楼主: ysj963
收起左侧

[讨论] 感染型木马到底是个什么样的具体行为

[复制链接]
gzmaybe
发表于 2017-6-12 10:57:34 | 显示全部楼层
欧阳宣 发表于 2017-6-12 10:52
高能预警!你在楼主的眼中已经在转移话题了

转移就转移,我发的文章,他先看一看吧
ysj963
 楼主| 发表于 2017-6-12 12:29:23 | 显示全部楼层
gzmaybe 发表于 2017-6-12 09:27
为何我看不懂你想表达的意思
第一句:写入 、删除、调试、注入 、进程启用都、进程拦截《==既然这种情形已 ...

调用函数在HIPS行为定义里是什么?

评分

参与人数 1人气 +1 收起 理由
白露为霜 + 1 调用Beep函数和调用CreateRemoteThread行为.

查看全部评分

gzmaybe
发表于 2017-6-12 12:32:34 | 显示全部楼层
ysj963 发表于 2017-6-12 12:29
调用函数在HIPS行为定义里是什么?

不知道


http://www.baike.com/wiki/HIPS%5 ... 7%B3%BB%E7%BB%9F%5D


应用程序防御体系(AD)在大部分HIPS里属于最重要的功能,这个功能的优劣足以直接影响到系统安全。AD通过拦截系统调用函数来达到监视目的,当一个程序请求执行时,系统会记录该程序的宿主(即该程序的执行请求由哪个程序发出),在Windows里,用户启动的程序,其宿主为Windows外壳程序Explorer.exe,因为用户的交互界面是由该程序负责的,用户双击鼠标执行一个程序时,实际上就是通过Explorer.exe向内核传递的消息,于是它便成为用户程序的宿主;而并非所有程序都是通过Explorer.exe执行的,系统自身也执行着许多基本进程,这些进程几乎都由smss.exe所产生,而这些通过smss.exe产生的进程又能成为其它进程的宿主,如services.exe成为svchost.exe的宿主等,这些层层叠叠的关系被称为“进程树”(Process Tree)。基于这个原理,许多伪造成系统程序的木马其实很容易被发现,因为它们大部分通过系统启动项加载,而这个启动项是属于Explorer.exe负责的,于是木马们的宿主就成了它——csrss.exe居然由Explorer.exe加载运行,这本身就违背了系统设计的初衷。
让我们继续学习用户程序的执行过程,当程序执行的请求被系统捕获后,系统会产生一个创建进程的函数调用,称为CreateProcess,位于kernel32.dll,这个函数的功能是执行一些基本的初始化工作,然后将程序请求封装传递到内核接口ntdll的NtCreateProcess函数中,该函数把有关的参数从用户空间拷贝到内核并做进一步处理,直至最后新的进程被成功创建,而ntdll也只是个内核接口而已,实际的内核体是ntoskrnl.exe。程序员通过编写内核驱动拦截NtCreateProcess、NtCreateSection等函数就实现了对创建进程的控制,在这点上,病毒作者和安全专家做的事情都是相同的,只不过用来实现破坏系统安全作用的被称为Rootkit木马,用来保护系统的被称为“应用程序防御体系”而已。HIPS的“应用程序防御体系”也是通过驱动拦截实现的,只是它把创建进程的决定权交给用户。
在HIPS的监视下,当一个进程被请求创建时,用户层的应用程序接口函数CreateProcess被拦截并被获取调用参数来分析出程序的执行体和宿主等,而后HIPS将这个执行请求挂起(暂停执行CreateProcess及以后的步骤),并于桌面弹出一个对话框报告用户当前拦截的进程创建信息,其中包括执行体、宿主、被拦截的API等,最后等待用户决定是否继续让其执行。用户必须具备相关的进程概念,如桌面快捷方式和幕后调用的可执行程序实际文件名的对应关系,这样才不至于出现一头雾水的后果,用户的决定对于系统安全才是致命的,如果一个用户在双击“千千静听”后对着HIPS拦截的“Explorer.exe试图创建TTPlayer.exe进程”的报告感到不解,那么或许传统意义的杀毒软件更适合这类未入门的初哥。
HIPS的AD体系不仅能拦截到用户或某个程序产生的进程创建请求,它还能拦截到进程产生的所有操作,如DLL加载、组件调用等,这样我们也能用它来拦截一些DLL形态的进程注入,只要用户的基础知识达到一定程度,AD体系足以让你不再害怕大部分木马病毒的来袭,试想一下,如果用户在浏览网页时HIPS突然报告说浏览器进程“试图创建123.exe进程”、或者运行某些安装程序时HIPS拦截到该安装程序“试图创建1.exe进程”,只要用户选取了“拒绝执行”功能,这些潜在的木马就无法入侵用户的系统了——但是要注意一点,那就是木马本体已经被释放或下载回来了,只是它们无法被执行而已,HIPS不是杀毒软件,它不能阻止非法程序的下载和释放,更不提供自动删除文件的功能,它所做的,只是拦截进程操作而已,使用HIPS保护的系统安全取决于用户自身。
ysj963
 楼主| 发表于 2017-6-12 12:36:28 | 显示全部楼层

全局创建新进程询问。。。再加上防注入 ,应该差不多了。
ylmfhhh
发表于 2017-6-12 12:38:33 | 显示全部楼层
本帖最后由 ylmfhhh 于 2017-6-12 12:40 编辑

把HIPS玩好,啥病毒都不怕



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ysj963
 楼主| 发表于 2017-6-12 12:41:20 | 显示全部楼层
ylmfhhh 发表于 2017-6-12 12:38
把HIPS玩好,啥病毒都不怕

对啊,求人不如求己,主防也是能被过的,HIPS到能前面就拦截。
白露为霜
发表于 2017-6-12 13:56:15 | 显示全部楼层
感觉是一团浆糊,看起来好高深的样子
ysj963
 楼主| 发表于 2017-6-12 14:57:59 | 显示全部楼层
root1605 发表于 2017-6-12 13:56
感觉是一团浆糊,看起来好高深的样子

就是有点乱啊,看不懂。感染性木马到底是代码注入还是加密还是。。。?
白露为霜
发表于 2017-6-12 15:50:49 | 显示全部楼层
ysj963 发表于 2017-6-12 14:57
就是有点乱啊,看不懂。感染性木马到底是代码注入还是加密还是。。。?

它不是一个单一的行为。。。这个“加密”又指的什么加密?
gzmaybe
发表于 2017-6-12 16:58:29 | 显示全部楼层
ysj963 发表于 2017-6-12 14:57
就是有点乱啊,看不懂。感染性木马到底是代码注入还是加密还是。。。?

都不是;个人认为应该是通过采用系统勾子的方式与system32/syswow64中的EXE/DLL进行挂勾,从而当执行这个 exe/dll 时,一并执行这个木马

http://baike.baidu.com/link?url= ... MOGs0g-oztBefOdd-qa

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 00:59 , Processed in 0.097841 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表