木马的隐藏技术共24页

剖析特洛伊木马的隐藏技术

第26卷第6期水利电力机械V ol.26　N o.6　2004年12月W ATER C ONSERVANCY &E LECTRIC POWER MACHI NERYDec.2004剖析特洛伊木马的隐藏技术Anatomy of veil technique for the Trojan H orses张建华(郑州工业贸易学校信息工程系,河南郑州　450007)摘　要:对特洛伊木马的由来、木马的构成和传播方式作了介绍,全面剖析了特洛伊木马的隐藏技术。

着重阐述了任务栏隐藏、任务管理器隐藏、进程隐藏和端口隐藏等技术,旨在有针对性地提出了一些木马的查杀和防范措施,以减少木马的危害。

关键词:特洛伊木马;隐藏技术;端口;进程;防范中图分类号:TP393.08:TP311.56 文献标识码:B 文章编号:1006-6446(2004)06-0053-03收稿日期:2004-02-27作者简介:张建华(1967-),男,河南新野人,郑州工业贸易学校信息工程系主任,讲师,中国人解放军信息工程大学软件工程在读硕士研究生,从事计算机软件方面的教学和研究工作。

1　特洛伊木马的由来特洛伊木马(T rojan H orse ),词语来源于古希腊的特伊洛马神话故事”木马记”。

大约在公元前13世纪,特洛伊国王的儿子拐走了当时最美的希腊斯巴达国王的王后,由此引发了希腊人和特洛伊人之间的战争。

传说特洛伊城是个十分坚固的城市,希腊人攻打了9年也没有打下来。

希腊人围攻特洛伊城,久久不能得手,最终希腊的一位谋士设计制作了一个巨大无比的木马,并设法让信奉神的特洛伊人认为这是神的恩赐,于是特洛伊人决定把木马拖入城内庆祝,但城门过小,特洛伊人只好推倒了抵抗了希腊军队10年的坚固的城墙,就在特洛伊人欢庆并为此喝的酩酊大醉的时候,木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城,结束了这场10年的战争。

实验13 木马捆绑与隐藏

木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。

为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。

在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。

总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。

12.2.2 工作原理1．木马捆绑木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。

这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。

木马捆绑的手段归纳起来共有四种：（1）利用捆绑机软件和文件合并软件捆绑木马；（2）利用WINRAR、WINZIP 等软件制作自解压捆绑木马；（3）利用软件打包软件制作捆绑木马；（4）利用多媒体影音文件传播。

2．木马隐藏隐藏是一切恶意程序生存之本。

以下是木马的几种隐藏手段：（1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。

真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。

（2）伪装成图像文件：即将木马图标修改成图像文件图标。

（3）伪装成应用程序扩展组件：将木马程序写成任何类型的文件（如dll,ocx等），然后挂在十分出名的软件中。

因为人们一般不怀疑这些软件。

（4）错觉欺骗：利用人的错觉，例如故意混淆文件名中的1（数字）与l（L的小写）、0（数字）与o（字母）或O（字母）。

木马的植入自启动和隐藏

计算机病毒与防治课程小组
木马自启动途径
3 加入系统启动组
在启动文件夹[Windir]\start menu\programs\startup\中添加程序或快捷方式，也可修改册表的位置：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\Shell Folders Startup]="windows\start menu\programs\startup"
计算机病毒与防治课程小组
木马入侵
通过缓冲区溢出植入木马
上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str 的长度大于16就会造成buffer的溢出，使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat(),sprintf(), vsprintt(), gets(), scanf()，以及在循环内的getc(), fgetc(), getchar()等。当然，随便往缓冲区中填东西造成它溢出一般只会出现Segmentation fault错误，而不能达到攻击的目的。如果在溢出的缓冲区中写入我们想执行的代码，再覆盖函数返回地址的内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。
通过电子邮件传播是一种最简单有效的方法，黑客通常给用户发电子邮件，而这个加在附件中的软件就是木马的服务器端程序。
缓冲区溢出攻击是植入木马最常用的手段。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
计算机病毒与防治课程小组
木入侵
通过缓冲区溢出植入木马
缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序： void function(char *str)｛ char buffer[16]; strcpy(buffer,str); }

木马的常用伪装手段

木马的常用伪装手段在网络安全领域，木马是一种恶意软件，可以在不被用户察觉的情况下悄悄地进入计算机系统，实现盗取用户信息、破坏系统的行为。

因此，木马程序的伪装手段非常重要，可以使其更容易地潜入计算机系统。

以下是一些常用的木马伪装手段：1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件，例如浏览器插件、媒体播放器、下载器等，以此混淆用户的视觉，避免受到用户的怀疑，从而更容易渗透进入用户的系统。

2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任，而终端木马常常伴随着对受害者机器的远程控制，拥有非常广泛的攻击能力。

3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名，比如".txt"、".jpg"、".pdf"等，以绕过一些计算机安全防护软件的检测。

在实际应用过程中，我们应该避免打开不熟悉的文件。

4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中，然后利用漏洞自动执行，从而绕过了常规的安全检测。

例如，利用办公软件（Word、Excel等）中的宏病毒的攻击方式。

5. 嵌入加密模块有些木马程序会嵌入加密模块，使得其内容在传输过程中无法被轻易识别和拦截，从而达到对计算机系统的“偷窃”。

综上所述，木马程序有很多伪装手段，其中有些是非常难以被发现的。

因此，我们需要时刻保持警惕，使用网络安全软件来防范这些木马程序的攻击，同时也需要提高自己的网络安全意识，确保个人计算机和重要信息的安全。

除了上述常用的木马伪装手段，还有一些更高级的木马伪装手段。

这些高级伪装手段越来越普遍，它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。

以下是一些高级木马伪装技术：1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力，它们能够及时发现木马程序并抵御攻击。

因此，一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。

Windows环境木马进程隐藏技术研究

0 引言随着计算机技术的迅速发展和网络应用的日益普及，恶意代码出现的频率越来越高。

目前，隐藏功能已成为很多恶意代码的一个重要特征，分析恶意代码使用的隐藏手段和相关的技术，可以让我们更好地提高防范意识，并据此采取相应的防御和检测措施。

特洛伊木马（简称木马）是具有较强隐藏功能的一类恶意代码。

它通常伪装成合法程序或隐藏在合法程序中，通过执行恶意代码，为入侵者提供非授权访问系统的后门[1]。

本文首先简单介绍了木马实现的常用技术，接着重点分析了Windows环境下木马实现进程隐藏经常使用的技术。

1 木马实现常用技术1.1 注册表修改很多木马在实现时都会修改注册表，修改的目的通常是：借助于注册表来实现启动或隐藏。

在注册表的多个项目中都包含启动项。

启动项的数值可以设置为用户指定的、伴随系统启动或服务启动而自动运行的程序的绝对路径。

因此，将启动项的数值设置为木马程序的路径，就可以实现木马的启动。

但是，使用注册表编辑器能够很容易地将注册表项的数值删除，为此，很多木马在使用时都加入了时间控制程序段，以监视注册表中相应的数据是否存在，一旦发现被删除则会立即重新写入。

1.2 反向连接反向连接就是被攻击者主动连接攻击者的过程，通常是运行木马的服务端进程主动连接客户端控制进程并进行通信的过程，也称为反弹技术[2] [3]。

其基本原理是利用防火墙对由内到外的连接疏于防范的弱点来实现由内到外的主动连接。

NameLess木马实现时也用到了反向连接，它使用嗅探原理来取得控制端的IP地址，然后实现反向连接。

1.3 端口复用端口复用是指在一个端口上建立了多个连接，而不是在一个端口上面开放了多个服务。

一种常用的端口复用技术，就是利用系统实际存在的系统的合法端口进行通讯和控制，如21、23、80等，使一个端口除了完成正常的功能外，还可用于木马通信，而不是使用一个新开的端口号[2]。

这样的好处就是非常隐蔽，不用自己开端口也不会暴露自己的访问，因为通讯本身就是系统的正常访问。

9木马的隐蔽之处

木马的隐蔽之处木马是一种基于远程控制的黑客工具，它是隐藏运行在被控主机上的，具有很强的隐蔽性和危害性。

为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己、加载运行的目的。

那么木马一般是藏在远程电脑中的什么地方呢？在Autoexec．bat和Config．sys中加载运行在系统安装盘根目录下的Autoexec．bat和Config．Sys这两个文件可以启动木马，如图1所示。

但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端。

图1 在Autoexec．Bat文件中加载木马文件在Win.ini中启动“Win.ini”文件位于“C:\WINDOWS”目录下，在文件的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果后面跟着程序，如图2所示：“run=c:\windows\muma.exe”或者“load=c:\windows\muma.exe”，这个“muma.exe ”文件很可能就是木马程序！图2：在Win.ini中启动在System.ini中启动位于“C:\WINDOWS”目录下的“System.ini”文件，其[boot]字段的“shell=Explorer.exe”是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为“shell=Explorer.exe muma.exe”，如图3所示，注意这里的muma.exe就是木马服务端程序！图3：在System.ini中启动另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。

再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，它们起到加载驱动程序的作用，但也是添加木马程序的好场所。

加载到注册表一些木马可以通过在注册表中添加子项、键值来加载，那么木马一般会在注册表中哪些地方藏匿呢？木马一般会利用注册表中的Run、RunServices、RunOnce等子项来加载。

3-5-2木马的植入、自启动和隐藏

计算机病毒与防治课程小组
木马自启动途径
程序自动启动的原理
1. 利用INI文件实现相关程序的自动启动 win.ini是系统保存在[Windir]目录下的一个系统初始化文件。系统在起动时会检索该文件中的相关项，以便对系统环境的初始设置。在该文件中的“[windows]”数据段中，有两个数据项 “load=” 和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关的程序。 Win.ini: [windows] load=file.exe run=file.exe System.ini: [boot] Shell=Explorer.exe Shell=Explorer.exe
计算机病毒与防治课程小组
WIN2K中“进程隐藏”的实现
//使用WriteProcessMemory函数将DLL路径名复制到远程进程的内存空间
BOOL lRetun Code= WriteProcessMemory(hRemoteProcess,pszt_lbFlleRemote,( PVOID) pazlbFileName, ICb, NULL);
[HKEY _LOCAL_MACHINE\Software\CLASSES\ShellScrap] @="Scrap object" "NeverShowExt"=" "
NeverShowExt键可以隐藏SHS文件的扩展名.shs。比如将一个文件改名为“abc.jpg.shs“它只会显示”abc.jpg”。如果你的注册表里有很多NeverShowExt键值，应予以删除。
计算机病毒与防治课程小组
木马进程的隐藏
访问令牌进程对象 VAD VAD VAD
对象句柄表项1 对象句柄表项2 „„

详解常用的木马隐身术武林安全网-电脑资料

详解常用的木马隐身术武林安全网-电脑资料一、对木马使用花指令花指令就是指程序中包括了跳转指令及一些无用的指令在内的汇编指令段，有加区加花和去头加花两种，通常是用来改变程序的入口点或打乱整个程序的顺序，。

而一些杀毒软件在进行木马查杀工作时，都是按从程序的开头到结尾的顺序进行检测的，以此来找到与病毒库中某一特征码相似的特征。

甚至一些杀毒软件就是以程序的入口点作为特征码的。

因此，如果木马的程序顺序被打乱，或者程序的入口点被修改，那么，杀毒软件也就很难检测出它来，于是就达到了隐身的目的。

能完成这些工作的，就是在木马程序中使用花指令。

要在木马程序中使用花指令，可以有两种方式，一种是使用互联网上现成的，另一种是攻击者自己编写或者使用花指令生成软件。

由于互联网上现成的花指令同样会被杀毒软件厂商所得到，因此不会有什么好的保护效果。

对于有一定汇编技术的攻击者来说，就会使用自己编写花指令的方式，还可以使用一些花指令生成软件，如超级加花器和花蝴蝶等。

正是由于给木马添加不易被检测到的花指令需要高超的编程技术，也就很少有普通的攻击者使用这种方式，至少在没有陌生的花指令生成软件出现之前，是不太喜欢使用它的。

并且，由于对木马使用花指令也只是对其可执行文件本身有效，当其加载至内存后，这种隐身方式将失去作用。

因此，使用具有内存查杀功能的杀毒软件，就能够非常容易地检测到只使用这种隐身方式的木马病毒的。

在当前具有内存查杀功能的安全软件之中，查杀花指令保护木马比较好的就是EWIDO了。

也可以使用Ollydbg程序先将木马加入到内存中后再查杀。

同时，还可以使用像“花指令清除器”一类的花指令检测软件，来识别和除去花指令。

二、终止安全软件进程现在，几乎所有的木马都在使用一种十分有效的、躲避安全检测软件的方法，就是终止系统中所有安全软件的进程，从而达到了不会被查杀的目的。

而要实现这种功能，只要木马能够枚举系统中的所有正在运行的进程，然后从中找到匹配的安全软件进程名，通过发送一个终止进程的Windows消息给它，就可以结束这些正在运行的安全软件，电脑资料《详解常用的木马隐身术武林安全网》(https://www.)。

木马隐蔽技术分析及检测

26
E-mail:cmee@
一、木马程序的分类
木马程序技术发展至今，已经经历了四代，第一代是简单的密码窃取、发送等。第二代木马在技术上有了很大的进步，“冰河”可以说为是国内木马的典型代表之一。第三代木马在数据传递技术上，又做了不小的改进，出现了ＩＣＭＰ等类型的木马，利用畸形报文传递数据，增加了查杀的难度。第四代木马在进程隐藏方面，做了大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入ＤＬＬ线程；或者挂接ＰＳＡＰＩ，实现木马程序的隐藏，甚至在ＷｉｎｄｏｗｓＮＴ／２０００下，都达到了良好的隐藏效果。
五、结束语
木马的存在需要引起广大用户的警惕和注意，它是用户面临的众多安全威胁中的一种，给我们带来了经济损失和信息泄露的风险。防范各种网络安全威胁，需要用户的整体合作。
四、木马检测
１．检查注册表：看ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎＶｅｒｓｉｏｎ和ＨＫＥＹ＿ＣＵＲＲＥＮＴ＿ＵＳＥＲ＼Ｓｏｆｔｗａｒｅ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ下，所有以”Ｒｕｎ”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。
木马隐蔽技术分析及检测
盖凌云黄树来
（莱阳农学院山东青岛 266109）
摘要：木马作为一种计算机网络病毒，对计算机信息资源构成了极大危害。研究木马技术，对防范木马攻击，减少网络破坏有重要的意义。文章分析了木马的关键技术— 隐藏技术，提出了对木马病毒的有效的检测方法。关键词：木马隐藏技术网络安全
木马技术发展至今，已经不再只是简单的客户及服务器程序，它涉及到了系统及网络安全的方方面面，对于许多高级木马技术的研究，是对网络环境及系统实现中各种安全机制的重新审视，因此，对木马的开发技术做一次彻底的透视，从了解木马技术开始，更加安全地管理好自己的计算机显得尤为重要。

木马是怎么样隐藏的

木马是怎么样隐藏的木马是一种隐藏性极强的病毒，那么它是怎么样隐藏的呢?下面由店铺给你做出详细的木马隐藏方式介绍!希望对你有帮助!最基本的隐藏:不可见窗体+隐藏文件木马查杀法程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。

Windows下常见的程序有两种:木马隐藏方式1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

木马隐藏方式2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。

木马查杀法虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马查杀法使用者与被害者聊天的窗口)，并且将木马查杀法文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马查杀法(见图1)，于是便出现了下面要介绍的“进程隐藏”技术。

木马隐藏方式第一代进程隐藏技术:Windows 98的后门在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。

尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。

只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马查杀法程序钻了空子。

要对付这种隐藏的木马查杀法还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马查杀法在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马查杀法文件删除即可。

木马通信的隐蔽技术

引言木马通常需要利用一定的通信方式进行信息交流（如接收控制者的指令、向控制端传递信息等）。

系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。

木马一般也是利用TCP/UDP端口与控制端进行通信。

通常情况下，木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。

早期的木马在系统中运行后都是打开固定的端口，后来的木马在植入时可随机设定通信时打开的端口，具有了一定的随机性。

可是通过端口扫描很容易发现这些可疑的通信端口。

事实上，目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。

木马通信端口成为暴露木马形踪一个很不安全的因素。

为此采用新技术的木马对其通信形式进行了隐蔽和变通，使其很难被端口扫描发现。

2木马通信形式的隐蔽技术木马为隐蔽通信形式所采用的手段有：端口寄生、反弹端口、潜伏技术，嗅探技术。

2.1端口寄生端口寄生指木马寄生在系统中一个已经打开的通信端口，如TCP80端口，木马平时只是监听此端口，遇到特殊的指令才进行解释执行。

此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的，因此，在扫描或查看系统中通信端口时是不会发现异常的。

在Windows9X系统中进行此类操作相对比较简单，但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。

在控制端与木马进行通信时，如木马所在目标系统有防火墙的保护，控制端向木马发起主动连接就有可能被过滤掉。

2.2反弹端口反弹端口就是木马针对防火墙所采用的技术[1]。

防火墙对于向内的链接进行非常严格的过滤，对于向外的连接比较信任。

与一般的木马相反，反弹端口木马使用主动端口，控制端使用被动端口。

木马定时监测控制端的存在，发现控制端上线，立即主动连接控制端打开的被动端口。

为了隐蔽起见，控制端的被动端口一般开在TCP80。

这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCPUSERIP：1026CONTROLLERIP：80ESTABLISHED这种情况，用户可能误认为是自己在浏览网页。

木马隐藏技术分析

木马隐藏技术分析郜多投（山东大学山东省济南市250100）摘要:文章首先介绍了木马的原理和特征，然后对木马所实现的功能做了简单的介绍，最后从木马的文件隐藏，进程隐藏和通信隐藏三个方面着重进行了分析。

关键词：木马；木马隐藏；通信隐藏[引言]木马，是一种通过潜入对方电脑进非法操作的计算机成程序，是目前黑客惯用的一种攻击手段，和一般的恶意软件不同，木马不主动进行自我复制和传播，破坏其他程序，然而，木马的潜伏性是超前的，为了看起来和正常程序一样，在进入系统之前，对自身的程序进行了伪装，使被感染的系统看起来一切正常，从而严重威胁计算机网络安全。

1.木马的原理和特征一个完整的木马程序包含两部分内容，服务端和控制端，服务端程序是通过远程计算机网络植入对方电脑，而黑客通过客户端进入运行了服务端的受控电脑，通常运行了服务端的计算机会生成一个类似于系统文件的进程，此时端口被暗中打开，电脑中保存的各类数据会向控制端进行发送，黑客也可以通过这些暗中打开的端口进入目标电脑，此时，电脑中更多的隐私将会遭受更大的泄露。

木马一般具有以下特征：一，隐藏性，隐藏性是木马的最显著特征，比如，改写进程名称使其和系统文件高度相似，隐藏在任务管理器中的进程，减少程序大小，减少暗中打开端口的流量。

二、自动运行性，可以随电脑启动而启动，比如潜入启动配置文件win.ini,winstart。

Bat等，有的也可嵌入正常软件，随软件的运行而启动。

三、欺骗性：木马为了防止被发现，通常伪装成为系统中本身存在的文件，比武将文件名中的“O”改为“0”,“1改为I”等容易混淆是非的字符，或者有的系统中本身的文件名也可被木马直接套用，只不过是保存在不同的系统路径下，另外，有的木马将自己改装成为ZIP压缩文件，当用户解压时，直接运行。

四、自我恢复性。

目前大多数木马程序的功能模块已不是单一的组件构成，而是自动复制到电脑其他路径做备份，在子木马或者主木马被删除时，都可以再自动生成。

第十二讲特洛伊木马精品PPT课件

第十二讲特洛伊木马
本章概要
本章内容主要是特洛伊木马的知识，包括：木马的概念木马的危害木马的隐藏和传播技术典型木马分析与防范措施
2
本章目标
通过本章学习，学员应该了解特洛伊木马病毒的概念、攻击隐藏技术、防范措施等，了解如何解决处理计算机木马病毒。
3
特洛伊木马简史
特洛伊木马传说
7
特洛伊木马的演变
• 第一代木马：伪装型病毒
– 通过伪装成一个合法性程序诱骗用户上当
• 第二代木马：AIDS型木马
– 利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS 和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾
23
隐藏技术（三）
• 最新隐身技术
– 修改虚拟设备驱动程序(VXD) – 修改动态链接库 (DLL) – 将修改后的DLL替换系统已知的DLL，并对所有的函数调
用进行过滤
– 优势：没有增加新的文件不需要打开新的端口没有新的进程产生
24
特洛伊木马的传播
常见传播方式（一）
• 捆绑欺骗
– 把木马服务端和某个游戏/软件捆绑成一个文件 – 通过即时通讯工具、邮件、下载工具等渠道发送出去
8
特洛伊木马的演变
• 第三代木马：网络传播型木马
– 随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门” 和击键记录等功能。
– 所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。
– 击键记录的功能功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。

木马的隐藏技术

使用RunDLL32的方法进行进程隐藏很简单，但非常容易被识破
真隐藏实现方式
在Windows系统中常见的真隐藏实现方式有：
利用DLL实现简单隐藏采用替代技术的DLL木马采用动态嵌入技术的DLL木马
采用替代技术的DLL木马
工作原理是替换常用的DLL文件，截获并处理特定的消息，将正常的调用转发给原DLL
此种技术是比较古老的技术，因此微软也做了相当的防范
在Windows的system32目录下有一个dllcache目录，一旦操作系统发现被保护的DLL文件被篡改(利用数字签名技术)，就会自动从dllcache中恢复该文件
真隐藏实现方式
在Windows系统中常见的真隐藏实现方式有：
利用DLL实现简单隐藏采用替代技术的DLL木马采用动态嵌入技术的DLL木马
进程隐藏
想要隐藏木马的服务器端，可以伪隐藏，也可以真隐藏
伪隐藏是指程序的进程仍然存在，只不过是让它消失在进程列表里
真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作
进程隐藏
伪隐藏
把木马服务器端的程序注册为一个服务，这样，程序就会从任务列表中消失了，当按下 Ctrl+Alt+Delete的时候，也看不到这个程序。但是通过服务管理器，会发现在系统中注册过的服务
进程隐藏
进程、线程、服务进程：一个正常的Windows应用程序，在运行之
后，都会在系统之中产生一个进程，分别对应一个不同的PID（进程标识符）。这个进程会被系统分配一个虚拟的内存空间地址段，一切相关的程序操作，都会在这个虚拟的空间中进行线程：一个进程，可以存在一个或多个线程，线程之间同步执行多种操作，一般地，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃服务：一个进程当以服务的方式工作的时候，它将会在后台工作，不会出现在任务列表中，但可通过服务管理器检查任何的服务程序是否被启动运行

木马的隐藏技术共26页文档

66、节制使快乐增加并使享受加强。 ——德谟克利特 67、今天应做的事没有做，明天再早也是耽误了。——裴斯泰洛齐 68、决定一个人的一生，以及整个命运的，只是一瞬之间。 ——歌德 69、懒人无法享受休息之乐。——拉布克 70、浪费时间是一桩大罪过。——ห้องสมุดไป่ตู้梭
木马的隐藏技术
26、机遇对于有准备的头脑有特别的亲和力。 27、自信是人格的核心。
28、目标的坚定是性格中最必要的力量泉源之一，也是成功的利器之一。没有它，天才也会在矛盾无定的迷径中，徒劳无功。- -查士德斐尔爵士。 29、困难就是机遇。--温斯顿．丘吉尔。 30、我奋斗，所以我快乐。--格林斯潘。

木马的隐藏技术探讨

木马的隐藏技术探讨摘要：木马所从事的是“地下工作”，因此它必须隐藏起来，想尽一切办法不让用户发现它。

木马最显著的特征就是隐蔽性，它对隐藏技术也是多种多样，本文对常用隐藏技术进行探讨。

关键词：木马隐藏技术端口启动由于木马所从事的是“地下工作”，因此它必须隐藏起来，并想尽一切办法不让用户发现它。

这也是木马区别于远程控制软件的最重要的特点。

下面我探讨一下木马通常的隐藏技术，(1)在任务管理器里隐藏。

查看正在运行的进程最简单的方法就是按下Ctrl ＋Alt＋DeI键时出现的任务管理器。

木马会千方百计地伪装自己，使自己不出现在任务管理器里。

木马发现把自己没为“系统服务”就可以轻松地欺骗用户。

因此，希望通过按Ctrl＋Alt＋Del键发现木马是不大现实的，(2)在任务栏中隐藏。

这是最基本的隐藏方式，如果在Win－dows的任务栏里出现一个莫名其妙的图标，谁都会明白是怎么回事。

要实现在任务栏中隐藏，在编程时可以很容易地实现，以VB为例，在VB中只要把from的Visible属性设置为False.Showl－nTaskBar设为False程序就不会在任务栏中出现。

(3)端口修改。

一台机器有65536个端口，通常用户无法注意到如此多端口，而木马不一样，它特别注意用户的端口。

如果用户稍微留意，不难发现大多数木马使用的端口在1024以上，而且呈越来越大的趋势；当然也有占用1024以下端口的木马，但这些端口是常用端口，且占用这些端口容易造成系统不正常，这样的话，木马就会很容易暴露。

有此用户可能知道一些木马占用的端口，他会经常扫描这些端口，但现在的木马都具有端口修改功能，所以用户很难有时间扫描全部的65536个端口。

(4]隐藏通讯。

隐藏通讯也是木马经常采用的手段之一。

任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，木马把侵入主机的敏感信息送给攻击者。

现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留：有一些木马会选择一些常用的端口，如80，23。

木马的信息窃取技术PPT教案学习

ARP欺骗利用修改主机ARP缓存表的方法达到嗅探的目的，是一种中间人攻击主机C为了达到嗅探的目的，会向主机A和B分别发送ARP应答包，告诉它们IP地
址为IPB的主机MAC地址为MACC，IP地址为IPA的主机MAC地址也为MACC 这样，主机A和B的ARP缓存表中就有会IPB-MACC和IPA-MACC的记录。主机A
第4页/共33页
嗅探技术原理
共享式网络的嗅探技术
局域网的共享特性决定了嗅探能够成功由于局域网是基于广播方式传送数据的，所有
的数据报都会被送到每一主机节点，当主机节点网卡设为混杂模式时，无论监听到的数据帧目的地址如何，网卡都能予以接收在局域网中，集线器采用广播的形式传输数据，即向所有端口传送数据
第21页/共33页
Windows消息机制
Windows系统是建立在事件驱动机制上的，即，windows系统是通过消息的传递来实现的
消息队列是系统定义的内存块，用于临时存储消息或者是把消息直接发送给窗口过程
Windows消息控制中心一般是三层结构：
顶端是Windows内核。Windows内核维护着一个消息队列第二级控制中心一般是各 Windows应用程序的Application对象。第二级控制中心
Windows系统提供了钩子(HOOK)机制，可以通过钩子截获系统消息监视用户的一举一动，从而获得用户运行程序时输入的密码等敏感信息
钩子是windows系统中非常重要的系统接口，实际上是一段用来处理系统消息的程序，是windows的消息处理机制为了能在应用程序中监控系统的各种事件消息而提供的一种功能
把主机C的MAC地址修改为目标主机B的MAC地址，交换机会将MACB和端口c对应起来，在以后收到目的地址为MACB的数据报后，交换机会将包从端口c发送出去，从而达到监听目的