• 管控功能实现技术
 系统管理:查看系统基本信息,进程管理,服务管理文件管理:复制/粘贴文件,删除文件/目录,下载/上传文件等Shell管理
 击键记录监控
 屏幕截取
 音频监控
 视频监控
 隐秘信息查看
 移动磁盘的动态监控
 远程卸载
  • 自启动技术
 Windows自启动
 基于Windows启动目录的自启动
 基于注册表的自启动基于服务程序的自启动
 基于ActiveX控件的自启动
 基于计划任务(Scheduled Tasks)的自启动
 Linux自启动
  • 用户态进程隐藏技术
 基于DLL插入的进程隐藏
 远程线程创建技术
 设置窗口挂钩(HOOK)技术
 基于SvcHost共享服务的进程隐藏
 进程内存替换
  • 数据穿透和躲避技术
 反弹端口协议隧道 HTTP MSN Google Talk
  • 内核级隐藏技术(Rootkit)
  • 磁盘启动级隐藏技术(Bootkit)
 MBR
 BIOS
 NTLDR
 boot.ini
  • 还原软件对抗技术

后门免杀

  • 传统静态代码检测
 加壳
 添加花指令
 输入表免杀
  • 启发式代码检测
 动态函数调用
  • 云查杀
 动态增大自身体积
 更改云查杀服务器域名解析地址
 断网
 利用散列碰撞绕过云端“白名单”
  • 攻击主防杀毒软件
 更改系统时间
 窗口消息攻击
 主动发送IRP操纵主防驱动
  • 利用证书信任
 盗取利用合法证书
 利用散列碰撞伪造证书
 利用合法程序 DLL劫持问题的“白加黑”

检测技术

  • 基于自启动信息的检测
  • 基于进程信息的检测
  • 基于数据传输的检测
  • Rootkit/Bootkit的检测

后门分析

  • 动态分析
  • 静态分析
 反病毒引擎扫描
 文件格式识别
 文件加壳识别及脱壳
 明文字符串查找
 链接库及导入/导出函数分析