您当前的位置: 飞鹏网>蓝莲Capture The Flag>游戏攻略>怎么防范注册表和内核被被别人支配.

怎么防范注册表和内核被被别人支配.

本文由阿里郎发表于2019-08-20 17:26:16 我要分享

评论

扫描到手机,资讯随身看 随时随地手机浏览新闻更方便


很高兴的分享Wikia这个网站,大家都知道无论是谁在,在个人信息被泄露之后,绝大多数正常人会愤怒。


一流的黑客不是一个人活动,一个人单独活动都是技术爱好者。

我们可以看到侵入或者网络的对象一般都是企业,方式有很多种,其中有病毒,蠕虫,间谍软件,木马,广告软件,勒索软件等。

他们的目的就是让你失去自主权,窃取你的企业隐私和安全。


团队合作的黑客打磨利剑,独狼才磨牙齿。

部署高级的能绕过安全解决方案的恶意软件,静悄悄地潜入到企业网络中。


六个口径


常见的入侵口如下:

1.Windows注册表,

目前绝大多数的可用电脑都在使用这个系统,注册表非常大,非常复杂,仅仅是纯代码,就拥有几百兆的体积。用经验和人工能力去完全防御这个地方是完全不可能的。

除非你不联网,也不适用U盘工具。


Poweliks--Windows内置API-ZwSetValueKey,

注册表病毒的优点是如果用户不重新安装系统,可以实现隐藏,自启动和长期驻留的目的。


2.进程注入

很多时候突然断网,就是进程注入病毒接管了你的电脑控制权。

而且常见命名的svchost.exe或者explorer.exe,实现检测规避。

注入进程会利用内置Windows API,设置调试权限的那些。

进程如果设置成调试模式,就能调动很多调试API,实现附着到其他进程并命令进程分配额外内存等功能。目标进程分配了更多内存后,恶意进程就能往该进程中注入任意代码。


Poison Lvy是利用进程注入的一大恶意软件,他通常不占用整块的内存,而是子多个不同进程中分配小小的内存块,分析和逆向都是非常难的。

它的破坏方式是数据库分表给系统带来不能启动的问题。我们知道数据库一旦分区之后再分区,引导区和系统盘分区被再分区。

除了格盘重新装系统外,别无办法。除非你知道其他盘的准确起点在哪里,不然你也会丢失大部分的其他盘的数据,打开可能要依靠拷贝到其他硬盘才能读取。


3.进程挖空

这种笔者也没有见过,大概是在良好进程准备启动的时候挂起。当好代码加载完毕准备执行时,好代码被清空,进程中出现给恶意代码放入的空间,并且可以由恶意代码修改头部和尾部的空间。

这让修改过的代码看上去是好的,然后进程重新被启动。对普通用户而言,就是再正常不过的windows启动的正常系统进程。


比如Dridex银行木马


4.进程列表解链

进程解链涉及到操作“进程列表”,也就是包含了所有“活动”进程的双向链表。一旦进程被从进程列表中抽出(解链),该进程便可以对所有查看“活动”进程的工具隐身了。

可通过使用ZwSystemDebugControl()函数,或映射DevicePhysicalMemory来实现这一操作。


设要从列表中删除的进程为B,B的后链B->Blink指向其上一个进程A,前链B->Flink指向其下一个进程C。只需将进程A的前链((B->Blink->Flink)指向C(B->Flink),

再将进程C的后链(B->Flink->Blink)指向A(B->Blink),便可顺利将进程B从双向链表中摘除,观察进程列表时直接从A跳到C。


更加高级的解链,甚至会重新写入B,这样即使有内存鉴证调查也无济于事。


目前针对解链的工具有,PsAc4veProcessHead遍历,进程池标签扫描,线程池标签扫描等。


5.动态链接库列表解链。

动态链接库(DLL)列表也能隐藏恶意软件。

进程列表,DLL列表是双向链表,每个DLL信息节点都有指向其上一个节点和下一个节点的指针,有API可以调用来修改DLL列表中的节点,摘除其中节点,并抹去内存中的信息以辅助逃过内存鉴证或备份工具的检测。这种办法在rootkit活动中很常见。


6.内核模块列表解链

内核模块包含加载到内核的任意模块。

与DLL和进程列表类似,内核模块也有自己的列表,能通过API查询,返回每一个被加载到内核的模块信息。

同样,有调试API可以将内核模块从列表中移除并清零。

内核和内存不一样,只要被清零,再找回的难度就大得多——该权限就像Ring0级权限,绝对与rootkit行为有关。一般来讲,恶意软件会在用户空间执行,然后

尝试内核级漏洞利用以得到内核管理权限,随后释放出主rootkit,主rootkit再将自身从内核模块列表进程中清除。

来源: 蓝莲Capture The Flag官网

飞鹏网官方微信

微信号:fpwapgame

|

微信粉丝群:232058302

扫码关注飞鹏网微信公众号,畅享最新手游礼包,游戏圈每日热辣资讯,以及各类微信老司机专属福利,这就加入进来吧!

熊猫玩家

汇聚好游戏,分享新礼包。熊猫玩家为玩家带来更多精品手机游戏。

下载到电脑 二维码下载
熊猫玩家二维码
上一篇:域名劫持导致的巴西银行用户资料泄露事件
下一篇:以前穷的时候干过网警 有些黑吃黑的事情想说
Copyright © 2016 蓝莲Capture The Flag All Rights Reserved. 飞鹏网 蓝莲Capture The Flag 专区版权所有.
抵制不良游戏 拒绝盗版游戏 注意自我保护 谨防受骗上当 适度游戏益脑 沉迷游戏伤身 合理安排时间 享受健康生活
鄂ICP备18018457号-2

鄂网文[2018]2781 059号

公司:鸥灵(武汉)网络科技有限责任公司