木马隐藏技术的研究与分析

更新时间：2023-06-11 20:51:01 阅读量：实用文档文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

木马的进程隐藏技术推荐度：
相关推荐

木马

2010年第04期，第43卷通信技术 Vol.43，No.04,2010 总第220期 Communications Technology No.220,Totally

木马隐藏技术的研究与分析

刘澜

①②

，高悦翔①

（① 四川师范大学计算机科学学院，四川成都 610068；② 四川大学计算机学院，四川成都 610065）

【摘要】以WINDOWS系统环境为基础，分析了常见的木马隐藏技术及其特点，并给出了部分技术的实现原理。首先分析了单一木马程序的常见隐藏技术，然后根据Harold Thimbleby提出的木马模型和木马协同隐藏思想，提出了一种基于动态星型结构的木马协同隐藏模型，该模型展现了基于多木马结构的协同隐藏思想，通过采用代理方式通信，提高了各木马程序的隐蔽性和生存周期,增加了追查木马程序控制端地址的难度。

【关键词】特洛伊木马；木马隐藏；协同隐藏模型

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1002-0802(2010)04-0078-03

Study and Analysis of Concealing Technology for Trojan Horses

LIU Lan

①②

， GAO Yue-xiang①

(① Department of Computer Science, Sichuan Normal University, Chengdu Sichuan 610068, China；

② Department of Computer, Sichuan University, Chengdu Sichuan 610065, China)

【Abstract】Based the environment of Windows system, this paper analyzes the characteristics and principles of the concealing technology for Trojan Horse and gives the realization principle of some technologies. First, the common concealing technology for single Trojan Horse is discussed, and then, according to the model of Trojan Horse proposed by Harold Thimbleby, a new cooperative concealment model between Trojan Horses based on the cooperative concealment among multiple Trojan horses is presented. This new model increases the difficulty in finding the control side, and improves the concealment of Trojan Horses by using agent method.

【Key words】Trojan Horse; Trojan Horse concealing; cooperative concealment model

0 引言

随着互联网络的快速发展，网络安全问题日益突出。计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。其中特洛伊木马的破坏最大，它能在高隐蔽性的状态下窃取网民的隐私信息。

通常被感染木马的计算机用户并不知道自己的计算机已被感染。这是由于木马程序具有很高的隐蔽性，它能在看似无任何异常的情况下，秘密操控远程主机，进行破坏活动。本文主要针对木马的隐藏技术展开研究，揭示了木马各种隐藏技术的实现原理和技术手段。

般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。

程序捆绑方式是将多个exe程序链接在一起组合成一个exe文件，当运行该exe文件时，多个程序同时运行。程序捆绑有多种方式，如将多个exe文件以资源形式组合到一个exe文件中或者利用专用的安装打包工具将多个exe文件进行组合，这也是许多程序捆绑流氓软件的做法。

因此，木马程序可以利用程序捆绑的方式，将自己和正常的exe文件进行捆绑。当双击运行捆绑后的程序时，正常的exe文件运行了，而木马程序也在后台悄悄地运行。

程序隐藏只能达到从表面上无法识别木马程序的目的，但是可以通过任务管理器中发现木马程序的踪迹，这就需要木马程序实现进程隐藏。

1 程序隐蔽

木马程序隐藏通常指利用各种手段伪装木马程序，让一

收稿日期：2009-02-28。

基金项目：四川省大学生创新性实验计划项目。作者简介：刘澜（1986-），男，硕士研究生，主要研究方向为计算机

网络安全；高悦翔（1975-），男，硕士，讲师，主要研究方

向为信息安全。

2 进程隐蔽

隐藏木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程，从而提高木马程序的隐蔽性。目前，

木马

隐藏木马进程主要有如下两种方式： 2.1 API拦截

API拦截技术属于进程伪隐藏方式。它通过利用Hook技术监控并截获系统中某些程序对进程显示的API函数调用，然后修改函数返回的进程信息，将自己从结果中删除，导致任务管理器等工具无法显示该木马进程。具体实现过程是，木马程序建立一个后台的系统钩子（Hook），拦截PSAPI的EnumProcessModules 等相关函数的调用，当检测到结果为该木马程序的进程ID（PID）的时候直接跳过，这样进程信息中就不会包含该木马程序的进程，从而达到了隐藏木马进程的目的。 2.2 远程线程注入

远程线程注入属于进程真隐藏方式。它主要是利用CreateRemoteThread函数在某一个目标进程中创建远程线程，共享目标进程的地址空间，并获得目标进程的相关权限，从而修改目标进程内部数据和启动DLL木马。通过这种方式启动的DLL木马占用的是目标进程的地址空间，而且自身是作为目标进程的一个线程，所以它不会出现在进程列表中。DLL木马的实现过程是：

① 通过OpenProcess函数打开目标进程；

② 计算DLL路径名需要的地址空间并且根据计算结果调用VirtualAllocEx函数在目标进程中申请一块大小合适的内存空间；

③ 调用WriteProcessMemory函数将DLL的路径名写入申请到的内存空间中；

④ 利用函数GetProcAddress计算LoadLibraryW的入口地址，并将LoadLibraryW的入口地址作为远程线程的入口地址；

⑤ 通过函数CreateRemoteThread在目标进程中创建远程线程。

通过以上步骤就可以实现远程线程注入启动DLL木马，达到隐藏木马进程的目的。而且，远程线程注入方式与其他进程隐藏技术相比，具有更强的隐蔽性和反查杀能力，增加了木马的生存能力。

交判断模块，该模块控制主机对数据报的转交选择。当主机收到目的端口与木马所复用的端口一致的数据包时，调用数据包转交判断模块进行判断，若为木马程序的数据包，将其转发给木马程序，否则，将其转交给开启该端口的网络程序，如图1所示，图1中模块S=数据包转交判断模块。

图1 端口复用的数据包转交过程

利用端口复用技术可以增强木马的通信隐藏，但是对于某些设置得过严的防火墙和入侵检测系统，这种技术也会失去作用。因此，除了通信端口的隐藏之外，还应该考虑数据包传输协议的隐藏。本文通过分析相关网络协议，编写出了一款利用ICMP协议缺陷传输数据的木马程序，这里给出该技术的关键实现思想。 3.2利用ICMP和HTTP协议

通常网络防火墙和入侵检测系统等安全设备只检查ICMP报文的首部，对数据部分不做处理。因此，可以将木马程序的通信数据隐藏在ICMP报文格式的选项数据字段进行传送，如把服务端程序向客户端程序传输的数据伪装成回显请求报文，而把客户端程序向服务端程序传输的数据伪装成回显应答报文[1]。这样，就可以通过PING\PING- RESPONSE的方式在木马服务端程序和客户端程序之间建立起一个高效的秘密会话信道。利用ICMP协议传输数据还有一个很大的优点，即ICMP属于IP层协议，它在传输数据时并不使用任何端口，从而具有更好的隐蔽性。

利用HTTP协议进行木马程序之间的数据传输同样具有很高的隐蔽性。攻击者可以将木马客户端程序使用的端口绑定到HTTP服务的端口（80）上。那么，当木马服务端程序向客户端程序建立连接时，目的端口就变成了80端口，从而将该连接伪装成HTTP服务连接以逃过防火墙的检查。

实验测试表明，利用ICMP协议缺陷传输数据的木马程序能够很好地逃避网络防火墙和入侵检测系统的检查，实现和控制端之间的通信。但是，采用该技术的木马程序传输数据的效率和稳定性还有待提高。

以上分析的各种木马隐藏技术都只是建立在木马程序实现自身隐藏的基础上。然而，目前网络安全状况表明，随着反木马技术的不断提高，木马程序仅靠自身或者某单一技术已无法实现高隐蔽性。因此，实现木马的协同隐藏技术就显得尤为重要。

3 通信隐藏

进程隐藏可以进一步加强其隐蔽性。但是仍然可以从通信连接的状况中发现木马程序的踪迹。因此，很有必要实现木马程序的通信隐藏。本文给出了以下两种通信隐藏技术的实现思想。 3.1端口复用技术

木马服务器端程序在运行时会主动打开某一端口和客户端程序进行连接，从而降低了木马程序的隐蔽性。木马端口复用技术能避免这种缺点，它让木马服务端程序共享其他网络程序已打开的端口和客户端进行连接，从而防止重新开启端口降低隐蔽性。

该技术的关键之处在于，木马程序应增设一个数据包转

4 协同隐藏

木马协同隐藏思想通常是综合利用各种木马隐藏技术，通过木马子程序或者木马程序之间相互协作，实现更高的隐蔽性。木马协同隐藏技术摆脱了传统隐藏技术仅靠单一木

木马

马、单一技术的方式，它能够从宏观整体出发，设计更加强大的木马协作隐藏模型。

Harold Thimbleby等人提出了木马程序的模型框架；张新宇等人[3]对木马协同隐藏思想进行了形式化描述，并通过验证知，当系统引入主木马和各个子木马时，协同隐藏模型可以使系统发生变化，显现出不一致的特点，因此证明了引入相关多个子木马程序协助主木马程序实现协同隐藏的可行性；梅登华等人[4]将Multi-Agent技术与木马技术结合，提出了基于Multi-Agent的木马技术；康治平等人[5]在木马协同隐藏模型的基础上提出了基于多线程和多对多的结构。

本文根据Harold Thimbleby等人对木马协同隐藏的形式化描述，提出了一种基于动态星型结构的木马协同隐藏模型。该结构主要思想如下，在某个区域内各个木马之间选取某一木马为主木马，并将该主木马作为代理，各个子木马通过它和控制端完成通信。主木马负责协调并控制子木马实现协同隐藏，同时各个子木马需实现相关隐藏功能，共同构建协同隐藏模型。为了保持该模型结构以及实现动态变化的特点，主木马角色应在一段时间后由不同的子木马随机担任，如图2。

[2]

马数量，防止由于子木马数量过多，通信量过大，影响系统性能。

为了进一步提高木马协同隐藏的能力，还可以将其他隐藏技术融合到该隐藏模型中，如各木马之间利用ICMP协议通信，实现端口复用技术等。

木马程序采用动态星型结构通信比采用普通方式通信具有更高的隐蔽性和生存周期。分析如下：

① 由于采用代理方式通信及动态变换主木马角色，使得通信源地址实时变化，增加了追查控制端IP地址的难度；

② 主木马实时检测子木马状态，并传播木马程序，只要该模型结构中存在一个木马，就能够构建出完整的协同隐藏模型，从而增加了木马程序的生存时间；

③ 模型结构中的木马程序融合了各种隐藏技术实现协同隐藏，增强了整体隐藏能力；

④ 具有较高的程序扩展性，可以通过主木马实时更新各子木马功能模块；

⑤ 主木马之间可以继续构建该动态星型结构隐藏模型，实现多级化木马隐藏模型。

该模型加强了木马协同隐藏的能力，增加了木马程序的生存时间，但也产生了一些相关问题，如增加了木马通信结构的复杂度，降低了通信过程的稳定性，增加了网内控制信息，易造成网络阻塞、瘫痪等。总之，木马隐藏技术正朝着复合、协同的方向发展，各种问题也会随着技术的进步逐步得以解决。

5 结语

木马隐藏技术研究是木马程序研究的热点问题之一。本文针对木马隐藏技术进行了较全面的分析，给出了木马程序隐藏、进程隐藏、通信隐藏以及协同隐藏等技术原理。通过从单一木马程序隐藏技术到多木马程序隐藏技术的研究，展现了木马程序隐藏的关键性思路转变。通过对木马隐藏技术的分析研究, 可以加深对木马隐藏技术的认识, 提高木马攻击的防范意识，从而进一步把握木马隐藏技术的发展方向，以至于开发出更多针对木马隐藏技术的反木马工具。

参考文献

[1] 张仁斌,李钢,侯整风.计算机病毒与反病毒技术[M].北京:清华大学

出版社,2006:300-316.

[2] Thimbleby H, Anderson S, Cairns P.A Framework for Modelling

Trojans and Computer Virus Infection[J].The Computer Journal, 1998,41(07):444-458.

[3] 张新宇,卿斯汉,马恒太,等.特洛伊木马隐藏技术研究[J].北京:通

信学报,2004,25(07):153-159.

[4] 梅登华,林耀通.基于Multi-Agent的木马模型设计[J].北京:电子

技术应用,2008,34(05):138-140.

[5] 康治平,向宏.特洛伊木马隐藏技术研究及实践[J].北京:计算机工

程与应用,2006,42(09):103-105.

图2 星型结构隐藏模型