實驗條件：

上興遠控、comodo防火墻、360安全衛士

step1.生成木馬

?

step2.關閉360安全衛士、comodo防火墻。使用木馬感染靶機后，靶機并無明顯異常

開啟windows任務管理器，并無明顯中毒特征，cpu使用率和內存占用率并無明顯異常。

使用netstat/an命令查看系統端口連接，無明顯異常

step2.采用COMODO防火墻安全軟件killswitch觀察進程和網絡活動發現四個未知程序

感染木馬后并沒有立即在服務項中發現異常

查看網絡連接，測試后發現如果木馬控制端不進行耗費流量的操作，木馬也很難發現

運行comodo autorun analyzer分析：發現未知程序，但未知程序很多，無法準確判定程序是否是惡意程序

查看360Min.exe進程屬性，也是未知標識，并無法準確判定程序的性質

打開COMODO ids入侵檢測系統，發現可以檢測出木馬的操作。

?

step3.360安全衛士的檢測

關閉靶機comodo防火墻，打開360安全衛士。在木馬控制端開啟靶機攝像頭，提示如下圖。

360對于系統關鍵部分提供了特殊的保護，在360安全衛士的設置中找到了攝像頭的控制開關。

?

當開啟靶機的屏幕實時顯示時無論是360安全衛士或是comodo防火墻都無法進行攔截

一段時間后360安全衛士自動檢測到桌面的木馬程序并自動刪除

?

實驗總結與思考：

未知防，焉能攻

在常用的手段如查看網絡連接或是查看進程只能實現收緊搜索范圍而非精確定位惡意軟件，推測comodo對于軟件的安全性判斷是基于軟件廠商的信任列表。而ids則時基于軟件的行為監測。而360對于敏感的部位由特殊的防護，后來也自動刪除了程序，表明360的監控是實時的。

上興遠控生成的木馬程序具備多種自啟動和隱藏能力，甚至有加殼功能來免殺。我想如果改變加殼方式或是添加花指令當木馬靜止時應該可以躲避安全軟件的行為查殺，如果采用進程注入方式將自身注入到一個受信的進程中應該可以部分躲避行為查殺。

在此感想，制作一個合格的木馬對黑客的綜合技術要求非常高，無論是注冊表/服務/網路通信/行為免殺/加殼等等技術都要求精通，如果一方面做的不好則木馬就會暴露。

轉載于:https://www.cnblogs.com/ghost00011011/p/7751743.html

總結

以上是生活随笔為你收集整理的木马手工查杀和隐藏控制技术分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。