网络 病毒分析

1、2021-7-91 网络与信息安全技术 计算机病毒分析 2021-7-92 1 计算机病毒的状态 n计算机病毒在传播过程中存在两种状态，即静态和动 态 q静态病毒，是指存在于辅助存储介质中的计算机病毒，一般 不能执行病毒的破坏或表现功能，其传播只能通过文件下载 (拷贝)实现 q因为静态病毒尚未被加载、尚未进入内存，不可能获取系统 的执行权限 q病毒之所以处于静态，有两种可能 n没有用户启动该病毒或运行感染了该病毒的文件 n该病毒存在于不可执行它的系统中 q当病毒完成初始引导，进入内存后，便处于动态。动态病毒 本身处于运行状态，通过截流盗用系统中断等方式监视系统 运行状态或窃取系统控制权。病毒的

2、主动传染和破坏作用， 都是动态病毒的“杰作” 2021-7-93 1 计算机病毒的状态 n计算机病毒的基本流程与状态转换 q病毒由静态转变为动态的过程，称为病毒的启动。实际上， 病毒的启动过程就是病毒的首次激活过程 q内存中的动态病毒又有两种状态：可激活态和激活态。 n当内存中的病毒代码能够被系统的正常运行机制所执行时，动 态病毒就处于可激活态 n一般而言，动态病毒都是可激活的 n系统正在执行病毒代码时，动态病毒就处于激活态 n病毒处于激活态时，不一定进行传染和破坏；但进行传染和破 坏时，必然处于激活态 n对于处于不同状态的病毒，应采用不同的分析、清除 手段 2021-7-94 1 计算机病毒

3、的状态 计算机病毒的基本流程与状态转换计算机病毒的基本流程与状态转换 动态 病毒 静态 病毒 引导加载， 设置激活、 触发条件 病毒感染 病毒破坏 满足 激活条件？ 满足 破坏条件？ 满足 满足 潜伏或消散 不满足 可激 活态 激活 态 满足 感染条件？ 不满足 满足 不满足 2021-7-95 2 计算机病毒的基本环节 n计算机病毒要完成一次完整的传播破坏过程， 必须经过以下几个环节： q分发拷贝阶段 q潜伏繁殖阶段 q破坏表现阶段 n在任何一个环节(阶段)都可以抑制病毒的传播、 蔓延，或者清除病毒 n我们应当尽可能地在病毒进行破坏性攻击之前 切断病毒传染源、抑制病毒的传播蔓延 2021-7

4、-96 病毒的目的 n快速传染 n隐藏自己 n变形 2021-7-97 病毒感染的一般过程 计算机病毒的感染过程与生物学病毒的感染过程非常 相似，它寄生在宿主程序中，进入计算机，并借助操作系 统和宿主程序的运行，复制自身，大量繁殖。计算机病毒 感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权。 寻找感染的突破口。 将病毒程序嵌入感染目标中。 2021-7-98 文件型病毒传染原理和特征 感染方式1 感染方式2 病毒代码 HOST程序代码 HOST程序代码头病毒代码 HOST程序代码头 HOST程序代码 HOST程序代码头 HOST程序代码 感染 MZ文件头 PE/NE文件头 感

5、染前的程序 MZ文件头(修改后) PE/NE文件头(修改后) 感染前的程序 病毒代码 2021-7-99 核心态与用户态 n操作系统代码、设备驱动程序代码使用特权级0(Ring 0)，工作于系统核心态 n普通的用户程序使用特权极3(Ring 3) ，工作在用户态 Win32应用程序 Win32子系统动态连接库 Ntdll.dll 内存、进程、线程、IO等管理 核心体设备驱动程序 硬件抽象层(HAL) 用户态(Ring 3) 核心态(Ring 0) Win32应用程序 Windows 2000/XP下下 普通应用程序普通应用程序 对核心态功能的对核心态功能的 调用示意调用示意 2021-7-91

6、0 获取API函数地址 qWin32程序一般运行在Ring 3级，处于保护模式 qWin32下的系统功能调用，不是通过中断实现，而 是通过调用动态连接库中的API函数实现 qWin32 PE病毒和普通Win32 PE程序一样需要调用 API函数实现某些功能，但是对于Win32 PE病毒来 说，它只有代码节，并不存在引入函数节 q病毒就无法象普通PE程序那样直接调用相关API函 数，而应该先找出这些API函数在相应DLL中的地 址 2021-7-911 搜索感染目标文件 n搜索文件是病毒寻找目标文件的非常重要的功能 n在Win32汇编中，通常采用如下几个API函数进行文 件搜索 qFindFir

7、stFile n根据文件名查找文件 qFindNextFile n根据调用FindFirstFile函数时指定的一个文件名查找下一个文件 qFindClose n用来关闭由FindFirstFile函数创建的一个搜索句柄 2021-7-912 病毒感染技术 n感染是一个病毒赖以长期存活的根本，所以要大规模的搜索，感 染感染再感染！ nFindFirstFile，FindNextFile，FindClose，除非你hook了某些系统 API（参考Win32.Kriz)，否则这三个API是Win32病毒必备的、搜 索再搜索，感染再感染。 n目前Win32病毒分为两个主流，一类最常见，覆盖host程

8、序最后一 个section的relocation，或者干脆直接缀在最后一个section后面， 把它扩大一些。这种技术很简单，例子可参见Funlove，有着复杂 的polymorphism引擎，体积比较大的病毒一般也都用这种技术。 n第二类就是像Elkern那样把自己尽可能地插进host体内，尽可能地 插，对于VC编译出来的PE文件，它的file alignment是4K，所以 section之间的空隙加起来很可能有4，5K，足可以容下一个Win32 病毒。这种技术比较麻烦一些，调试也复杂，主要流行的有Elkern。 2021-7-913 蠕虫传染原理 2021-7-914 蠕虫与漏洞 n网络

9、蠕虫最大特点是 利用各种漏洞进行自 动传播 n根据网络蠕虫所利用 漏洞的不同，又可以 将其细分 q邮件蠕虫 n主要是利用 MIME(Multipurpose Internet Mail Extension Protocol， 多用途的网际邮件扩 充协议)漏洞 包含蠕虫 的邮件 非法的 MIME头部 解出的 蠕虫程序 感染机器 Content-Type: audio/x-wav; name=worm.exe Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgA

10、P8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw MIME描述漏洞描述漏洞 2021-7-915 蠕虫与漏洞 q网页蠕虫（木马） n主要是利用IFrame漏洞和MIME漏洞 n网页蠕虫可以分为两种 q用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫， 这是直接沿用邮件蠕虫的方法 q用IFram

11、e漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它， 完成蠕虫传播 q系统漏洞蠕虫 n利用RPC溢出漏洞的冲击波、冲击波杀手 n利用LSASS溢出漏洞的震荡波、震荡波杀手 n系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并 尝试溢出，然后将自身复制过去 n它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃， 属于最不受欢迎的一类蠕虫 2021-7-916 蠕虫的工作方式与扫描策略 n蠕虫的工作方式一般是“扫描攻击复制” 随机生成 IP地址 有些蠕虫给出确定的地址范围， 还有一些给出倾向性策略，用于 产生某个范围内的IP地址

12、地址探测 主机是否 存在? 漏洞是否 存在? 攻击、传染 现场处理 虚线框内的所有工作 可以在一个数据包内完成 是是 否否 2021-7-917 蠕虫的工作方式与扫描策略 n蠕虫的扫描策略 q现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到 尽量多的计算机中 q扫描模块采用的扫描策略是：随机选取某一段IP地址，然后 对这一地址段上的主机进行扫描 q没有优化的扫描程序可能会不断重复上面这一过程，大量蠕 虫程序的扫描引起严重的网络拥塞 n对扫描策略的改进 q在IP地址段的选择上，可以主要针对当前主机所在的网段进 行扫描，对外网段则随机选择几个小的IP地址段进行扫描 q对扫描次数进行限制，只进行

13、几次扫描 q把扫描分散在不同的时间段进行 2021-7-918 蠕虫的工作方式与扫描策略 n蠕虫常用的扫描策略 q选择性随机扫描(包括本地优先扫描) q可路由地址扫描(Routable Scan) q地址分组扫描(Divide-Conquer Scan) q组合扫描(Hybrid Scan) q极端扫描(Extreme Scan) 2021-7-919 感染的主机数与感染强度示意图 感染强度 感 染 的 主 机 数 慢启动 阶段 缓消失阶段 快速传染 阶段 2021-7-920 木马的传染方式 2021-7-921 特洛伊木马的定义 n特洛伊木马(Trojan Horse)，简称木马，是一 种

14、恶意程序，是一种基于远程控制的黑客工具， 一旦侵入用户的计算机，就悄悄地在宿主计算 机上运行，在用户毫无察觉的情况下，让攻击 者获得远程访问和控制系统的权限，进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘，或窃取用户信息 n古希腊特洛伊之战中利用木马攻陷特洛伊城； 现代网络攻击者利用木马，采用伪装、欺骗 (哄骗，Spoofing)等手段进入被攻击的计算机 系统中，窃取信息，实施远程监控 2021-7-922 特洛伊木马的定义 n木马与病毒 q一般情况下，病毒是依据其能够进行自我复制即传染性的特 点而定义的 q特洛伊木马主要是根据它的有效载体，或者是其功能来定义 的，更多

15、情况下是根据其意图来定义的 q木马一般不进行自我复制，但具有寄生性，如捆绑在合法程 序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌 入技术寄生在合法程序的进程中 q木马一般不具有普通病毒所具有的自我繁殖、主动感染传播 等特性，但我们习惯上将其纳入广义病毒，也就是说，木马 也是广义病毒的一个子类 n木马的最终意图是窃取信息、实施远程监控 n木马与合法远程控制软件(如pcAnyWhere)的主要区 别在于是否具有隐蔽性、是否具有非授权性 2021-7-923 特洛伊木马的结构 n木马系统软件一般由木马配置程序、控制程序 和木马程序(服务器程序)三部分组成 配置 控制 响应 木马程序 配置程

16、序 控制程序 木马服务器木马控制端(客户端) 2021-7-924 特洛伊木马的基本原理 n运用木马实施网络入侵的基本过程 木马 信息 控制端Internet服务端 配置木马 传播木马 运行木马 信息反馈 建立连接 远程控制 2021-7-925 特洛伊木马的基本原理 n用netstat查看木马打开的端口 6 6 6267 6267 021096ESTABLISHED LISTENING : : : ProtoLocal AddressForeign AddressState TCP TCP 服务端IP地址木

17、马 端口 控制端IP地址控制端 端口 连接状态： 连接已建立 等待连接 2021-7-926 特洛伊木马的基本原理 n木马控制端与服务端连接的建立 q控制端要与服务端建立连接必须知道服务端的木马 端口和IP地址 q由于木马端口是事先设定的，为已知项，所以最重 要的是如何获得服务端的IP地址 q获得服务端的IP地址的方法主要有两种：信息反馈 和IP扫描 2021-7-927 特洛伊木马的基本原理 木马控制端与服务端连接的建立木马控制端与服务端连接的建立 2021-7-928 特洛伊木马的基本原理 n木马通道与远程控制 q木马连接建立后，控制端端口和服务端木马端口之 间将会出现一条通道 q控制端上

18、的控制端程序可藉这条通道与服务端上的 木马程序取得联系，并通过木马程序对服务端进行 远程控制，实现的远程控制就如同本地操作 控制端 程序 木马 程序 10966267 控制端服务端 窃取密码 文件操作 修改注册表 系统操作 2021-7-929 特洛伊木马的基本原理 n木马的基本原理 q特洛伊木马包括客户端和服务器端两个部分，也就是说，木 马其实是一个服务器-客户端程序 q攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马 服务器绑定到某个合法软件上，诱使用户运行合法软件。只 要用户运行该软件，特洛伊木马的服务器就在用户毫无察觉 的情况下完成了安装过程 q攻击者要利用客户端远程

19、监视、控制服务器，必需先建立木 马连接；而建立木马连接，必需先知道网络中哪一台计算机 中了木马 q获取到木马服务器的信息之后，即可建立木马服务器和客户 端程序之间的联系通道，攻击者就可以利用客户端程序向服 务器程序发送命令，达到操控用户计算机的目的 2021-7-930 特洛伊木马的传播方式 n木马常用的传播方式，有以下几种： q以邮件附件的形式传播 n控制端将木马伪装之后添加到附件中，发送给收件人 q通过OICQ、QQ等聊天工具软件传播 n在进行聊天时，利用文件传送功能发送伪装过的木马程序给对 方 q通过提供软件下载的网站(Web/FTP/BBS)传播 n木马程序一般非常小，只有是几K到几十

20、K，如果把木马捆绑到 其它正常文件上，用户是很难发现的，所以，有一些网站被人 利用，提供的下载软件往往捆绑了木马文件，在用户执行这些 下载的文件的同时，也运行了木马 q通过一般的病毒和蠕虫传播 q通过带木马的磁盘和光盘进行传播 2021-7-931 特洛伊木马技术的发展 n木马的发展及成熟，大致也经历了两个阶段 qUnix阶段 qWindows阶段 n木马技术发展至今，已经经历了4代 q第一代木马 n只是进行简单的密码窃取、发送等，没有什么特别之处 q第二代木马 n在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马 的典型代表之一 q第三代木马 n在数据传输技术上，又做了不小的改进，

21、出现了ICMP等类型的木马， 利用畸形报文传递数据，增加了查杀的难度 q第四代木马 n在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式， 利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(Process Status API)，实现木马程序的隐藏 2021-7-932 U盘病毒的特点 n随着U盘等移动存储介质使用的越来越广泛，它已经成为木马、病 毒等传播的主要途径之一。 nU盘病毒，并不是单指某一种病毒，也不是说只是通过U盘传播的 病毒，而是泛指所 有通过移动存储介质进行传播的病毒 q事实上它可以通过系统上所有的分区进行传播,只是因为很多 时候 它们都表现在U盘上，所以我们才

22、统称这些病毒为U盘病毒 n目前U盘病毒传播的方式主要有以下几种： q1、通过autorun.inf文件进行传播的(目前U盘病毒最普遍的传播方 式） q2、伪装成其他文件，病毒把U盘下所有文件夹隐藏，并把自己复 制成与原文件夹名称相同的具有文 件夹图标的文件，当你点击时 病毒会执行自身并且打开隐藏的该名称的文件夹。 q 3、通过可执行文件感染传播，很古老的一种传播手段，但是依然 有效。 2021-7-933 1.关键文件关键文件Autorun.inf nAutorun.inf文件本身并不是病毒，它是自动运 行的一个配置文件。这个文件通常在驱动器的 根目录下(是一个隐 藏的系统文件)，文件的内 容

23、包含着一些简单的命令，告诉系统这个新插 入的光盘或硬件应该自动启动什么程序，也可 以告诉系统让系统将它的盘符图标改成某个路 径下的图标，它的格式通常是下面这样： qAutoRun open=auto.exe /自动运行auto.exe程序 shellexecute=auto.exe/启动指定的auto.exe shellAutocommand=auto.exe/定义设备右键菜单 执行命令行，右键U盘的时候会出现auto菜单 2021-7-934 1.关键文件关键文件Autorun.inf n由于windows系统中的自动播放功能默认情况下是处 于未配置的状态。这就使得只要在机器上接入移 动的

24、存储介质，就会自动的播放。这个原因也是导致U盘 病毒传播的一个最主要的因素。 n我们只要在 U盘的根目录下建立autorun.inf文件和某 些特定的执行程序，并把执行程序的路径和名字写到 autorun.inf文件中，就可以在U盘插入系统后自动运 行该执行文件，而这些执行程序可以是任何我们想 要 它运行程序（病毒、木马、灰色软件等等）。 2021-7-935 解决办法解决办法 -1 n1、关闭“Shell Hardware Detection”服务，关闭这个 服务后再放入光盘或U盘时系统将不再扫描 这些移动 介质的内容，也就不会运行Autorun.inf中所配置的文 件了。 n关闭服务的方法

25、如下： 单击开始菜单的运行，输入 “services.msc”（也可以通过点击开始-设置-控制 面板-管理工具 -服务）来打开服务窗口，在窗口右 侧显示的内容中找到“名称”列，在“名称”列里找 到 “Shell Hardware Detection”（可以随便单击一下 “名称”列里的内容，再按键盘上的S键，快速 地定 位），单击右键，再单击属性弹出属性对话框，先选 择停止，然后在常规选项卡里的“启动 类型(E)”右边 的下拉菜单中选择“已禁用”，最后确定退出，重启 计算机即可。 2021-7-936 解决办法解决办法 -2 n2、关闭windows的自动播放功能，方法如下： 在开始、运行中输入

26、gpedit.msc后回车。会出 现组策略的控制窗口，在该窗口中选择 计算 机设置-管理模板-系统-关闭自动播放，双 击关闭自动播放，然后选择已启用，选择关闭 所 有驱动器。 2021-7-937 解决办法解决办法 -3 n3、修改注册表来禁止自动播放，方法如下： 在开始运行中输入 regedit.exe后回车，调出注册表编辑器，定位到 HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Policies/Expolrer 进行修改。 NoDriveTypeAutoRun 指 定按设备类型禁止自动播放。 1：未知类型，4：可

27、移动磁盘，8： 硬盘，10：网络驱动器，20：光驱，40：RAM驱动器，80： 未 知类型，FF：所有类型。若要禁止某一类型自动播放，直接使用 对应的值，若要禁止几种类型， 则使用它们数值相加的值，如 95=1+4+10+80，91=1+10+80， b5=1+4+10+20+80。 NoDriveAutoRun指定按盘符禁止自动播放。相关设置可以参考 NoDrives值，最大值为 hex:ff,ff,ff,03，禁止所有盘自动播放。 2021-7-938 2.披着各种伪装的披着各种伪装的U盘病毒盘病毒 nU盘原来存在的文件夹全部被隐藏，取而代之的是一个伪装成文件 夹图标的EXE文件。 n因为

28、操作系统缺省情况下，并不显示已知文件类型的文件扩展名， 也就是说类似于“我的工作报告.exe”的程序，缺省情况下我们只看 到“我的工作报告”，并且这个文件看上去就是个文件夹，很多人 就会去直接双击访问。 n又是Windows 缺省设置在帮助病毒传播者欺骗用户，缺省情况下 windows 不显示文件扩展名。 nU盘病毒伪装者利用社会工程学成功的入侵了超过50万台PC。 2021-7-939 解决办法 n如果你修改了文 件夹选项，配置 了显示文件的扩 展名，这个文件 夹伪装者就会露 出真面目 2021-7-940 病毒高级技术 2021-7-941 驻留在内存 n为了生存，病毒要尽可能长时间地驻留

29、在内存 中，而不是host程序一结束就完蛋了。 n有三种种方法，一是象Funlove那样在系统目 录里释放一个文件，并修改注册表或者建立一 个系统服务。这种方式很普通，也很普遍，大 多数病毒包括蠕虫都这么干。 n另一种方式则是感染所有的已运行进程。在 Win2K下很容易实现,CreateRemoteThread， 但要想在所有Win32平台下实现，则要比较高 的技巧。 n工作在ring 0病毒，内核模式病毒。 2021-7-942 内核模式病毒 nWindowsNT/2K环境下第一个以内核模式驱动程序运 行，并驻留内存的寄生型病毒是Infis. nInfis作为内核模式驱动程序驻留内存，并且挂

30、钩文件 操作，它能够在文件打开时立即感染该文件。 n安装程序把病毒拷贝到系统内存中，并在系统注册表 中添加该病毒的注册项。该病毒把自己的可执行代码 连同自己的PE文件头一起追加到目标文件的末尾， 然后从自己代码中提取出一个名为INF.SYS的独立驱 动程序，把这个程序保存在%SystemRoot% system32 drivers目录下，修改注册表，保证下一次 系统启动时病毒也能够进入运行状态。 2021-7-943 检测方法 n检查系统驱动程序列表中已经装入的驱动程序 的名称，如果在驱动程序列表中发现了病毒驱 动程序，说明基本上感染了病毒 n病毒可能使用隐藏技术避免在驱动程序列表中 出现，需

31、要通过计算机管理器中的驱动程序列 表。 2021-7-944 病毒的隐藏技术 n隐藏是病毒的天性，在业界对病毒的定义里，“隐蔽 性”就是病毒的一个最基本特征，任何病毒都希望在 被感染的计算机中隐藏起来不被发现，因为病毒都只 有在不被发现的情况下，才能实施其破坏行为。为了 达到这个目的，许多病毒使用了各种不同的技术来躲 避反病毒软件的检验，这样就产生了各种各样令普通 用户头痛的病毒隐藏形式。 n隐藏窗口 & 隐藏进程 & 隐藏文件 q桌面看不到 q任务管理器中不可见 q文件中看不到 2021-7-945 进程隐藏 nWindows 9x中的任务管理器是不会显示服务 类进程，结果就被病毒钻了空子，

32、病毒将自身 注册为“服务进程”，可以躲避用户的监视。 nWindows2000/xp/2003等操作系统上已经无效 了，直接使用系统自带的任务管理器便能发现 和迅速终止进程运行 。 2021-7-946 通过DLL实现进程隐藏 nWindows系统的另一种“可执行文件”-DLL，DLL文件没有程序 逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进 程加载并调用的。 n运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32 是Windows自带的动态链接库工具，可以用来在命令行下执行动态 链接库中的某个函数，Rundll32的使用方法如下： Rundl

33、l32 DllFileName FuncName 例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个 MyFunc的函数，那么，我们通过Rundll32.exe MyDll.dll MyFunc 就可以执行MyFunc函数的功能。 假设我们在MyFunc函数中实现了病毒的功能，那么我们不就 可以通过Rundll32来运行这个病毒了么？在系统管理员看来，进程 列表中增加的是Rundll32.exe而并不是病毒文件，这样也算是病毒 的一种简易欺骗和自我保护方法 2021-7-947 特洛伊DLL n特洛伊DLL的工作原理是使用木马DLL替换常用的 DLL文件，通过函数转发器将正常的调

34、用转发给原 DLL，截获并处理特定的消息。 n例如，我们知道WINDOWS的Socket1.x的函数都是 存放在wsock32.dll中的，那么我们自己写一个 wsock32.dll文件，替换掉原先的wsock32.dll（将原 先的DLL文件重命名为wsockold.dll）我们的 wsock32.dll只做两件事，一是如果遇到不认识的调用， 就直接转发给wsockold.dll（使用函数转发器 forward）；二是遇到特殊的请求（事先约定的）就 解码并处理。这样理论上只要木马编写者通过 SOCKET远程输入一定的暗号，就可以控制 wsock32.dll（木马DLL）做任何操作 2021-

35、7-948 动态嵌入技术 nDLL木马的最高境界是动态嵌入技术，动态嵌 入技术指的是将自己的代码嵌入正在运行的进 程中的技术。 n理论上来说，在Windows中的每个进程都有自 己的私有内存空间，别的进程是不允许对这个 私有空间进行操作的，但是实际上，我们仍然 可以利用种种方法进入并操作进程的私有内存 n存在多种动态嵌入技术中：窗口Hook、挂接 API、远程线程 2021-7-949 远程线程技术 n远程线程技术指的是通过在另一个进程中创建远程线 程的方法进入那个进程的内存地址空间。 n在进程中，可以通过CreateThread函数创建线程，被 创建的新线程与主线程（就是进程启动时被同时自动

36、 建立的那个线程）共享地址空间以及其他的资源 n通过CreateRemoteThread也同样可以在另一个进程 内创建新线程，被创建的远程线程同样可以共享远程 进程的地址空间，所以，实际上，我们通过一个远程 线程，进入了远程进程的内存地址空间，也就拥有了 那个远程进程相当的权限。 n这种病毒难以处理。 2021-7-950 文件隐藏 n早期，把病毒文件属性设为隐藏，修改文件不显示隐 藏文件。 n高级阶段通过HOOK文件读取函数，自动隐藏病毒文 件。 n公开的主流检测隐藏文件主要有两种方法：第一种是 文件系统层的检测，属于这一类的有Ice sword， darkspy，gmer等。 n第二种便是

37、磁盘级别的低级检测（Disk Low-Level Scanning），属于这一类的ark也很多，典型代表为 rootkit unhooker，filereg（is的插件），rootkit revealer，blacklight等。 2021-7-951 加壳 n木马再狡猾，可是一旦被杀毒软件定义了特征码，在 运行前就被拦截了。 n要躲过杀毒软件的追杀，很多木马就被加了壳，相当 于给木马穿了件衣服，这样杀毒软件就认不出来了， 但有部分杀毒软件会尝试对常用壳进行脱壳，然后再 查杀。 n除了被动的隐藏外，最近还发现了能够主动和杀毒软 件对着干的壳，木马在加了这种壳之后，一旦运行， 则外壳先得到程序控制权，由其通过各种手段对系统 中安装的杀毒软件进行破坏，最后在确认安全(