4. Rootkit Stuxnet PLC rootkit代码全部藏身于假冒的s7otbxdx.dll中。
为了不被PLC所检测到,它至少需要应付以下情况: 对自己的恶意数据模块的读请求;对受感染模块(OB1 , OB35, DP_RECV) 的读请求;可能覆盖Stuxnet自身代码的写请求。 Stuxnet包含了监测和拦截这些请求的代码,它会修改这些请求以保证Stuxnet 的PLC 代码不会被发现或被破坏。下面列出了几个Stuxnet用被挂钩的导出命令来应付这些情况的例子: s7blk_read: 监测读请求,而后Stuxnet 会返回:真实请求的DP_RECV (保存为FV1869);错误信息,如果读请求会涉及到它的恶意模块;OB1或OB35的干净版本的拷贝s7blk_write: 监测关于OB1/OB35的写请求,以保证他们的新版本也会被感染。s7blk_findfirst / s7blk_findnext: 这些例程被用于枚举PLC中的模块。恶意模块会被自动跳过。s7blk_delete: 监测对模块的“删除”操作。 如上文所述,Stuxnet 是一个非常复杂的威胁,而其中的PLC 感染代码令问题更加难以解决。
本文关键字:暂无联系方式PLC入门,plc技术 - PLC入门
上一篇:一种分时显示的PLC实用技术
