|
知识路径: > 恶意代码防范技术原理 > 恶意代码概述 > 恶意代码生存技术 > 恶意代码生存技术 >
|
相关知识点:13个
|
|
|
|
实现恶意代码的通信隐藏技术一般有四类:端口定制技术、端口复用技术、通信加密技术、隐蔽通道技术。
|
|
|
. 端口定制技术,旧木马几乎都存在预设固定的监听端口,但是新木马一般都有定制端口的功能。优点:木马检测工具的一种检测方法就是检测缺省端口,定制端口可以避过此方法的检测。
|
|
|
. 端口复用技术利用系统网络打开的端口(如25和139等)传送数据。木马Executor用80端口传递控制信息和数据;Blade Runner、Doly Trojan、Fore、FTP Trojan、Larva、ebEx、WinCrash等木马复用21端口;Shtrilitz Stealth、Terminator、WinPC、WinSpy等木马复用25端口。使用端口复用技术的木马在保证端口默认服务正常工作的条件下复用,具有很强的欺骗性,可欺骗防火墙等安全设备,可避过IDS和安全扫描系统等安全工具。
|
|
|
. 通信加密技术,即将恶意代码的通信内容加密发送。通信加密技术胜在能够使得通信内容隐藏,但弊端是通信状态无法隐藏。
|
|
|
. 隐蔽通道技术能有效隐藏通信内容和通信状态,目前常见的能提供隐蔽通道方式进行通信的后门有:BO2K、Code Red II、Nimida和Covert TCP等。但恶意代码编写者需要耗费大量时间以便找寻隐蔽通道。
|
|
|