进程是如何注入木马的?

浏览:
字体:
发布时间:2015-09-30 12:22:22
来源:本站原创

  对使用过远程控制的朋友可能经常看过那些所谓的木马声称自已采用了线程插入技术或者DLL注入技术、远程线程插入等。这到底是什么?有什么用呢? 首先要明白什么足线柙,说到线程就不得不提到进程,SDK文档i中足这样描述的:进程足个正在运行的程序,它拥有自己的地址空问,白己的代码、数据和其他系统资源。

  个进程包含了个或者多个运行相:此进稃内的线程。也就足说,进程就是个磁盘上的程序载入内存执行后的东西,打开任务进程器看看,里面有好多进程。从定义卜看出进程-定要有线程,线程足进程内存中的独立实体,即程序运行肝就变成丁进程,你的代码由线程来执行。那么,线程插入是什么呢?就是把个线程弄到别的进程执行。你也许觉得奇怪,自己不足有个进程好好的吗?

  DLL是Dynamic Link Library(动态链接库)的缩’;,DLL文什足Windows的摹础,凶为所有的API幽数都是在DLL中实现的。DLL文件没有裨序逻辑,足由多个功能醋数构成的,它并不能独立运行, 一般都由进程加裁并调用的。㈨为DLL文件不能独立运行,所以在进程列表中并不会出现DLL,假设仃个DLL木马,并是通过别的进程运行行它,那么尤诒是入侵检测软件还是进程列表中,揶只会出现那个进科而并不会出现木马DLL.如果那个进程是可信进程(例如,资源符理器Explorer.exe,没人会怀疑’E是木马).那么DLL作为那个进程的一部分,也将成为被信赖的 员而为所欲为。

  进一步想想,如果事先将一段代码复制进远程进程的内存窄甸,然后通过远程线程启动这段代码,那么即使遍历进程内存模块也无济于事:或扦远程线程切入某个原本就需要进行Socket操作的进程(如Explorer.exe),对函数调崩或数据进行某些有针对的修改,这样的木马并不需要自己打开端口,代码也只是存在丁内存中,可以说如羚羊挂角,无迹可寻。 无论是使用特洛伊DLL还是使用远程线程,都是让小马的核心代码运行:别的进程的内存卒问,这样不仅能很好地隐藏自己,也能更好地保护自己。

 

更多信息来自东方联盟网:http://www.vm888.com

>更多相关文章
24小时热门资讯
24小时回复排行
资讯 | QQ | 安全 | 编程 | 数据库 | 系统 | 网络 | 考试 | 站长 | 关于东联 | 安全雇佣 | 搞笑视频大全 | 微信学院 | 视频课程 |
关于我们 | 联系我们 | 广告服务 | 免责申明 | 作品发布 | 网站地图 | 官方微博 | 技术培训
Copyright © 2007 - 2023 Vm888.Com. All Rights Reserved
粤公网安备 44060402001498号 粤ICP备19097316号 请遵循相关法律法规
');})();