木马技术与防治分析

木马技术与防治分析

肖四华　　　侯旭平　　　林意佳

中国人民解放军９２７６２部队　　　福建　　　３６１００９

摘要：本文以木马为主题，对木马的植入方式、加载技术、隐藏技术等方面进行了综合研究，根据对木马技术的分析，给出了木马预防的方法，以及木马的检测及清除方法。

关键词：木马技术；植入方式；预防；检测与清除

０　　引言

木马，又称为特洛伊木马，是一类特殊的后门程序，是一种基于远程控制的黑客工具，通过非法手段把服务器程序种植在用户的机器上。一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机上修改文件、修改注册表、控制鼠标、监视／控制键盘等操作，以达到各种目的，如窃取用户的私人信息，商业机密等，造成无法估量的损失。本文将从木马的常用技术、木马的预防和木马的检测及清除三个方面来分析。

木马的植入是一个非自我复制的恶意代码，可以作为电子邮件附件传播，或者可能隐藏在用户与用户进行交流的文档和其他文件中，主要是指木马利用各种途径进入目标机器的具体实现方法，大致分为以下四种：

（１）通过电子邮件：通过Ｅ－ｍａｉｌ，将木马程序以附件的形式通过电子邮件发送到用户端（收信人），收信人只要打开附件就会被植入木马程序。

（２）通过下载文件：黑客将木马程序捆绑在软件安装程序上，用户在不知道的情况下下载并安装，木马程序随着安装程序的安装也就自动地安装到用户的计算机上。

（３）通过网页：木马和网页捆绑在一起，当用户浏览到该网页，就会在不知不觉中下载其捆绑的木马并执行。

（４）通过社会工程学：通过欺骗的手段诱惑用户植入木马程序。

木马的植入离不开系统及应用程序漏洞，利用漏洞得到机器控制权以后再种上木马也是一种行之有效的方法。随着系统及应用程序漏洞的不断发掘，木马的植入技术也必将随之不断推陈出新。

１　　木马的常用技术

木马由两部分组成，一部分是客户端程序，即控制在攻击者手中的程序，攻击者通过它获取远程计算机的数据并通过它控制远程计算机。另一部分是服务器端程序，即由用户运行的程序，用户计算机上一旦运行了该程序，就可以通过客户端程序与之通讯，从而可以得到用户计算机的各种控制权限，包括各种指令操作和窃取私人信息。一个典型的特洛伊木马通常具有：隐蔽性、非授权性、欺骗性等特点。隐蔽性是指木马的设计者为了防止木马被发现，会采用各种手段隐蔽木马，使木马能够在用户不易察觉的情况下，完成一些危害用户的操作；非授权性是指一旦控制端与服务器连接后，控制端将享有用户机器的控制权限，包括修改文件、修改注册表、监视服务器的一切动作等；欺骗性是指木马的设计者常利用工具软件将木马绑定到某个合法软件上，诱使用户运行合法软件。

近年来，木马技术取得了较大的发展，目前已彻底摆脱了传统模式下通信方式单一、隐蔽性差等不足。借助一些新技术，木马不再依赖于对用户进行简单的骗，也可以不必修改系统注册表，不开新端口，不在磁盘上保留新文件，甚至可以没有独立的进程，这些新特点使对木马的查杀变得愈加困难，但与此同时却使得木马的功能得到了大幅提升。

１．２　　木马的加载技术

当木马成功植入目标机后，就必须确保自己可以通过某种方式得到自动运行。流行的木马加载技术主要包括：系统服务加载、文件劫持和底层驱动加载等。

（１）系统自动加载：木马设计成服务的方式启动，这是最常用的木马自动加载方法，加载方式简单有效，但隐蔽性差。

（２）件劫持：木马被植入到目标机后，首先对某个系统文件进行替换或嵌入操作，使得该系统文件获得访问权之前，木马被率先执行，然后再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册表，可以有效地躲过注册表扫描型反木马软件的查杀。一种常用简单的实现方法是将某系统文件改名，然后将木马程序改名，当这个系统文件被调用的时候，实际上是木马程序被运行，而木马启动后，再调用相应的系统文件并传递原参数。另一种实现方法是采

１．１　　木马的植入技术

取嵌入操作，包括以下三种策略：

策略一：把木马启动代码插入ＰＥ文件头部，或者尾部，缺点是改变了宿主程序的大小，且容易被查杀。

策略二　：利用ＰＥ文件中足够长的全部为零的程序数据区或堆栈区放入木马启动代码，然后改变宿主程序开始代码入口地址，使藏在其中的启动代码先于宿主程序而运行，这种方式能够保持宿主程序插入启动代码后长度不变，缺点是ＰＥ文件有时没有足够的空间，启动代码必须短小高效。

策略三：为了躲避查杀，更好的隐蔽自身，常采用入口模糊技术，即木马在不修改宿主原入口点的前提下，通过在宿主代码体内某处插入跳转指令来使木马获得控制权，即在宿主程序启动的时候，没有立刻跳转到木马启动代码开始处执行。

通常选择的ＰＥ文件都是 …… 此处隐藏：1661字，全部文档内容请下载后查看。喜欢就下载吧 ……