2019年10月30日 星期三

ICMP Backdoor 逆向分析

之前有討論過關於後門(Backdoor)/木馬(Trojan)的分析,也說明它有兩種運行的方式,大多數惡意程式會使用Reverse Backdoor來建立未授權的遠端連線到駭客的中繼站,那麼它並不會馬上建立Reverse Backdoor的連線,所以需要使用HTTP(80)或SSL(443)來當作媒介,只要駭客傳遞給惡意程式指令,就能建立Reverse Sell(未授權的遠端連線),這樣就很難發現當前系統有被執行Reverse Sell,那麼最常當作媒介不外乎就是HTTP和SSL,這兩種網路協定,因此這篇就討論另一個有趣的協定ICMP,透過它來當作傳遞執行Reverse Sell的指令。

2019年10月17日 星期四

木馬(Trojan)/後門(Backdoor)逆向分析

以前在學習惡意程式分析,都會先了解此惡意程式是如何撰寫的,這樣才能直搗黃龍,那麼此篇就來分析最常遇到的惡意程式:

2019年10月5日 星期六

Linux - Rootkit

現今越來越多惡意程式在肆虐系統,不過大多數的惡意程式,防毒軟體都可以識別,像是後門/木馬、檔案加密、鍵盤側錄等等都可以輕易阻擋,然而也有進階的惡意程式非常難抵抗,像是Rootkit,那麼什麼是Rootkit,顧名思義就是能提升到root權限的程式,不過它有二種形式的運行方式,第一種是在應用層(ring3)幫助駭客提升權限,這種就很好解決它,另一種是存在於核心層(ring0),這種就比較頭痛,因為它能攔截(Hook)系統呼叫(system call),所以能輕易的隱藏檔案、防止檔案被刪除,甚至無法將它移除(需要找到它的實際檔案在哪裡,不然無法根除),因此防毒軟體才會難以阻擋這種高強度的惡意程式,那我們就來瞭解要如何利用Rootkit來提升權限。