欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

反检测技术二:制造PE文件后门

来源:本站整理 作者:佚名 时间:2017-04-06 TAG: 我要投稿

 原文: Art of Anti Detection 2 – PE Backdoor Manufacturing

译者: MyKings@知道创宇404实验室

前文回顾: 反检测技术之反病毒检测

本文主要讲述在网络攻防演练中红队如何在PE(Portable Executable)文件中放置后门的几种方法。为了让读者能够充分掌握本文的内容,您需要具有中级x86汇编知识,并熟悉调试器与PE文件格式。

1. 背景说明

目前几乎所有的安全研究人员、渗透测试人员和恶意软件分析师每天都在处理后门程序,将后门放置到系统或具体某个应用程序是一种较为常见的攻击方式。

本文的大部分内容是关于将后门植入32位PE文件的方法, 但由于PE文件格式是Unix COFF(Common Object File Format, 通用对象文件格式)的修改版本,所以这些方法也可以用于其他可执行二进制文件类型。

此外,后门的隐蔽性尤为重要,这里也会分析一些反检测技术的方法。在阅读本文之前,您可以先阅读 Introduction To AV & Detection Techniques ( 反检测技术之反病毒检测 ) , 这将有助于您了解反病毒产品的内部工作原理和反检测技术的基本思想。

2. 专业术语

红队(Red Team Pentesting):

在网络攻防演练中,红队是由一群白帽黑客组成,作为攻击者负责攻击组织(通常为蓝队)的数字基础设施,以测试组织的防御能力(通常称为“渗透测试”)。

其好处体现在先入为主的观念与挑战,发现更多的潜在威胁减少安全问题。其次可更准确地了解敏感信息是如何被泄漏的,以及可利用的模式。目前包括微软在内的一些公司会定期进行红队与蓝队的网络对抗演练。


图片译者添加 

地址空间布局随机化(ASLR):

ASLR 是一种针对缓冲区溢出的安全保护技术。为了防止攻击者能够直接定位内存中攻击代码位置, ASLR 随机排列进程的关键数据区域的内存地址,如: 可执行文件的基址、栈、堆和库的位置。

代码洞(Code Caves):

Code Caves 是由另一个程序写入另一个进程的内存的一段代码。这段代码可以通过在目标进程内创建远程线程来执行。代码的 Code Caves 通常是对代码的脚本函数的一部分的引用,该脚本函数具有注入自定义指令的能力。例如,如果脚本的内存允许5个字节,并且只使用3个字节,则剩余的2个字节可以用于向脚本添加外部代码, 这就是所谓的代码洞。

校验和(Checksum):

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载