@风铃
2年前 提问
1个回答
为什么内存型木马隐蔽性高
Ann
2年前
内存型木马隐蔽性高原因如下:
内存马无逻辑结构边界,难以被发现内存马仅存在于进程的内存空间中,通常与正常的合法的代码、数据混淆。内存马与传统恶意代码的不同之处在于它没有磁盘文件,会导致传统的检测防护手段失效。
内存马缺乏稳定的静态特征,难以被识别内存马缺乏结构化的静态形式,它依附在进程运行期间的输入数据进入进程,数据可能被加密混淆,因此,无法通过特征识别内存马。
内存马种类多,检测机制复杂而多样内存马有二进制代码片段、PowerShelll脚本、Web中间件等类型,每种类型又可细分,不同类型内存马的执行方式、恶意代码行为触发机制各不相同。
针对内存型木马的防御方法如下:
对开放上传附件功能的网站,一定要进行身份认证,并只允许信任的人使用上传程序;
保证所使用的程序及时地更新;
不要在前台网页加注后台管理程序登录页面的链接;
时常备份数据库等文件,但是不要把备份数据放在程序默认的备份目录下;
管理员的用户名和密码要有一定复杂性;
IIS中禁止目录的写入和执行功能,可以有效防止asp木马;
在服务器、虚拟主机控制面板设置执行权限选项中,将有上传权限的目录取消asp的运行权限;
创建一个robots.txt上传到网站根目录,Robots能够有效防范利用搜索引擎窃取信息的骇客;