远程线程注入属于进程伪隐藏方式的几种木马程序 _病毒安全_

实验1木马分析（隐藏分析）实验1、木马隐藏技术1）程序隐藏

木马程序可以通过程序捆绑将自己与普通exe文件绑定。双击运行捆绑的程序时，将运行普通的exe文件。该程序隐藏只能达到无法在表面上识别木马程序的目的，但是可以在任务管理器中找到该木马程序的痕迹，这需要该木马程序才能实现进程隐藏。

2）进程已隐藏

隐藏木马程序的过程的显示可以防止用户通过任务管理器查看木马程序的过程，从而改善了木马程序的隐藏性。主要有两种类型：

API拦截是一种进程伪隐藏方法。它使用Hook技术监视和拦截系统中某些程序显示的API函数调用，以对进程进行处理，然后修改该函数返回的过程信息，从结果中删除自身，并导致任务管理器等。无法显示木马进程。

远程线程注入属于进程的真正隐藏方法。主要方法是使用CreateRemoteThread函数在目标进程中创建远程线程，共享目标进程的地址空间，并获取目标进程的相关权限，从而修改目标进程的内部数据并启动目标进程。 DLL木马。

3）通讯隐藏

您可以从通信连接的状态中找到木马程序的痕迹。因此，有必要实现木马程序的通信隐藏。主要有两种方法：

端口重用技术它允许Trojan服务器程序共享由其他网络程序打开的端口以与客户端连接，从而防止重新打开端口并减少隐藏。关键是木马程序应该添加一个数据包转发判断模块，该模块控制主机对数据报的转发选择。

使用ICMP和HTTP协议通常，诸如网络防火墙和入侵检测系统之类的安全设备仅检查ICMP消息的标头，而不处理数据部分。因此，木马程序的通信数据可以隐藏在ICMP消息格式的选项数据字段中以进行传输。例如，由服务器程序发送到客户端程序的数据被伪装成回显请求消息，并且客户端程序被发送到服务器。程序发送的数据被伪装成回显应答消息。这样，可以通过PING \ PINGRESPONSE在木马服务器程序和客户端程序之间建立有效的秘密对话通道。使用ICMP协议传输数据还有另一个很大的优势，即ICMP属于IP层协议，它在传输数据时不使用任何端口，因此具有更好的隐藏性。

2、实验操作1）虚拟机的三种网络工作模式

vmware为我们提供了三种网络工作模式，它们是：桥接（桥接模式），NAT（网络地址转换模式），仅主机（仅主机模式）。

1、桥接（桥接模式）：默认情况下使用VMnet0，并且不提供DHCP服务

在桥接模式下，虚拟机和主机位于同一位置，并且虚拟机像真实主机一样存在于局域网中。因此，在桥接模式下，我们必须像其他真实计算机一样为其配置IP，网关，子网掩码等。当我们可以自由分配LAN IP时，请使用桥接模式虚拟化真实主机。

2、 NAT（网络地址转换模式）：默认情况下，VMnet8用于提供DHCP服务

在NAT模式下，主机等效于启用了DHCP功能的路由器，虚拟机是Intranet中的真实主机，它通过路由器（主机）DHCP动态获取网络参数。因此，在NAT模式下，由于虚拟机属于内部网络，因此虚拟机可以访问外部网络，反之亦然。使用NAT模式的方便之处在于，我们不需要进行任何网络设置，只要主机可以连接到外部网络，虚拟机就可以。 NAT模式通常是大学校园网络VMware最常用的连接模式，因为我们通常只有一个外部IP。显然，在这种情况下，非常适合使用NAT模式。

3、仅主机（主机模式）：默认情况下，VMnet1用于提供DHCP服务

在“仅主机”模式下，等效于虚拟机通过双绞线电缆直接连接到主机，并且主机不提供任何路由服务。因此，在仅主机模式下，虚拟机可以与主机通信，但是虚拟机无法访问外部网络。如果要形成与物理网络隔离的虚拟网络，无疑非常适合使用“仅主机”模式。

2）使用木马的控制端生成植入虚拟机的服务器端

3）在目标计算机中植入木马以接受控制终端的控制

有很多方法可以将其与其他软件捆绑在一起，伪装成其他软件，等等。

4）分析木马如何隐藏在无人机中

将木马程序通过主机植入虚拟机后，虚拟机成为客户端，而主机成为控制终端。在虚拟机中，我们没有通过任务管理器找到木马程序进程，而是找到了两个项目“可疑进程”，这是木马隐藏原理中引入的第一种隐藏方法，即“ API”拦截伪隐藏方法

结果分析：确定这两个可疑进程“ IEXPLORE.EXE”和“ mstsc.exe”与木马程序有关。所谓可疑是基于此原因：因为实际上我们没有启动IE浏览器和远程控制程序，并且这两个进程的父进程不是explorer.exe。表明这两个进程不是系统的正常服务。

我的普通计算机上没有exploxer和mstsc进程

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-368788-1.html