杀毒软件都是用病毒特征码去识别。和流程没关系。
我说的内容是攻击流程。寄身的主体,如果杀毒软件没有搞清楚的话,很容易出现误判的,但是这就有后患了。
而且病毒特征码的存在是因为发现了,发生了,这样杀毒公司才能有那个病毒库。
如果从来没被人发现,你如何去收集那个病毒库呢?
举个简单的root kit的工作原理,在iis注入一个dll,删除注册表对应的位置
这样你打开iis管理端的时候是看不到那个dll的。
然后我这时候只需要监听本地1234端口,发送一个http请求,里头用特别的header跟cookie,远程服务器反向连接回来,控制权拿到。
对方网络管理员不知道这个rootkit的存在,杀毒公司也不知道,我们如何提取特征码呢?不过这个例子倒是只需要验证注册表所有键值就能判断出来是否有问题了。
要确定文件是否可信,还需要逆向那个dll判断里头的内容。
