国内外木马研究现状.docxVIP

国外研究背景：快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。网络战争战场将成为未来信息作战风格。木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。1.有关国外的隐藏技术（1）木马的P2P网络模型木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。木马隐藏技术主要分为两类:主机隐藏和隐藏通信。设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。BootkitBootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑，甚至可以绕过满卷加密,因为主引导记录不加密。主引导记录包含密码解密的软件要求和解密开车。国内研究现状：计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。其中特洛伊木马的破坏最大，它能在高隐蔽性的状态下窃取网民的隐私信息。通常被感染木马的计算机用户并不知道自己的计算机已被感染。这是由于木马程序具有很高的隐蔽性，它能在看似无任何异常的情况下，秘密操控远程主机，进行破坏活动。1.木马隐藏相关技术（1）程序隐蔽木马程序隐藏通常指利用各种手段伪装木马程序，让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。程序捆绑方式是将多个 exe 程序链接在一起组合成一个 exe 文件，当运行该 exe 文件时，多个程序同时运行。程序捆绑有多种方式，如将多个 exe 文件以资源形式组合到一个 exe 文件中或者利用专用的安装打包工具将多个 exe 文件进行组合，这也是许多程序捆绑流氓软件的做法。 因此，木马程序可以利用程序捆绑的方式，将自己和正常的 exe 文件进行捆绑。当双击运行捆绑后的程序时，正常 的 exe 文件运行了，而木马程序也在后台悄悄地运行。程序隐藏只能达到从表面上无法识别木马程序的目的，但是可以通过任务管理器中发现木马程序的踪迹，这就需要木马程序实现进程隐藏。（2）进程隐蔽隐藏木马程序的进程显示能防止用户通过任务管理器 查看到木马程序的进程，从而提高木马程序的隐蔽性。目前，隐藏木马进程主要有如下两种方式：（2.1）API 拦截API 拦截技术属于进程伪隐藏方式。它通过利用 Hook 技术监控并截获系统中某些程序对进程显示的 API 函数调用，然后修改函数返回的进程信息，将自己从结果中删除， 导致任务管理器等工具无法显示该木马进程。具体实现过程 是，木马程序建立一个后台的系统钩子（Hook），拦截 PSAPI的 EnumProcessModules 等相关函数的调用，当检测到结果 为该木马程序的进程 ID（PID）的时候直接跳过，这样进程信息中就不会包含该木马程序的进程，从而达到了隐藏木马 进程的目的。（2.2）远程线程注入远程线程注入属于进程真隐藏方式。它主要是利用CreateRemoteThread 函数在某一个目标进程中创建远程线程，共享目标进程的地址空间，并获得目标进程的相关权限， 从而修改目标进程内部数据和启动 DLL 木马。通过这种方 式启动的 DLL 木马占用的是目标进程的地址空间，而且自身是作为目标进程的一个线程，所以它不会出现在进程列表中。DLL 木马的实现过程是：① 通过 OpenProcess 函数打开目标进程；② 计算 DLL 路径名需要的地址空间并且根据计算结果 调用 VirtualAllocEx 函数在目标进程中申请一块大小合适的内存空间；③ 调用WriteProcessMemory 函数将DLL 的路径名写入申请到的内存空间中；④ 利用函数 GetProcAddress 计算 LoadLibraryW 的入口 地址，并将 LoadLibraryW 的入口地址作为远程线程的入口地址；⑤ 通过函数 CreateRemoteThread 在目标进程中创建远程线程。通过以上步骤就可以实现远程线程注入启动 DLL 木马，达到隐藏木马进程的目的。而且，远程线程注入方式与 其他进程隐藏技术相比，具有更强的隐蔽性和反查杀能力，