新一代的远控软件

传统化上的远程操作病毒因为可用面不广,应用较为分散化,只重视作用不重视某些安会上的难题,出現过的安全事件总有:

1.控制者被反查；

2.控制者设备被运用文件下载文件上传反控；

3.有关黑客被杀；

4.捉鸡黑客被网警抓捕；

5.关键组员被國際通缉等。

下代远程操作病毒的构思讨论

傳統的远程操作病毒

最开始

1. 大部分应用tcp协议做为其关键通讯协议,沒有选用相匹配的加锁对策。

2. 病毒文档历经加壳或是沒有加壳,可草率被剖析出特征码。

3. 有关作用都被融合来到一块儿,免杀速度快。

4. 不对称性,碰到繁杂的网络空间将会存有发布难的难题。

5. 发布选用动态域名,历经不靠谱外部转站消息可被草率阻拦或是仿冒。

6. 大部分选用注册表起动或是注冊业务起动,不多改动文档方法。

7. 存有可执行文件,dll,sys,起动方法大部分选用单独起动,沒有或是不多文档感柒,程序引入。

8. 种马感柒方法分散化,大部分选用互联网传输方式感柒。

9. 驻留方法分散化,大部分是驻留在体系。找不到反沙盒剖析作用。

10. 大部分是c/s构造,即client/server。病毒文档广泛很大。

之后

1. 除开tcp病毒以外出現了udp病毒,但仍然沒有采用加锁对策。

2. 病毒在原来加壳基本之中,开使出現了自写壳,反调节等反剖析对策。

3. 由原先的融合到一块儿开使出現了生成器/操纵web端方式,免杀時间略微拉长。

4. 发布开使出現了各种发布方式,出現了服务器空间发布、FTP发布、数据表发布。

5. 可靠性变好。出現了反跳发布病毒。

6. 开使出現改动系统文件,改动业务起动方法掩藏本身。

7. 开使出現了超小型板本病毒,出現了无程序,文档感柒,程序引入关键技术。

8. 出現了各种感柒方法,病毒自身在感柒受精卵后出現了感柒移动终端的状况。

9. 开使出現了驻留bios,感柒映像文件病毒。仍然找不到反沙盒逻辑思维能力。

10. 出現了b/s,即网页/虚拟主机方式互动通讯病毒。可靠性变好。文档相比上六代缩小了某些。

如今

1. 除开tcp,udp病毒以外,开使出現了https,ssl病毒,但自身还会被捕到病毒原形。

2. 病毒在原来加壳,自写壳,反调节基本之中,出現了shellcode病毒,dll病毒,纯进制文档靠别的文档载入病毒。

3. 由原先的生成器/操纵端方式开使出現了工程化病毒,抗剖析,免杀潜质变好。

4. 发布由原先的分散化发布方式出現了适用混和合同发布方式病毒,1个虚拟主机被封，可维持被控者仍然不出。

5. 可靠性在原来基本之中越来越更强,除开反跳发布以外,出現了借助别的业务发布病毒。

6. 除开原先的改动、感柒文档方法以外，出現了感柒声卡，感柒网口方法。

7. 除开无程序以外，出現了无文档，无网关网关病毒关键技术。

8. 除开感柒移动终端外，出現了混合开发感柒病毒，内部网感柒病毒，会感柒例如智能交易用户这类的设施。

9. 出現了反运存剖析、文档自动自動进化病毒，会给剖析产生必须难易度。

10.出現了混和操纵方法病毒，能够b/s还可以c/s。

11.由原先的从vc/delphi/vb这类的語言撰写的远控病毒开使出現了角本撰写的远控木马程序。容积更小，方法更为隐检。

现阶段遭遇的难题。

1. 远控传送合同的难题,沒有好的加密协议很容易出現通讯被阻拦/仿冒难题,为自己产生风险。某些防火墙设施还可以草率阻拦通讯。

2. 远控的免杀难题,傳統的病毒很容易在得到特点后就被防毒软件查杀,始终沒有出現好的反防毒软件构思。

3. 起动载入方法难题,傳統的例如注册表，文档，业务起动，很容易被例如(x60这类)手机app阻拦,很多杀软也较为注重注册表。

4. 文档驻留难题,驻留在体系很容易被得到样版文档,也会造成病毒自身存活期限减短。

5. 文档使用难题，全部作用都密集在了一块儿，很容易被鉴别为病毒文档。

临时性的处理对策：

1. 远控传送合同选用公钥方法加锁,文档转化成时可挑选仿冒某类可靠手机app报文方法。

2. 在文档特点上,选用密匙方法按段加锁,运存按段破译运作后删掉上多次使用纪录,动与静互动+加锁方式抵抗特点捕捉。

3. 载入方法选用非注册表载入，引入系统配置关键控制器文档载入。

4. 体系只驻留关键适用文档，或是彻底靠引入后文档使用。

5. 作用文档选用软件方法,用完即删,即便被捕捉也没办法被剖析评定为病毒。

未处理的难题:

根源/ip地址很容易被侦查员捕捉的难题,选用私有云,p2p方法待自主学习。

只能升级的病毒/黑客技术能够推动总体的安会发展。