特洛伊木马隐藏技术研究

特洛伊木马攻击技术与防范策略敬晓芳（中国工程物理研究院化工材料研究所，绵阳629100）摘要：特洛伊木马是一种程序，它驻留在目标计算机里，随计算机自动启动并在某一端口进行侦听，对接收的数据识别后，对目标计算机执行特定的操作。

其隐蔽性强，种类数量繁多，危害性很大。

本文介绍了木马的攻击原理、常用攻击技术以及防范策略。

关键词：特洛伊木马；驻留；攻击技术；防范策略1引言特洛伊木马（Trojan Horse），简称木马，是一种程序，这种程序被包含在合法的或表面上无害的程序上的恶意程序。

其实质只是一个通过端口进行通信的网络客户/服务程序。

木马具有很强的隐蔽性，而且能够自启动，并进行自我保护。

木马属于“外来代码”的范畴，它表面上提供一些令人感兴趣的有用的功能，但除了用户能看到的功能以外，这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。

木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。

对攻击者而言，使用外来代码的关键优势之一就是，通过将非本地代码或二进制代码引入操作系统环境，从而断绝与系统或网络管理员所控制资源的依赖性。

相比较而言，添加或修改系统帐户，或直接操纵其他系统资源，可能被警惕性高的管理员发现，而安装一个“外来代码”则可以在一段时间内不被发现，尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。

随着计算机技术的发展，木马的功能越来越强大，隐蔽性和破坏性不断提高，其数量也在急剧增加。

2木马的原理和种类自木马程序诞生至今，己经出现了多种类型，常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。

大多数的木马都不是单一功能的木马，它们往往是很多种功能的集成品，因此，此处也只能给出一个大致的分类。

（1）玩笑型玩笑木马程序不造成损坏，但会从计算机的扬声器中发出惹人讨厌的声音，让计算机屏幕看起来七扭八歪，或在屏幕上显示吓人的信息，如“现在正在格式化硬盘！”虽然这类木马程序非常气人，让人厌烦，但它们是无害的，很容易删除。

1 木马木马,全称是“特洛伊木马”,英文为 Trojan Horse,来源于古希腊神话《荷马史诗》中的故事《木马屠城记》。

近年来发展迅速,经常被黑客利用,渗透到计算机用户的主机系统内,盗取用户的各类账号和密码,窃取各类机密文件,甚至远程控制用户主机。

2 木马原理木马一般都使用C/S架构,一个完整的木马程序通常由两部分组成:服务端(服务器部分)和客户端(控制器部分)。

“服务器”部分被植入到被攻击者的电脑中,“控制器”部分在攻击方所控制的电脑中, 攻击方利用“控制器”主动或被动的连接“服务器”,实现对目标主机的控制。

木马运行后,会打开目标主机的一个或多个端口,以便于攻击方通过这些端口实现和目标主机的连接。

连接成功后,攻击方便成功的进入了目标主机电脑内部,通过控制器可以对目标主机进行很多操作,如:增加管理员权限的用户,捕获目标主机的屏幕,编辑文件,修改计算机安全设置等等。

而这种连接很容易被用户和安全防护系统发现,为了防止木马被发现,木马会采用多种技术来实现连接和隐藏,以提高木马种植和控制的成功率。

3 木马的连接方式攻击者利用木马对目标主机(攻击者)的控制,需要通过控制端和服务器端的连接来实现。

常见的木马连接方式有正向端口连接、反弹端口连接和“反弹+代理”连接三种方式。

3.1 正向端口连接正向连接方式是由控制端主动连接服务器端,即由控制端向服务器端发出建立连接请求,从而建立双方的连接,如图1。

为了内网的安全,通常防火墙会对进入系统内部的数据过滤,允许内网连接外网,屏蔽外网向内网的连接请求。

这种安全策略下,正向连接方式会被防火墙屏蔽,不能实现“控制器”和“服务器”的连通。

面对防火墙的阻断,为了保障连通,木马技术又出现了新的连接方式,由木马的“服务器”主动连接“控制器”,即端口反弹连接方式。

3.2 端口反弹连接端口反弹连接方式是由“服务器”主动向“控制器”发出连接请求,如图2。

这种方式可以有效的绕过防护墙,例如有名的国产木马:灰鸽子。

特洛伊木马浅析及防范作者：孙维智来源：《硅谷》2012年第19期摘要：木马是计算机网络四大公害之一，对计算机安全带来严重威胁。

主要对特洛伊木马来源及基本工作原理、攻击方式与隐蔽性进行分析，让大家了解熟悉防范特洛伊木马，保障网络信息安全。

关键词：特洛伊木马；木马攻击；木马隐藏中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2012）1010188-01目前在不断发生的互联网安全事件中，大部分都有木马的身影。

《百锐互联网用户账户安全报告简版》指出，2011年上半年，互联网用户账户信息安全所收到的主要威胁有盗号木马、欺诈网站、服务器攻击和手机病毒四种。

报告指出，百锐云安全系统在全球范围内共截获新增木马样本816214种，总体数量比去年同期上升32.4%。

中国大陆地区148467种，占全球18.19%。

通过对2011上半年新增木马的恶意行为分析发现，互联网新增木马对计算机系统的损害越来越小，窃取私人信息（包括网络游戏、IM、网银等帐号信息）越来越多。

本文主要讲述特洛伊木马的攻击原理及防范措施。

1 特洛伊木马概述特洛伊木马（Trojan Horse）这个名称来源于公元前十二世界希腊和和特洛伊之间的一场战争。

本文要说的特洛伊是计算机安全领域的特洛伊木马，是指寄宿在计算机里的一种非授权的远程控制程序。

由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限，使得它成为了黑客们最为常用的工具之一。

从某种意义上来说，特洛伊木马属于计算机病毒的一种，因为特洛伊木马具有计算机病毒特有的非授权性又具有隐蔽性和传播性等特性。

在对目标系统的访问和控制是没有经过合法用户授权的；在对计算机系统的控制或者泄漏用户信息控制计算机管理使用权限是在用户毫无察觉的状态下进行的；为感染更多的计算机，特洛伊木马通常采用电子邮件附件、合并到正常软件内等多种方式进行传播。

1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯，是借自"木馬屠城記"中那只木馬的名稱。

古希臘有大軍圍攻特洛伊城，逾年無法攻下。

有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。

城中得到解圍的消息，及得到"木馬"這個奇異的戰利品，全城飲酒狂歡。

到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。

後世稱這只木馬為"特洛伊木馬"，現今電腦術語借用其名，意思是"一經進入，後患無窮"。

特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣，只是一種遠端管理工具。

而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。

原因是如果有人不當的使用，破壞力可以比病毒更強。

iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。

木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。

e2/基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。

作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。

對於特洛伊木馬，被控制端就成為一台伺服器。

史少甫 20092420229 通信2班一、什么是特洛伊木马特洛伊木马（TrojanHorse，以下简称木马）的名称取自希腊神话的特洛伊木马记。

木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。

特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。

这些权限并不是服务端赋予的，而是通过木马程序窃取的。

木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

1、硬件部分建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

I NTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

2、软件部分实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

3、具体连接部分通过I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。

控制端I P，服务端I P：即控制端，服务端的网络地址，也是木马进行数据传输的目的。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

再加入一个文本框，用于输入服务器的IP地址或服务器名。

然后加入一个按钮，按下之后就可以对连接进行初始化。

代码如下：Private Sub cmdConnect_Click()Win_Client.RemoteHost=Text1.TextWin_Client.ConnectTimer1.Enabled=TrueEnd Sub(3)建立连接后就可以使用DataArrival事件处理收到的数据了。

(4)在服务器端Server工程中也建立一个窗体，窗体的visible属性设置为False。

加载Win Sock控件，称为Win_Server，协议选择TCP。

在Form_Lad事件中加入以下代码：Private Sub Form_Load()Win_Server.LocalPort=2001 ‘自定义的端口号Win_Server.ListenEnd Sub(5)准备应答客户端程序的请求连接，使用ConnectionRequest事件来应答客户端程序的请求，代码如下：Private Sub Win_Server_ConnectionRquest(ByValrequestID As Long)If Win_Server.State sckClosed ThenWin_Server.Close ‘检查控件的State属性是否为关闭的End If ‘如果不是，在接受新的连接之前先关闭此连接Win_Server.Accept requestIDEnd Sub(6)这样在客户端程序按下连接按钮后，服务器端程序的ConnectionRequest事件即被触发，执行以上代码。

如果不出意外，连接将被建立起来。

(7)建立连接后服务器端的程序通过JDataArrival事件接收客户机端程序发出的指令运行既定程序。

DataArrival事件程序如下：Private Sub Win_Server_DataArrival(ByVal bytesTotal As Long)Dim strData As StringDim I As LongWin_Server.GetData strData ‘接收数据并存入strDataFor i=1 ToLen(strData) ‘分离strData中的命令If Mid(strData,I,1)=”@” ThenmKey=Left(strData,i-1 ‘把命令ID号存入mKeystrData=Right(strData,Len(strData)-i) ‘把命令参数存入strDataExit FofEne IfNext iSelect Case Val*mKey)Case i ‘i为一系列命令的定义，如截获驱动器名、目录名、文件名、强制关闭服务器端的计算机，强制重启服务器端的计算机，屏蔽任务栏窗口，屏蔽开始菜单，按照客户机端传来的文件名或目录名删除它们，屏蔽热启动键，运行服务器端的任何程序。

特洛伊木马的隐藏技术浅析王海青【摘要】文章着重从木马的文件隐藏、进程隐藏、通信隐藏三个方面系统分析了木马的隐藏技术.【期刊名称】《甘肃广播电视大学学报》【年(卷),期】2010(020)002【总页数】2页(P63-64)【关键词】木马;文件隐藏;进程隐藏;通信隐藏【作者】王海青【作者单位】甘肃广播电视大学,继续教育学院,甘肃,兰州,730030【正文语种】中文【中图分类】TP393.8随着病毒编写技术的发展，木马程序对用户的威胁越来越大，为了不被目标系统用户及管理员发现,木马通过各种技术手段把自己的运行形式进行隐蔽。

1.文件隐藏木马程序植入目标系统后，会在目标系统的磁盘上加以隐蔽欺骗用户。

隐藏、保护木马文件的主要方式有：（1）嵌入隐藏。

采用此隐蔽手段的木马通常有以下两种形式：插入到某程序中和与某程序捆绑到一起，一旦运行程序就会启动木马。

如绑定到系统文件中,在系统启动时木马也跟随启动；或者捆绑常用程序，这样程序一旦被点击木马就会运行加载，使用户难以防范。

（2）伪装隐藏。

利用自身外部特征的多变性进行伪装,以单独的文件存在，同时定制好了文件名，修改与文件系统操作有关的程序，伪装成正常的文件或者非可执行文件，再将文件属性修改为系统隐蔽或者只读。

如木马文件把图标改成Windows 的一些非可执行文件的默认图标,再把文件名改为*.jpg.exe、*.txt.exe等，由于Windows默认设置是“不显示已知的文件后缀名”,因此木马文件将会显示为*.jpg、*.txt等。

（3）替换隐藏。

木马通过修改自身的DLL替换目标文件的系统DLL文件，替换的基础上不增加新的文件，也不需要打开新的端口或者监听端口，替换之后，对于正常的系统调用还照常进行，只有在木马的控制端向被控制端发出指令后，隐藏的程序才开始运行。

2.进程隐藏木马将自身作为DLL插入别的进程空间后，用查看进程的方式无法找出木马的踪迹，看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。

国外研究背景：快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。

网络战争战场将成为未来信息作战风格。

木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。

1.有关国外的隐藏技术（1）木马的P2P网络模型木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。

木马隐藏技术主要分为两类:主机隐藏和隐藏通信。

设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。

通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。

（2）BootkitBootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。

大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。

感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。

bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑，甚至可以绕过满卷加密,因为主引导记录不加密。

主引导记录包含密码解密的软件要求和解密开车。

国内研究现状：计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。

其中特洛伊木马的破坏最大，它能在高隐蔽性的状态下窃取网民的隐私信息。

通常被感染木马的计算机用户并不知道自己的计算机已被感染。

这是由于木马程序具有很高的隐蔽性，它能在看似无任何异常的情况下，秘密操控远程主机，进行破坏活动。

1.木马隐藏相关技术（1）程序隐蔽木马程序隐藏通常指利用各种手段伪装木马程序，让一般用户无法从表面上直接识别出木马程序。

目录一木马的概述 (1)二基础知识 (3)三木马的运行 (4)四信息泄露 (5)五建立连接 (5)六远程控制 (6)七木马的防御 (7)八参考文献 (7)一 .木马的概述特洛伊木马，英文叫做“Trojanhorse”，其名称取自希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，对此无可奈何；所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段，最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着Windows平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练地操作木马，相应的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

木马的种类繁多，但是限于种种原因，真正广泛使用的也只有少数几种，如BO，Subseven，冰河等。

1、BO2000有一个相当有用的功能，即隐藏木马进程，一旦将这项功能设备为enable，用ATM察看进程时，BO的木马进程将不会被发现。

2、在版本较高的Subseven中除常规的触发条件外，还提供有less know method和not know method两种触发方法。

选择前者，运行木马后将SYSTEM.INI 中的Shell改为Shell=explorer.exe msrexe.exe,即用SYSTEM.INI触发木马,选择后者则会在c:\Windows\目录下创建一个名为Windows.exe程序，通过这个程序来触发木马，并将\HKEY-ROOT\exefile\shell\open\command\的键值“％1”、“％X”改为“Windows.exe”％1”、“％X，也就是说，即使我们把木马删除了，只要一运行EXE文件，Windows.exe马上又将木马安装上去，对于这种触发条件，我们只要将键值改回原值，并删除Windows.exe即可。

１引言特洛伊木马（简称木马）是指一类伪装成合法程序或隐藏在合法程序中的恶意代码，这些代码或者执行恶意行为，或者为非授权访问系统的特权功能而提供后门。

木马的首要特征是它的隐蔽性，为了提高自身的生存能力，木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。

ＦｒｅｄＣｏｈｅｎ等人［１，２］对病毒进行了深入研究，他们将木马作为病毒的一种特例，并给出了病毒和木马的数学模型，但未对木马的隐藏特征进行分析。

ＨａｒｏｌｄＴｈｉｍｂｌｅｂｙ等人［３］对病毒和木马模型框架进行了研究，给出了木马的形式化模型，对木马隐藏的特征进行了描述，但未对木马协同隐藏进行描述和分析。

张新宇等人［４］仅对Ｌｉｎｕｘ环境下的木马隐藏（包括协同隐藏）进行了研究，但未涉及Ｗｉｎｄｏｗｓ环境。

笔者在对木马隐藏技术归纳研究的基础上，深入分析研究了协同隐藏，并针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足，提出两种基于该思想的新型木马结构，深化了协同隐藏思想，提高了木马的隐藏能力和生存能力。

２隐藏技术木马程序与普通远程管理程序的一个显著区别是它的隐藏性。

木马被植入后，通常利用各种手段来隐藏痕迹，以避免被发现和追踪，尽可能延长生存期。

隐藏技术是木马的关键技术之一，笔者从本地隐藏、通信隐藏和协同隐藏３个方面对木马隐藏技术进行分析研究。

２．１本地隐藏本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段，主要包括启动隐藏、文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。

这些手段可以分为三类：（１）将木马隐藏（附着、捆绑或替换）在合法程序中；（２）修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理；（３）利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。

２．１．１启动隐藏启动隐藏，是指目标机自动加载运行木马程序，而不被用户发现。

在Ｗｉｎｄｏｗｓ系统中，比较典型的木马启动方式有：修改系统“启动”项；修改注册表的相关键值；插入常见默认启动服务；修改系统配置文件（Ｃｏｎｆｉｇ．ｓｙｓ、Ｗｉｎ．ｉｎｉ和Ｓｙｓｔｅｍ．ｉｎｉ等）；修改“组策略”等。

特洛伊木马的工作原理及清除
白皓
【期刊名称】《气象与环境科学》
【年(卷),期】2003(000)002
【摘要】介绍了特洛伊木马程序的隐藏、加载及清除技术.
【总页数】1页(P42-42)
【作者】白皓
【作者单位】项城市气象局河南项城 466200
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.特洛伊木马的清除和防范方法 [J], 申文玉;刘宗仁
2.特洛伊木马“清除器” [J], 张涌金;
3.特洛伊木马Setiri的工作原理和防范方法 [J], 吴奇泽
4.特洛伊木马工作原理分析及清除方法 [J], 张慧丽
5.计算机特洛伊木马病毒的攻击与清除 [J], 舒军晓
因版权原因，仅展示原文概要，查看原文内容请购买。