.K.T.'s Blog

上個星期我去上了有關惡意軟體的課
學到了不少東西
想說跟大家介紹一下
順便做個筆記

近來的 Malware^{（註：1）} 與以前大不相同
以往的惡意軟體
大多是常駐於系統中的執行檔
而現在的 Malware
幾乎都以 DLL 的形式存在
這樣做的好處有

1. 不需要產生 Process，因此也不需要隱藏
2. 可使用宿主的資源，例如以 IE 的名義連線
3. 一個 Process 中的 DLL 非常多，要分析出來並不容易
4. Process 可以很簡單地被終止，但是要從一個 Process 中把目標的 DLL 動態移出來並不容易

通常
DLL Malware 會在開機時自動執行
目前常見的方式有

• 安裝成為系統的元件
• IE 的元件
• 檔案總管的 Shell Extension 元件
• Svchost 的 Service DLL
• Winsock LSP 的 SPI DLL
• Winlogon 的元件
• 安裝 Message Hook DLL
• WH_KEYBOARD
• WH_MOUSE
• WH_GETMESSAGE
• 採用 DLL Injection 方式直接感染特定的 Process

要偵測系統中是否存在 Malware
可以從以下幾個地方著手

1. 有沒有可疑的 Process
2. 有沒有可疑的 AutoRun DLL
3. 是否有利用 Rootkit^{（註：2）} 隱藏的 Process
4. 是否有利用 Rootkit 隱藏的 File 或 Registry Key

要清除系統中的 Malware
一定要找出 Malware 啟動的方式
不然
每次重開機
Malware 就會再次執行

另外
如果要觀察 Malware 的行為
可從以下幾個方向著手

• Network Inspection
• Process Inspection
• Auto-Startup Inspection
• Rootkit Inspection

以上的資料
很多都來自 Birdman 的上課內容
感謝 Birdman 精彩的教學
真是讓我受益不少啊！

1. Malware：惡意軟體，泛指一般未經使用者許可，擅自植入使用者電腦，且會對於電腦程式與檔案文件造成破壞與損傷的程式，通常惡意軟體是由駭客設計，並且刻意散發以造成他人電腦中毒或癱瘓。如電腦病毒、蠕蟲、特洛依木馬病毒、間碟程式與後門程式等，都是屬於惡意軟體。 [↩]
2. Rootkit：Rootkit 是指其主要功能為隱藏其他程式進程的軟體，可能是一個或一個以上的軟體組合；廣義而言，Rootkit也可視為一項技術。最早Rootkit用於善意用途，但後來Rootkit也被駭客用在入侵和攻擊他人的電腦系統上，電腦病毒、間諜軟體等也常使用Rootkit來隱藏蹤跡，因此Rootkit已被大多數的防毒軟體歸類為具危害性的惡意軟體。Linux、Windows、Mac OS等作業系統都有機會成為Rootkit的受害目標。 [↩]