Cómo prevenir la inyección remota de subprocesos
2. Como software fraudulento, ha cambiado algunas características de los troyanos anteriores. No necesita iniciarse en tiempo real, pero se inicia cuando es necesario, como abrir una ventana del navegador. comportamiento del software malicioso, porque necesita estar conectado a Internet para ser rentable, por lo que el navegador es definitivamente un proceso que el software malicioso debe monitorear.
3. Utilice el complemento BHO, que antes era una tecnología particularmente popular. Esta es una interfaz proporcionada por Microsoft para ampliar la funcionalidad del navegador IE. Cada vez que se inicia el navegador IE, llamará a los complementos necesarios en BHO y el software malicioso se aprovecha de esto. Supervisa todos los eventos e información del navegador.
4. Otro método más estúpido es utilizar instantáneas del proceso para monitorear el proceso. Después de confirmar que el proceso que monitorea se inició, use atl para obtener el puntero del navegador para monitorear todos los eventos e información del navegador.
5. Hay otra forma de usar spi, que vi en Internet. Spi es un protocolo en capas, su dll se llamará cuando se inicie winsock2 y se pueden monitorear todos los paquetes de la capa de aplicación. Desde aquí, puede monitorear la información del usuario y ejecutarla en tiempo real.
6. Método de gancho, la tecnología de gancho tiene una amplia gama de aplicaciones, especialmente la monitorización. Por lo tanto, el software fraudulento no lo dejará ir. Lo primero que se debe aplicar es el enlace de función API, como la clase apihook en la programación central de Windows o el detous de Microsoft. Ambos métodos en realidad modifican la dirección de entrada de la función IDT. El gancho createprocess del gancho api puede monitorear el proceso. ¡Es más poderoso que la instantánea del proceso y puede enlazar funciones en spi! Se pueden completar todas las funciones de spi. También hay enlaces de mensajes, mensajes del mouse, mensajes del teclado, mensajes diarios y otros enlaces. Hay demasiados métodos que se pueden utilizar.
Lo anterior enumera algunas formas de utilizar software fraudulento, pero una de las características del software fraudulento es que no se puede desinstalar. Entonces tenemos que usar el siguiente método
Porque muchos de los métodos anteriores se pueden usar para eliminarlo y desinstalarlo del registro. Entonces, ¿cómo hacerlo? Entonces debemos monitorearlo de vez en cuando. desinstálelo. Supervise las entradas del registro o los subprocesos durante la operación. Establezca un ciclo para la supervisión. Si se encuentra alguno que la instalación ya no continuará, aumente el número. Creo que este debería ser el método utilizado por muchos programas maliciosos.
Ahora ha surgido un nuevo problema, es decir, ¿qué debemos hacer si el hilo de proceso del software malicioso finaliza? Ver Viaje al Oeste
Un método es el gancho. Enganche la tecnología de la API anterior y use su propia función para determinar que mientras el proceso abierto sea suyo, el derecho de retorno del proceso es suyo. Con este método, los usuarios o el software general no pueden finalizar sus procesos.
8. También hay un proceso como bho y spi arriba que no tienen ningún proceso. Los usuarios generales no pueden eliminarlo
9. También existe un método de subproceso remoto, que también es muy común. Primero, solicite un espacio de memoria del proceso de destino como un gancho de API y luego use su propio mapeo. y luego use CreateRemoteThread para crear un hilo remoto. En términos generales, muchos software malintencionados o troyanos anteriores inyectarán subprocesos en los procesos del sistema (como administradores de recursos, servicios, etc.), y es difícil para los usuarios o el software antivirus general procesar o finalizar estos subprocesos.
10. Después de registrarte como servicio, puedes ocultar directamente el proceso. Lo que es aún más ridículo es poner su propio nombre de proceso junto con el nombre de un proceso del sistema (como lsass) y luego no podrá finalizarlo.
Basado en los métodos que mencioné anteriormente, puedes configurar múltiples programas maliciosos. Pero no estés demasiado contento, porque estas técnicas son sólo para la capa de aplicación. Ahora hay muchas herramientas de software anti-rogue en la capa del controlador, como Super Rabbit, Perfect Uninstall, virus troyano, Yahoo Assistant y el. ahora caliente Guardia de seguridad 360.
Estos métodos de software anti-rogue son relativamente sencillos para eliminar el software malicioso mencionado anteriormente. Se da prioridad a interceptar todos los archivos IRP que ingresan al software malicioso cuando se inicia y luego eliminar entradas y archivos del registro. Completa misiones anti-gánsteres con facilidad.
Para atacar este software anti-malware, el software malicioso aparece en la capa del kernel.
1. Primero, use el controlador de filtrado de archivos para proteger sus propios archivos. El software fraudulento crea todos los irps excepto fileopen y todos los irps bajo SetInformation para filtrar archivos, protegiéndose así de manera efectiva.
2. La tecnología de enlace a nivel de kernel puede enlazar todas las funciones del núcleo públicas o no publicadas, como zwcreatefile y zwSetInformation, y también puede proteger archivos de forma eficaz.
3. El software fraudulento a nivel de controlador también utiliza ganchos a nivel de kernel para reemplazar Regdeletekey, RegDeleteValueKey y RegSetValueKey, protegiendo así eficazmente el registro.
4 El uso de ganchos a nivel de kernel también puede ocultarse. procesos. O monitorear el proceso y reiniciar el proceso.
Para los métodos de malware mencionados anteriormente, algunas herramientas antimalware a nivel de controlador son algo inútiles. Debido a que el mismo controlador intercepta los IRP de otros, significa que nadie puede operarlos. Si la herramienta de software antimalware elimina los IRP, serán interceptados o se reemplazará la función de eliminación. La función Eliminar Registro será reemplazada. Aunque el controlador se carga secuencialmente, no hay garantía de que el software malicioso pueda eliminarse por completo. Por lo tanto, ha surgido un software anti-malware de primer nivel, que envía directamente el archivo irp eliminado al sistema de archivos. El registro también se envía directamente al sistema de archivos para eliminarlo. Este tipo de software malicioso no puede completar eficazmente la tarea anti-malware, pero hasta donde el autor sabe, no existen muchos programas de este tipo. Hoy en día, el popular 360 Security Guard simplemente adopta un método estúpido, dando prioridad al controlador iniciado por el software malicioso para crear un dispositivo con el mismo nombre que el dispositivo del software malicioso, de modo que la creación del controlador malicioso falla. Según tengo entendido, lo que inició antes del controlador deshonesto fue el grupo bajo PNP_TDI que creó. Muy simple, ndis se puede iniciar antes de 360. Si está al frente de este grupo, el 360 no puede hacer nada. Entonces, la única forma de lidiar con estos controladores maliciosos es enviar irps directamente al sistema de archivos.
¿Cómo prevenir el software malicioso y cómo enviar irp directamente al sistema de archivos para evitar el software malicioso? "Rootkit, veo que mucha gente tiene malentendidos sobre los rootkits. Mucha gente piensa que los ganchos también son rootkits Jaja, los rootkits están integrados en los archivos del sistema operativo". ¿No estás enviando un irp al sistema de archivos? Cambié el sistema de archivos, pero según mi observación, hay más rootkits en Unix o Linex, pero menos en Windows, porque necesitan usar ensamblador. Es demasiado tarde, así que no lo escribiré. El software alcanza este nivel de tecnología. No es necesario ser un pícaro, solo ser un sistema operativo.