6-木马与远程控制技术.pptVIP

* * 隐藏方式 用户态的ROOTKIT方式 优点 较内核态的稳定，不会因一点错误导致系统崩溃(BSOD) 实现简单，技术成熟 缺点 大多数操作的真正实现是在内核中，用户态的函数只是封装，内核态的工具很容易查出被隐藏的信息 操作相对比较麻烦，要对每个进程进行处理 * * 隐藏方式 内核态的ROOTKIT方式 内核态(Ring 0: 特权级的CPU指令, OS的核心层)的好处 对系统的软硬件资源有完全的控制权 与操作系统内核有着同等的地位，没有任何限制 如何进入Ring 0 安装成驱动程序 用SystemLoadAndCallImage加载 通过\\Device\\PhysicalMemory或修改ntldr安装中断门，调用门等 通过\\Device\\PhysicalMemory安装中断处理 * * 隐藏方式 内核态的ROOTKIT方式 优点 比用户态的隐蔽，不易被查出 没有限制，几乎可以隐藏任何东西(对象) 缺点 稳定性难以把握，小错误就可以导致系统崩溃 实现较难，需要对系统内核非常熟悉 * * 动态链接库(DLL) 静态链接(Static Link): 将常用的通用代码放进一个独立的文件(库文件).程序编译时将库代码全部放到可执行程序里,可执行程序大,但运行时不需要库文件.  动态链接库是在程序运行时根据需要动态加入库,程序的体积小.但是运行可执行程序时需要同时运行动态链