我知道,如果您要访问系统并重新启动它,那么植入的后门就会被杀死。或者,如果您要在任务管理器中找到后门,您将能够杀死它。但是,我很想知道除了添加到 Windows 注册表和启动文件夹之外,后门还能如何获得持久性?
后门如何获得持久性
信息安全
视窗
后门
2021-08-14 07:03:39
3个回答
您只需要一种在机器启动后可靠地启动该过程的方法。
这可以从 -
- 要求 Windows 或其他进程在启动时启动它(服务、启动应用程序等)
- 替换或修补已知在启动时或启动后不久调用的可执行文件或库。这可以包括驱动程序。
- 劫持一个常见的用户操作——例如修改谷歌浏览器的快捷方式来启动你自己的进程(这反过来又启动了原始应用程序以阻止用户意识到)。
- 更换/修补在硬件设备上运行的 bios/固件。
- 使用 bootkit / hypervisor 在操作系统之前启动您的代码。
- 基于物理硬件的攻击——类似于注入代码的恶意 RAM 模块。
您还可以执行修改防火墙和服务设置等操作,以允许远程重新感染。
持久性始终是任何感染的中心点,以保持简单,除了使用 windows 注册表(因为您似乎只谈论 Windows 目标)恶意软件可以使用这些技术来持久化:
而且列表可以无限增长,这一切都与开发人员的聪明程度有关:)
您可以通过查看免费 Autoruns 实用程序具有的选项卡(来自 SysInternals/Microsoft,可在https://docs.microsoft.com/en-us/sysinternals/downloads获得)来了解 AutoStarting 的许多不同方式/自动运行)
请参阅下面来自 MSDN 文档页面的此屏幕截图中的选项卡数量,除了“所有”选项卡之外,我还可以计算 18 个选项卡
其它你可能感兴趣的问题