Question

6.3. 后门技术

6.3.1. 开发技术

• 管控功能实现技术

  • 系统管理：查看系统基本信息，进程管理，服务管理
  • 文件管理：复制/粘贴文件，删除文件/目录，下载/上传文件等
  • Shell管理
  • 击键记录监控
  • 屏幕截取
  • 音频监控
  • 视频监控
  • 隐秘信息查看
  • 移动磁盘的动态监控
  • 远程卸载

• 自启动技术

  • Windows自启动

    • 基于Windows启动目录的自启动
    • 基于注册表的自启动
    • 基于服务程序的自启动
    • 基于ActiveX控件的自启动
    • 基于计划任务（Scheduled Tasks）的自启动

  • Linux自启动

• 用户态进程隐藏技术

  • 基于DLL插入的进程隐藏

    • 远程线程创建技术
    • 设置窗口挂钩（HOOK）技术

  • 基于SvcHost共享服务的进程隐藏
  • 进程内存替换

• 数据穿透和躲避技术

  • 反弹端口

  • 协议隧道

    • HTTP
    • MSN
    • Google Talk

• 内核级隐藏技术（Rootkit）

• 磁盘启动级隐藏技术（Bootkit）

  • MBR
  • BIOS
  • NTLDR
  • boot.ini

• 还原软件对抗技术

6.3.2. 后门免杀

• 传统静态代码检测

  • 加壳
  • 添加花指令
  • 输入表免杀

• 启发式代码检测

  • 动态函数调用

• 云查杀

  • 动态增大自身体积
  • 更改云查杀服务器域名解析地址
  • 断网
  • 利用散列碰撞绕过云端“白名单”

• 攻击主防杀毒软件

  • 更改系统时间
  • 窗口消息攻击
  • 主动发送IRP操纵主防驱动

• 利用证书信任

  • 盗取利用合法证书
  • 利用散列碰撞伪造证书
  • 利用合法程序 DLL劫持问题的“白加黑”

6.3.3. 检测技术

• 基于自启动信息的检测
• 基于进程信息的检测
• 基于数据传输的检测
• Rootkit/Bootkit的检测

6.3.4. 后门分析

• 动态分析

• 静态分析

  • 反病毒引擎扫描
  • 文件格式识别
  • 文件加壳识别及脱壳
  • 明文字符串查找
  • 链接库及导入/导出函数分析