KMSRussian 发表于 2012-9-5 20:38:33

[讨论] 一种无敌的后门思路

1采用DLL劫持或者跳板技术将Dll加载到svchost进程中
也可以参考内核注入的N中思路   其中很多方式也适用于R3
2隐藏在dll中的shellcode执行并将DLL卸载
3即使你开了hips svchost也要正常联网比方说连网关 53bind口得到dns地址等等 要n多联网 你用hips禁止svchost联网 你自己也上不了网
杀毒软件根本无法查杀 除非内存查杀匹配特征码 但是shellcode变形 编码 加解密手段太多了
稍微一修改就过了AV
4此时shellcode从你电脑上偷点东西 然后传上去 易如反掌


当然思路也比较老了

谁有办法 对抗这种后门
当然防火墙白名单可以不允许访问陌生IP 但是 实战价值不大

Tesla.Angela 发表于 2012-9-5 21:02:39

DLL和shellcode搞SVCHOST。。。这个太古老了吧。

KMSRussian 发表于 2012-9-5 23:52:34

有src吗 能的话 发一份可编译的src出来

从杀毒软件的角度来说可不好防御啊

KMSRussian 发表于 2012-9-5 23:59:07

目前兼容XP-WIN7 的(32 64)这样的代码我还真没见过 除非自己写

sunshinebean 发表于 2012-9-6 10:03:46

防火墙过滤每一个请求呢?

KMSRussian 发表于 2012-9-6 16:27:11

防火墙过滤每一个请求呢?

防火墙怎么过滤啊 svchost 会各种外联 比方说核对时间 查dns连53bind口

你手动都区分不清楚svchost哪次外联是干什么的 哪次外联是安全的哪次是不安全的

怎么可能将shellcode的外联和svchost的正常联网区分的开

xxy19804 发表于 2012-9-7 11:34:26

我也想听听有啥新技术

X_son 发表于 2012-10-29 10:29:46

两个解释我的理解:不懂
页: [1]
查看完整版本: [讨论] 一种无敌的后门思路