國內外木馬研究現狀

1、國外研究背景： 國外研究背景：快速發(fā)展的計算機網絡的普及,人類社會已經進入信息時代,信息已成為一種寶貴的人力資源。網絡戰(zhàn)爭戰(zhàn)場將成為未來信息作戰(zhàn)風格。木馬技術是一種兩用網絡攻擊技術,使用木馬技術滲透到敵人在系統(tǒng)內,建立一個穩(wěn)定的內部點的攻擊,并且提供了一個屏障。1.有關國外的隱藏技術 有關國外的隱藏技術（1）木馬的 P2P 網絡模型木馬設計的一個主要困難是隱藏的木馬一定會各種各樣的技術來隱藏行蹤的目標系統(tǒng)植入后,為了避免被發(fā)現,盡可能延

2、長生存。木馬隱藏技術主要分為兩類:主機隱藏和隱藏通信。設計一個新的木馬主機隱藏 DLL 陷阱技術在 Windows SPI 接口,木馬沒有隱藏的過程。通信隱藏使用 P2P 技術控制網絡模型取代了傳統(tǒng)的木馬,木馬通信協議開發(fā) P2P 環(huán)境中,提高隱藏的木馬控制系統(tǒng)通信的性質,并確保系統(tǒng)的可靠性。（2）BootkitBootkit 是繼承自 Rootkit 內核權限獲取和自我痕跡擦除技術的 Rootkit 高級發(fā)展模式。大規(guī)?；ヂ摶ネā爸?/p>

3、每個人都連接到互聯網”,惡意代碼乘坐便攜式存儲介質,如光盤或軟盤的惡意軟件,通常病毒隱藏在引導扇區(qū)的磁盤,充當一個數字寄生蟲,感染主機 PC 在引導過程的介紹。感染會腐敗的機器通過改變硬盤的主引導記錄,任何引導磁盤引導扇區(qū)代碼,或磁盤分區(qū)表(DPT)。bootkit 是啟動病毒能夠鉤和補丁 Windows 加載到 Windows 內核,從而得到無限制的訪問整個電腦，甚至可以繞過滿卷加密,因為主引導記錄不加密。主引導記錄包含密碼解密的軟件

4、要求和解密開車。國內研究現狀： 國內研究現狀：計算機病毒、特洛伊木馬以及網絡蠕蟲等惡意程序對網絡安全構成了巨大的威脅。其中特洛伊木馬的破壞最大，它能在高隱蔽性的狀態(tài)下竊取網民的隱私信息。通常被感染木馬的計算機用戶并不知道自己的計算機已被感染。這是由于木馬程序具有很高的隱蔽性，它能在看似無任何異常的情況下，秘密操控遠程主機，進行破壞活動。1.木馬隱藏相關技術 木馬隱藏相關技術函數在目標進程中申請一塊大小合適的內存空間；③ 調用 Write

5、ProcessMemory 函數將 DLL 的路徑名寫入申請到的內存空間中；④ 利用函數 GetProcAddress 計算 LoadLibraryW 的入口 地址，并將 LoadLibraryW 的入口地址作為遠程線程的入口地址；⑤ 通過函數 CreateRemoteThread 在目標進程中創(chuàng)建遠程線程。通過以上步驟就可以實現遠程線程注入啟動 DLL 木馬，達到隱藏木馬進程的目的。而且，遠程線程注入方式與 其他進程隱藏技術相比，具有

6、更強的隱蔽性和反查殺能力， 增加了木馬的生存能力。（3） 通信隱藏 通信隱藏進程隱藏可以進一步加強其隱蔽性。但是仍然可以從通信連接的狀況中發(fā)現木馬程序的蹤跡。因此，很有必要實現木馬程序的通信隱藏。以下是兩種通信隱藏技術的實現思想。（3.1）端口復用技術木馬服務器端程序在運行時會主動打開某一端口和客戶端程序進行連接，從而降低了木馬程序的隱蔽性。木馬端口復用技術能避免這種缺點，它讓木馬服務端程序共享其他網絡程序已打開的端口和客戶端進行連接，

7、從而防止重新開啟端口降低隱蔽性。該技術的關鍵之處在于，木馬程序應增設一個數據包轉交判斷模塊，該模塊控制主機對數據報的轉交選擇。當主機收到目的端口與木馬所復用的端口一致的數據包時，調用數據包轉交判斷模塊進行判斷，若為木馬程序的數據包，將其轉發(fā)給木馬程序。否則，將其轉交給開啟該端口的網絡程序。利用端口復用技術可以增強木馬的通信隱藏，但是對于某些設置得過嚴的防火墻和入侵檢測系統(tǒng)，這種技術也會失 去作用。因此，除了通信端口的隱藏之外，還應該考慮