[讨论] 一种无敌的后门思路
1采用DLL劫持或者跳板技术将Dll加载到svchost进程中也可以参考内核注入的N中思路 其中很多方式也适用于R3
2隐藏在dll中的shellcode执行并将DLL卸载
3即使你开了hips svchost也要正常联网比方说连网关 53bind口得到dns地址等等 要n多联网 你用hips禁止svchost联网 你自己也上不了网
杀毒软件根本无法查杀 除非内存查杀匹配特征码 但是shellcode变形 编码 加解密手段太多了
稍微一修改就过了AV
4此时shellcode从你电脑上偷点东西 然后传上去 易如反掌
当然思路也比较老了
谁有办法 对抗这种后门
当然防火墙白名单可以不允许访问陌生IP 但是 实战价值不大 DLL和shellcode搞SVCHOST。。。这个太古老了吧。 有src吗 能的话 发一份可编译的src出来
从杀毒软件的角度来说可不好防御啊
目前兼容XP-WIN7 的(32 64)这样的代码我还真没见过 除非自己写 防火墙过滤每一个请求呢? 防火墙过滤每一个请求呢?
防火墙怎么过滤啊 svchost 会各种外联 比方说核对时间 查dns连53bind口
你手动都区分不清楚svchost哪次外联是干什么的 哪次外联是安全的哪次是不安全的
怎么可能将shellcode的外联和svchost的正常联网区分的开 我也想听听有啥新技术 两个解释我的理解:不懂
页:
[1]