木马的进程隐藏技术

木马

2010年第04期，第43卷 通 信 技 术 Vol.43，No.04,2010 总第220期 Communications Technology No.220,Totally

木马隐藏技术的研究与分析

刘 澜

①②

， 高悦翔①

（① 四川师范大学 计算机科学学院，四川 成都 610068；② 四川大学 计算机学院，四川 成都 610065）

【摘 要】以WINDOWS系统环境为基础，分析了常见的木马隐藏技术及其特点，并给出了部分技术的实现原理。首先分析了单一木马程序的常见隐藏技术，然后根据Harold Thimbleby提出的木马模型和木马协同隐藏思想，提出了一种基于动态星型结构的木马协同隐藏模型，该模型展现了基于多木马结构的协同隐藏思想，通过采用代理方式通信，提高了各木马程序的隐蔽性和生存周期,增加了追查木马程序控制端地址的难度。

【关键词】特洛伊木马；木马隐藏；协同隐藏模型

【中图分类号】TP393.08

有关木马植入和隐藏技术的分析

学术研究

Ａｃａｄｅｍ；￥ｃ

Ｒｅｓｅａｔ，Ｏｈ、黼嚣

木马的植入与隐藏技术分析

蔺聪１，黑霞丽ｚ

（１广东商学院教育技术中心，广东广州５１

０３２０；

２广东商学院信息学院，广东广州５１０３２０）

ｌ摘要ｌ论文首先介绍了木马的定义，概括了木马的特征——隐蔽性、欺骗性，自启动性和自动恢复性，并简单介

绍了木马的结构和功能。随后，从缓冲区溢出、网站挂马，电子邮件、ＱＱ传播等方面介绍了木马的植入技术，重点从通信隐藏、进程隐藏，文件隐藏三个方面介绍了木马的隐藏技术，最后展望了木马技术的发展趋势。【关键词】木马；缓冲区溢出；木马植入；木马隐藏【中图分类号ｌ

ＴＰ３９３．０８

‘文献标识码ｌ

Ａ

【文章编号ｌ

ｌ

００９—８０５４（２００８）０７－００５３－０３

Ａｎａｌｙｓｉｓ

ｏｎ

ＥｍｂｅｄｄｉｎｇａｎｄＨｉｄｉｎｇＴｅｃｈｎｏｌｏｇｉｅｓｏｆ

Ｔｒｏｊａｎ

Ｈｏｒｓｅ

ＬＩＮＣｏｎｇ’，ＨＥＩＸｉａ－ｌｉ２

（＇ＣｅｎｔｅｒｏｆＥｄｕｃａｔｉｏｎａｌＴｅｃｈｎｏｌｏｇｙ，ＧｕａｎｇｄｏｎｇＣｏｌｌｅｇｅｏｆＢｕｓｉｎｅｓｓ，ＧｕａｎｇｚｈｏｕＧｕａｎｇｄｏｎｇ５１０３２０，Ｃｈｉｎａ；

２Ｉｎｆｏｒｍａｔｉｏｎ

ＴｅｃｈｎｏｌｏｇｙＣｏｌｌｅｇｅ，Ｇｕａｎｇｄｏｎ

超级揭露---木马的所有隐藏启动方式

超级揭露---木马的所有隐藏启动方式

木马的最大的特点之一就是它一定是要和系统一起启动而启动，否则它就完全失去了意义！！！(图片看不清楚的可以直接点击浏览)

方法一：注册表启动项:这个大家可能比较熟悉，请大家注意以下的注册表键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

如图1：(这里只要有“run”敏感字眼的都要仔细)

此主题相关图片如下：

方法二：利用系统文件

可以利用的文件有Win.ini ;

进程隐藏与进程保护（SSDT Hook 实现）（二）

文章目录：

1. 引子 – Demo 实现效果： 2. 进程隐藏与进程保护概念： 3. SSDT Hook 框架搭建： 4. Ring0 实现进程隐藏： 5. Ring0 实现进程保护：

6. 隐藏进程列表和保护进程列表的维护： 7. 小结：

1. 引子 – Demo 实现效果：

上一篇《进程隐藏与进程保护(SSDT Hook 实现)(一)》呢把 SSDT 说得差不多了， 博文地址：

http://www.cnblogs.com/BoyXiao/archive/2011/09/03/2164574.html

不过呢，那也只是些理论的东西，看不到什么实物，估计说来说去把人说晕了后，也没什么感觉， 而这一篇博文的话，给出点新意的，让人头脑清醒点的 ~ 所以先给个 Demo（示范） 出来吧 ~

(不好意思，本着不喝倒怎出得了好文章这个理由，所以今天又喝多了点，文章有疏忽之处还请见谅 ~顺便在这里跟朋友们分享一下哈，晚上于这个时间点，比如 2 点的时候啊，喝点小酒， 听点曲子，你会精神振奋，头脑更加清醒，思路也会很清晰，尤其是写起程序来那是唰唰的来の ~ )我擦，我试试~

无进程无端口DLL木马的设计与实现

摘 要

随着网络技术的发展，越来越多的人开始接触到互联网。在人们感叹互联网功能强大的同时，面对了越来越多的网络信息安全的问题。网络木马程序对于网络信息安全是一个极大的挑战，它不同于计算机病毒，它能够盗取他人主机上的信息，或者拦截、监听、篡改他人发布到互联网上的信息。

DLL木马正是在研究木马程序的工作原理和工作方式的前提下，利用线程插入技术设计并开发出一种动态连接的木马，并且实现无进程和无端口的特点。木马设计主要侧重于将进程隐藏、端口隐藏和破坏word文档这三个功能实现并且有机的结合起来，对木马的远程注入有待进一步研究。

论文介绍了木马程序的工作原理和实现的功能，描述了主要的API函数，并且总结了一些查杀DLL木马的方法。

关键词：木马；线程插入；动态链接库；无进程

The Design and Implement of No-process and No-port DLL

Trojan Horse

Abstract

With the development of the network technology, more and more people begin to use Internet. A

木马技术与防治分析

肖四华　　　侯旭平　　　林意佳

中国人民解放军９２７６２部队　　　福建　　　３６１００９

摘要：本文以木马为主题，对木马的植入方式、加载技术、隐藏技术等方面进行了综合研究，根据对木马技术的分析，给出了木马预防的方法，以及木马的检测及清除方法。

关键词：木马技术；植入方式；预防；检测与清除

０　　引言

木马，又称为特洛伊木马，是一类特殊的后门程序，是一种基于远程控制的黑客工具，通过非法手段把服务器程序种植在用户的机器上。一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机上修改文件、修改注册表、控制鼠标、监视／控制键盘等操作，以达到各种目的，如窃取用户的私人信息，商业机密等，造成无法估量的损失。本文将从木马的常用技术、木马的预防和木马的检测及清除三个方面来分析。

木马的植入是一个非自我复制的恶意代码，可以作为电子邮件附件传播，或者可能隐藏在用户与用户进行交流的文档和其他文件中，主要是指木马利用各种途径进入目标机器的具体实现方法，大致分为以下四种：

（１）通过电子邮件：通过Ｅ－ｍａｉｌ，将木马程序以附件的形式通过电子邮件发送到用户端（收信人），收信人只要打开附件就会

郑州大学

硕士学位论文

信息隐藏技术的研究和应用

姓名：黄园园

申请学位级别：硕士

专业：计算数学

指导教师：柳朝阳

201203

摘要

摘要

网络计算机技术和多媒体技术的蓬勃发展为更广泛的传播信息提供了更多的便利条件，在方便我们发展使用的同时也对信息及其传递的安全性提出了巨大的挑战。而信息隐藏技术本身是网络信息安全的一项重要技术，它俨然已经成为国内外众多学者研究关注的热点。我们所讲的信息隐藏就是把秘密信息隐藏在公开的信息载体之中，并通过公开载体的传播从而来隐秘传递所隐藏的信息。本文首先介绍了信息隐藏技术的发展历史以及当今信息技术是如何发展的，又对信息隐藏技术研究的目的及意义进行了深刻的阐述，使读者了解了信息隐藏是怎样发生发展的。又详细介绍了信息隐藏技术的各方面情况，包括其原理、模型、分类、特性、对信息隐藏技术的评价、信息隐藏技术的应用，在最后又对信息隐藏技术的两种算法做了详细介绍，使得对信息隐藏技术本身有了更进一步的了解。本文还介绍了信息隐藏中的一些攻击检测方法，对其中一些检测技术进行了详细阐述，包括信息隐藏技术中常用的两种攻击算法ＲＳ攻击算法以及卡方攻击算法。后对其中空域算法中的ＬＳＢ算法进行了详细分析，对其在ｍａｔｌａｂ平台上进行了仿真实验，其中包括对文字

1木马程序更名:为增强木马程序的欺骗性，木马的设计者通常会给木马取一个极具迷惑性的名称(一般与系统文件名相似，如svchOsto Exe等)或者允许控制端用户自由设定安装后的木马文件名。这就使得用户很难判断所感染的木马类型。

2扩展名欺骗:这是黑客惯用的一-种手法，其主要是将木马伪装成图片、文本、Word文档等文件，以掩饰自己真实的文件类型，例如将木马程序的名称为“文件名.exe"的文件改为“文件名txtexe”。此时，用户只需把该文件的扩展名显示出来，就可以轻松识别出此文件的类型。

3修改程序图标:木马服务端所用的图标有一定的规律可循,木马经常故意伪装成常用图标的形式(例如文本文件的图标)，等待用户因为疏忽而将其认为是应用程序图标而双击启动。

4捆绑文件:这种方式是将木马捆绑到- -个安装程序中，当用户双击启动程序时，木马就会随之启动，并运行于计算机系统中。被捆绑的文件一般是可执行文件，例如后缀名为“.Exe”,“.COM”之类的文件。

5定制端口:老式木马的端口都是固定的，这位用户判断电脑是否带有木马带来了方便o现在很多木马都加入了定制端口的功能，控制端用户可以在“1024-6535”之间任意选择一个端口作为木马端口，这样大大提高了用户判断电脑感

1木马程序更名:为增强木马程序的欺骗性，木马的设计者通常会给木马取一个极具迷惑性的名称(一般与系统文件名相似，如svchOsto Exe等)或者允许控制端用户自由设定安装后的木马文件名。这就使得用户很难判断所感染的木马类型。

2扩展名欺骗:这是黑客惯用的一-种手法，其主要是将木马伪装成图片、文本、Word文档等文件，以掩饰自己真实的文件类型，例如将木马程序的名称为“文件名.exe"的文件改为“文件名txtexe”。此时，用户只需把该文件的扩展名显示出来，就可以轻松识别出此文件的类型。

3修改程序图标:木马服务端所用的图标有一定的规律可循,木马经常故意伪装成常用图标的形式(例如文本文件的图标)，等待用户因为疏忽而将其认为是应用程序图标而双击启动。

4捆绑文件:这种方式是将木马捆绑到- -个安装程序中，当用户双击启动程序时，木马就会随之启动，并运行于计算机系统中。被捆绑的文件一般是可执行文件，例如后缀名为“.Exe”,“.COM”之类的文件。

5定制端口:老式木马的端口都是固定的，这位用户判断电脑是否带有木马带来了方便o现在很多木马都加入了定制端口的功能，控制端用户可以在“1024-6535”之间任意选择一个端口作为木马端口，这样大大提高了用户判断电脑感

LSB信息隐藏的RS分析

一，

实验目的：

了解RS隐写分析的原理，掌握一种图像LSB隐写算法的分析方法，设计并实现一种基于图像的LSB隐写的RS隐写分析算法。 二，

实验环境

（1）Windows 7操作系统； （2）MATLAB R2012b版本软件； （3）图像文件lena.bmp； （4）S-Tools工具； 三，

实验原理

1. RS隐写分析原理

RS主要是针对采用伪随机LSB嵌入算法进行攻击的一种方法。RS方法不但能检测出图像是否隐藏信息，而且还能比较准确地估算出隐藏的信息长度。

RS隐写分析算法考虑图像各个位平面之间具有一定的非线性相关性，当利用LSB隐写算法隐藏秘密信息后，这种相关性就会破坏。只要能找出衡量这一相关性的方法，并对隐藏秘密信息前后的情况加以对比，就有可能设计出隐写分析方法。

RS隐写分析方法的理论核心是：任何经过LSB隐写的图像，其最低比特位分布满足随机性，即0、1的取值概率均为1/2，而未经过隐写的图像不存在此特性。对于一个M?N像素的图片，设各个像素的值取自集合P，例如一个8bit的灰度图像，P?{0,1,2,?,255}。将这些像素分为有着n个相邻像素的子集，例如n可以取值为4，记为G?(x1,x2,x3,