：1)，通过OpenProcess函数打开目标进程； 2），计算DLL路径名所需的地址空间，并根据计算结果调用VirtualAllocEx函数，以在目标进程中申请合适的存储空间； 3），调用WriteProcessMemory函数将DLL的路径名写入应用的内存空间中； 4），使用函数GetProcAddress来计算LoadLibraryW的入口地址，并使用LoadLibraryW的入口地址作为远程线程的入口地址； 5），通过函数CreateRemoteThread在目标进程中创建一个远程线程。

通过上述步骤，可以实现远程线程注入以启动DLL Trojan horse，从而达到隐藏Trojan horse进程的目的。而且，与其他进程隐藏技术相比，远程线程注入方法具有更强的隐藏和防检测能力，从而提高了木马的生存能力。通讯隐藏：进程隐藏可以进一步增强其隐藏性。但是，仍然可以从通信连接的状态中找到木马程序的痕迹。因此，有必要实现木马程序的通信隐藏。本文提出了以下两种通信隐藏技术的实现思路。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-368817-1.html