开发技术
- 管控功能实现技术
系统管理:查看系统基本信息,进程管理,服务管理文件管理:复制/粘贴文件,删除文件/目录,下载/上传文件等Shell管理 击键记录监控 屏幕截取 音频监控 视频监控 隐秘信息查看 移动磁盘的动态监控 远程卸载
- 自启动技术
Windows自启动 基于Windows启动目录的自启动 基于注册表的自启动基于服务程序的自启动 基于ActiveX控件的自启动 基于计划任务(Scheduled Tasks)的自启动 Linux自启动
- 用户态进程隐藏技术
基于DLL插入的进程隐藏 远程线程创建技术 设置窗口挂钩(HOOK)技术 基于SvcHost共享服务的进程隐藏 进程内存替换
- 数据穿透和躲避技术
反弹端口协议隧道 HTTP MSN Google Talk
- 内核级隐藏技术(Rootkit)
- 磁盘启动级隐藏技术(Bootkit)
MBR BIOS NTLDR boot.ini
- 还原软件对抗技术
后门免杀
- 传统静态代码检测
加壳 添加花指令 输入表免杀
- 启发式代码检测
动态函数调用
- 云查杀
动态增大自身体积 更改云查杀服务器域名解析地址 断网 利用散列碰撞绕过云端“白名单”
- 攻击主防杀毒软件
更改系统时间 窗口消息攻击 主动发送IRP操纵主防驱动
- 利用证书信任
盗取利用合法证书 利用散列碰撞伪造证书 利用合法程序 DLL劫持问题的“白加黑”
检测技术
- 基于自启动信息的检测
- 基于进程信息的检测
- 基于数据传输的检测
- Rootkit/Bootkit的检测
后门分析
- 动态分析
- 静态分析
反病毒引擎扫描 文件格式识别 文件加壳识别及脱壳 明文字符串查找 链接库及导入/导出函数分析
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/28041.html