NDIS不是很清楚 我想做 NDIS通信框架的木马 不知道杀软能拦截 或则iris这些能在本机拦截到数据包吗?_? ------------------ 原始邮件 ------------------ 发件人: "iNarcissuss "<[email protected]>; 发送时间: 2009年4月21日(星期二) 凌晨0:41 收件人: "ph4nt0m"<[email protected]>; 主题: [Ph4nt0m] Re: 关于木马的一点疑问
The Show 真的很好听,感谢bugtrap,反复的听着。。。不知不觉就写了这么多,算作抛砖引玉,盼着各位大牛的发言 ^_^ 大部分杀软公司将Malware(总称)分为这么大类: Virus(感染PE ELF等文件),Trojan,Worm(通过网络大面积传播), Spyware(间谍软件,盗取用户隐私数据),Adware(不经允许向用户发送广告链接),与当然还有其他小类,比如Riskware或者Unwanted之类的介于正常与恶意之间的。 Spyware和Adware在中国应该习惯称为流氓软件吧,与三大传统Malware不同,这两类是最近几年才出现的,好像各个杀毒软件公司对这类恶意代码是单独划分部门处理的,因为这两类比较难以判断是否是恶意代码,很容易引起法律纠纷,比如3721 Trojan,多指那些潜伏在后台进行一定恶意行为的malare,比如盗取游戏密码,键盘记录等等,现在这类Malware最多哦,它下面也有很多小类,比如从Kaspersky的诊断名就可以看出,他划分了Backdoor,Dropper,Rootkit, Downloader等 在杀毒软件领域,驱动木马是一种技术上的说法,其实驱动作为一种技术,可以用到任何一类的Malware里,如worm也经常用驱动技术,而且现在驱动技术在Malware里用的也很广,Malware writer写驱动的目的是进入Ring0,得到更高的权限,从而能进行一些strealth的操作,比如隐藏木马的进程(摘链大法等),用过滤驱动实现隐藏文件,用NDIS驱动隐藏木马的网络数据包(3.做底层数据发送接口也是可以的)等。驱动技术用在malware里经常被称为rootkit,想要详细了解Rootkit,可以参考 http://www.rootkit.com/ 驱动木马到底指的是哪一个,不同的人可能有不同的说法,基本情况大概是这样的,Malware writer把自己的写的木马,包括exe,dll,sys(驱动),以某种方式绑在一起作为一个EXE在网络上传播,如通过挂马等等,最后到达被感染的用户电脑里。捆绑方式多种多样,比如现成的捆绑器,Winrar自解压技术,还可能将dll,sys作为资源直接绑在EXE里等。这个EXE在运行过程中将dll和sys等文件释放出来,并将sys作为注册为windows驱动,然后启动它。有的人把释放驱动的木马称为驱动木马,也有的人把那个驱动成为驱动木马,通过观察Kaspersky的命名方式,好像有时是将一个家族的木马,比如上面讲的例子中的exe,dll,sys全部称为Win32.Trojan.XXX,有时是将驱动文件称为Rootkit.XXX,国内的杀毒软件厂商好像经常拿驱动木马出来吓唬人,金山更是号称要将所有恶意代码的命名全部采用中文,不知道还要冒出多少个像机器狗这样的名字。。汗。。。管他呢,反正理解是怎么回事就行了,感觉那些杀毒软件的广告很能忽悠人。。。公关强大啊。。。 关于这个驱动启动的方式,一般都是上面说的那种方式(当然不排除有些特别的方式),注册为Windows驱动的时候,可以选择这个驱动被windows加载的时机,windows提供了好几个值,你可以查一下一些Windows驱动开发的子键,然后根据Start的值来启动各个驱动或服务,比如Tcpip这个驱动,它的Start值是1,代表SERVICE_SYSTEM_START,表示Windows在内核初始化的时候就会加载这个书籍,或者Windows Internals里也有讲,其实关键是这个注册表键值,HKLM\System\CurrentControlSet\Service\XXXXXX \Start(XXXXXX代表某个服务的名称),Window启动时会检查Service键下所有驱动,所谓的驱动注册其实就是把驱动的信息添加到Service子键下而已,任何人都可以写自己的驱动然后注册到Windows里,让window加载。 关于第4,5个问题,可能要讲的东西就很多了,建议先去找些Windows驱动开发的资料看看。 2009/4/20 bugtraq <[email protected]> 1 驱动木马是指 调用驱动某些钩挂功能的木马程序呢? 2 还是纯驱动的OS自加载木马呢? 2.1 如果是如何被OS加载呢? 3 看见一个人说 做底层的数据发送接口 有这个可能吗? 4 如果够建一个比较隐蔽的木马呢? 5 我只想实现一个功能 文件目录的枚举 与传输 以驱动木马为前提 如何进行实现比较好呢? 各位对那点有兴趣就说说呗 你的朋友 为这封邮件插入了背景音乐 - the show(lenka)查看播放 --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
