常见黑客技术分享(黑客大户追款团队是真的吗)

　　检测恶意软件的新策略和技术正在兴起，但高级黑客也在使用高级掩盖方法来避免他们的恶意软件被发现。

　　1.反汇编和调试器(保护器)

　　恶意软件作者知道有多少恶意软件研究人员在工作，以及他们用来搜寻威胁的工具。例如，研究人员和程序员通常使用反汇编程序和调试器来找出某段代码的功能。

　　有很多工具和技术可以检测反汇编程序和调试器，包括内置的Windows函数。这些技术中的大多数都是为了帮助打击盗版——盗版者将使用这些工具来破解受版权保护的软件。

　　不幸的是，恶意软件作者将使用相同的技术来检测他们的程序是否正在恶意软件分析师的计算机上运行。如果恶意软件检测到这些工具，它们可以停止运行或改变行为，从而使分析师难以开展工作。

　　2.Rootkits

　　在最高层，rootkit是一个工具或技术的集合，可以让恶意软件潜入系统深层，对操作系统不可见。处理器有不同级别的执行权限(ring 0-3)，攻击者可以利用这些级别的权限玩弄运行在更高级别的程序。

　　比如Windows、Linux等操作系统，可以分为用户空间和内核空间。在最高级别，您只需要知道内核空间(ring0)比用户空间(ring3)拥有更高的权限。如果你有一个程序需要列出目录中的文件，你可以调用用户空间函数来做这件事，但是内核函数也可以被调用。

　　如果恶意程序获得内核权限，它就可以“欺骗”在用户空间运行的程序。因此，如果一个程序用用户空间函数调用扫描文件系统，内核rootkit在解析文件时就可以欺骗它。当用户空间函数扫描恶意文件时，rootkit可以欺骗它说“这些不是你要找的文件”，或者更具体地说，只是绕过这些文件，不作为用户空间程序的执行结果返回。更糟糕的是，虚拟化为rootkit欺诈增加了另一层保护，因为它在内核下运行的hypervisor拥有比内核更高的权限。

　　简而言之，恶意软件有时可以使用rootkit来隐藏本地反病毒软件——通过对操作系统本身隐藏文件、网络连接或其他东西。然而，现在大多数AV都有自己的内核级驱动程序和保护措施，以避免常见的rootkit欺骗。

　　3.代码、进程和DLL注入

　　或动态链接库(DLL)注入，代表了一系列可用于在另一个流程上下文中执行代码的技术。恶意软件作者经常使用这些技术使他们的恶意代码在必要的Windows进程中执行。

　　例如，它们可以被注入到explorer.exe、svchost.exe、notepad.exe或其他合法的Windows可执行程序中。通过选择必要的Windows进程注入，恶意软件可以使自己难以被反病毒软件检测和查杀。恶意软件还可以通过挂钩常规网络进程来隐藏其恶意流量。随着时间的推移，微软已经修复了许多被网络罪犯使用的进程或代码注入技术，但研究人员和攻击者仍在不断寻找新技术，例如最近发现的AtomBombing内存注入技术。

　　恶意软件还可以使用其他方法来避免AV检测，例如绑定或附加到合法程序，以及休眠以避免自动分析的计时攻击。当然还有很多其他的例子。

　　那么，反恶意软件程序如何检测或击败这些规避?不幸的是，这个问题没有简单的解决方案，技术军备竞赛仍在继续。然而，我们在反病毒武器库中有一个非常强大的武器——行为分析恶意软件检测。

　　许多规避技术要么修改恶意软件代码以避免基于签名的检测和静态分析，要么执行一些事后看来明显恶意的操作。但即使可以改变，它所做的事情却无法改变，至少只要恶意软件还想达到它感染电脑、制造后门或加密文件的目的，这些行为就不可或缺。因此，许多高级检测解决方案已经创建了基于行为识别恶意软件的系统。

　　一般来说，这些解决方案创建了一个“沙箱”，其行为类似于受害者的计算机，并附带所有正常的支持软件。当系统接收到新的/可疑的文件时，它在沙盒环境中执行它们并检查它们的行为。通过监控数百种已知的恶意软件行为，包括已知的规避技术，这些解决方案可以准确、主动地报告可执行文件是否是恶意的。在机器学习的进一步驱动下，行为分析很可能是恶意软件防御的未来，也是整体防御的未来。