隐蔽的恶意代码启动

Posted linuxsec

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了隐蔽的恶意代码启动相关的知识,希望对你有一定的参考价值。

1、启动器

   启动器是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。启动器的目的是安装一些东西,以使恶意行为对用户隐藏。

2、进程注入

    隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码。恶意代码编写者试图通过进程注入技术隐藏代码的行为,有时他们也试图使用这种技术绕过基于主机的防火墙和那些针对进程的安全机制。

    DLL注入:是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术。

    直接注入:同DLL注入一样,直接注入也涉及在远程进程的内存空间中分配和插入代码。

    进程替换:除了注入代码到一个宿主程序外,一些恶意代码还会使用一种被称为进程替换方法,将一个可执行文件重写到一个运行进程的内存空间。当恶意代码编写者想要将恶意代码伪装成一个合法进程,并且不会产生DLL注入让进程崩溃的危险时,他们会使用进程替换技术。

   钩子注入:钩子注入是一种利用windows钩子加载恶意代码的方法,恶意代码用它拦截发往某个应用程序的消息。

   Detours:

   APC注入:windows的异步过程调用(APC)可以满足这种要求。 

以上是关于隐蔽的恶意代码启动的主要内容,如果未能解决你的问题,请参考以下文章

恶意代码行为

“逆鬼”muma企图隐蔽发展 被360独家击杀

恶意代码功能与应对

恶意代码常见驻留分析

Exp4 恶意代码分析

恶意代码上机排查思路与方法