【CN110069936A】一种木马隐写方法和检测方法【专利】

(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号 (43)申请公布日 (21)申请号 201910251422.9

(22)申请日 2019.03.29

(71)申请人 合肥高维数据技术有限公司

地址 230088 安徽省合肥市高新区望江西

路5089号中科大先研院未来中心B615

室

(72)发明人 田辉　梅俊　

(74)专利代理机构 合肥天明专利事务所(普通

合伙) 34115

代理人 金凯

(51)Int.Cl.

G06F 21/60(2013.01)

G06F 21/56(2013.01)

(54)发明名称

一种木马隐写方法和检测方法

(57)摘要

本发明公开了一种木马隐写方法和检测方

法，属于网络安全技术领域，包括在数据传输通

道中传输载密文件和加载器，该载密文件嵌入有

木马程序；在所述加载器和所述载密文件所在页

面被访问并获取时，运行所述加载器以将所述木

马程序解密至内存中，并在内存中运行所述木马

程序。本发明披露了一种新的隐写木马植入途

径，同时提供对应的检测方法，完善了杀毒软件

对于木马的检测。权利要求书2页 说明书6页 附图3页CN 110069936 A 2019.07.30

C N 110069936

A

权　利　要　求　书1/2页CN 110069936 A

1.一种木马隐写方法，其特征在于，包括：

在数据传输通道中传输载密文件和加载器，该载密文件嵌入有木马程序；

在所述加载器和所述载密文件所在页面被访问并获取时，运行所述加载器以将所述木马程序解密至内存中，并在内存中运行所述木马程序。

2.如权利要求1所述的木马隐写方法，其特征在于，在所述在数据传输通道中传输载密文件和加载器之前，还包括：

利用高级加密标准算法 AES将所述木马程序加密成密文；

利用LSB算法将所述密文嵌入到所述载体图像的每个像素最低位，得到所述载密文件。

3.如权利要求1或2所述的木马隐写方法，其特征在于，在所述利用AES算法将所述木马程序加密成密文之后，还包括：

利用libpng模块解析所述载体图像，并统计图像像素数量；

根据所述图像像素数量，判断所述载体图像的嵌入容量是否大于所述密文大小；

若是，则将所述密文嵌入到载体图像中，得到所述载密文件。

4.如权利要求1或2所述的木马隐写方法，其特征在于，所述在所述加载器和所述载密文件所在页面被访问时，运行加载器以将所述木马程序解密至内存中，并在内存中运行所述木马程序，包括：

所述加载器使用libpng模块解析所述载密文件，以从所述载密文件中提取所述密文；

从所述密文中解密得到所述木马程序，并检查所述木马程序是否为PE格式文件；

若是，则创建PE结构体，并将所述木马程序对应导入到该PE结构体中；

将PE结构体的各节对应映射到所述内存中并运行。

5.如权利要求4所述的木马隐写方法，其特征在于，在所述将PE结构体的各节对应映射到所述内存中并运行，包括：

将所述木马程序加载到相应库中，并在入口点地址运行所述木马程序。

6.如权利要求4所述的木马隐写方法，其特征在于，还包括：

修改注册表以设置自启动和设置文件属性保护所述木马程序。

7.一种隐写木马检测方法，其特征在于，包括：

获取系统调用序列和操作文件序列，并提取加载器的木马特征，利用木马特征构建木马特征序列；

判断所述操作文件序列是否为可执行文件格式；

若是，则根据所述木马特征序列和所述系统调用序列，确定是否检测到所述加载器；

若检测到所述加载器，则确定检测到疑似木马程序。

8.如权利要求7所述的隐写木马检测方法，其特征在于，所述根据所述木马特征序列和所述系统调用序列，确定是否检测到所述加载器，包括：

计算所述木马特征序列与预先存储的木马特征标准序列的相似度，得到第一类相似度；

计算所述系统调用序列与预先存储的系统调用标准序列的相似度，得到第二类相似度；

将第一类相似度和第二类相似度分别与相似度阈值进行比较，若两个比较结果中任一比较结果为大于时，则判定检测到所述加载器。

2