6.3. 后门技术¶
6.3.1. 开发技术¶
- 管控功能实现技术
- 系统管理:查看系统基本信息,进程管理,服务管理
- 文件管理:复制/粘贴文件,删除文件/目录,下载/上传文件等
- Shell管理
- 击键记录监控
- 屏幕截取
- 音频监控
- 视频监控
- 隐秘信息查看
- 移动磁盘的动态监控
- 远程卸载
- 自启动技术
- Windows自启动
- 基于Windows启动目录的自启动
- 基于注册表的自启动
- 基于服务程序的自启动
- 基于ActiveX控件的自启动
- 基于计划任务(Scheduled Tasks)的自启动
- Linux自启动
- 用户态进程隐藏技术
- 基于DLL插入的进程隐藏
- 远程线程创建技术
- 设置窗口挂钩(HOOK)技术
- 基于SvcHost共享服务的进程隐藏
- 进程内存替换
- 数据穿透和躲避技术
- 反弹端口
- 协议隧道
- HTTP
- MSN
- Google Talk
- 内核级隐藏技术(Rootkit)
- 磁盘启动级隐藏技术(Bootkit)
- MBR
- BIOS
- NTLDR
- boot.ini
- 还原软件对抗技术
6.3.2. 后门免杀¶
- 传统静态代码检测
- 加壳
- 添加花指令
- 输入表免杀
- 启发式代码检测
- 动态函数调用
- 云查杀
- 动态增大自身体积
- 更改云查杀服务器域名解析地址
- 断网
- 利用散列碰撞绕过云端“白名单”
- 攻击主防杀毒软件
- 更改系统时间
- 窗口消息攻击
- 主动发送IRP操纵主防驱动
- 利用证书信任
- 盗取利用合法证书
- 利用散列碰撞伪造证书
- 利用合法程序 DLL劫持问题的“白加黑”
6.3.3. 检测技术¶
- 基于自启动信息的检测
- 基于进程信息的检测
- 基于数据传输的检测
- Rootkit/Bootkit的检测
6.3.4. 后门分析¶
- 动态分析
- 静态分析
- 反病毒引擎扫描
- 文件格式识别
- 文件加壳识别及脱壳
- 明文字符串查找
- 链接库及导入/导出函数分析