黑基网 首页 资讯 科技眼 查看内容

注入恶意代码不稀奇,防毒软件还没工作前注入的“早鸟”代码兴起

2018-4-15 07:14| 投稿: xiaotiger |来自: 互联网

摘要: 有不少恶意程序都会利用代码注入(Code Injection)技术把恶意程序嵌入合法的程序中以躲避侦测,同时安全业者也发展出相对应的Hook机制来找出它们,不过,安全业者Cyberbit本周揭露了一款新的代码注入方式,它能在Ho ...

有不少恶意程序都会利用代码注入(Code Injection)技术把恶意程序嵌入合法的程序中以躲避侦测,同时安全业者也发展出相对应的Hook机制来找出它们,不过,安全业者Cyberbit本周揭露了一款新的代码注入方式,它能在Hook机制运作前就载入恶意程序,因而被命名为"早鸟"(Early Bird)代码注入技术。

恶意程序的代码注入流程是先设立一个伪造的合法程序,把恶意程序与异步过程调用(APC)置入该程序,之后重新开始程序的主要执行绪以执行APC。另一方面,防毒软件则为此设计了Hook功能,可监控API的呼叫以辨识恶意活动。

然而,Early Bird手法却是于执行绪初始化非常早期的阶段,在许多防毒软件还没部署Hook前就载入恶意代码,而能在不被侦测到的状态下展开恶意行动。

Cyberbit表示,目前已发现多款采用早鸟程序注入手法的恶意程序,包括伊朗骇客集团APT33所撰写的TurnedUp后门程序,以及可用来执行阻断服务攻击或窃取密码的通用恶意程序DorkBot。其中,去年9月才曝光的TurnedUp能够窃取资料、建立反向Shell、拍摄屏幕画面及收集系统讯息等。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部