不急不躁

通信隐蔽化为了更好地逃避目标主机上的安全软件、防火墙的拦截，越来越多的木马采用更底层的通信协议，甚至实现不同于 TCP/IP 协议的私有协议，以达到更好的通信过程隐蔽化基于 Tor 的通信Tor 提供了一个顶级域 .onion，用户只能通过 Tor 访问网络中的服务和主机，有效地保护了提供服务的主机位置和所有者的身份标识卡巴斯基发现了多种使用 Tor 进行通信的木马，如 64 ...

模块化的木马系统架构被控端是整个木马的核心，它包含 Dropper 与常驻模块两部分DropperDropper 是木马在植入过程中执行的组件，只在目标机器上执行一次，然后自行删除。Dropper 首先判断系统环境，如果检测出在沙盒或者虚拟机中运行，则执行错误的功能，或者非木马本身的功能。如果有调试器存在，则放弃执行。如果没有发现异常，则继续获取系统中安装的安全软件类型等信息，...

基于 TCP 的木马控制通信TCP 协议是字节流式的传输协议 ，木马通信还需要自定义应用层的协议被控机器的唯一标识一般是对被控机器的硬盘序列号、MAC 地址等固定信息进行 Hash 计算得到粘包与分包处理 粘包是指在接收方接收数据时，可能一次接收到多个数据包的数据组成的数据段，也可能收到一个或者几个完整的包与一个后续包的部分数据组成的数据段TCP粘包产生有两方面原因：...

对比 32位系统 64位系统 物理内存最大容量 4GB 2TB 单进程地址空间最大容量 3GB 8TBWindows 64 位系统当前64位平台上只实现了48位的线性地址空间，0-47位是地址，48-63保持与第47位相同。低地址范围：0x0000000000000000-0x00007FFFFFFFFFFF，高地址范围：0xFFF...

常见的恶意软分析技术主要包含静态分析和动态分析两大类反调试木马程序使用反调试技术，可以阻止调试器对木马程序的加载；阻止调试器对木马程序的执行控制；阻止对木马程序设置断点；阻止调试器读取被调试进程的内存信息，进而延缓整个分析过程Windows 系统实现了专门的调试器接口，而大多数调试器都是基于这些调试接口实现的调试器工作机制反病毒分析过程中，由于不可能获取到被分析软件的源码，...

免杀原理基于特征码的检测基于病毒特征码的检测方法，是目前反病毒软件最常用的检测技术。经过长时间的收集与积累，反病毒软件建立了庞大的已知病毒的特征数据库。在对可疑软件进行检测时，会从特征数据库中匹配已有特征。这种方法相对比较准确、快速，而且可以很容易地通过快速分析，结合新的模板，添加新的病毒文件特征。 特征码可以是一个简单的字符串或者代码字节序列，也可以是包含了已知恶意文件各项特点的...

Windows 系统启动过程基于 UEFI 的启动过程UEFI 固件接口可以实现 BIOS 固件接口类似的功能，逐步成为主流的固件接口之一。它主要提供一组在操作系统启动之前在所有平台上一致的服务，是在 EFI 1.0 基础上发展起来的新型可扩展固件接口，得到了大多数行业主流企业的支持UEFI 的几乎所有组件都用 C 语言开发完成，不再使用中断、硬件端口直接操作的方法，而是采用 ...

文件隐藏常用的文件隐藏方法有基于用户模式的 Rootkit 也有基于内核模式的 Rootkit基于用户模式的 Rootkit在 Windows 中，应用层的大多数功能都是通过调用 Native API 完成的。以 Windows7 为例，Native API 通过 sysenter 指令进入内核，进而调用 SSDT（System Service Dispatch Table，系...