您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

什么是内核级木马?怎么鉴别和处理?

时间:2019-09-02 16:48:25  来源:  作者:

什么是内核级木马?怎么鉴别&处理?

一、传播形式

木马病毒传播迅速,主要归因于其传播方式的多样性。内核木马及其他木马病毒的传播方式主要有以下几种:

1、利用下载进行传播,在下载的过程中进入程序,当下载完毕打开文件就将病毒植入到电脑中。

2、利用系统漏洞进行传播,当计算机存在漏洞,就成为木马病毒攻击的对象。

3、利用邮件进行传播,很多陌生邮件里面就掺杂了病毒种子,一旦邮件被打开,病毒就被激活。

4、利用远程连接进行传播。

5、利用网页进行传播,在浏览网页时会经常出现很多跳出来的页面,这种页面就是病毒驻扎的地方。

6、利用蠕虫病毒进行传播等。

二、危害

木马病毒对用户计算机造成的危害很严重,具体如下:

木马病毒对计算机的直接破坏方式是改写磁盘,对计算机数据库进行破坏,给用户带来不便。当木马破坏程序后,使得程序无法运行,给计算机的整体运行带来严重的影响。

另外,一些木马可以通过磁盘的引导区进行,病毒具有强烈的复制功能,把用户程序传递给外部链接者。还可以更改磁盘引导区,造成数据形成通道破坏。病毒也通过大量复制抢占系统资源,对系统运行环境进行干扰,影响计算机系统运行速度。

三、什么是内核级木马

内核级木马一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。

它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。

四、内核级木马如何产生

目前,传统应用层木马由于当下一些主动防御软件,杀毒的免费使用,各类反病毒工具对其伎俩了如指掌,而木马能带来巨大危害的主要原因在其隐蔽性。

各类反病毒工具的快速发展就导致木马谋取利益的成本大幅度提高,其带来的利益以及威胁程度呈现逐年下降的趋势。

由于传统应用层木马的隐蔽性大幅度下降,黑客为了提升带来的效益以及获得被控主机更加持久的控制权,因而提升木马的隐藏技术就显得更加迫在眉睫。

内核级木马的隐藏主要使用内核Rootkit技术,内核Rootkit程序在使得远程黑客能够更长期的享有目标机器的底层系统控制权的同时在很大程度上不被杀毒软件发现,从而对被控主机造成更加严重的安全威胁。

此外内核Rootkit不仅仅存在于windows系统中,同样存在于linux等其他系统中。而对于信息安全工作者,找出防御内核级木马的最有效途径自然是要深入了解内核木马的工作机制。

内核Rootkit攻击技术,内核Rootkit隐藏技术,掌握其规律和特性,才能更好的找到应对此类木马的措施,以及对未来可能出现的安全隐患做好一些提前的防备。

五、内核&传统木马隐藏技术对比

内核级木马隐藏主要有进程隐藏,文件隐藏,自启动隐藏,通信隐藏等,主要与木马的架构有关,那么对于一些主从型内核级木马,木马涉及到的功能模块越多自然对应涉及的隐藏项也就越多,甚至有时候还要做注册表隐藏,服务隐藏等。

3.1.进程隐藏

进程隐藏最初技术体系为最简单的混淆字符隐藏,如系统进程名为svchost.exe,木马进程名改为svch0st.exe隐藏,紧接着到注册服务隐藏,dll注入隐藏。

现在内核级木马大部分通过进程控制块中的活动进程链表(ActiveProcessLinks)中摘除自身来达到隐藏,或通过从PspCidTable表中摘除自身等方法来达到隐藏目的。

3.2.文件隐藏

文件隐藏最初是通过存放于敏感目录(系统目录)并混淆文件名来实现,后来有些人通过挂钩应用层上的FindFirstFile,FindNextFile等API来实现该目的,现在在内核层隐藏文件方法一般会用FSDHook或FSD Inline Hook来实现。

3.3.自启动隐藏

自启动隐藏先后经历了添加注册表Run值,修改系统启动文件,注册为服务,修改定时程序,感染系统文件技术来实现,现在黑客开始关注于在硬盘固件,bIOS等地方做手脚来实现自启动隐藏。

3.4.通讯隐藏

对于通信隐藏来说,现在有些研究者已经实现了NDIS小端口驱动层的隐藏,不过主流的木马仍然在TDI层面上通信或者在NDIS中间层上通信。

如何对付内核级木马?

一般的杀毒工具可以把病毒查杀掉,但是对于内核级木马病毒,能够穿透还原技术,一般的技术人员是无法解决的。作为网吧热点,针对这样难以对付的病毒,小编分享到清除内核级木马病毒的方法

1.首先是要安装一个具备进程管理功能的安全工具软件,查看系统进程,可有经验的技术人员对可疑进程是可以识别的,点击其中的IE浏览器进程,发现其中包括了一个可疑的木马模块hack.dll。

2.下一步可以看到多个被明显标识出的系统服务,说明这些服务都不是系统自身的服务。比如像是一个取名为Hack的服务较为可疑,因为它的名称和木马模块的名称相同。

3.找出工具软件中与文件管理相关的标签,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件hack.dll。

4.找到了病毒存在的根源,接下来就是病毒的查杀了:

a,在进程管理选项中首先找到被明显标识的IE浏览器进程,选中它后通过鼠标右键中的“结束这个进程”命令清除它;

b,接着点击服务管理选项,选择名为Hack的服务后,点击右键菜单中的“删除选中的服务”命令来删除;

c,再选择程序中的文件管理选项,对木马文件进行最后的清除操作;

d,在系统的system32目录找到hack.dll和hack.exe文件后,点击右键菜单中的“直接删除文件”命令,完成对木马的最后一击;

e,然后重新启动系统再进行查看,确认木马是否被清除干净。

声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!

 

Hi,我是超级盾

更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!

超级盾:从现在开始,我的每一句话都是认真的。

如果,你被攻击了,别打110、119、120,来这里看着就行。

截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势。



Tags:内核级木马   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、传播形式木马病毒传播迅速,主要归因于其传播方式的多样性。内核木马及其他木马病毒的传播方式主要有以下几种:1、利用下载进行传播,在下载的过程中进入程序,当下载完毕打...【详细内容】
2019-09-02  Tags: 内核级木马  点击:(237)  评论:(0)  加入收藏
▌简易百科推荐
log4j漏洞的形成原因已经有很多分析文章了,这里说一说我是如何在了解到有漏洞后,跟进漏洞产生原理的,以及发现的一些绕WAF tips跟进漏洞产生原因的思路如何发现漏洞产生的原因...【详细内容】
2021-12-22  IT野涵    Tags:og4j漏洞   点击:(8)  评论:(0)  加入收藏
新型Android恶意木马程序伪装成数十款街机、射击和策略游戏,通过华为应用市场AppGallery进行分发,从而窃取设备信息和用户的手机号码,全球目前至少有930万台Android设备被该恶...【详细内容】
2021-12-01  极牛网    Tags:恶意木马   点击:(24)  评论:(0)  加入收藏
导读:在日常电脑使用中,很多小伙伴都会从互联网下载网站或是QQ、微信等聊天软件中进行传输安装软件、文件等。略知网络安全的朋友们都会比较谨慎所安装的软件是否安全,比如说通...【详细内容】
2021-09-10  极客小君    Tags:木马   点击:(58)  评论:(0)  加入收藏
编程语言: Nodejs知识要点: 文件的16进制解析木马我们见得多, 以前多数会以EXE可执行文件形式出现后来, 开始在Web上出现, 主要侵扰Web页面, 给正常的HTML/ASP等加上木马代...【详细内容】
2021-08-04  代码大叔    Tags:特洛伊木马   点击:(69)  评论:(0)  加入收藏
恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到。恶意代码常见功能...【详细内容】
2020-12-14      Tags:恶意代码   点击:(131)  评论:(0)  加入收藏
近日,公安部网安局微信公众号发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。360网络...【详细内容】
2020-12-08      Tags:木马   点击:(144)  评论:(0)  加入收藏
前言这次检查并不是帮我,而是帮一位粉丝。当时私聊我的时候我还挺高兴的,至少得到了认可。 这次文章我也征求了他的同意才发出来的。也请别说我侵犯他人隐私。 过程早上醒...【详细内容】
2020-08-31      Tags:程序后门   点击:(149)  评论:(0)  加入收藏
本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。...【详细内容】
2020-07-19      Tags:木马   点击:(97)  评论:(0)  加入收藏
能直接从账户盗走钱财的银行木马,一直被称为是恶意软件中最邪恶的一种。近日,360安全大脑独家发布《深度揭露Anubis移动银行木马》报告,全面披露了近期瞄准全球300多国家银行...【详细内容】
2020-04-24      Tags:木马突袭   点击:(130)  评论:(0)  加入收藏
相信大家都有这么一个经历,我们使用电脑,在某些来历不明的网站上下载一些程序,然后打开这些程序的时候,可能会出现以下的情况。 嗯没错,你电脑中的杀毒软件会给你发出温馨的提示,...【详细内容】
2020-04-07      Tags:木马病毒   点击:(169)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条