有很多修复可以利用 。但是恶意软件最喜欢的是一些安全相关的（如DisableNX, DisableSEH, InjectDLL等） 。为了安装一个shim数据库 。恶意软件部署了多种方式 。例如 。常见的一种方式是执行sdbinst.exe 。并将它指向恶意的sdb文件 。如下图 。一个广告软件“Search Protect by Conduit”（Sha256:6d5048baf2c3bba85adc9ac5ffd96b21c9a27d76003c4aa657157978d7437a20） 。使用shim来实现了持久化和注入 。它执行一个“InjectDLL”shim到谷歌chrome中加载vc32loader.dll 。有一些现成的工具可以分析sdb文件 。下面是我使用python-sdb分析的结果 。

文章插图


文章插图
0x0A IAT hook和Inline hook（应用层rootkit）
IAT hook和inline hook通常也叫应用层rootkit 。IAT hook使用用于改变导入地址表的技术 。当合法的程序调用位于DLL中API时 。将会执行被替换的API 。相反 。在inline hook中 。恶意程序修改API函数本身 。如下图 。恶意软件FinFisher（Sha256:f827c92fbe832db3f09f47fe0dcaafd89b40c7064ab90833a1f418f2d1e75e8e） 。IAT就hook了CreateWindowEx 。

文章插图


文章插图
0x0B 总结
本文中 。我描述了恶意软件用于隐藏自身行为的10种不同的技术 。通常 。恶意软件直接注入shellcode到另一个进程中或者强制其他进程加载恶意DLL 。如下表 。我已经将不同的技术进行了分类 。并提供了样本 。用于查看在本文提到的每个注入技术 。这可以帮助研究者用于在逆向时识别各种技术 。

文章插图


文章插图
攻击者和研究员一直在研究新的注入和隐蔽的技术 。本文介绍了10种常见的技术 。但是还有其他的 。如COM劫持 。防御者任重道远 。

• 在一支股票主拉升阶段,如何才能做到不被中途震荡洗出来？
• 机械师电脑牌子可靠不,性能和性价比高不高？
• 石榴变质吃了会中毒吗
• 女朋友约会几次就被认为是捞女,谈恋爱不应该花男朋友的钱吗？
• 王力宏事件升温！“绝望主妇”被骂“捞女”,受害者有罪论是吗？
• 王者荣耀被封号怎么怎么获取四周年皮肤？
• 如果在一场必败的战争中我选择了投降,我会被原谅吗？
• 日本大阪师团被称为“皇军中第一窝囊废师团”,仅仅是因为组成的士兵都是贩夫走卒吗？
• 电脑锁屏密码怎么设置？
• 电视剧《亮剑》中山崎大队被八路军包围,为何队长山崎治平显得有恃无恐？