國(guó)內(nèi)外木馬研究現(xiàn)狀

1、國(guó)外研究背景： 國(guó)外研究背景：快速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)的普及,人類(lèi)社會(huì)已經(jīng)進(jìn)入信息時(shí)代,信息已成為一種寶貴的人力資源。網(wǎng)絡(luò)戰(zhàn)爭(zhēng)戰(zhàn)場(chǎng)將成為未來(lái)信息作戰(zhàn)風(fēng)格。木馬技術(shù)是一種兩用網(wǎng)絡(luò)攻擊技術(shù),使用木馬技術(shù)滲透到敵人在系統(tǒng)內(nèi),建立一個(gè)穩(wěn)定的內(nèi)部點(diǎn)的攻擊,并且提供了一個(gè)屏障。1.有關(guān)國(guó)外的隱藏技術(shù) 有關(guān)國(guó)外的隱藏技術(shù)（1）木馬的 P2P 網(wǎng)絡(luò)模型木馬設(shè)計(jì)的一個(gè)主要困難是隱藏的木馬一定會(huì)各種各樣的技術(shù)來(lái)隱藏行蹤的目標(biāo)系統(tǒng)植入后,為了避免被發(fā)現(xiàn),盡可能延

2、長(zhǎng)生存。木馬隱藏技術(shù)主要分為兩類(lèi):主機(jī)隱藏和隱藏通信。設(shè)計(jì)一個(gè)新的木馬主機(jī)隱藏 DLL 陷阱技術(shù)在 Windows SPI 接口,木馬沒(méi)有隱藏的過(guò)程。通信隱藏使用 P2P 技術(shù)控制網(wǎng)絡(luò)模型取代了傳統(tǒng)的木馬,木馬通信協(xié)議開(kāi)發(fā) P2P 環(huán)境中,提高隱藏的木馬控制系統(tǒng)通信的性質(zhì),并確保系統(tǒng)的可靠性。（2）BootkitBootkit 是繼承自 Rootkit 內(nèi)核權(quán)限獲取和自我痕跡擦除技術(shù)的 Rootkit 高級(jí)發(fā)展模式。大規(guī)?；ヂ?lián)互通“之前

3、每個(gè)人都連接到互聯(lián)網(wǎng)”,惡意代碼乘坐便攜式存儲(chǔ)介質(zhì),如光盤(pán)或軟盤(pán)的惡意軟件,通常病毒隱藏在引導(dǎo)扇區(qū)的磁盤(pán),充當(dāng)一個(gè)數(shù)字寄生蟲(chóng),感染主機(jī) PC 在引導(dǎo)過(guò)程的介紹。感染會(huì)腐敗的機(jī)器通過(guò)改變硬盤(pán)的主引導(dǎo)記錄,任何引導(dǎo)磁盤(pán)引導(dǎo)扇區(qū)代碼,或磁盤(pán)分區(qū)表(DPT)。bootkit 是啟動(dòng)病毒能夠鉤和補(bǔ)丁 Windows 加載到 Windows 內(nèi)核,從而得到無(wú)限制的訪問(wèn)整個(gè)電腦，甚至可以繞過(guò)滿卷加密,因?yàn)橹饕龑?dǎo)記錄不加密。主引導(dǎo)記錄包含密碼解密的軟件

4、要求和解密開(kāi)車(chē)。國(guó)內(nèi)研究現(xiàn)狀： 國(guó)內(nèi)研究現(xiàn)狀：計(jì)算機(jī)病毒、特洛伊木馬以及網(wǎng)絡(luò)蠕蟲(chóng)等惡意程序?qū)W(wǎng)絡(luò)安全構(gòu)成了巨大的威脅。其中特洛伊木馬的破壞最大，它能在高隱蔽性的狀態(tài)下竊取網(wǎng)民的隱私信息。通常被感染木馬的計(jì)算機(jī)用戶(hù)并不知道自己的計(jì)算機(jī)已被感染。這是由于木馬程序具有很高的隱蔽性，它能在看似無(wú)任何異常的情況下，秘密操控遠(yuǎn)程主機(jī)，進(jìn)行破壞活動(dòng)。1.木馬隱藏相關(guān)技術(shù) 木馬隱藏相關(guān)技術(shù)函數(shù)在目標(biāo)進(jìn)程中申請(qǐng)一塊大小合適的內(nèi)存空間；③ 調(diào)用 Write

5、ProcessMemory 函數(shù)將 DLL 的路徑名寫(xiě)入申請(qǐng)到的內(nèi)存空間中；④ 利用函數(shù) GetProcAddress 計(jì)算 LoadLibraryW 的入口 地址，并將 LoadLibraryW 的入口地址作為遠(yuǎn)程線程的入口地址；⑤ 通過(guò)函數(shù) CreateRemoteThread 在目標(biāo)進(jìn)程中創(chuàng)建遠(yuǎn)程線程。通過(guò)以上步驟就可以實(shí)現(xiàn)遠(yuǎn)程線程注入啟動(dòng) DLL 木馬，達(dá)到隱藏木馬進(jìn)程的目的。而且，遠(yuǎn)程線程注入方式與 其他進(jìn)程隱藏技術(shù)相比，具有

6、更強(qiáng)的隱蔽性和反查殺能力， 增加了木馬的生存能力。（3） 通信隱藏 通信隱藏進(jìn)程隱藏可以進(jìn)一步加強(qiáng)其隱蔽性。但是仍然可以從通信連接的狀況中發(fā)現(xiàn)木馬程序的蹤跡。因此，很有必要實(shí)現(xiàn)木馬程序的通信隱藏。以下是兩種通信隱藏技術(shù)的實(shí)現(xiàn)思想。（3.1）端口復(fù)用技術(shù)木馬服務(wù)器端程序在運(yùn)行時(shí)會(huì)主動(dòng)打開(kāi)某一端口和客戶(hù)端程序進(jìn)行連接，從而降低了木馬程序的隱蔽性。木馬端口復(fù)用技術(shù)能避免這種缺點(diǎn)，它讓木馬服務(wù)端程序共享其他網(wǎng)絡(luò)程序已打開(kāi)的端口和客戶(hù)端進(jìn)行連接，

7、從而防止重新開(kāi)啟端口降低隱蔽性。該技術(shù)的關(guān)鍵之處在于，木馬程序應(yīng)增設(shè)一個(gè)數(shù)據(jù)包轉(zhuǎn)交判斷模塊，該模塊控制主機(jī)對(duì)數(shù)據(jù)報(bào)的轉(zhuǎn)交選擇。當(dāng)主機(jī)收到目的端口與木馬所復(fù)用的端口一致的數(shù)據(jù)包時(shí)，調(diào)用數(shù)據(jù)包轉(zhuǎn)交判斷模塊進(jìn)行判斷，若為木馬程序的數(shù)據(jù)包，將其轉(zhuǎn)發(fā)給木馬程序。否則，將其轉(zhuǎn)交給開(kāi)啟該端口的網(wǎng)絡(luò)程序。利用端口復(fù)用技術(shù)可以增強(qiáng)木馬的通信隱藏，但是對(duì)于某些設(shè)置得過(guò)嚴(yán)的防火墻和入侵檢測(cè)系統(tǒng)，這種技術(shù)也會(huì)失 去作用。因此，除了通信端口的隱藏之外，還應(yīng)該考慮