2003年3月JOU RNAL O F HOHA IUN I V ERSITY CHAN GZHOU M ar.2003 文章编号:100921130(2003)0120069204木马程序的隐藏机理及有效检测手段吴云燕, 裴开平, 许 涛, 刘宪成(河海大学计算机及信息工程学院,江苏常州 213022)摘要:在V C++下,对木马程序在任务栏和任务列表中的隐藏机理进行了剖析,并结合进程和注册表的相关知识提出了一些有效检测手段.关键词:木马程序;黑客;函数;进程;注册表中图分类号:T P393.09 文献标识码:B 随着计算机的不断发展,网络中的安全问题日趋严重.一类称为“特洛伊木马”的黑客程序,一旦被植入用户计算机,就如同木马屠城记中的木马一般,与黑客里应外合,可以对被感染的计算机随心所欲地进行监视、破坏,造成极大的危害.本文在V C++下,对木马程序的隐藏机理进行剖析,并结合进程和注册表的相关知识提出一些有效检测手段.1 黑客软件隐藏程序的机理分析 由于木马程序是一种恶意程序,它必须在被攻击者没有察觉的情况下悄悄启动运行,否则,也就失去了为黑客提供后门的作用,所以它不是像其它程序一样公开显示在任务栏和任务列表中,而是想方设法加以隐藏.1.1 程序在任务栏中的隐藏原机理.程序在任务栏的隐藏比较简单,首先要保证程序主界面的隐藏,这可以通过修改应用程序类的初始化实例函数In itlnstance()的ShowW indow()语句来实现,即将S W SHOW参数改为S W H I D E.主界面隐藏的同时,任务栏虽然也会消失,但在程序启动时会闪一下,因此还需要修改程序的扩展属性,即去掉原有的W S EX A PP W I NDOW属性,并新添加一个W S EX TOOLW I NDOW属性,这样,系统会将其认为是一个工具条窗口,而不会在任务栏中加以显示.为实现这一点,有一种很简便的M FC的写法:在程序框架类的预创建窗口函数里,直接对CR EA T ESTRU CT结构对象进行逻辑操作,以改变程序属性:cs.style=W S PO PU P;cs.dw ExStyle =W S EX TOOLW I NDOW;1.2 程序在任务列表中的隐藏原理任务列表(按下C trl+A lt+D el键时弹出的对话框)显示了当前系统正在运行的一些应用程序,有经验的用户可以通过观察任务列表而发现一些值得怀疑的应用程序而在此将其关闭;收稿日期:2002209216作者简介:吴云燕(1974-),女,江苏武进人,助教,计算机应用专业.07 河 海 大 学 常 州 分 校 学 报 2003年3月所以大多数黑软也都设法通过较复杂的手段实现了自身在任务列表中的隐藏,使被发现的机会大大降低.在W in9x中,一般每个应用程序都要通过一个A P I(应用程序接口)函数R egisterSer2 viceP rocess()向系统申请注册成为一个服务进程,并且通过这个函数结束该服务进程的运行.如果一个进程注册为一个服务进程,那么通过C trl+A lt+D el就可以在任务列表里看见该进程的标题;而如果一个进程运行了但没有向系统申请注册成为服务进程,那么它就不会在任务列表里显示.黑软正是利用这个原理,使自身在运行时能在任务列表中实现隐藏.该函数存放于系统内核Kernel32.dll中,具体声明如下:DWORD R egisterServiceP rocess(DWORD dw P rocessId,DWORD dw T ype);其第一个参数指定当前进程的进程标识,若是0,则为服务进程(会在任务列表中显示);第二个参数指出是注册还是注销当前进程,其状态分别为:R SP S I M PL E SERV I CE和R SP UN R EG IST ER SERV I CE.黑软一般是在程序启动初始化时,首先从Kernel32.dll动态连接库中将R egisterServiceP rocess()函数加载到内存,然后再通过设置该函数的第一个参数,将程序从任务列表中隐藏.另外,还有一部分黑软是通过ShowW indowA sync()函数启动一个新的线程来显示一个新窗口的.该函数的原形为:BOOL ShowW indowA sync(HWND h W nd,int nCm dShow),其第二个参数可以设置窗体显示状态,若设置成S W H I D E,就可以使目标窗体(木马程序)从任务列表中隐藏.2 如何有效地找出可能隐藏的木马程序2.1 进程监控进程通常被定义为一个正在运行的程序的实例.它由两部分组成:(a)操作系统用来管理进程的内核对象,内核对象是系统用来存放关于进程的统计信息的地方;(b)地址空间,包含所有可执行模块或DLL模块的代码和数据,还包括动态内存分配的空间,如线程的堆栈和堆分配空间.进程监控技术是追踪木马后门的一个有力武器.因为90%以上的木马和后门是以进程的形式存在的,所以如果能设法显示内存中所有的进程及进程调用的所有模块文件(DLL),就比较容易发现入侵进程.异常的用户进程或者异常的资源占用都有可能是非法进程.W indow s2 2000的工具taskm gr.exe可以比较详细地查看当前系统进程信息,但它是W indow s GU I程序,需在命令行下使用,不太方便,为此可结合系统函数,编写一些小程序显示所有系统进程.M S的W indow sN T开发小组开发了自己P rocess Status(进程状态)函数.这些函数包含在PSA P I.DLL文件中,只能在高于N T4.0以后的版本中使用.PSA P I共有14个函数.通过调用这些函数,可以很方便地获取系统进程的所有信息,例如进程名、进程I D、父进程I D、进程优先级、映射到进程空间的模块列表等等.为方便起见,以下程序只获取进程的名字和I D.M odules.c ∥调用PSA P I函数枚举系统进程名和I D#include"p sap i.h"vo id P rin tP rocess N a m e A nd I D(DWORD p rocessI D){char szP rocess N a m e[M A X PA TH]="unknow n";HANDL E hP rocess =OpenP rocess (PROCESS QU ER Y I N FORM A T I ON PROCESS VM R EAD ,FAL SE ,p rocessI D ); ∥取得进程的句柄if (hP rocess ){HM ODUL E h M od ; DWORD cbN eeded ;if (Enum P rocess M odules (hP rocess ,&h M od ,sizeof (h M od ), &cbN eeded ))Get M odule Base N a m e (hP rocess ,h M od ,szP rocess N a m e ,sizeof (szP rocess N a m e ));} ∥取得进程名称p rintf (" n %220s %220d ",szP rocess N a m e ,p roessI D ); ∥回显进程名称和I DC l oseH andle (hP rocess );}vo id m ain () ∥枚举系统进程I D 列表{DWORD aP rocesses [1024],cbN eeded ,cP rocesses ;unsigned int i ;if (!Enum P rocesses (aP rocesses ,sizeof (aP rocesses ),&cbN eeded ))return ;cP rocesses =cbN eeded sizeof (DWORD ); ∥计算进程数量for (i =0;i <cP rocesses ;i ++)P rin tP rocess N a m e A nd I D (aP rocesses [i ]); ∥输出每个进程的名称和I Dreturn ;} 以上方法仅适合N T 系统,因为PSA P I 函数只能枚举N T 系统的进程.在W indow s 9x 环境下可以通过调用Tool H el p A P I 函数来达到枚举系统进程的目的.Too l H el p 共有12个函数,通过调用这些函数一样可以取得本地系统进程的详细信息.2.2 注册表校验从W indow s 95开始,微软公司就在视窗系统中引入了注册表的概念[1].注册表代替了以往用于M s 2Do s 、W indow s 以及M icro s oft L an M anager 中的许多.in i 、.sys 和.com 配置文件.注册表是视窗系统的一个核心数据库,在这个数据库中存放了与系统相关的各种参数,这些参数包含系统的启动信息、硬件的驱动程序安装信息,以及在视窗系统上运行的各种应用程序的注册信息等.在系统安装之后,所有的操作都可以在注册表中得到体现,甚至连隐藏较深的木马程序也无法遁形.所以,用校验注册表来发现入侵进程.也是常用的手法之一.许多黑软喜欢在注册表中将木马程序设置成自动运行,而在注册表中可设置成自动运行的项分为三类,下面分别加以讨论[2].a .一进入W indow s 就自动运行.这是一般最常见的项,也是许多对注册表了解的W in 2dow s 用户们所熟知的地方,例如:H KEY LOCALM A CH I N E SO FTWA R E M icros oft W indos w s CurrentV ersi on R un H KEY LOCALM A CH I N E SO FTWA R E M icros oft W indow s CurrentV ersi onR unServices O nce(W in 9x 与W in M E 才有)H KEYCU RR EN T U SER SO FTWA R E M icros oft W indos w s CurrentV ersi on R un H KEY CU RR EN T U SER SO FTWA R E M icros oft W indos w s CurrentV ersi on R unO nce 用户可以从这些项目下找出那些既不是W indow s 系统的也不是自己已安装的程序.这些程序很可能是黑客植入计算机的木马程序,清除它们.17第17卷第1期 吴云燕,等 木马程序的隐藏机理及有效检测手段27 河 海 大 学 常 州 分 校 学 报 2003年3月b.自动载入运行的DLL文件.有些木马程序可能会设计成.DLL或.V XD的形式,一旦进入W indow s,系统就以自动载入驱动程序的方式运行.虽然目前这类木马程序(或病毒程序)很少见,但在理论上是可行的,因此为了彻底有效地查找与摧毁可能存在的木马程序,必须检测W indow s载入各类驱动程序的设置项:H KEY LOCAL M A CH I N E SYST E M Con tro lSet001 ServicesH KEY LOCAL M A CH I N E SYST E M Con tro lSet002 ServicesH KEY LOCAL M A CH I N E SYST E M Con tro lSet003 ServicesH KEY LOCAL M A CH I N E SYST E M Curren tCon trolSet Services由于这些项中许多设置都与系统或外围设备有关,所以一定要特别小心,只有在确认是木马程序后才可删除.c.运行其他文件时附带运行.这是一个非常特殊的项.通过设置该项,每次运行任何一个可执行程序文件时,便能乘机运行一次木马程序,如此就可以保持木马程序一直在被攻击者的W indow s中运行,而且这一项也很难被注意或发现.该项如下:H KEY CLA SSSES ROO T Exefile Shell Open Comm and@=" "%1 "%3"这里@=" "%1 "%3"是一般正常的值,但若其中包含一个程序文件名,例如:@=" w indo s.exe "%1 "%3"则其中的程序文件w indo s.exe有极大可能是木马程序,应以清除.参考文献:[1] 晶辰工作室.W indow s2000Server系统管理实用教程[M].北京:电子工业出版社,2000.[2] 程秉辉,John H.黑客任务实战[M].北京:希望电子出版社,2000.The H i di n g M echan is m and D etcti n g M ethodsof Trojan Horse ProgramW U Yun-yan, PE I Ka i-p i n g, XU Tao, L I U Xi a n-cheng(College of Computer&Infor m ati on Engineering,Hohai U niv.,Changzhou213022,Ch ina)Abstract:T h is paper analyzes how T ro jan Horse P rogra m s h ide the m selves in task lists.Som e ef2 ficien t detecting m ethods com bined w ith the related p rocess and registry p rinci p les,are put for2 w ard.Key words:T ro jan horse p rogra m;hacker;functi on;p rocess;registry。
