特洛伊木马隐藏技术研究
- 格式:pdf
- 大小:580.50 KB
- 文档页数:7
下载文档原格式
合集下载
第五章 特洛伊木马
6、隐藏在应用程序的启动配置文件中 木马控制端利用应用程序的启动配置文 件能启动程序的特点,将制作好的带有木 马启动命令的同名文件上传到服务端覆盖 该同名文件,这样就可以达到启动木马的 目的。 7、伪装在普通文件中 具体方法是把可执行文件伪装成图片或 文本。
8、内置到注册表中 木马可以隐藏在注册表中由于系统启动时自动 执行程序的键值中,如: HKEY_LOCAL_MACHINE\software\ HKEY_LOCAL_MACHINE\software\Microsoft \Windows\CurrentVersion下所有以“run”开头的 Windows\CurrentVersion下所有以“run” 键值; HKEY_CURRENT_USER\software\microsoft\ HKEY_CURRENT_USER\software\microsoft\ Windows\CurrentVersion下所有以“run” Windows\CurrentVersion下所有以“run”开头的 键值; HKEY_USERS\.Default\Software\Microsoft\ HKEY_USERS\.Default\Software\Microsoft\Wi ndows\CurrentVersion下所有以“run” ndows\CurrentVersion下所有以“run”开头的键 值。
木马的启动方式
木马想要达到控制或者监视计算机的目的, 必须要运行,自动启动功能是必不可少的, 这样可以保证木马不会因为用户的一次关 机操作而彻底失去作用。常用的方法有以 下几种:
1、集成(捆绑)到应用程序中。 如绑定到系统文件中,那么每次WINDOWS启 如绑定到系统文件中,那么每次WINDOWS启 动均会启动木马。 2、隐藏在Autoexec.bat和Config.sys中 、隐藏在Autoexec.bat和Config.sys中 很多用户一般不处理系统的配置文件,这正好 给木马提供了一个藏身之处,利用配置文件的特殊 作用,木马很容易在计算机中运行。 当你启动dos的时候, 当你启动dos的时候,不执行任何动作,便会看到 一个光标而已,如果你要在dos启动的时候让他自 一个光标而已,如果你要在dos启动的时候让他自 动执行一些命令,那就可以编辑Autoexec.bat, 动执行一些命令,那就可以编辑Autoexec.bat,dos 会自动执行它。你可以在Autoexec.bat里写 会自动执行它。你可以在Autoexec.bat里写 echo hello this is dos command. 那示"hello this is dos command"
特洛伊木马攻击技术与防范策略
特洛伊木马攻击技术与防范策略敬晓芳(中国工程物理研究院化工材料研究所,绵阳629100)摘要:特洛伊木马是一种程序,它驻留在目标计算机里,随计算机自动启动并在某一端口进行侦听,对接收的数据识别后,对目标计算机执行特定的操作。
其隐蔽性强,种类数量繁多,危害性很大。
本文介绍了木马的攻击原理、常用攻击技术以及防范策略。
关键词:特洛伊木马;驻留;攻击技术;防范策略1引言特洛伊木马(Trojan Horse),简称木马,是一种程序,这种程序被包含在合法的或表面上无害的程序上的恶意程序。
其实质只是一个通过端口进行通信的网络客户/服务程序。
木马具有很强的隐蔽性,而且能够自启动,并进行自我保护。
木马属于“外来代码”的范畴,它表面上提供一些令人感兴趣的有用的功能,但除了用户能看到的功能以外,这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。
木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。
对攻击者而言,使用外来代码的关键优势之一就是,通过将非本地代码或二进制代码引入操作系统环境,从而断绝与系统或网络管理员所控制资源的依赖性。
相比较而言,添加或修改系统帐户,或直接操纵其他系统资源,可能被警惕性高的管理员发现,而安装一个“外来代码”则可以在一段时间内不被发现,尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。
随着计算机技术的发展,木马的功能越来越强大,隐蔽性和破坏性不断提高,其数量也在急剧增加。
2木马的原理和种类自木马程序诞生至今,己经出现了多种类型,常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。
大多数的木马都不是单一功能的木马,它们往往是很多种功能的集成品,因此,此处也只能给出一个大致的分类。
(1)玩笑型玩笑木马程序不造成损坏,但会从计算机的扬声器中发出惹人讨厌的声音,让计算机屏幕看起来七扭八歪,或在屏幕上显示吓人的信息,如“现在正在格式化硬盘!”虽然这类木马程序非常气人,让人厌烦,但它们是无害的,很容易删除。
特洛伊木马的攻击原理与防护措施
1 木马木马,全称是“特洛伊木马”,英文为 Trojan Horse,来源于古希腊神话《荷马史诗》中的故事《木马屠城记》。
近年来发展迅速,经常被黑客利用,渗透到计算机用户的主机系统内,盗取用户的各类账号和密码,窃取各类机密文件,甚至远程控制用户主机。
2 木马原理木马一般都使用C/S架构,一个完整的木马程序通常由两部分组成:服务端(服务器部分)和客户端(控制器部分)。
“服务器”部分被植入到被攻击者的电脑中,“控制器”部分在攻击方所控制的电脑中, 攻击方利用“控制器”主动或被动的连接“服务器”,实现对目标主机的控制。
木马运行后,会打开目标主机的一个或多个端口,以便于攻击方通过这些端口实现和目标主机的连接。
连接成功后,攻击方便成功的进入了目标主机电脑内部,通过控制器可以对目标主机进行很多操作,如:增加管理员权限的用户,捕获目标主机的屏幕,编辑文件,修改计算机安全设置等等。
而这种连接很容易被用户和安全防护系统发现,为了防止木马被发现,木马会采用多种技术来实现连接和隐藏,以提高木马种植和控制的成功率。
3 木马的连接方式攻击者利用木马对目标主机(攻击者)的控制,需要通过控制端和服务器端的连接来实现。
常见的木马连接方式有正向端口连接、反弹端口连接和“反弹+代理”连接三种方式。
3.1 正向端口连接正向连接方式是由控制端主动连接服务器端,即由控制端向服务器端发出建立连接请求,从而建立双方的连接,如图1。
为了内网的安全,通常防火墙会对进入系统内部的数据过滤,允许内网连接外网,屏蔽外网向内网的连接请求。
这种安全策略下,正向连接方式会被防火墙屏蔽,不能实现“控制器”和“服务器”的连通。
面对防火墙的阻断,为了保障连通,木马技术又出现了新的连接方式,由木马的“服务器”主动连接“控制器”,即端口反弹连接方式。
3.2 端口反弹连接端口反弹连接方式是由“服务器”主动向“控制器”发出连接请求,如图2。
这种方式可以有效的绕过防护墙,例如有名的国产木马:灰鸽子。
特洛伊木马浅析及防范
特洛伊木马浅析及防范作者:孙维智来源:《硅谷》2012年第19期摘要:木马是计算机网络四大公害之一,对计算机安全带来严重威胁。
主要对特洛伊木马来源及基本工作原理、攻击方式与隐蔽性进行分析,让大家了解熟悉防范特洛伊木马,保障网络信息安全。
关键词:特洛伊木马;木马攻击;木马隐藏中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2012)1010188-01目前在不断发生的互联网安全事件中,大部分都有木马的身影。
《百锐互联网用户账户安全报告简版》指出,2011年上半年,互联网用户账户信息安全所收到的主要威胁有盗号木马、欺诈网站、服务器攻击和手机病毒四种。
报告指出,百锐云安全系统在全球范围内共截获新增木马样本816214种,总体数量比去年同期上升32.4%。
中国大陆地区148467种,占全球18.19%。
通过对2011上半年新增木马的恶意行为分析发现,互联网新增木马对计算机系统的损害越来越小,窃取私人信息(包括网络游戏、IM、网银等帐号信息)越来越多。
本文主要讲述特洛伊木马的攻击原理及防范措施。
1 特洛伊木马概述特洛伊木马(Trojan Horse)这个名称来源于公元前十二世界希腊和和特洛伊之间的一场战争。
本文要说的特洛伊是计算机安全领域的特洛伊木马,是指寄宿在计算机里的一种非授权的远程控制程序。
由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限,使得它成为了黑客们最为常用的工具之一。
从某种意义上来说,特洛伊木马属于计算机病毒的一种,因为特洛伊木马具有计算机病毒特有的非授权性又具有隐蔽性和传播性等特性。
在对目标系统的访问和控制是没有经过合法用户授权的;在对计算机系统的控制或者泄漏用户信息控制计算机管理使用权限是在用户毫无察觉的状态下进行的;为感染更多的计算机,特洛伊木马通常采用电子邮件附件、合并到正常软件内等多种方式进行传播。
特洛伊木马原理介绍
1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。
古希臘有大軍圍攻特洛伊城,逾年無法攻下。
有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。
城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。
到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。
後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。
特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。
而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。
原因是如果有人不當的使用,破壞力可以比病毒更強。
iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。
木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
e2/基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。
作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。
對於特洛伊木馬,被控制端就成為一台伺服器。
传统特洛伊木马的工作原理
史少甫 20092420229 通信2班一、什么是特洛伊木马特洛伊木马(TrojanHorse,以下简称木马)的名称取自希腊神话的特洛伊木马记。
木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。
特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。
这些权限并不是服务端赋予的,而是通过木马程序窃取的。
木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
1、硬件部分建立木马连接所必须的硬件实体。
控制端:对服务端进行远程控制的一方。
服务端:被控制端远程控制的一方。
I NTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
2、软件部分实现远程控制所必须的软件程序。
控制端程序:控制端用以远程控制服务端的程序。
木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
3、具体连接部分通过I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。
控制端I P,服务端I P:即控制端,服务端的网络地址,也是木马进行数据传输的目的。
控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
特洛伊木马
概述
特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序,是黑客常用的一种攻击工具,它 伪装成合法程序,植入系统,对计算机络安全构成严重威胁。区别于其他恶意代码,木马不以感染其它程序为目 的,一般也不使用络进行主动复制传播。
特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序,是一类隐藏在合法程序中的恶意代码,这些代码 或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。通常,使用木马的过程大致分两步首先,把 木马的服务器端程序通过络远程植入受控机器,然后通过安装程序或者启动机制使木马程序在受控的机器内运行。 一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制 机器端。
5、时效性越来越强,挖矿木马团伙在利益的驱使下,往往会不断集成更有效的1/N D ay漏洞来感染更多 主机资源,从而获取更多的收益。
感谢观看
功能
只要在本地计算机上能操作的功能,现如今的木马基本上都能实现。木马的控制端可以像本地用户一样操作 远程计算机。木马的功能可以概括为以下内容。
1、窃取用户文件。 特洛伊木马在目标计算机中潜伏,当遇到感兴趣的文件时就会将相关文件传输给提前设定的目的地而不会被 用户发现。 2、接受木马释放者的指令。 特洛伊木马一旦感染互联中的服务器就会窃取较高权限,随意地控制和监视通过该服务器的数据和账户。 3、篡改文件和数据。 根据指令对系统文件和数据进行修改,使目标计算机的数据和文件产生错误,导致作出错误的决策。 4、删除文件和数据。 将目标计算机操作系统中的文件和数据随意地删除。 5、施放病毒。
3、端口
一台机器有个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大 多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马,但这些端口是常 用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。
特洛伊木马
网络钓鱼挂马
网络中最常见的欺骗手段,黑客们利用人们的猎 奇、贪心等心理伪装构造一个链接或者一个网页, 利用社会工程学欺骗方法,引诱点击,当用户打 开一个看似正常的页面时,网页代码随之运行, 隐蔽性极高。
伪装挂马
高级欺骗,黑客利用IE或者Fixfox浏览器的设计 缺陷制造的一种高级欺骗技术,当用户访问木马 页面时地址栏显示或者 等用户信任地址,其实却 打开了被挂马的页面,从而实现欺骗。
• 第四阶段在进程隐藏方面做了非常大的改动,采用了 内核插入式的嵌入方式,利用远程插入线程技术嵌入 DLL线程,或者挂接PSAPI实现木马程序的隐藏。即 使在Windows NT/2K下,这些技术都达到了良好的隐 藏效果。
• 相信,第五代木马的技术更加先进。
木马的关键技术
——植入技术
植入技术
升级植入:打补丁是目前内核及功能升级重要途 径。由于升级包发布途径不严格且非常复杂,因 此,这将成为传播木马的一个有效途径。 网站(网页)植入:网站挂马是传播木马的最佳 途径之一。把木马连接潜入到网站上,当用户访 问该网站时,把木马自动种植到用户的计算机上。 在辅助以附加手段的前提下,该方法也可以实现 定点植入。 漏洞植入:木马通过操作系统的漏洞直接传播给 计算机,其中间桥梁是诸如局域网、Internet、 WiFi、蓝牙、红外等网络连接。
木马检测、清除、防范
• 关键技术、实用工具、防范
怎样才能使计算机更安全?
木马的介绍
概念
特洛伊木马(Trojan Horse) :是一种与远程计算 机之间建立起连接,使远程计算机能够通过网络 控制用户计算机系统并且可能造成用户的信息损 失、系统损坏甚至瘫痪的程序。
木马的组成
硬件:控制端、服务端、Internet 软件:控制端程序、木马程序、木马配置程序 连接:控制、服务端IP, 控制、服务端Port
特洛伊木马
的建立
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
特洛伊木马事情原理分析及清除方法
再加入一个文本框,用于输入服务器的IP地址或服务器名。
然后加入一个按钮,按下之后就可以对连接进行初始化。
代码如下:Private Sub cmdConnect_Click()Win_Client.RemoteHost=Text1.TextWin_Client.ConnectTimer1.Enabled=TrueEnd Sub(3)建立连接后就可以使用DataArrival事件处理收到的数据了。
(4)在服务器端Server工程中也建立一个窗体,窗体的visible属性设置为False。
加载Win Sock控件,称为Win_Server,协议选择TCP。
在Form_Lad事件中加入以下代码:Private Sub Form_Load()Win_Server.LocalPort=2001 ‘自定义的端口号Win_Server.ListenEnd Sub(5)准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答客户端程序的请求,代码如下:Private Sub Win_Server_ConnectionRquest(ByValrequestID As Long)If Win_Server.State sckClosed ThenWin_Server.Close ‘检查控件的State属性是否为关闭的End If ‘如果不是,在接受新的连接之前先关闭此连接Win_Server.Accept requestIDEnd Sub(6)这样在客户端程序按下连接按钮后,服务器端程序的ConnectionRequest事件即被触发,执行以上代码。
如果不出意外,连接将被建立起来。
(7)建立连接后服务器端的程序通过JDataArrival事件接收客户机端程序发出的指令运行既定程序。
DataArrival事件程序如下:Private Sub Win_Server_DataArrival(ByVal bytesTotal As Long)Dim strData As StringDim I As LongWin_Server.GetData strData ‘接收数据并存入strDataFor i=1 ToLen(strData) ‘分离strData中的命令If Mid(strData,I,1)=”@” ThenmKey=Left(strData,i-1 ‘把命令ID号存入mKeystrData=Right(strData,Len(strData)-i) ‘把命令参数存入strDataExit FofEne IfNext iSelect Case Val*mKey)Case i ‘i为一系列命令的定义,如截获驱动器名、目录名、文件名、强制关闭服务器端的计算机,强制重启服务器端的计算机,屏蔽任务栏窗口,屏蔽开始菜单,按照客户机端传来的文件名或目录名删除它们,屏蔽热启动键,运行服务器端的任何程序。
特洛伊木马的隐藏技术浅析
特洛伊木马的隐藏技术浅析王海青【摘要】文章着重从木马的文件隐藏、进程隐藏、通信隐藏三个方面系统分析了木马的隐藏技术.【期刊名称】《甘肃广播电视大学学报》【年(卷),期】2010(020)002【总页数】2页(P63-64)【关键词】木马;文件隐藏;进程隐藏;通信隐藏【作者】王海青【作者单位】甘肃广播电视大学,继续教育学院,甘肃,兰州,730030【正文语种】中文【中图分类】TP393.8随着病毒编写技术的发展,木马程序对用户的威胁越来越大,为了不被目标系统用户及管理员发现,木马通过各种技术手段把自己的运行形式进行隐蔽。
1.文件隐藏木马程序植入目标系统后,会在目标系统的磁盘上加以隐蔽欺骗用户。
隐藏、保护木马文件的主要方式有:(1)嵌入隐藏。
采用此隐蔽手段的木马通常有以下两种形式:插入到某程序中和与某程序捆绑到一起,一旦运行程序就会启动木马。
如绑定到系统文件中,在系统启动时木马也跟随启动;或者捆绑常用程序,这样程序一旦被点击木马就会运行加载,使用户难以防范。
(2)伪装隐藏。
利用自身外部特征的多变性进行伪装,以单独的文件存在,同时定制好了文件名,修改与文件系统操作有关的程序,伪装成正常的文件或者非可执行文件,再将文件属性修改为系统隐蔽或者只读。
如木马文件把图标改成Windows 的一些非可执行文件的默认图标,再把文件名改为*.jpg.exe、*.txt.exe等,由于Windows默认设置是“不显示已知的文件后缀名”,因此木马文件将会显示为*.jpg、*.txt等。
(3)替换隐藏。
木马通过修改自身的DLL替换目标文件的系统DLL文件,替换的基础上不增加新的文件,也不需要打开新的端口或者监听端口,替换之后,对于正常的系统调用还照常进行,只有在木马的控制端向被控制端发出指令后,隐藏的程序才开始运行。
2.进程隐藏木马将自身作为DLL插入别的进程空间后,用查看进程的方式无法找出木马的踪迹,看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。
国内外木马研究现状
国外研究背景:快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。
网络战争战场将成为未来信息作战风格。
木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。
1.有关国外的隐藏技术(1)木马的P2P网络模型木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。
木马隐藏技术主要分为两类:主机隐藏和隐藏通信。
设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。
通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。
(2)BootkitBootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。
大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。
感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。
bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑,甚至可以绕过满卷加密,因为主引导记录不加密。
主引导记录包含密码解密的软件要求和解密开车。
国内研究现状:计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。
其中特洛伊木马的破坏最大,它能在高隐蔽性的状态下窃取网民的隐私信息。
通常被感染木马的计算机用户并不知道自己的计算机已被感染。
这是由于木马程序具有很高的隐蔽性,它能在看似无任何异常的情况下,秘密操控远程主机,进行破坏活动。
1.木马隐藏相关技术(1)程序隐蔽木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。
剖析特洛伊木马报告
目录一木马的概述 (1)二基础知识 (3)三木马的运行 (4)四信息泄露 (5)五建立连接 (5)六远程控制 (6)七木马的防御 (7)八参考文献 (7)一 .木马的概述特洛伊木马,英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,对此无可奈何;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段,最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着Windows平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练地操作木马,相应的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
木马的种类繁多,但是限于种种原因,真正广泛使用的也只有少数几种,如BO,Subseven,冰河等。
1、BO2000有一个相当有用的功能,即隐藏木马进程,一旦将这项功能设备为enable,用ATM察看进程时,BO的木马进程将不会被发现。
2、在版本较高的Subseven中除常规的触发条件外,还提供有less know method和not know method两种触发方法。
选择前者,运行木马后将SYSTEM.INI 中的Shell改为Shell=explorer.exe msrexe.exe,即用SYSTEM.INI触发木马,选择后者则会在c:\Windows\目录下创建一个名为Windows.exe程序,通过这个程序来触发木马,并将\HKEY-ROOT\exefile\shell\open\command\的键值“%1”、“%X”改为“Windows.exe”%1”、“%X,也就是说,即使我们把木马删除了,只要一运行EXE文件,Windows.exe马上又将木马安装上去,对于这种触发条件,我们只要将键值改回原值,并删除Windows.exe即可。
特洛伊木马隐藏技术研究及实践
1引言特洛伊木马(简称木马)是指一类伪装成合法程序或隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。
木马的首要特征是它的隐蔽性,为了提高自身的生存能力,木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。
FredCohen等人[1,2]对病毒进行了深入研究,他们将木马作为病毒的一种特例,并给出了病毒和木马的数学模型,但未对木马的隐藏特征进行分析。
HaroldThimbleby等人[3]对病毒和木马模型框架进行了研究,给出了木马的形式化模型,对木马隐藏的特征进行了描述,但未对木马协同隐藏进行描述和分析。
张新宇等人[4]仅对Linux环境下的木马隐藏(包括协同隐藏)进行了研究,但未涉及Windows环境。
笔者在对木马隐藏技术归纳研究的基础上,深入分析研究了协同隐藏,并针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足,提出两种基于该思想的新型木马结构,深化了协同隐藏思想,提高了木马的隐藏能力和生存能力。
2隐藏技术木马程序与普通远程管理程序的一个显著区别是它的隐藏性。
木马被植入后,通常利用各种手段来隐藏痕迹,以避免被发现和追踪,尽可能延长生存期。
隐藏技术是木马的关键技术之一,笔者从本地隐藏、通信隐藏和协同隐藏3个方面对木马隐藏技术进行分析研究。
2.1本地隐藏本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段,主要包括启动隐藏、文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。
这些手段可以分为三类:(1)将木马隐藏(附着、捆绑或替换)在合法程序中;(2)修改或替换相应的检测程序,对有关木马的输出信息进行隐蔽处理;(3)利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。
2.1.1启动隐藏启动隐藏,是指目标机自动加载运行木马程序,而不被用户发现。
在Windows系统中,比较典型的木马启动方式有:修改系统“启动”项;修改注册表的相关键值;插入常见默认启动服务;修改系统配置文件(Config.sys、Win.ini和System.ini等);修改“组策略”等。
第十二讲特洛伊木马精品PPT课件
第十二讲 特洛伊木马
本章概要
本章内容主要是特洛伊木马的知识,包括: 木马的概念 木马的危害 木马的隐藏和传播技术 典型木马分析与防范措施
2
本章目标
通过本章学习,学员应该了解特洛伊木马病毒的 概念、攻击隐藏技术、防范措施等,了解如何解决处 理计算机木马病毒。
3
特洛伊木马简史
特洛伊木马传说
7
特洛伊木马的演变
• 第一代木马 :伪装型病毒
– 通过伪装成一个合法性程序诱骗用户上当
• 第二代木马 :AIDS型木马
– 利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马 程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS 和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马 程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然 后提示受感染用户花钱消灾
23
隐藏技术(三)
• 最新隐身技术
– 修改虚拟设备驱动程序(VXD) – 修改动态链接库 (DLL) – 将修改后的DLL替换系统已知的DLL,并对所有的函数调
用进行过滤
– 优势: 没有增加新的文件 不需要打开新的端口 没有新的进程产生
24
特洛伊木马的传播
常见传播方式(一)
• 捆绑欺骗
– 把木马服务端和某个游戏/软件捆绑成一个文件 – 通过即时通讯工具、邮件、下载工具等渠道发送出去
8
特洛伊木马的演变
• 第三代木马:网络传播型木马
– 随着Internet的普及,这一代木马兼备伪装和传播两种特征 并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门” 和击键记录等功能。
– 所谓后门就是一种可以为计算机系统秘密开启访问入口的程 序。
– 击键记录的功能功能主要是记录用户所有的击键内容然后形 成击键记录的日志文件发送给恶意用户。
本章概要
本章内容主要是特洛伊木马的知识,包括: 木马的概念 木马的危害 木马的隐藏和传播技术 典型木马分析与防范措施
2
本章目标
通过本章学习,学员应该了解特洛伊木马病毒的 概念、攻击隐藏技术、防范措施等,了解如何解决处 理计算机木马病毒。
3
特洛伊木马简史
特洛伊木马传说
7
特洛伊木马的演变
• 第一代木马 :伪装型病毒
– 通过伪装成一个合法性程序诱骗用户上当
• 第二代木马 :AIDS型木马
– 利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马 程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS 和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马 程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然 后提示受感染用户花钱消灾
23
隐藏技术(三)
• 最新隐身技术
– 修改虚拟设备驱动程序(VXD) – 修改动态链接库 (DLL) – 将修改后的DLL替换系统已知的DLL,并对所有的函数调
用进行过滤
– 优势: 没有增加新的文件 不需要打开新的端口 没有新的进程产生
24
特洛伊木马的传播
常见传播方式(一)
• 捆绑欺骗
– 把木马服务端和某个游戏/软件捆绑成一个文件 – 通过即时通讯工具、邮件、下载工具等渠道发送出去
8
特洛伊木马的演变
• 第三代木马:网络传播型木马
– 随着Internet的普及,这一代木马兼备伪装和传播两种特征 并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门” 和击键记录等功能。
– 所谓后门就是一种可以为计算机系统秘密开启访问入口的程 序。
– 击键记录的功能功能主要是记录用户所有的击键内容然后形 成击键记录的日志文件发送给恶意用户。
披着羊皮的狼——特洛伊木马伪装妙法
维普资讯
E ■■
_
眦 - _ I }j
‘叠 — ■
I ^
誓 --
嗣
具 宴 甩 价 值 最 由 有 效 的 一 种 方 法 .它相 较 于 其 他 的伪 装 方 法 有 如 下 两 个 主 要 的 特 . :一 是 由 于 有 正 常 文 件 笔 者 在 下 文 中舟 圭 的 几款 文件 蛄 合 妻 工 具 都 具 有 其 自身 的特 色, 不是 我 们 常 见的仅 能捆 绑 两个 程 序 文 件 苫 井
我 们 可 看到 经 “ n a S y On XE M a e e S n p eE kr
结 台 后 的 文 件 显 示 的 是 安 装 程 序 的 图标 ,该 程 序 本 身 并 不 支持 选 择 文 件 图标 的 功 能 , 所 队 为 了 增 强 隐 蔽 性 , 我 们 要 自 己手 动 更改 。 例 如 . 如 果 我 们 在 程 序 中 稀 加 的 正 常 程 序 是 一 个 Tx T文 本 文 件 , 要 将 所 生 成 的 文 件 图标 则 替 换 为相 应 的 记 事 率 图 标 , 并 将 文 件 名 更 改 为 “ t t x e e 的 形 式 。 由 于 视 窗 操 作 系 统 在 默 认 情 况 下 , 是 隐 x ” 藏 文件 扩 展名 的 。 固此 , 在 目标 机 器 上 显 示 的 文 件 名 称 仅 是 “ t ” 对 方 执 行 该 文件 后 , 即 会 打 开 ~ 个 记 .xt 。 事 率 文 件 , 但 捆 绑 的 木 马 服 务 器 端 已被 悄 悄 激 活 了 a
式 。
包 括 “ 0r a ( 常 ) “ a 1 i d ’( 大 N m l 正 M xi 1 e 2 z 最 化 ) M i 1 i d ” ( 小 化 )及 H i ( 、 2 e ni 1 z 最 de 隐 藏 ) 无 疑 , 如 果 是 见 不 得 光 的 木 马 、 炸 弹 之 类 的 黑 。 软 . 就 一 定 要 将 其 设 置 为 隐 藏 打 开 力 式 在 CO pY
E ■■
_
眦 - _ I }j
‘叠 — ■
I ^
誓 --
嗣
具 宴 甩 价 值 最 由 有 效 的 一 种 方 法 .它相 较 于 其 他 的伪 装 方 法 有 如 下 两 个 主 要 的 特 . :一 是 由 于 有 正 常 文 件 笔 者 在 下 文 中舟 圭 的 几款 文件 蛄 合 妻 工 具 都 具 有 其 自身 的特 色, 不是 我 们 常 见的仅 能捆 绑 两个 程 序 文 件 苫 井
我 们 可 看到 经 “ n a S y On XE M a e e S n p eE kr
结 台 后 的 文 件 显 示 的 是 安 装 程 序 的 图标 ,该 程 序 本 身 并 不 支持 选 择 文 件 图标 的 功 能 , 所 队 为 了 增 强 隐 蔽 性 , 我 们 要 自 己手 动 更改 。 例 如 . 如 果 我 们 在 程 序 中 稀 加 的 正 常 程 序 是 一 个 Tx T文 本 文 件 , 要 将 所 生 成 的 文 件 图标 则 替 换 为相 应 的 记 事 率 图 标 , 并 将 文 件 名 更 改 为 “ t t x e e 的 形 式 。 由 于 视 窗 操 作 系 统 在 默 认 情 况 下 , 是 隐 x ” 藏 文件 扩 展名 的 。 固此 , 在 目标 机 器 上 显 示 的 文 件 名 称 仅 是 “ t ” 对 方 执 行 该 文件 后 , 即 会 打 开 ~ 个 记 .xt 。 事 率 文 件 , 但 捆 绑 的 木 马 服 务 器 端 已被 悄 悄 激 活 了 a
式 。
包 括 “ 0r a ( 常 ) “ a 1 i d ’( 大 N m l 正 M xi 1 e 2 z 最 化 ) M i 1 i d ” ( 小 化 )及 H i ( 、 2 e ni 1 z 最 de 隐 藏 ) 无 疑 , 如 果 是 见 不 得 光 的 木 马 、 炸 弹 之 类 的 黑 。 软 . 就 一 定 要 将 其 设 置 为 隐 藏 打 开 力 式 在 CO pY
特洛伊木马的工作原理及清除
特洛伊木马的工作原理及清除
白皓
【期刊名称】《气象与环境科学》
【年(卷),期】2003(000)002
【摘要】介绍了特洛伊木马程序的隐藏、加载及清除技术.
【总页数】1页(P42-42)
【作者】白皓
【作者单位】项城市气象局河南项城 466200
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.特洛伊木马的清除和防范方法 [J], 申文玉;刘宗仁
2.特洛伊木马“清除器” [J], 张涌金;
3.特洛伊木马Setiri的工作原理和防范方法 [J], 吴奇泽
4.特洛伊木马工作原理分析及清除方法 [J], 张慧丽
5.计算机特洛伊木马病毒的攻击与清除 [J], 舒军晓
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
收稿日期:2004-02-10 基金项目:国家信息与网络安全保障持续发展计划基金资助项目(2002 研 1-B-002) ;国家自然科学基金资 助项目(60083007) ;国家“973”重点基础研究发展规划基金资助项目(G1999035810)
・154・
通
信
学
报
2004 年
它程序,在本地系统进行复制传播。病毒寄生在其它程序上,依赖于特定的工作平台。蠕虫 主要通过网络从一台主机复制感染到另一台主机,占用系统资源和网络带宽。蠕虫一般不需 要寄生在其它程序上,也不依赖于特定的工作平台。而木马不以感染其它程序为目的,一般 也不使用网络进行主动复制传播。木马的一个显著特征是其具有较强的潜伏隐藏能力,隐藏 手段与工作平台密切相关。通过判别是否具有传染性可将木马与病毒、蠕虫区别开来,通过 判别传染途径是局限于本机还是透过网络可将病毒和蠕虫区别开来。 为了提高自身的生存能力, 木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。 本文主要针对 Linux 操作系统进行讨论,但大多数隐藏技术的原理在其它操作系统上同样有 效。 Fred Cohen 等人[1~5]对病毒进行了深入研究, 他们将木马作为病毒的一种特例, 并给出了 病毒和木马的数学模型,但未对木马的隐藏特征和木马协同进行描述和分析。 Harold Thimbleby 等人[6]对病毒和木马模型框架进行了研究, 给出了木马的形式化模型, 对木马隐藏 的特征进行了描述,但也未对木马协同隐藏进行描述和分析。目前对木马的研究主要集中于 木马的实现、防御和检测,本文作者在对木马隐藏技术研究的基础上,提出了木马协同隐藏 的思想,并对其进行分析和形式化描述。 本文组织如下:第 2 部分对 Linux 下的木马隐藏技术进行分类讨论,提出了木马协同隐 藏的思想;第 3 部分给出木马协同隐藏的形式化描述;第 4 部分是原型实验及结果分析,验 证协同隐藏方法的有效性;第 5 部分是结论。
摘 要:主要研究 Linux 环境下的特洛伊木马隐藏技术,提出了协同隐藏思想,并给出木马协同 隐藏的形式化模型。针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足,采用实时检测对 抗技术和隐蔽通道技术开发了一个内核级木马原型, 改进了木马的隐藏能力。 通过实验结果分析, 这一木马体现了协同隐藏的思想,验证了实时检测对抗技术和网络隐蔽通道技术的有效性。 关键词:数据安全与计算机安全;协同隐藏;形式化模型;特洛伊木马 中图分类号: TP393.08 文献标识码: B 文章编号: 1000-436X(2004)07-0153-07
2004 年
表1
木马程序 ls, find, du ps, top, pidof netstat killall tcpd, syslogd
Rootkit 包含多个子木马,实现木马程序文件、进程和网络连接等属性的隐藏
被替换的程序 ls, find, du ps, top, pidof netstat killall tcpd, syslogd 目的 隐藏木马的文件信息、目录信息 隐藏木马的进程信息 隐藏网络连接和网卡工作方式 使木马程序无法被正常强制中止 阻止审计系统记录与木马相关的日志信息
2004 年 7 月 第 25 卷 第 7 期
通 信 学 报
JOURNAL OF CHINA INSTITUTE OF COMMUNICATIONS
Vol.25 No.7 July 2004
特洛伊木马隐藏技术研究
张新宇,卿斯汉,马恒太,张楠,孙淑华,蒋建春
(中国科学院软件研究所 信息安全技术工程研究中心,北京 100080)
Research on the concealing technology of Trojan horses
ZHANG Xin-yu, QING Si-han, MA Heng-tai, ZHANG Nan, SUN Shu-hua, JIANG Jian-chun
(Engineering Research Center for Information Security Technology, Institute of Software, Chinese Academy of Sciences, Beijing 100080, China)
3
特洛伊木马模型
为了深入研究木马,揭示其本质,以计算机程序及其输入输出为研究对象,参考 Harold Thimbleby 木马模型框架[6],给出木马协同隐藏的形式化描述。 3.1 Harold Thimbleby 木马模型简介 定义 1 计算机的状态、程序文本和图像等统称为表示,记为 R。 r ∈R,r 是有限的。 定义 2 E:R ( L| R),E 是表示到环境的映射。在此,表示通常为计算机的系统配置。 L|R 是名字到表示的部分映射,L 是标号的可数集。用户通常关心的是名字,如程序名或文 件名,具体的名字属于集合 L。L|R 的含义是:如果名字有定义,则利用名字获取其相应的 表示。 定义 3 E(r)的域:names r = dom E(r),是可计算的和有限的,其中包含一些独立于 r 的 名字。
Abstract: Based on the study of the concealing technology of Trojan horses on Linux system, this paper presents an idea of cooperative concealment between Trojan horses and also gives its formal model. Today’s Trojan horses lack the abilities to cope with real-time detection and have poor performance in hiding network communication. The kernel Trojan horse prototype uses anti-real-time detection techniques and network covert channels to enhance its abilities of concealment. It is the embodiment of the idea of cooperative concealment. The experiment results show it has verified the validity of the techniques of avoiding real-time detection and network covert channels. Key words: data and computer security; cooperative concealment; formal model; Trojan horse
1
前言
特洛伊木马(简称木马)是黑客常用的一种攻击工具,它伪装成合法程序,植入系统, 对计算机网络安全构成严重威胁。 每年都有大量相关报道表明网络、 主机系统不断受到木马、 病毒、蠕虫等恶意代码的入侵。 恶意代码泛指木马、病毒和蠕虫等能对计算机系统带来危害的程序,但它们的传播方式 和工作机理各不相同。病毒程序[1]寻找机会感染主机系统中的程序,受感染的程序再感染其
2
隐藏技术
木马植入目标系统后,必然会以各种技术隐藏行踪,避免被发现,尽可能延长生存期。 木马的隐藏技术主要分为三类:本地隐藏、通信隐藏和协同隐藏。本地隐藏主要包括文件隐 藏、进程隐藏、网络连接隐藏、内核模块隐藏、原始分发隐藏等。通信隐藏主要包括通信内 容隐藏和传输通道隐藏。协同隐藏是指木马为了能更好地实现隐藏,达到长期潜伏的目的, 通常融合多种隐藏技术,多个木马或多个木马部件协同工作,保证木马的整体隐藏能力。 2.1 本地隐藏 本地隐藏是指木马为了防止被本地用户发现而采取的隐藏手段。隐藏手段主要有三类: (1)将木马隐藏(附着、捆绑或替换)在合法程序中; (2)修改或替换相应的检测程序,对 有关木马的输出信息进行隐蔽处理; (3)利用检测程序本身的工作机制或缺陷巧妙地避过木 马检测。使用这类方法无需修改检测程序,就能达到隐藏的目的。 • 文件隐藏。1) 定制文件名,伪装成正常的程序。2)修改与文件系统操作有关的程序, 以过滤掉木马信息。3)特殊区域存放。如对硬盘进行低级操作,将一些扇区标志为坏区,将 木马文件隐藏在这些位置。还可以将文件存放在引导区中避免被一般用户发现。4)利用可加 载内核模块(LKM)技术替换系统调用,以隐藏木马文件信息。 • 进程隐藏。1)通过附着或替换合法进程,以合法身份运行。2)修改进程管理程序, 隐藏进程信息。3)使用 LKM 技术替换系统调用,隐藏木马进程结构。4)由于进程管理程 序不列出进程标识号(pid)为 0 的进程信息,因此把要隐藏进程的 pid 设为 0(空转进程) 也可以实现进程隐藏。 • 网络连接隐藏。1)复用正常服务端口,为木马通信数据包设置特殊隐性标识,以利 用正常的网络连接隐藏木马的通信状态。2)修改显示网络连接信息的相关系统调用,以过滤
第7期
张新宇等:特洛伊木马隐藏技术研究
・155・
掉木马连接信息。3)使用网络隐蔽通道技术隐藏木马通信连接信息。4)利用 LKM 技术修 改网络通信协议栈,避免单独运行监听进程,以躲避检测异常监听进程的检测程序。 • 内核模块隐藏。内核级木马一般使用 LKM 技术实现。Linux 操作系统将 LKM 信息 存放在一个单链表中。删除链表中相应的木马信息,就可避过“lsmod”之类管理程序的检查。 由于 LKM 工作在内核空间,对 LKM 的追踪要比一般程序困难得多。 • 原始分发隐藏。软件开发商可以在软件的原始分发中植入木马。如 Thompson 编译器 木马[7]就采用了原始分发隐藏技术,其主要思想是: 第一步:修改编译器的源代码 A,植入木马,包括针对特定程序的木马(如 login 程序) 和针对编译器的木马。经修改后的编译器源码称为 B。 第二步:用干净的编译器 C 对 B 进行编译得到被感染的编译器 D。 第三步:删除 B,保留 D 和 A,将 D 和 A 同时发布。 以后,无论用户怎样修改 login 源程序,使用 D 编译后的目标 login 程序都包含木马。而 更严重的是用户无法查出原因,因为被修改的编译器源码 B 已被删除,发布的是 A,用户无 法从源程序 A 中看出破绽,即使用户使用 D 对 A 重新进行编译,也无法清除隐藏在编译器 二进制码中的木马。 相对其它隐藏手段,原始分发的隐藏手段更加隐蔽。这主要是由于用户无法得到 B,因 此对这类木马的检测非常困难。 从原始分发隐藏的实现机理来看,木马植入的位置越靠近操作系统底层越不容易被检测 出来,对系统安全构成的威胁也就越大。 2.2 通信隐藏 木马常用的通信隐藏方法是对传输内容加密,但这只能隐藏通信内容,无法隐藏通信信 道。采用网络隐蔽通道技术不仅可以成功地隐藏通信内容,还可以隐藏通信信道。 传统的隐蔽通道是定义在操作系统进程之间的,研究[8]表明隐蔽通道也适用于网络。在 TCP/IP 协议族中,有许多信息冗余可用于建立网络隐蔽通道[9]。木马可以利用这些网络隐蔽 通道突破网络安全机制。 变换数据包顺序也可以实现通信隐藏。 对于传输 n 个对象的通信, 可以有 n!种传输顺序, 总共可以表示 log2(n!)比特位的信息。但是该方法对网络传输质量要求较高,接收方应能按照 数据包发送的顺序接收。这种通信隐藏方式具有不必修改数据包内容的优点。 采用网络隐蔽通道技术,如果选用一般安全策略都允许的端口通信,如 80 端口,则可轻 易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。 2.3 协同隐藏 操作系统中, 客体的表现是以其属性为基础的, 如一个运行中的程序包括程序文件目录、 程序文件、进程和通信连接状态等属性。为了隐匿表现特征,木马需要将其所有属性隐藏。 由于木马程序一般包含多个属性,因此仅仅依靠单个木马程序或一种隐藏方法不能很好地实 现木马的隐藏。木马通常包含一个完成主要功能的主木马和若干个协同工作的子木马。子木 马协助主木马实现功能和属性的隐藏。 木马协同隐藏可以是多个木马之间的协同,也可以是一个木马的多个模块之间的协同。 Rootkit 就是一个体现了协同隐藏思想的木马。它包含多个子木马程序, 替换 ps、ls、who 和 netstat 等系统管理程序 (参见表 1) , 实现了木马程序文件、 进程和网络连接等属性的隐藏。 正是采用了协同隐藏的工作模式,Rootkit 才具有良好的反检测能力。