您好,请登录或注册会员中心
网站首页 > 企业动态 > 行业动态

隐藏恶意软件的三大黑客技术

2017-10-13 09:21:31 南京联成科技发展股份有限公司 阅读

“道高一尺,魔高一丈”,检测恶意软件的新战术和技术正在兴起,但高级黑客也正在使用高级的掩盖方法避免他们的恶意软件被发现。

隐藏恶意软件的三大黑客技术.jpg


1. 反-反汇编和调试器(保护器)

恶意软件作者知道恶意软件研究人员的工作路数,以及他们用以狩猎威胁的工具。比如说,研究人员和程序员通常会用反汇编程序和调试器,来找出某段代码的作用。

有很多工具和技术都可以检测反汇编程序和调试器,包括内置的Windows功能。此类技术的设计目的,大多是辅助对抗盗版——盗版商会用这些工具破解版权保护的软件。

不幸的是,恶意软件作者也会用同样的技术,来探测自身程序是否运行在恶意软件分析师的电脑上。如果恶意软件检测到这些工具,他们就可以停止运行或者改变自身行为,让分析师的工作难以开展。

2. Rootkits

在最高层级,rootkit是一系列工具或技术的集合,可让恶意软件潜入系统深层,对操作系统不可见。计算机处理器有不同层次的执行权限(ring 0-3),攻击者可利用这些权限层次来玩弄运行在高层的程序。

例如,Windows和Linux之类的操作系统,有用户空间和内核空间之分。在最高层,你只需要知道内核空间(ring0)比用户空间(ring3)权限高就行了。如果你有个程序需要列出目录中的文件列表,你可以调用用户空间函数来做这事,但调用内核函数同样可以。

如果恶意程序获得内核权限,就可以“欺骗”运行在用户空间的程序。因此,如果某程序以用户空间函数调用来扫描文件系统,内核rootkit就可以在它解析文件的时候欺骗之。在该用户空间函数扫描到恶意文件的时候,rootkit可以骗它说,“这些不是你要找的文件”,或者更具体讲,就是简单地绕过这些文件,不将它们作为该用户空间程序的执行结果加以返回。更糟的是,虚拟化为rootkit欺骗添加了另一层保护,因为其运行在内核之下的管理程序比内核权限还高。

简言之,恶意软件有时候可以用rootkit功能对本地反病毒(AV)软件隐身——通过对操作系统本身隐藏文件、网络连接或其他东西。不过,大多数AV如今有自己的内核级驱动和防护措施,来避免常见的rootkit欺骗了。

3. 代码、进程和DLL注入

进程或动态链接库(DLL)注入,代表了可用于在另一个进程上下文中执行代码的一系列技术。恶意软件作者常利用这些技术,让自己的恶意代码在必需的Windows进程中执行。

比如说,他们可以注入到explorer.exe、svchost.exe、notepad.exe或其他合法Windows可执行程序中。