WINDOWS系统下木马程序的设计与实现 .pdfVIP

WINDOWS系统下木马程序的设计与实现

近年来，黑客攻击层出不穷，对网络安全构成了极大的威胁。木

马是黑客的主要攻击手段之一，它通过渗透进入对方主机系统，从而

实现对目标主机的远程操作，破坏力相当之大。

到目前为止，木马的发展已经历了五代：

第一代木马只是实现简单的密码窃取、发送等，在隐藏和通信方

面均无特别之处。

第二代木马的典型代表是冰河，它以文件关联方式启动，通过电

子邮件传送信息，在木马技术发展史上开辟了新的篇章。

第三代木马的信息传输方式有所突破，采用ICMP协议，增加了

查杀的难度。

第四代木马在进程隐藏方面获得了重大突破，采用插入内核的嵌

入方式、利用远程插入线程技术、嵌入DLL线程、或挂接PSAPI等，

实现木马程序的隐藏，利用反弹端口技术突破防火墙限制，在

WindowsNT/2000下取得了良好的隐藏效果。

第五代木马与病毒紧密结合，利用操作系统漏洞，直接实现感染

传播的目的，而不必象以前的木马那样需要欺骗用户主动激活，例如

最近新出现的类似冲击波病毒的木马—噩梦II。

木马的关键技术

木马基于C/S模式，服务器端程序运行于被控制的主机上，客户

端完成控制功能。设计木马时，需考虑几个关键因素：首先要具有深

度的隐蔽性，保证木马的隐蔽运行和启动，其次要能顺利实现客户端

与服务器端的通信，最后还要根据需要实现其他功能。

一、木马的隐藏

有两种方法可以隐藏木马：一种是DLL木马，它让木马消失在进

程列表里，但程序的进程仍然存在；另一种方法则是线程注入式木马，

它让程序彻底消失，不以进程或服务方式工作。

1、DLL木马

只要把木马服务器端的程序注册为一个服务，系统就不会再把它

当作进程，程序便会从任务列表中消失，按下Ctrl+Alt+Delete后，

也就看不到该程序。

此方法首先要装载Kernel32.dll，然后在该DLL中确定函数

RegisterServiceProcess()的地址进行调用，但只适用于

Windows9x/Me的系统，WindowsNT/2000通过服务管理器依然能

够发现在系统中注册过的服务。

在WindowsNT/2000下可采用过滤进程的方法（即API拦截技

术），通过建立一个后台系统钩子（hook），拦截PSAPI的

EnumProcessModules等相关函数控制进程和服务的遍历调用，当检

测到木马程序的服务器端进程时直接跳过，从而实现进程的隐藏。这

种方法应用广泛，除了用于进程隐藏以外，还广泛应用于诸多即时软

件，如金山词霸就使用类似方法，拦截TextOutA、TextOutW函数，

截获屏幕输出，实现即时翻译。

DLL文件是Windows的基础，所有的API函数都是在DLL中实

现的。DLL由多个功能函数构成，入口函数是DllMain，它并不能独

立运行，一般由进程加载并调用。由于DLL文件不能独立运行，所以

在进程列表中并不会出现DLL，而只出现加载进程。运行DLL文件隐

藏进程的最简单方法是利用Rundll32.exe，但也很容易被识破，比较

高级的做法是使用特洛伊DLL，它使用木马DLL替换常用的DLL文件，

通过函数转发器将正常的调用转发给原DLL，截获并处理特定的消息。

但是，WINDOWS操作系统对此具有相当的防范，Win2000的

system32目录下有一个dllcache目录，存放着大量的DLL文件（还

包括一些重要的exe文件），一旦操作系统发现被保护的DLL文件被

篡改，就会自动从dllcache中恢复该文件。此外，特洛伊DLL方法本

身也存在一些漏洞（如修复安装、安装补丁、升级系统、检查数字签

名等都可能导致特洛伊DLL失效），并不是DLL木马的最优选择。尽

管如此，仍有很多方法可以绕过DLL保护（如先更改dllc