Embed Size (px)
DESCRIPTION
網路安全管理 期中報告 -DLL 後門 -. A0933316 黃志成 指導教授 梁明章. 前言. 由於人們的安全意識逐漸增強,防毒軟體普及,使的傳統的後門程式無法在隱藏自己,稍有電腦知識的人都會去查看 port 或工作行程。 因此,後門編寫者把目光放到 dll 動態鏈結程式庫上,把後門做成 dll 檔,然後由一個 exe 載體或使用 Rundll32.exe 來啟動,這樣就不會有工作行程,也不會開起 port ,也就實現了工作行程及 port 的隱藏。. DLL 的原理 (1) 動態鏈結程式庫. - PowerPoint PPT Presentation
Citation preview
網路安全管理 期中報告網路安全管理 期中報告-DLL-DLL 後門 後門 --
網路安全管理 期中報告網路安全管理 期中報告-DLL-DLL 後門 後門 --A0933316 A0933316 黃志成黃志成指導教授 梁明章指導教授 梁明章
前言 • 由於人們的安全意識逐漸增強,防毒軟體普及,
使的傳統的後門程式無法在隱藏自己,稍有電腦知識的人都會去查看 port 或工作行程。
• 因此,後門編寫者把目光放到 dll 動態鏈結程式庫上,把後門做成 dll 檔,然後由一個 exe載體或使用 Rundll32.exe 來啟動,這樣就不會有工作行程,也不會開起 port ,也就實現了工作行程及 port 的隱藏。
DLL 的原理 (1) 動態鏈結程式庫
• 動態鏈結程式庫,全稱: Dynamic Link Library ,簡稱: DLL
• 作用在於為應用程式提供擴展功能,所執掌的功能,大多屬於各種程式所常見的功能 。
• DLL 檔本身並不可以運行,需要應用程式調用。• 由於 DLL 檔運行時必須插入到應用程式的記憶體模組
當中,這就說明了: DLL 檔無法刪除。這是由於 Windows 內部機制造成的:正在運行的程式不能關閉。
DLL 的原理 (2) DLL 後門原理及特點
• 把一個實作後門功能的程式碼寫成一個 DLL 檔,然後插入到一個 EXE 檔當中,使其可以執行,這樣就不需要佔用工作行程,就可以在任務管理器中隱藏。
• DLL 檔本身和 EXE 檔相差不大,但必須使用程式( EXE )調用才能執行 DLL 檔。 DLL 檔的執行,需要 EXE 檔載入。
• 做 DLL 後門基本分為兩種: 1 )把所有功能都在 DLL 檔中實現。 2 )把 DLL 做成一個啟動檔,在需要的時候啟動一
個普通的 EXE 後門。
常見的編寫方法 (1) 只有一個 DLL 檔
• 把自己做成一個 DLL 檔,在註冊表 Run 鍵值或其他可以被系統自動載入的地方,使用 Rundll32.exe 來自動啟動。
• Rundll32.exe 是“執行 32 位的 DLL 檔”。它的作用是執行 DLL 檔中的內部函數,這樣在進程當中,只會有 Rundll32.exe ,而不會有DLL 後門的工作行程。
• 系統中有多個 Rundll32.exe 代表 Rundll32.exe 啟動了多少個的 DLL 檔。
常見的編寫方法 (2) 替換系統中的 DLL 檔
• 這類後門做成一個和系統一樣的 DLL 檔,並把原來的DLL 文件改名。遇到應用程式請求原來的 DLL 檔時, DLL 後門就啟一個轉換的作用,把“參數”傳遞給原來的 DLL 檔;如果遇到特殊的請求時(比如用戶端),DLL 後門就開始,啟動並運行了。
• 對於這類後門,把所有操作都在 DLL 檔中實現最為安全,但需要的編程知識也非常多,也非常不容易編寫。所以,這類後門一般都是把 DLL 檔做成一個 "啟動 "檔,在遇到特殊的情況下(比如用戶端的請求),就啟動一個普通的 EXE 後門;在用戶端結束連接之後,把 EXE 後門停止,然後 DLL 檔進入 " 休息 "狀態,在下次用戶端連接之前,都不會啟動。
常見的編寫方法 (3) 動態嵌入式
• 將 DLL 檔嵌入到正在運行的系統行程當中。在 Windows 系統中,每個行程都有自己的私有記憶體空間,但還是有種種方法來進入其行程的私有記憶體空間,來實現動態嵌入式。
• 遠端多執行緒技術指的是通過在一個工作行程中創建遠端線多執行緒的方法來進入那個工作行程的記憶體位址空間。當 EXE 載體(或 Rundll32.exe )在那個被插入的多執行緒裏創建了遠端行程,並命令它執行某個 DLL 檔時, DLL 後門就掛上去執行了。
DLL 後門的啟動特性 • 啟動 DLL 後門的載體 EXE 是不可缺少的,也
是非常重要的,它被稱為: Loader 。• 好的 DLL 後門會盡力保護自己的 Loader 不被
查殺。• Loader 的方式有很多,可以是為我們的 DLL
後門而專門編寫的一個 EXE 檔;也可以是系統自帶 Rundll32.exe ,即使停止了 Rundll32.exe , DLL 後門的主體還是存在的。
較有名的 DLL 後門 • PortLess BackDoor - 使用 svchost.exe 來啟動
-平常不開連接阜,可以進行反向連接 • BITS.dll
-修改現有組裏的現有服務,把它的 ServiceDll 指向自己的 DLL 後門 • NOIR--QUEEN - 服務端以 DLL 檔的形式插入到系統的 Lsass.exe 行程裡
DLL 的防範 (1)•備份 system32 目錄下的 EXE 和 DLL 檔
• 使用記憶體 /模組工具來查看行程調用的 DLL 檔
- TaskList
DLL 的防範 (2)• 查看連接阜 - netstat •定期檢查系統自動載入的地方 - 使用 Windows 2000 Server Resource Kit 中的 SC
來刪除
