基于差异分析的木马快速检查.pdfVIP

第十八届全国信息保密学术会议(IS2008)论文集 基于差异分析的木马快速检查 邓禄勇 重庆市国家保密局保密技术检查中心 重庆大学计算机学院 摘要：本文从保密检查需求分析出发，分析了木马的特征、分类、自启动 方式和隐藏技术，提出了基于差异分析的木马快速检测方法、模型及实现，该方 法提高现场检查效率，对检查后的风险评估有重要的参考价值。 BHOSPIDLL 关键词i隐藏自启动差异分析IFEO 1 引言 在保密检查工作中，能否快速检查发现计算机是否感染木马等恶意代码，是 否被入侵控制导致涉密信息被窃取，具有举足轻重的现实意义。常规的防病毒软 件大多依据特征码扫描检测技术，该方法针对已知木马等恶意程序具有很高的准 确率，误报率低。但是这种方法一般检测时间长，不适应快速开展计算机信息系 统保密检查工作的需要，对于系统中安装Rootkit后不能发现¨]。也不能用于检测 未知木马等恶意程序。目前，还没有一种成熟的检测工具能够快速、全面、准确 地检查出计算机内感染木马等恶意程序。因此，检查计算机信息系统内是否感染 木马等恶意程序已经成为保密检查工作中的一个重要课题。 2木马的特征和分类 2．1木马的特征 一般来讲，具备控制功能的木马是典型的C／S结构，主要包括屏幕截取、键 盘操作、鼠标操作、进程管理、系统管理、文件操作等远程控制功能。通常具有 以下特征心]：一是隐蔽性，隐蔽性是木马的首要特征，木马为了保护自身通常具 ·436· 基于差异分析的木马快速检查 有很强的隐蔽性，有的木马自身自动备份到多个文件夹，随机变更文件名，有的 木马的文件名或进程名通常与某些系统文件名相似，或者与某些系统文件名相同， 但是存放文件路径却不同，经过伪装的木马，对用户具有很强的欺骗性和隐蔽性。 常见的隐藏方法如进程隐藏、端口隐藏、文件隐藏、注册表隐藏[33等；二是自启 动性，木马的自启动性分两种类型，一种是随系统自动启动的，另一种是附加捆 绑在其他应用程序上，或者干脆替代其他应用程序；三是自保护性，现在的很多 木马程序中功能模块已不再是由单一的文件组成，而是多重备份，有的木马程序 可以互相自动恢复，形成守护进程，从而达到自我保护的目的。 2．2木马的分类 木马种类很多，下面介绍常见的木马类型【4]。 2．2．1远程控制型木马 远程控制功能是大多数木马的主要功能，如著名的“广外女生”和“冰河” 等。利用该类木马可以实现屏幕截取、键盘操作、鼠标操作、进程管理、系统管 理、文件操作等远程控制功能，直接操纵远程计算机，可以做任何想做的事。 2．2．2窃取密码型木马 该类木马可以窃取需要的密码，如计算机信息系统的口令是获得计算机身份 认证基本方式，利用该类型木马收集计算机缓存的账户和口令信息，然后将它们 发送到指定的邮箱或远程服务器上，窃取者通过获得的账户和口令可以全面人侵 控制该计算机。大多数木马是针对特定应用窃取密码的，如“QQ盗号木马”、 “MSN盗号木马”和“西游木马”等。 2．2．3键盘记录型木马 该类木马运行时记录被感染计算机键盘的敲击，然后保存在日志中。待合适 的时机发送到指定的远程计算机或邮箱里，窃取者通过键盘记录的日志来分析获 取信息。如“AUTO键盘记录员”等。 2．2．4窃取文件型木马 直接窃取文件型木马对涉密计算机危害非常大，该类木马通常是直接针对计 算机中某类特定信息进行收集整理、打包发送到远程计算机上，为窃密者获取特 定信息提供了方便的通道。 2．2．5下载器木马 感染该木马的计算机会根据攻击者定制的下载列表通过网络从远程计算机上 ·437· 第十八届全国信息保密学术会议(IS2008)论文集 下载多种多样功能强大的木马，然后再利用下载器所下载的木马进行攻击，实现 了人侵攻击流程化。如“梅勒斯木马下载器”和“反病毒杀手下载器”等。 2．2．6破坏型木马 这种木马主