恶意代码的实现技术.pdfVIP

2011 N0．04 氡 鬲 dTechnology innovationHerald T技 术 恶意代码的实现技术 袁慎 芳 (湖北威宁职业技术学院 湖北咸宁 437100) 摘 要：本文着重讲述恶意代码实现技术中的攻击渗透技术和隐藏技术。 关键词；本地攻击 一络攻击 进程隐藏 通讯隐藏 中图分类号：TP393．08 文献标识码 ：A 文章编号：1674—098X(2011)02(a)一0O52—01 在实现恶意代码 的过程 中，主要涉及 0utlook的邮件地址列表里面寻找攻击 目 接库，然后通过rundl132．exe；bll载，由于很多 到攻击渗透技术 、自动升级技术、随机启动 标 ，对干缓冲溢 出漏洞攻击，一般都是使用 正常的用户程序也是通过这种方式加载的， 技术 、隐藏技术 、远程控制技术 、破坏技术 random函数随机生成一个 目标IP地址 ，根 进程查看工具通常只显示执行程序名rundl 等六大技术体系。 据溢 出服务确定一个端 口号 132．exe而不显示其执行的对象。 这些技术中，攻击渗透技术和隐藏技 利用邮件攻击的攻击过程就是发送邮 2．2通讯隐藏 术是对恶意代码编写者要求较高的技术 ， 件 ，利用缓冲溢出漏洞攻击 的攻击过程就 为了绕过防火墙的检测 ，恶意代码通 也是影响最为深远的技 术，这两种技术的 是发送shelleode等攻击数据。 常使用远程洼入方式隐藏通讯过程 。虽然 重大创新可能会影响整个安全防护体系。 邮件攻击 的攻击结果需要接收邮件 的 微软声称在Windows中，每个进程都有 自己 下面我将对这两种技术做详细 的阐述 。 用户参与 ，如果接收邮件 的用户没有打开 的私有内存地址空 间，当使用指针访问内 带有恶意代码 的邮件 ，攻击就不会成功，所 存时，一个进程无法访 问另一个进程的内 1攻击渗透技术 以完成攻击的周期比较长 。缓冲溢出漏洞 存地址空 间，但是一个进程仍然有方法将 攻击渗透技术的任务是保证 恶意代码 攻击成功以后 的攻击结果就 是直接控制受 一 段代码插入到另外一个进程 中，常用的 能够植入到 目标主机中去。常见的攻击渗 害主机 。 方法有 三种 ： 透方式有两种：本地攻击和 网络攻击。本地 (I)使用注册表插入DLL恶意代码可以 攻击是早期病毒常用的攻击方法 ，主要攻 2隐藏技术 通过修改注册表中的H【KEY—L0CAL—MA 击对象是本地存储体 ，包括磁盘 的引导区 隐藏的 目的是使常用的检测 工具无法 CHINE＼SoftwareXMicrosoft＼W indowsNT 或者是磁盘上存储的文件等 。网络攻击过 检测到恶意代码的存在 。可以说 ，在某种程 ～CurrentVersion＼Windows＼AppInit_DLLs 程包括邮件攻击和漏洞攻击两种方式。邮 度上 ，恶意代码 的隐藏模块是和检测 工具 来达到插入进程 的目的。这种插入方式在 件攻击 的主要方式是通过获取受害主机内 在争夺对操作系统底层的控制权 ，恶意代 修改注册表后需要重新启动系统才 能完成 部存储 的邮件地址列表作为邮件接收者 ， 码的隐藏模块试 图接管其他检测程序检测 进程插入 过程。 然后将恶意代码 自身作为邮件的附件发送 动作，并从检测结果 中删 除恶意代码需要