木马的植入与隐藏技术分析

有关木马植入和隐藏技术的分析

学术研究

Ａｃａｄｅｍ；￥ｃ

Ｒｅｓｅａｔ，Ｏｈ、黼嚣

木马的植入与隐藏技术分析

蔺聪１，黑霞丽ｚ

（１广东商学院教育技术中心，广东广州５１

０３２０；

２广东商学院信息学院，广东广州５１０３２０）

ｌ摘要ｌ论文首先介绍了木马的定义，概括了木马的特征——隐蔽性、欺骗性，自启动性和自动恢复性，并简单介

绍了木马的结构和功能。随后，从缓冲区溢出、网站挂马，电子邮件、ＱＱ传播等方面介绍了木马的植入技术，重点从通信隐藏、进程隐藏，文件隐藏三个方面介绍了木马的隐藏技术，最后展望了木马技术的发展趋势。【关键词】木马；缓冲区溢出；木马植入；木马隐藏【中图分类号ｌ

ＴＰ３９３．０８

‘文献标识码ｌ

Ａ

【文章编号ｌ

ｌ

００９—８０５４（２００８）０７－００５３－０３

Ａｎａｌｙｓｉｓ

ｏｎ

ＥｍｂｅｄｄｉｎｇａｎｄＨｉｄｉｎｇＴｅｃｈｎｏｌｏｇｉｅｓｏｆ

Ｔｒｏｊａｎ

Ｈｏｒｓｅ

ＬＩＮＣｏｎｇ’，ＨＥＩＸｉａ－ｌｉ２

（＇ＣｅｎｔｅｒｏｆＥｄｕｃａｔｉｏｎａｌＴｅｃｈｎｏｌｏｇｙ，ＧｕａｎｇｄｏｎｇＣｏｌｌｅｇｅｏｆＢｕｓｉｎｅｓｓ，ＧｕａｎｇｚｈｏｕＧｕａｎｇｄｏｎｇ５１０３２０，Ｃｈｉｎａ；

２Ｉｎｆｏｒｍａｔｉｏｎ

ＴｅｃｈｎｏｌｏｇｙＣｏｌｌｅｇｅ，ＧｕａｎｇｄｏｎｇＢｕｓｉｎｅｓｓＵｎｉｖｅｒｓｉｔｙ，ＧｕａｎｇＴ凼ｏｕＧｕａｎｇｄｏｎｇ５１０３２０，Ｃｈｉｎａ）

［Ａｂｓｔｒａｃｔ］ＴｈｅｄｅｆｉｎｉｔｉｏｎａｎｄｃｈａｒａｃｔｅｒｏｆＴｒｏｊａｎｈｏｒｓｅｉｓｄｉｓｃｕｓｓｅｄｆｉｒｓｔｉｎｔｈｅｔｅｘｔ，ｉｎｃｌｕｄｉｎｇｃｏｎｃｅａｌｍｅｎｔ，ｃｈｅａｔ，ｓｅｌｆ－

ｓｔａｒｔ

ａｎｄｓｅｌｆ－ｒｅｃｏｖｅｒ．ａｎｄｔｈｅ

ｓｔｒｕｃｔｕｒｅａｎｄｆｕｎｃｔｉｏｎｏｆ

Ｔｒｏｊａｎｈｏｒｓｅｉｓａｌｓｏｄｅｓｃｒｉｂｅｄ．Ｔｈｅｎｔｈｅｅｍｂｅｄｄｉｎｇｔｅｃｈｎｏｌｏｇｉｅｓ

ｆｏｒ

Ｔｒｏｊａｎｈｏｒｓｅ，ｉｎｔｈｅｆｉｅｌｄｓｏｆｂｕｆｆｅｒｏｖｅｒｆｌｏｗ，ｈａｎｇｉｎｇｔｒｏｊａｎｏｎ

ｗｅｂ，ｅｍａｉｌ，ＱＱ，ａｒｅｄｉｓｃｕｓｓｅｄ．Ｔｈｅｄｉｓｃｕｓｓｉｏｎｏｆｔｈｅ

ｈｉｄｉｎｇ

ｔｅｃｈｎｏｌｏｇｙｆｏｒＴｒｏｊａｎｆｏｃｕｓｅｓｈｉｄｉｎｇｃｏｍｍｕｎｉｃａｔｉｏｎｓ，ｈｉｄｉｎｇｐｒｏｃｅｓｓｅｓａｎｄｈｉｄｉｎｇｆｉｌｅｓ．Ｆｉｎａｌｌｙ，ｔｈｅｐａｐｅｒｌｏｏｋｓ

ｉｎｔｏｔｈｅｆｕｔｕｒｅｔｒｅｎｄｏｆＴｒｏｊａｎｈｏｒｓｅ．

｜Ｋｅｙｗｏｒｄｓ］Ｔｒｏｊａｎｈｏｒｓｅ；ｂｕｆｆｅｒｏｖｅｒｆｌｏｗ；ｅｍｂｅｄｄｉｎｇｔｅｃｈｎｏｌｏｇｙ；ｈｉｄｉｎｇｔｅｃｈｎｏｌｏｇｙＯ

引言

１

木马的定义和特征

木马是隐藏在系统中的用以完成未授权功能的非法程

计算机网络中的木马（Ｔｒｏｊａｎ），是指隐藏在正棠程序中序，木马自从出现以来，以其攻击范围广、隐蔽性强等特点的一段具有特殊功能的代码。木马通常具有以下特征【Ｉ】第一成为常见的网络攻击技术之一，已经成为病毒的主力，对网是隐蔽性：隐蔽性是木马的首要特征，木马为了保护自身通络安全造成了极大的威胁。木马要发挥作用，首先要进入对常具有很强的隐蔽性，比如：隐藏进程、尽量残少文件的体方电脑，这就是木马植入技术；同时，木马在进入对方电脑积、自动复制到其它文件夹中做备份，修改生成时间．变更之后，如何生存下去，不被对方发现也是一个重要课题，这文件名等。第二是欺骗性：木马的文件名和系统文件名非常就是木马隐藏技术。

相似，或者就是和系统文件名相同，但是路径不同。第三是论文试图从木马的植入和隐藏技术两个方面做一简要分自启动性：分两种类型，一种是随系统自动启动的，另一种析．希望起到抛砖引玉的作用。

是附加或者捆绑在系统程序或者其他应用程序上，或者干脆替代它们。第四是自动恢复性：现在很多木马程序中的功能模块已不再是由单一的文件组成，它们具有多重备份，可以

收稿日期：２００７－１１－２１

相互恢复，或者让你无法删除。

作者简介：蔺聪．１９７９年生，男，助理工程师，研究方向：信息安全、毁椐挖掘等；黑霞丽。１９８１年生，女，顾士，讲２木马的功能

师，研究方向：信息安全等。

木马是典型的Ｃ／Ｓ结构，它的功能主要存第一是记录

信息安全与通信保密 ２。。８．７

５３

有关木马植入和隐藏技术的分析

爱鞫溆ａｎｅｍ土ｆｃ

学术研究

Ｒ萱活ｅａｒｃｈ

用户的按键记录；第二是监视对方，远程控制对方机器；第三是窃取被控端的资源，比如复制、修改．删除对方文件，格式化硬盘，上传下载文件等。总之，木马的功能是非常强大的，下面从植入和隐藏的角度解析木马的植入和隐藏技术．

５木马的植入技术

利用木马进行攻击首先要把木马程序植入到目标系统里面．下面介绍攻击者植入木马的主要手段。

（Ｉ，利用系统的漏洞直接攻击，比如缓冲区溢出攻击是植入木马最常用的手段吐据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的８０％以上．缓冲区溢出（ｂｕｆｆｅｒｏｖｅｒｆｌｏｗ）指的是一种系统攻击的手段．通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。根据溢出发生的位餮将缓冲区溢出漏洞分成三类：

——堆栈型（Ｓｔａｃｋ）缓冲区溢出。

——格式化字符串（ＦｏｒｍａｔＳｔｒｉｎｇ）漏洞。——堆（Ｈｅａｐ）和静态数据（ＢＳＳ）的缓冲区溢出。（２）通过端口入侵，所以，一些著名的端口比如１３９、３３８９等如果不是特别需要，要关闭，或者在需要的时候再打开。

（３）在网站上面挂马（姜太公钓鱼，骡者上钩）。用户在浏览网页时，木马通过ｓｃｒｉｐｔ、ＡｃｔｉｖｅＸ及ＸＭＬ、Ａｓｐ、Ｃｇｉ等交互脚本植入。由于微软的ＩＥ浏览器在执行ｓｃｒｉｐｔ脚本上存在很多漏洞，攻击者把木马与一些含有她交互脚本的网页联系在一起，利用这些漏洞通过交互脚本植入木马。

（４）通过下载传播。这种方式和前面的网站挂马类似，用户下载软件或者游戏之类的对侯＇下载到的实琢上是事先准备好的木马，或者木马捆绑在这些软件上面，现在很多小型的下载网站，这种现象尤其突出．一旦用户运行，就会中招。

（５，通过电子部件传播。这是最简单的方法．一般是以附件的方式给用户发电子邮件，标题或者内容很诱人，引诱用户点击附件，如果用户点击运行了附件，那么用户的电脑就放植入了木马．

（６）在网络上发送超链接，一个常用的方法是通过ＱＱ或者ＭＳＮ发送一个超链接，引诱用户点击，该链接实际指向一个木马，一旦点击，就会教植入木马。不过随着用户安全意识的增强，这种方法成功的概率已经越来越小。

（７）与病毒结合在一起构成复合的恶意程序，利用病毒的传染性进行木马的植人．这种方式。比如前段时间流行的熊猫烧香，变种很多，很多感染了该病毒的机器又同时被中了木马，包括很多盗号木马等。令人防不胜防。

（８）攻击者利用管理上的疏漏或物理防范措麓的不足，

５４

Ｉ凹凹凹。ｃｉｓ哪ａ玑④①曲。①田

获得目标系统的权限。

４木马的隐藏技术

４．１通信隐藏

木马常用隐藏通信的方法有下列几种：

（１）端口隐藏。木马在植入主杌后一般会在１０２４以上的高端口上驻鼹也有些木马采用端口复用技术【”，不打开新的通信端口，而选择一些常用的端口（如８０）实现通信，在收到正常的ＨＴＴＰ请求仍然稻它交与Ｗｅｂ服务器处理，只有在收到一些特殊约定的数据包后，才调用木马。

（２）反向连接技术。主要利用防火墙的漏洞。由于防火墙一般对于连入的链接会进行严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反．反弹端口型木马采用反向连接技术的编程方法：将服务器端（被控制端）使用主动端口．客户扃带＜控翩端）使用被动端口。被植人反弹木马服务器端的计算机定时监测控制端的存在，发现控制端上线立即弹出端口主动连接控制端打开的主动端口。这种连接模式还艟突破内网与外部建立莲接。

（３）隐蔽通道技术。为了使木马客户端和服务器端的通信更加隐蔽，使得穿透防火墙更加容易．常采用所谓的隐蔽通道技术。任何萃蛙用ｊ＃正常的通信手段在网络中传递信息的通道砉墨可以称之为网络隐蔽通道。在ＴＣＰ／碑协议中，有很多设计得不严密的地方可以用来秘密地隐藏信息，特别是在协议的头格式定义中，有很多域都有潜在的危险性，至少有两种途径可以被利用．建立隐蔽通道～是利用ＯＩＸｉｏｎ域和传输数据时通常很少用到的域，二是利用传输数据时必须强制填充的域。还有

就是使用一些特殊的协议，比如ＪＣ艘就是常用的一种方式。

４，２进程隐藏

最简单的进程隐藏方式就是把木马进程改为非常类似于系统进程的名字，有的和系统进程名字很类似，比如ＥｘｐＩｏｒｅｒ．镊ｅ（利用英文字母叩’和阿拉伯数字。ｌ。看起来很像），还有ＳＶＣＨＯＳＴ．ＥＸＥ（利用英文字母。Ｏ”和阿拉伯数字。０”看起

来很像。由予系统中有多个ＳＶＣＨｏ盯ＥＸＥ进程，历以这个

名字迷惑性更强）。有的名字很像系统进程，实际上没有这个系统进程。现在很多木马都是以线程方式，即把木马写成动态链接库（ＤＬＬ）文｛孛，通过ＤＬＬ技术Ⅲ，木马以线程的方式存在。木马调用的是系统中正常的进程，比如Ｒ叽ｄ１１３２．ｅｘｅ、Ｅｘｐｌｏｒｅｒ．ｅ００９等，只是在运行时将自己插入另—个进程中，从而实现任务管理器里的隐藏，而且，当查看当育ｄ使用的端口时，木马打开的端口对应的进程不是木马本身。而是被插入的进程，即一个正常的进程，从而也实现了端口隐藏的目的。其他的隐藏方式还有：修改进程管理程序，隐藏进程信息，利用由于进程管

有关木马植入和隐藏技术的分析

Ａｃａｄｅ撇

学术研究

Ｒｅｓｅａｒｃｈ．粼

理程序不列出进程标识号（ｐｉｄ）为０的进程信息，因此把要隐藏进程的ｐｉｄ设为Ｏ（空转进程），实现进程隐藏等。

４．３文件隐藏

木马程序植入目标系统后，会在目标系统的磁盘上加以隐蔽欺骗用户嘲。隐藏保护木马文件的主要方式有：

（１）嵌入到宿主文件中。采用此隐蔽手段的木马通常有以下两种形式：插入到某程序中，与某程序捆绑到一起。一运行这个程序就会启动木马，还可以通过ＺＩＰ制成自解压执行程序，一旦点击ＺＩＰ文件就会加载木马。

（２）木马文件在磁盘上以单独的文件存在这种情况最为多见，木马一般会把文件属性设置为隐藏、只读，很多木马文件会放到ｗｉｎｄｏｗｓ或者ｗｉｎｄｏｗｓ／ｓｙｓｔｅｍ３２文件夹下面，并且会修改自己的生成日期，以迷惑用户。木马还伪装成系统文件或者伪装成非可执行文件并可以更换图标，比如ｂｍｐ。来迷惑用户。

（３）文件替换。这是目前木马技术发展的一种新趋势。这种方式用修改后的ＤＬＬ替换系统原来的系统ＤＬＬ，不需要监听端口，非常隐蔽。替换之后，对于正常的系统调用还照常进行，但是，它多了一些功能供木马调用、执行。这种木马没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它，只有在木马的控制端向被控制端发出特定的信息后，隐藏的程序才开始运行，隐蔽性极强，如图ｌ所示１３】。

系统研究的逐步深入和编码技术的广泛交流，木马会朝着嵌入内核级隐蔽、嵌入应用级远程控制的方向发展。

正常ＤＬＬ

木马ＤＬＬ

运行的进程

图ｌ木马ＤＬＬ调用过程

木马将更加注重自身的隐蔽性，木马将和蠕虫病毒等其他病毒形态结合在一起，具有更加强大的攻击性，同时拥有更加方便的人机界面，并可能出现跨平台木马。

参考文献

【ｌ】刘成光．基于木马的网络攻击技术研究【Ｄ】．西安：西北

工业大学，２００４：１５．

【２】宋海涛．木马攻击防范理论与技术研究【Ｄ】．南京：南京

师范大学，２００４：６．

【３】王战浩．木马攻击与防范技术研究【Ｄ】．上海：上海交通

大学，２００７：２０，１５．

【４】４潘勉，薛质。李建华，等．特洛伊木马植入综述【Ｊ】．信

息安全与通信保密，２００４，（２）３１．

５结语

总之，随着反病毒技术的发展，随着木马编制者对操作

【５】张新字，卿斯汉，马恒太，等．特洛伊木马隐藏技术研

究【Ｊ】．通信学报，２００４；２５（７）１５４．‘蹬

（上接第５２页）

ｔｉｏｎａｎｄ

ｃｈａｏｔｉｃ

●

ｔｉｍｅｄｅｌａｙｓｙｓｔｅｍｓ［Ｊ］．Ｉｎｔ．Ｊ．Ｂｉｆｕｒｃａｔｉｏｎ

１８３９－１８４２．

ｃｈａｏｓ，１９９８，８（９：１

映射中参数的取值，且利用其时间延迟来确定参数取某个值的时间。这样提高了维数且增加系统及其输出信号的复杂性与系统参数难辩识性。利用其输出的混沌信号进行信息和通信保密时。信息和混沌信号在一起，无论是利用相空间重构还是其他的诸如神经网络系统辩识，都是比较困难的。同时，本系统的第三个方程增加了其和系统其他变量的非线性作用项，可增加系统复杂性，这样可以利用文中的方法构造出一大类经过适当取参数的混沌系统。

【２】黄润生．混沌及其应用［ＭＩ．武汉：

２０００：１１２—１７１．

武汉大学出版社，

【３】陈建国．张兴周．基于混沌参数切换逆映射的混沌通信

系统【Ｊ】．应用科技，２００５，３２（４）１６一１８．

【４】４张兴周，陈建国，等．一种基于混沌混合映射通信系统

的降噪及安全性能分析【Ｊ】．哈尔滨工程大学学报，２００５，

２６（５）６６３—６６７．【５】Ｙａｎｇ

ｄｉｖｉｓｉｏｎ

Ｔａｏ，Ｃｈａｕ

Ｌｅｏｎ．Ｃｈａｏｔｉｃ

ｄｉｇｉｔａｌ

ｃｏｄｅ—

ｍｕｌｔｉｐｌｅａｃｃｅ鹦（ＣＤＭＡ）ｃｏｍｍｕｎｉｃａｔｉｏｎｓｙｓｔｅｍｓ

ｏｆ

Ｂｉｆｕｒｃａｔｉｏｎａｎｄｃｈａｏｓ，

参考文献

【ｌ】ＰｙｒａｇａｓＫ．Ｔｒａｎｓｍｉｓｓｉｏｎ

ｏｆｓｉｇｎａｌｓｖｉａｓｙｎｃｈｒｏｎｉｚａ一

【Ｊ１．Ｉｎｔｔｅｒｎａｔｉｏｎａｌ．Ｊｏｕｒｎａｌ

１９９７，７（１２）２７８９—２８０５．地

信息安全与通信保密．２。。８．７

ｆ

５５

有关木马植入和隐藏技术的分析

木马的植入与隐藏技术分析

作者：作者单位：刊名：英文刊名：年，卷(期)：被引用次数：

蔺聪， 黑霞丽， LIN Cong， HEI Xia-li

蔺聪,LIN Cong(广东商学院教育技术中心,广东,广州,510320)， 黑霞丽,HEI Xia-li(广东商学院信息学院,广东,广州,510320)

信息安全与通信保密

INFORMATION SECURITY AND COMMUNICATIONS PRIVACY2008，""(7)3次

参考文献(5条)

1.刘成光 基于木马的网络攻击技术研究[学位论文] 20042.宋海涛 木马攻击防范理论与技术研究[学位论文] 20043.王战浩 木马攻击与防范技术研究 2007

4.潘勉.薛质.李建华 特洛伊木马植入综述[期刊论文]-信息安全与通信保密 2004(02)5.张新宇.卿斯汉.马恒太 特洛伊木马隐藏技术研究[期刊论文]-通信学报 2004(07)

相似文献(10条)

1.期刊论文 于晗.孙龙霞.黄承夏 基于Windows缓冲区溢出漏洞的植入型木马研究 -信息安全与通信保密2005,""(7)

文中首先讨论了缓冲区溢出及其攻击的原理并说明了三种攻击方法,而后讨论了基于缓冲区溢出漏洞的植入型木马设计的关键技术与实现思想,最后采用攻击树方法对其进行了简单的形式化分析,说明了植入式木马的可行性.

2.期刊论文 周矛欣.许秀文.杨铭 黑客攻击的常见方式及预防 -中国教育信息化·高教职教2010,""(9)

随着网络技术的发展,黑客技术也日益提高,网络用户常受到黑客攻击,以致网络瘫痪,甚至造成重大损失.作为网上用户应该了解黑客的常见攻击方式,采取积极的手段预防黑客的攻击.本文介绍了黑客攻击常见的五种手段、原理以及相应的预防方法.

3.学位论文 郭林 二层架构的特洛伊木马深度防御体系 2006

随着信息化建设的发展，网络已经成为支撑许多行业开展业务的基础平台，网络安全将直接影响到其业务的正常实施，甚至关系到国家的安全和社会的稳定。在危害网络安全的因素中，恶意软件(Malware)的危害性最高，它通过网络途径进行广泛传播，对主机系统安全和网络安全的威胁日益增加。其中木马程序在网上的传播和活动呈快速增长的趋势，成为恶意软件的的主要组成部分，并且木马的攻击目的性逐渐增强。当前已知木马检测技术比较成熟，主要使用基于特征码检测技术、基于网络数据包检测技术。这两种技术需要提取已知木马样本的特征，所以不能检测未知木马。未知木马检测技术主要有基于关联分析的检测技术、基于虚拟机的检测技术、基于特洛伊DLL的检测技术、基于系统资源访问的检测技术。对未知木马的检测技术多是在木马攻击行为发生时实施被动检测，即在木马种植到目标主机后，实施攻击行为的过程中采用相应技术对木马的攻击行为进行判断、评估，所以普遍存在误报率高、漏报率高、检测滞后的缺陷。基于对当前木马检测技术的弱点分析，本文在研究木马的攻击模式、种植方式和Windows安全机制的基础上，提出了边界防御和环境控制协同防御的木马深度防御体系思想，其主要技术创新点：

㈠在主机边界上对木马种植途径进行检测，阻止木马在主机上的种植，实现对木马的主动检测，变被动检测为主动检测。

㈡在主动检测的基础上，构建工作环境控制机制，实现对应用程序运行的审核，抑制木马实施其攻击行为，保护主机信息的安全，变查杀木马为抑制木马。

㈢边界防御与环境控制协同，形成用户工作环境下的木马纵深防御体系。基于上述思想，本文设计了二层架构的木马深度防御体系(DDST)原型。二层架构的木马深度防御体系有两层架构组成：①边界检测防御层(BDDL)，边界检测防御层在主机边界对木马种植实施主动防御。木马种植主要集中在脚本攻击、缓冲区溢出漏洞以及邮件附件三种种植方式。因此，边界检测防御层由脚本监控模块、远程缓冲区溢出监控模块，文件分析检测模块分别对三种种植方式实施主动检测。②工作环境控制层(WECL)，工作环境控制层对边界检测防御层不能检测出的木马程序或者“隐蔽”进入系统的木马程序的工作环境和其攫取系统特权的途径进行控制，使之无法实施其攻击行为。工作环境控制层由进程环境控制模块、服务管理控制模块、注册表监控模块、异常诊断模块、策略库、策略审计模块组成。

㈣二层架构的木马深度防御体系将边界防御与环境控制相结合，形成对木马攻击的纵深防御。在边界防御层对木马的主要种植方式进行主动检测克服了当前未知木马检测技术进行被动检测带来的弱点。工作环境控制层对木马的工作环境进行控制，具有效率高、普适性好的优点。

㈤二层架构的木马深度防御体系对2个已知木马、4个未知木马、4种种植方式进行种植和检测实验。实验结果表明：二层架构的木马深度防御体系不但能够检测出2种已知木马，而且能够准确检测出4种未知木马，并能够防御通过4种种植方式进行的木马种植。因此，二层架构的木马深度防御体系有较好的检测有效性，具有较高的实用价值。

4.期刊论文 智明.郑姨婷.ZHI Ming.ZHENG Yi-ting 基于缓冲区溢出的木马研究 -微型电脑应用2006,22(9)

本文主要分为两个部分:第一部分主要是介绍了目前存在于计算机系统攻击中最普遍的缓冲区漏洞问题,集中阐述了其溢出原理、利用缓冲区溢出进行攻击的原理;第二部分详细介绍了利用缓冲区溢出原理进行木马植入攻击的原理以及实现方式.

5.期刊论文 周涛.戴冠中.慕德俊.Zhou Tao.Dai Guanzhong.Mu Dejun 利用Internet蠕虫实现木马服务程序的自主传播 -计算机工程与应用2006,42(11)

计算机网络攻防技术作为信息战的重要内容,已日益成为人们关注的焦点.文章借助蠕虫的传播思想,构造了一种可自主传播的蠕虫型木马.首先讨论了蠕虫型木马的结构和工作流程,然后分析了实现的关键技术,最后给出了蠕虫型木马的检测方法.实验结果表明,蠕虫型木马可以在网络攻防中发挥积极作用.

6.学位论文 费天明 基于RootKit的计算机远程控制应用技术研究 2009

随着计算机网络的迅速发展，“制信息权”已经成为发达国家在信息安全领域研究的重点。利用计算机系统安全漏洞，对目标主机发起攻击，植入攻击代码是一种常见的网络攻击手段。特别是90年代初出现的RootKit，更是为攻击者提供了强有力的进攻工具，使得攻击者可以非法访问系统，并通过控制目标计算机操作系统的关键组件来把自身隐藏起来，而不被系统管理员发觉。利用RootKit控制、建立“僵尸网络”是网络安全领域研究的新热点。

有关木马植入和隐藏技术的分析

<br>　　

本文首先对网络攻击进行了研究，并根据攻击手段进行了分类，讨论了基于系统状态变化的网络攻击模型：进而又论述了网络攻击技术的主要手段-木马，并说明了木马的发展、分类和特征：然后对RootKit可能采用的技术进行了较为详细的分析。<br>　　

在此基础上，本文设计实现了一个Windows RootKit原型，介绍了RootKit的总体结构、关键技术和实现方法，并阐述了该RootKit利用计算机系统缓冲区溢出漏洞进行传播的方法。然后从攻击者自身实施网络攻击的角度出发，本文提出了网络攻击序列NAS模型，并对其进行了论述。<br>　　 最后指出论文存在的不足和下一步所要研究的内容与方向。

7.期刊论文 颜源 常见网络攻击技术原理简析 -和田师范专科学校学报2007,27(1)

本文介绍了网络攻击的基本步骤,并分析了常见的网络攻击技术原理:网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出、口令攻击、社交工程、物理攻击、木马、隐藏踪迹.通过对这些攻击类型的讨论,使大家认识到网络攻击的危害性及其所利用的系统安全弱点,以增强人们的安全意识.

8.学位论文 李天宁 基于Linux的操作系统安全增强技术研究 2001

为了给具体应用提供一个安全的运行平台,研究人员选择了操作系统作为安全技术研究的对象.鉴于Linux操作系统配制的两大特点:遵循POSIX标准和GNU协议且源代码公开,它成为研究人员首选的研究对象.在这个平台上,研究人员设计并实现了多种安全增强技术,并将这个新的版本称为

SELinux(Security-EnhancedLinux).其中主要的几项技术包括强制访问控制、入侵检测和系统分权等.强制访问控制技术区别于管理为由系统来管理;同时将系统涉及到的主客体加以分级,并规定信息流向.这样避免了机密信息的泄漏,使攻击者设下的特洛依木马陷阱失效.SELinux中采用的入侵检测系统,利用正常程序运行时刻产生的系统调用序列片断生成模式库;同时采用短序列相似度衡量模型作为判定算法.由这两者结合构成的入侵检测系统能够有效地检测出缓冲区溢出和某些类型的特依木马攻击.分权系统作为一个全新的概念,利用旧有系统中的某些权力设施,将超级用户的特权分化,并修改了对象的访问规程,从而实现了请求授权的特权最小化.这样做的结果是不仅可以有效地防范缓冲区溢出攻击,而且即使入侵者篡取了系统的部分权力,它所产生的危害也只能限制在一个很小的范围内.

9.期刊论文 蔺聪.LIN Cong 基于木马的黑客攻击技术 -电脑知识与技术2008,1(8)

木马程序一般分为客户端程序和服务端程序两部分,客户端程序用于远程控制计算机.而服务端程序,则隐藏到远程计算机中,接收并执行客户端程序发出的命令.本文首先介绍了木马的定义,功能和特点,其次介绍了木马的常见植入技术,包括网站挂马,发送超级链接.电子邮件,缓冲区溢出,和其它病毒形态相结合五种.再次阐述了木马的自启动技术,然后是木马的隐藏技术,包括文件隐藏,进程隐藏和通信隐藏.最后是木马的免杀技术,主要包括加壳,修改特征码和加花指令.

10.学位论文 吴琨 软件动态和静态完整性保护技术研究 2004

随着信息技术的发展，作为信息技术的基础，软件正在随着其规模的扩大和复杂性的提高，变得越来越难以开发和维护。互联网技术的发展更使得软件在开发和维护中产生的漏洞，暴露在大量的攻击和入侵事件中，无论是软件的生产者还是使用者都蒙受了巨大的损失，软件的安全性研究成为信息技术发展的热点和难点。软件安全研究就是研究在软件及相关数据的存储、处理和传输等过程中为保护其机密性、完整性和可用性等安全属性所采用的法律、教育和技术。本文重点研究软件及相关数据存储时的静态完整性和运行时的动态完整性保护技术：1)本文为程序安全缺陷建立了一种多维的分类方法。在软件系统的设计、开发、运行和维护的过程中产生的各种程序缺陷，是威胁软件及相关数据的机密性，完整性和可用性的主要原因。在产生原因和引入时间上对程序安全缺陷进行分类，有助于有针对性地消除这些程序安全缺陷造成的危害。

2)本文阐述了缓冲区溢出攻击的原理，总结了防御缓冲区溢出攻击的各种方法。缓冲区溢出攻击是针对在软件开发阶段中无意引入的边界检查程序缺陷的攻击，主要威胁软件及相关数据在运行时刻的完整性，目前是对软件安全最大的威胁。本文综述现有的防御缓冲区溢出攻击的方法，将其分成了动态防护、静态分析和程序行为控制的三大类，并分析了各种方法的优缺点。

3)本文介绍了基于静态分析的程序行为控制方法Callgraph模型，并分析其存在的不可能路径问题。Callgraph模型是一种新型的将静态分析和程序行为控制结合，可检测类似于缓冲区溢出攻击和格式化串攻击等恶意破坏程序的运行时刻完整性的攻击的方法，并着重分析了Callgraph模型中存在的可能导致漏报的不可能路径问题。

4)为了解决不可能路径问题，保护软件在运行时刻的动态的完整性，本文提出了基于静态分析的虚路径模型SAVPath模型。SAVPath模型不但使用了程序执行系统调用时的程序计数器的信息来描述程序执行的状态，同时还考虑到了系统调用时的程序调用栈的信息，以帮助模型更加精确地刻划程序执行的状态，并创造性地通过分析程序源代码来构建程序的虚路径以描述程序的状态转换，从而弥补了Callgraph模型在检测能力上的不足，并具有低开销，低漏报率以及不产生误报的特点。

5)为保护软件和数据在存储时刻的静态完整性，本文还提出了基于策略机制的文件免疫模型FIX并加以实现。病毒、木马和蠕虫等寄生在文件系统中的恶意程序缺陷，和对文件系统中数据文件的恶意破坏，是对软件和数据静态完整性的最大威胁。FIX模型提供了灵活的完整性策略描述语言，可以用于描述用户对文件完整性的需求，并能够自动按照用户的对文件完整性的需求，检测对文件系统中的文件或者目录的非法操作，并对受损的文件或者目录加以恢复，从而保证了软件和数据在存储时刻的静态完整性。

引证文献(3条)

1.唐迪 信息服务机构防范"轮渡"木马的对策[期刊论文]-情报探索 2010(3)2.刘冬 特洛伊木马的隐藏技术分析[期刊论文]-中国科技信息 2010(1)

3.王鼎.张小松.龙小书 基于NTFS磁盘解析的Rootkit检测技术[期刊论文]-信息安全与通信保密 2009(8)

本文链接：/Periodical_xxaqytxbm200807028.aspx授权使用：兰州大学图书馆(wflzdx)，授权号：794e1784-c7e4-4c98-b1b8-9e6400a9d9f2

下载时间：2011年1月7日

本文来源：https://www.bwwdw.com/article/a1l4.html