web-dev-qa-db-ja.com

バックドアはどのようにして永続性を獲得しますか

システムにアクセスして再起動すると、埋め込まれたバックドアが殺されることは知っています。または、タスクマネージャーでバックドアを見つけた場合、それを強制終了することができます。ただし、Windowsのレジストリとスタートアップフォルダーに追加する以外に、バックドアが永続化する方法を知りたいのですが。

windowsbackdoor
14
user160431

マシンが起動した後、プロセスを確実に開始する方法が必要です。

これは-

  • 起動時にWindowsまたは別のプロセスに開始するように要求する(サービス、スタートアップアプリケーションなど)
  • 起動時または起動直後に呼び出されることがわかっている実行可能ファイルまたはライブラリの置き換えまたはパッチの適用。これにはドライバーを含めることができます。
  • 一般的なユーザーアクションの乗っ取り-たとえば、Google Chromeショートカットを変更して独自のプロセスを起動します(次に、元のアプリケーションを起動してユーザーの認識を停止します)。
  • ハードウェアデバイスで実行されているBIOSの更新/ファームウェアの置き換え/パッチ。
  • ブートキット/ハイパーバイザーを使用して、オペレーティングシステムの前にコードを開始します。
  • 物理的なハードウェアベースの攻撃-悪意のあるRAMモジュールのようなもので、コードを挿入します。

ファイアウォールやサービス設定を変更してリモートで再感染できるようにすることもできます。

24
Hector

持続性は、感染を単純化するために常に感染の中心となります。Windowsレジストリの使用に加えて(Windowsターゲットについてのみ話しているように見えるため)、マルウェアは持続するためにこれらの手法を使用できます。

そして、リストは開発者がどれほど巧妙であるかについて、そのすべてを無限に成長させることができます:)

7
Soufiane Tahiri

無料のAutorunsユーティリティにあるタブをチェックすることで、何かを自動起動するさまざまな方法のアイデアを得ることができます(SysInternals/Microsoftから、 https://docs.Microsoft.com/en-usで入手可能)/sysinternals/downloads/autoruns

以下のMSDNのドキュメントページのスクリーンショットにあるタブの数を参照してください。「すべて」のタブとは別に18個のタブを数えることができます

https://docs.Microsoft.com/en-us/media/landing/sysinternals/autoruns_v13.png

0
George Birbilis