标题:
微点可防内核级Byshell木马吗?
[打印本页]
作者:
zen
时间:
2008-1-29 20:34
标题:
微点可防内核级Byshell木马吗?
http://pfw.sky.net.cn/article/5385.html
Byshell是内核级的木马程序,有很强的隐蔽性和杀伤力。
Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。
黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的机器。当Byshell被安装在一台远程计算机上后,黑客就拥有完全控制该机器的能力,并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。
如何绕过主动防御
Byshell利用Rootkit技术,可以绕过严格的防火墙或者边界路由器访问控制,无论从内网或者外网的被控端,都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏,被安装该后门程序的机器都不能看到该后门使用的连接。
同时,它没有自己的独立进程,也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接,可以绕过防火墙的应用程序访问网络限制。在注册表中找不到由它建立的启动项,无任何RUN键值,避免了被Msconfig之类程序检测到。ByShell木马通过对当前系统的SSDT表进行搜索,接着再搜索系统原来的使用的SSDT表,然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行,这样就最终让主动防御功能彻底的失效。
微点可防内核级Byshell木马吗?
作者:
Legend
时间:
2008-1-29 20:46
如果你在试用微点出现任何可疑程序微点拦截不成功 请立即和我们联系。谢谢
作者:
chenrui19930
时间:
2008-1-29 21:43
呵呵,已经上报了
作者:
zen
时间:
2008-1-29 21:49
Quote:
Originally posted by
Legend
at 2008-1-29 20:46:
如果你在试用微点出现任何可疑程序微点拦截不成功 请立即和我们联系。谢谢
我还没有发现,再说这种木马很难人工发现啊,
希望微点能检测出来
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
