【文章內(nèi)容簡(jiǎn)介】 1. 進(jìn)程注入技術(shù) ? 當(dāng)前操作系統(tǒng)中都有 系統(tǒng)服務(wù)和網(wǎng)絡(luò)服務(wù) ，它們都在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載。進(jìn)程注入技術(shù)就是將這些與服務(wù)相關(guān)的可執(zhí)行代碼作為載體，惡意代碼程序?qū)⒆陨砬度氲竭@些可執(zhí)行代碼之中，實(shí)現(xiàn)自身隱藏和啟動(dòng)的目的。 ? 這種形式的惡意代碼只須安裝一次，以后就會(huì)被自動(dòng)加載到可執(zhí)行文件的進(jìn)程中，并且會(huì)被多個(gè)服務(wù)加載。只有系統(tǒng)關(guān)閉時(shí)，服務(wù)才會(huì)結(jié)束，所以惡意代碼程序在系統(tǒng)運(yùn)行時(shí)始終保持激活狀態(tài)。比如惡意代碼“ WinEggDropShell”可以注入 Windows 下的大部分服務(wù)程序。 2. 三線程技術(shù) ? 在 Windows 操作系統(tǒng)中引入了線程的概念，一個(gè)進(jìn)程可以同時(shí)擁有多個(gè)并發(fā)線程。 ? 三線程技術(shù)就是指一個(gè)惡意代碼進(jìn)程同時(shí)開啟了三個(gè)線程，其中一個(gè)為 主線程 ，負(fù)責(zé)遠(yuǎn)程控制的工作。另外兩個(gè)輔助線程是 監(jiān)視線程和守護(hù)線程 ，監(jiān)視線程負(fù)責(zé)檢查惡意代碼程序是否被刪除或被停止自啟動(dòng)。守護(hù)線程注入其它可執(zhí)行文件內(nèi)，與惡意代碼進(jìn)程同步，一旦進(jìn)程被停止，它就會(huì)重新啟動(dòng)該進(jìn)程，并向主線程提供必要的數(shù)據(jù)，這樣就能保證惡意代碼運(yùn)行的可持續(xù)性。例如，“中國(guó)黑客”等就是采用這種技術(shù)的惡意代碼。 3. 端口復(fù)用技術(shù) ? 端口復(fù)用技術(shù)， 系指重復(fù)利用系統(tǒng)網(wǎng)絡(luò)打開的端口（如 2 80、 135和 139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。 端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下復(fù)用，具有很強(qiáng)的欺騙性。例如，特洛伊木馬“ Executor”利用 80 端口傳遞控制信息和數(shù)據(jù)，實(shí)現(xiàn)其遠(yuǎn)程控制的目的。 4. 超級(jí)管理技術(shù) ? 一些惡意代碼還具有攻擊反惡意代碼軟件的能力。為了對(duì)抗反惡意代碼軟件，惡意代碼采 用超級(jí)管理技術(shù)對(duì)反惡意代碼軟件系統(tǒng)進(jìn)行拒絕服務(wù)攻擊，使反惡意代碼軟件無(wú)法正常運(yùn)行。 例如，“廣外女生”是一個(gè)國(guó)產(chǎn)的特洛伊木馬，它采用超級(jí)管理技術(shù)對(duì)“金山毒霸”和“天網(wǎng)防火墻”進(jìn)行拒絕服務(wù)攻擊。 5. 端口反向連接技術(shù) ? 防火墻對(duì)于外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流有嚴(yán)格的訪問(wèn)控制策略，但對(duì)于從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)卻疏于防范。 端口反向連接技術(shù)，系指令惡意代碼攻擊的服務(wù)端（被控制端）主動(dòng)連接客戶端（控制端）。 ? 國(guó)外的“ Boi”是最先實(shí)現(xiàn)這項(xiàng)技術(shù)的木馬程序，它可以通過(guò) ICO、 IRC、 HTTP 和反向主動(dòng)連接這 4 種方式聯(lián)系客戶端。國(guó)內(nèi)最早實(shí)現(xiàn)端口反向連接技術(shù)的惡意代碼是“網(wǎng)絡(luò)神偷”。“灰鴿子”則是這項(xiàng)技術(shù)的集大成者，它內(nèi)置 FTP、域名、服務(wù)端主動(dòng)連接這 3 種服務(wù)端在線通知功能。 6. 緩沖區(qū)溢出攻擊技術(shù) ? 緩沖區(qū)溢出漏洞攻擊占遠(yuǎn)程網(wǎng)絡(luò)攻擊的 80％，這種攻擊可以使一個(gè)匿名的 Inter 用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)，代表了一類嚴(yán)重的安全威脅。惡意代碼利用系統(tǒng)和網(wǎng)絡(luò)服務(wù)的安全漏洞植入并且執(zhí)行攻擊代碼，攻擊代碼以一定的權(quán)限運(yùn)行有緩沖區(qū)溢出漏洞的程序，從而獲得被攻擊主機(jī)的控制權(quán)。 ? 緩沖區(qū)溢出攻擊成為惡意代碼從被動(dòng)式傳播轉(zhuǎn)為主動(dòng)式傳播的主要途徑。例如，“紅色代碼”利用 IIS Server 上 Indexing Service 的緩沖區(qū)溢出漏洞完成攻擊、傳播和破壞等惡意目的?！澳崮愤_(dá)蠕蟲”利用 IIS ，以及紅色代碼 II 所留下的后門，完成其傳播過(guò)程。 惡意代碼的隱蔽技術(shù) ? 隱藏通常包括 本地隱藏和通信隱藏。 ? 本地隱藏主要包括：文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏、編譯器隱藏等。 ? 網(wǎng)絡(luò)隱藏主要包括：通信內(nèi)容隱藏和傳輸通道隱藏。 1. 本地隱藏 ? 本地隱蔽是指為了防止本地系統(tǒng)管理人員覺(jué)察而采取的隱蔽手段。本地系統(tǒng)管理人員通常使用“ 查看進(jìn)程列表 ”，“ 查看目錄 ”，“ 查看內(nèi)核模塊 ”，“ 查看系統(tǒng)網(wǎng)絡(luò)連接狀態(tài) ”等管理命令來(lái)檢測(cè)系統(tǒng)是否被植入了惡意代碼。 隱蔽手段 ? 隱蔽手段主要有三類： ? 一類方法是將惡意代碼隱蔽（附著、捆綁或替換）在合法程序中，可以避過(guò)簡(jiǎn)單管理命令的檢查； ? 另一類方法是如果惡意代碼能夠修改或替換相應(yīng)的管理命令，也就是把相應(yīng)管理命令惡意代碼化，使相應(yīng)的輸出信息經(jīng)過(guò)處理以后再顯示給用戶，就可以很容易地達(dá)到蒙騙管理人員，隱蔽惡意代碼自身的目的； ? 還有一類方法是分析管理命令的檢查執(zhí)行機(jī)制，利用管理命令本身的弱點(diǎn)巧妙地避過(guò)管理命令，可以達(dá)到既不修改管理命令，又達(dá)到隱蔽的目的。 本地隱藏包括 5個(gè)方面 （ 1）文件隱蔽。 （ 2）進(jìn)程隱蔽。 （ 3）網(wǎng)絡(luò)連接隱蔽。 （ 4）編譯器隱蔽。 （ 5） RootKit 隱蔽。 （ 1）文件隱蔽 1. 定制文件名：使惡意代碼的文件更名為系統(tǒng)合法程序文件名，或者將惡意代碼文件附加到合法程序文件中。 2. 惡意代碼可以修改與文件系統(tǒng)操作有關(guān)的命令，使它們?cè)陲@示文件系統(tǒng)信息時(shí)將惡意代碼隱蔽。 3. 對(duì)硬盤進(jìn)行低級(jí)操作，將一些扇區(qū)標(biāo)志為壞塊，將文件隱藏在這些位置。 4. 惡意代碼可以將文件放在引導(dǎo)扇區(qū)中避免一般合法用戶發(fā)現(xiàn)。 （ 2）進(jìn)程隱蔽 ? 惡意代碼可以通過(guò)附著或者替換系統(tǒng)進(jìn)程，使惡意代碼以合法服務(wù)的身份運(yùn)行，這樣可以很好地隱蔽惡意代碼。 ? 可以修改進(jìn)程列表程序，修改命令行參數(shù)是惡意代碼進(jìn)程信息無(wú)法查詢。 ? 也可以借助 RootKit技術(shù)實(shí)現(xiàn)進(jìn)程隱藏。 （ 3）網(wǎng)絡(luò)連接隱蔽 ? 借用現(xiàn)有的服務(wù)端口實(shí)現(xiàn)網(wǎng)絡(luò)連接隱蔽 （ 4）編譯器隱蔽 此種惡意代碼的植入者是編譯器開發(fā)人員，主要思路如下： 修改編譯器源代碼 A，植入惡意代碼，包括針對(duì)特定程序的惡意代碼和針對(duì)編譯器的惡意代碼。修改后的編譯器源代碼稱為 B。 用干凈的編譯器 C對(duì) B進(jìn)行編譯得到被感染的編譯器 D。 刪除 B,保留 D和 A，將 D和 A同時(shí)發(fā)布。 （ 5） RootKit 隱蔽 ? 用戶模式的 RootKit和內(nèi)核模式下的 RootKit。 ? 用戶模式的 RootKit修改二進(jìn)制文件，或者修改內(nèi)存中的一些進(jìn)程。隱藏自己的方式是修改可能發(fā)現(xiàn)自己的進(jìn)程。例如，修改 ，使之不能顯示惡意代碼使用的網(wǎng)絡(luò)連接。 ? 內(nèi)核模式下的 RootKit直接修改底層系統(tǒng)功能，如系統(tǒng)服務(wù)調(diào)用表，使自己的系統(tǒng)服務(wù)調(diào)用函數(shù)替代原來(lái)的函數(shù)，或者修改一些系統(tǒng)內(nèi)部數(shù)據(jù)結(jié)構(gòu)比如活動(dòng)進(jìn)程鏈表等，從而可以更加可靠的隱藏自己。 2. 網(wǎng)絡(luò)隱蔽 ? 現(xiàn)在計(jì)算機(jī)用戶的安全意識(shí)較以前有了很大提高。在網(wǎng)絡(luò)中，普遍采用了防火墻、入侵檢測(cè)和漏洞掃描等安全措施。那種使用傳統(tǒng)通信模式的惡意代碼客戶端與服務(wù)端之間的會(huì)話已不能逃避上述安全措施的檢測(cè)，惡意代碼需要使用更加隱蔽的通信方式。 ? 使用加密算法對(duì)所傳輸?shù)膬?nèi)容進(jìn)行加密能夠隱蔽通信內(nèi)容。隱蔽通信內(nèi)容雖然可以保護(hù)通信內(nèi)容，但無(wú)法隱蔽通信狀態(tài)，因此傳輸信道的隱蔽也具有重要的意義。對(duì)傳輸信道的隱蔽主要采用隱蔽通道技術(shù)。美國(guó)國(guó)防部可信操作系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)對(duì)隱蔽通道進(jìn)行了如下定義： ? 隱蔽通道是允許進(jìn)程違反系統(tǒng)安全策略傳輸信息的通道。隱蔽通道分為兩種類型：存儲(chǔ)隱蔽通道和時(shí)間隱蔽通道。存儲(chǔ)隱蔽通道是一個(gè)進(jìn)程能夠直接或間接訪問(wèn)某存儲(chǔ)空間，而該存儲(chǔ)空間又能夠被另一個(gè)進(jìn)程所訪問(wèn)，這兩個(gè)進(jìn)程之間所形成的通道稱之為存儲(chǔ)隱蔽通道。時(shí)間隱蔽通道是一個(gè)進(jìn)程對(duì)系統(tǒng)性能產(chǎn)生的影響可以被另外一個(gè)進(jìn)程觀察到并且可以利用一個(gè)時(shí)間基準(zhǔn)進(jìn)行測(cè)量，這樣形成的信息傳遞通道稱為時(shí)間隱蔽通道。 網(wǎng)絡(luò)蠕蟲 ? 隨著網(wǎng)絡(luò)系統(tǒng)應(yīng)用及復(fù)雜性的增加，網(wǎng)絡(luò)蠕蟲成為網(wǎng)絡(luò)系統(tǒng)安全的重要威脅。在網(wǎng)絡(luò)環(huán)境下，多樣化的傳播途徑和復(fù)雜的應(yīng)用環(huán)境使網(wǎng)絡(luò)蠕蟲的發(fā)生頻率增高、潛伏性變強(qiáng)、覆蓋面更廣，網(wǎng)絡(luò)蠕蟲成為惡意代碼研究中重中之重。 網(wǎng)絡(luò)蠕蟲的定義 ? 網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化的計(jì)算機(jī)程序，綜合了網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒等技術(shù)，是一種無(wú)需計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊