安全小白成長記
2
信息安全等級高級測評師
CISP-PTE
安全小白成長記2
信息安全等級高級測評師
CISP-PTE
內核級木馬一個無進程、無DLL、無啟動項的、集多種Rootkit技術特征的獨立功能遠程控制后門程序。其利用線程注射DLL到系統進程,解除DLL映射并刪除自身文件和啟動項,關機時恢復。主要部分工作在Ring0,因此有很強的隱蔽性和殺傷力。內核Rootkit程序在使得遠程黑客能夠更長期的享有目標機器的底層系統控制權的同時在很大程度上不被殺毒軟件發現,從而對被控主機造成更加嚴重的安全威脅。
內核木馬于傳統應用層木馬隱藏技術有以下區別:
進程隱藏:進程隱藏最初技術體系為最簡單的混淆字符隱藏,如系統進程名為svchost.exe,木馬進程名改為svch0st.exe隱藏,緊接著到注冊服務隱藏,dll注入隱藏。現在內核級木馬大部分通過進程控制塊中的活動進程鏈表(ActiveProcessLinks)中摘除自身來達到隱藏,或通過從PspCidTable表中摘除自身等方法來達到隱藏目的。
文件隱藏:文件隱藏最初是通過存放于敏感目錄(系統目錄)并混淆文件名來實現,后來有些人通過掛鉤應用層上的FindFirstFile,FindNextFile等API來實現該目的,現在在內核層隱藏文件方法一般試用FSDHook或FSD Inline Hook來實現。
自啟動隱藏:自啟動隱藏先后經歷了添加注冊表Run值,修改系統啟動文件,注冊為服務,修改定時程序,感染系統文件技術來實現,現在黑客開始關注于在硬盤固件,bios等地方做手腳來實現自啟動隱藏。
通訊隱藏:對于通信隱藏來說,現在有些研究者已經實現了NDIS小端口驅動層的隱藏,不過主流的木馬仍然在TDI層面上通信或者在NDIS中間層上通信。
推薦文章
