黑帽大會后，現(xiàn)在安全人員關(guān)注最多的就是Rootkits。但是也不能因此而忽視其它威脅，一些惡意軟件的編寫者正利用其它有效的反檢測技術(shù)來隱藏他們的惡意代碼。
來自于Mandiant公司的高級咨詢者Harbour在這次會議上總結(jié)了這些可能被利用的技術(shù)。其中沒有一種方法是新穎的，但是它們很少被記錄。
其中一種方法，惡意軟件的編寫者利用進程感染的方式來避開偵察。Harbour在會后對Computer world的記者說，這種技術(shù)就是在終端用戶的系統(tǒng)的合法運行的程序中植入惡意代碼。
對黑客來說有幾種進程感染的方式可供使用。這類技術(shù)可以隱藏他們在一臺電腦中的惡意行為的來源。同樣的它們也能夠繞過客戶機上的防火墻和其它的安全防御設(shè)施，因為被感染上惡意代碼的正常進程大部分還是很正常的，他說。
同樣的道理，“一個非常狡猾的命名進程同樣能夠在監(jiān)視器之下工作并且迅速的避開偵察，”Harbor在他的演講中提到。這種想法就是在系統(tǒng)中植入惡意進程，然后通過對正常進程的細微的改變來隱藏自身的存在。Svchost.exe 和spoolsv.exe進程是最容易被攻擊的，因為它們的一些程序經(jīng)常是在內(nèi)存中運行。“多一個進程也不會被發(fā)現(xiàn)�！�
另外一個被惡意軟件編寫者常用的方法是在受威脅的系統(tǒng)內(nèi)存中直接運行惡意代碼。這樣做就直接增強了它的行為的秘密，因為這意味著惡意代碼不會出現(xiàn)在會被偵察到的硬盤中，Harbor說。
利用這種技術(shù)要追溯到2000年的時候，那時是Windows-specific，Harbor在演講中相隨的白皮書中提到。這種技術(shù)包括在一種暫停的狀態(tài)下執(zhí)行一個程序然后用惡意代碼重寫。
例如，攻擊者能夠在暫停狀態(tài)下執(zhí)行notepad.exe（記事本）進程，然后用sol.exe覆蓋它，導(dǎo)致Solitaire（跳棋）游戲呈現(xiàn)給游戲者的時候，看起來記事本程序仍在運行，他說。
Harbour說，相比于rootkits，這些技術(shù)使用起來更加方便并且更容易獲得，因此對于企業(yè)來說是一種日益逼近的威脅。

標簽： 安全 代碼 防火墻 企業(yè) 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。