注意:
據某網友指稱本站之內的文章有混淆視聽之嫌,但由於該網友並沒明確指出本篇文章哪部分[混淆視聽],所以暫時決定不刪除,等候我查閱出哪裡不妥之後在於予修正並特此公告。所以請來訪之網友暫時不要閱讀該篇文章,如果你真的想看也請看完後幫忙指出不妥之處。
時至2007/03/13本人等不到原指稱本站之內的文章有混淆視聽之嫌的朋友來指教,所以本人只好把自認為有問題的部分刪除,如客官們能告知我哪裡不妥之處,本人將敬以無限感激之意。
--------------------------------------------------------------------
第三代Process隱藏技術:使用HOOK來做DLL Injection
這是比較高段的隱藏方式,通過系統的HOOK機制(類似於DOS時代的“中斷”)來插入Processc或DLL(一些盜號木馬、鍵盤記錄木馬均是以HOOK方式插入到其他Process中“偷雞摸狗”) 。
通常是使用VB中的SetWindowsHookEx函數(也是一個Win32 API函數)來製作。
缺點是製作技術門檻較高,程式測試困難,這種木馬的製作者必須具有相當的Win32程式設計技巧。
什麼是HOOK:
HOOK是Windows中提供的一種用以替換DOS下“中斷”的一種系統機制,是用來攔截系統某些訊息之用。
在對特定的系統事件(包括上文中的特定API函數的事件)進行Hook後,一旦正常程式發生Hook的事件時,針對該事件進行Hook的程式(如:木馬)就會收到系統的通知,這時程式就能在第一時間對該事件做出回應(木馬程式便搶在函數返回前對結果進行了修改)。
攻擊者使用HOOK的好處:
毫無蹤跡:全方位隱藏
利用剛才介紹的Hook隱藏Process的手段,木馬可以輕而易舉地實現程式的隱藏,只需將Hook技術應用在目標程式相關的API函數上即可,這樣無論是“工作管理員”還是防毒軟體都無法找出木馬程式所在了。 (會將木馬視為正常系統軟體)
第三四代木馬代表作:灰鴿子就是利用該技術實現了程式和Process的隱藏。
防止這種木馬最好的手段是利用防毒軟體在木馬執行前進行攔截,一旦木馬已經運作則幾乎無法刪除。
