木马技术的最新发展及其防御手段.docVIP

木马技术的最新发展及其防御手段 　　摘要：黑客攻击技术日新月异，现有的安全产品已不能完全抵抗各种网络安全威胁。该文先详细讲述了目前木马技术中各种突破软件防火墙的高级技术、软件防火墙的实现原理及技术；给出了能适应新型黑客攻击的，可以防御目前各种网络安全威胁的技术方法。最后介绍了各种软件防火墙的功能，防御rootkit、ARP欺骗、U盘感染、未知密码窃取程序等的方法。 　　关键词：防火墙绕过技术；过滤驱动；Hook；HIPS；入侵检测；零日攻击；信息战；Rootkit；XSS；网页木马；ARP欺骗；中间人攻击；木马 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)29-0347-03 　　The Developments and Defence Trojan-horse Technology 　　ZHANG Qiu-na 　　(Minxi Vacational and Technical College,the Computer Department, Longyan 364000, China) 　　Abstract: For the hacker attack technology advances day by day, these present security products has not been able to resist each kind of network security threats completely. This article firstly in detail narrated each current senior Trojan technology which breakthroughs in various software firewall, the technology and realization of software firewall. Then, narrated the technical method which adapt to the new type of hacker attacks, and defend various security threats from network.Finally, introduced function on firewall, the method used to defend rootkit, new backdoor Trojan, the buffer overflow attack contains0day attack,ARP deception,U-disk infects,unknown password steals procedure and so on. 　　Key words: firewall-bypassing; filtering-driver; Hook; HIPS; IDS; 0day-attack; information war; rootkit; XSS; web-trojan; ARP cheating; middle-man-attack;trojan-horse 　　 　　1 前言 　　 　　木马，这个词来源于《荷马史诗》的《伊里亚特》，在特洛伊战争中，希腊人利用一只体内藏有军队的巨大木马从内部攻陷了特洛伊城，自此，特洛伊木马即被用来形容隐藏在系统内的，有重大危害的漏洞。而在计算机安全领域，木马则指的是通过种种手段，植入目标主机系统内实现盗取主机信息，甚至远程控制目标主机的程序。随着计算机网络技术的发展，网络的攻防的不断升级，而作为网络攻击的主要手段的木马技术也早已不再仅仅包括木马程序功能本身，其广义的概念已经扩展到网络攻击的各个方面。鉴于目前各种主流木马程序实现的功能大同小异，木马程序的种植和木马程序的隐藏方面的技术手段以及相应的防御手段，将是本文主要讨论的范畴。 　　随着网络攻击技术的发展，目前已有的安全产品并不能完全抵抗各种网络安全威胁。国内杀毒软件和防火墙厂商没有随着黑客技术的进步而改进软件防火墙以及杀毒软件的架构，防火墙以及杀毒软件这些单一的安全产品很难应对各种新的安全威胁，比如Rootkit、密码盗窃程序、流氓软件、已知和未知的缓冲区溢出漏洞攻击、U盘感染、基于ARP欺骗的中间人攻击、网页木马、XSS攻击、钓鱼攻击等。 　　本文详细讲述了各种突破防火墙的高级技术、各种新式黑客攻击手段、软件防火墙的实现原理及技术，网络数据包拦截应用程序网络访问控制技术；然后从纵深防御的高度进行新式安全系统的设计，给出了能适应新型黑客攻击以及能应对目前各种网络安全威胁的新型软件防火墙设计方案。此系统能够防范目前已存在的各种攻