大家学C语言的时候,可能都写过类似于【成绩管理系统、学生管理系统】的程序吧~ 虽然咱们写的程序都不一样,但是功能都是差不多的,无非是对数据的增、删、改、查!其实,病毒木马的功能也是一样的,大家不要看病毒木马的种类有很多,它们之间的功能都大同小异。特别是黑客们为了更好地对病毒木马技术升级,对抗杀毒软件的查杀,往往都采用模块化的开发方式,一旦某个功能模块被查杀,立马更新迭代,更换相应模块所以,这一期就对病毒木马的功能模块做个总结,看看它们可以划分、归纳为哪些功能模块?每个功能模块下,又包含有哪些相应的技术?
话不多说,咱们开始吧!
功能模块
咱们根据病毒木马的运行过程,来总结病毒木马的功能模块:
植入模块
咱们在【黑客的7种攻击技】的视频中提到过,病毒木马一开始就需要解决的是如何被运行起来的问题,这便是病毒木马光辉生涯的起点。咱们把这个阶段归纳为植入模块,常见的植入技术可以参考【黑客的7种攻击技】视频,常见的有:
软件捆绑
文件名伪装
钓鱼邮件
钓鱼网站
U盘自动播放
漏洞利用
反检测模块
通过植入模块,病毒木马便开始加载到内存中运行起来;不知道大家还记得吗?之前咱们在【杀毒软件6种主流的查杀原理】的视频中介绍,杀毒软件会对即将运行起来的未知文件进行检测,从而决定是否放行?所以,病毒木马在运行起来后的第一件事情,就是要解决杀软检测、查杀的问题,重点是绕过杀软的虚拟机行为检测!咱们把这个阶段归纳为反检测模块,常见的反检测技术包括:
虚拟机检测
调试检测
提权模块
绕过杀毒软件的检测后,病毒木马就可以放心大胆地启动起来了。为了后续能够有更高权限执行更多的操作,病毒木马便会先提升权限,进行提权操作!咱们把这个阶段归纳为提权模块,常见的提取技术包括:
修改进程令牌
Bypass UAC
自启动模块
在提权完成后,此时病毒木马已经拥有至高无上的权限。病毒木马深知自己身处在内存中,但是关键重启或者进程结束,就很难再被运行起来了。所以,自己要自力更生,实现开机自启动。咱们把这个阶段归纳为自启动模块,常见的自启动技术包括:
注册表
快速启动目录
系统配置文件
计划任务
系统服务
WMI
隐藏模块
解决好开机自启动问题后,病毒木马就成功一大半了,因为杀毒软件也明白自启动的危害,所以开机自启动项是杀毒软件重点防线。此时,虽然病毒木马已经在内存中运行起来了,却仍需要时刻提防杀毒软件和用户的察觉,所以病毒木马需要在内存中隐藏好自己,“闷声发大财”嘛,越低调越好!咱们把这个阶段归纳为隐藏模块,常见的隐藏技术包括:
进程伪装
傀儡进程
进程隐藏
服务隐藏
功能模块
解决好内存隐藏问题后,这下病毒木马就可以专注于完成任务啦,尽可能多地收集用户数据!咱们把这个阶段归纳为功能模块,常见的功能技术包括:
文件管理
进程管理
服务管理
音视频管理
远程SHELL
按键记录
U盘监控
通信模块
一旦信息收集好之后,便需要加密、压缩、及时回传到远程服务器。咱们把这个阶段归纳为通信模块,常见的通信技术包括:
加密
压缩
传输
自毁模块
病毒木马越长时间停留在目标电脑上,会增加被捕获的风险。所以,一旦任务完成后,病毒木马需要清除入侵痕迹,还原系统原本摸样,最后静静地删除自己,结束这短暂的一生。咱们把这个阶段归纳为自毁模块,常见的自毁技术包括:
批处理
WIN32 API
总结
就这样,病毒木马的执行流程就总结、概括完了。总的来说,病毒木马几乎都可以划分为:植入模块、反检测模块、提权模块、自启动模块、隐藏模块、功能模块、通信模块、自毁模块。每个模块下,可以细分为不同的技术实现。如果想继续深究这些技术实现的同学,推荐阅读《Windows黑客编程技术详解》这本书,里面详细介绍了病毒木马常用技术的实现原理和具体的实现细节。
病毒木马根据不同的运行阶段,划分了不同阶段的模块任务;就像我们人一样,每个阶段都有每个阶段的烦恼;有时候觉得,按部就班地成长,好像也没什么不好!
视频链接和公众号
视频链接
https://www.bilibili.com/video/BV1a94y127PN