病毒原理7讲解.ppt

7.4.4 木马的真隐藏技术 可以用远程线程技术启动木马DLL，也可以事先将一段代码复制到远程进程的内存空间，然后通过远程线程起动这段代码 无论是采取哪种方式，都是让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好地保护自己 此时的木马，不仅欺骗、进入用户的计算机，甚至进入了用户进程的内部。从某种意义上说，这种木马已经具备了普通病毒的很多特性，如寄生性(与宿主同生共死) 7.4 透视木马开发技术 7.4.5 木马的秘密信道技术 木马程序的数据传递方法 利用TCP、UDP传输数据 利用WinSock与目标机的指定端口建立连接，使用send和recv等API进行数据的传递 这种方法的隐蔽性比较差，在命令行状态下使用netstat命令，就可以查看到当前的活动TCP、UDP连接 攻击者为了不让用户察觉其与木马程序之间的通信，经常使用各种协议来建立控制服务端的秘密通信隧道 利用ICMP协议建立秘密通道 利用HTTP协议建立秘密通道 7.4 透视木马开发技术 7.4.5 木马的秘密信道技术 利用ICMP协议建立秘密通道 ICMP回显请求(type=0)和回显应答(type=8)报文 规范约定ICMP报文中的标识符和序列号字段由发送端任意选择，因此在ICMP包中标识符、序列号和选项数据等部分都可用来秘密携带信息 由于防火墙、入侵检测系统等网络设备通常