隐蔽技术

本地隐藏：防止本地系统管理人员觉察而采取的隐蔽手段。

➢  文件隐蔽：将恶意代码的文件命名为与系统的合法程序文件名相似的名称，或者干脆取而代之或者将恶意代码文件附加到合法程序文件中。

➢  进程隐蔽：附着或替换系统进程，使恶意代码以合法服务的身份运行，从而隐蔽恶意代码。还可以通过修改进程列表程序，修改命令行参数使恶意代码进程的信息无法查询。也可以借助RootKit技术实现进程隐蔽。

➢  网络连接隐蔽：借用现有服务的端口实现网络连接隐蔽，如使用80端口，攻击者在自己的数据包设置特殊标识，通过标识识别连接信息，未标识的www服务网络包仍转交给原服务程序外理。

➢  编译器隐蔽：由编译器在对程序代码进行编译时植入恶意代码，从而实现恶意代码在用户程序中的隐藏和原始分发攻击。恶意代码的植入者是编译器开发人员。

➢  RootKit隐蔽：利用适当的Rootkit工具，可以很好的隐蔽自身或指定的文件、进程和网络连接等，很难被管理员发现。

网络隐藏：主要是指通信内容和传输通道的隐藏

➢  通信内容隐蔽：使用加密算法对所传输的内容进行加密能够隐蔽通信内容。

➢  传输通道隐藏：利用隐蔽通道技术，实现对传输通道的隐蔽。(隐蔽通道(Covert Channel) 是一个不受安全机制控制的、利用共享资源作为通信通路的信息流。包括有:存储隐通道和时间隐蔽通道。

生存技术

恶意代码的生存技术主要包括四种类型：

➢  反跟踪技术：通过提高恶意代码分析难度，减少被发现的可能性。

➢  加密技术：利用加密技术，提高恶意代码自身保护能力。

➢  模糊变换技术：利用模糊变换技术，恶意代码可以躲避基于特征码的恶意代码检测系统，提高生存能力。

➢  自动生产技术：利用自动生成技术，在已有的恶意代码的基础上自动生成特征码不断变化的新的恶意代码，从而躲避基于特征码的恶意代码检测。

攻击技术

➢  进程注入技术：恶意代码程序将自身嵌入到操作系统和网络系统的服务程序中，不但实现了自身的隐藏，而且还能随着服务的加载而启动。

➢  三线程技术：恶意代码进程同时开启三个线程其中一个为主线程，负责远程控制的工作。另外两个辅助线程分别是监视和守护线程。一旦发现主线程被删除，则立即设法恢复。

➢  端口复用技术：重复利用系统或网络服务打开的端口(如80端口)，可以欺骗防火墙，具有很强的欺骗性。

➢  超级管理技术：恶意代码采用超级管理技术对反恶意代码软件系统进行攻击，使其无法正常运行。

➢  端口反向连接技术：指使恶意代码的服务端(被控制端)主动连接客户端(控制端)的技术。

➢  缓冲区溢出技术：恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码，造成缓冲区溢出，从而获得被攻击主机的控制权。