基于进程和通信隐藏的木马设计与实现

摘 ?要 近年来，特洛伊木马等恶意代码己经成为网络安全的重要威胁。很多国家都采取积极的网络安全防御措施,投入大量的人力和物力研究网络信息安全技术。文章首先分析了传统木马的一般工作原理及其植入、加载、隐藏等关键技术。随着网络技术的不断更新和发展，木马技术也在不断地更新换代,现代木马的进程隐藏和通信隐藏等等都发生了变化。 进程的隐藏和通信的隐藏一直是木马程序设计者不断探求的重要技术。攻击者为达到进程隐藏的目的，采用远程线程和动态链接库，将木马作为线程隐藏在其他进程中。选用一般安全策略都允许的端口通信,如80端口，则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。 本文研究了如何将Windows环境下的动态链接库(DLL)技术与远程线程插入技术结合起来实现特洛伊木马植入的新方案。在该方案中，提出了特洛伊木马程序DLL模块化,并且创建了独立的特洛伊木马植入应用程序，将木马程序的DLL模块植入宿主进程。实验结果证明该方案能实现的木马植入，具有很好的隐蔽性和灵活性。 关键词：特洛伊木马；动态连接库；进程插入；远程线程 3.1 本地隐藏 本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段, 主要包括启动隐藏、文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。这些手段可以分为三类: 2? 将木马隐藏(附着、捆绑或替换) 在合法程序中； 2? 修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理； 2? 利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。 1． 启动隐藏 启动隐藏，是指目标机自动加载运行木马程序， 而不被用户发现。在Windows 系统中,比较典型的木马启动方式有：修改系统“启动”项；修改注册表的相关键值；插入常见默认启动服务；修改系统配置文件(Config.sys、Win.ini和System.ini 等)；修改“组策略”等。这些启动方式，通常要修改系统的相关文件, 容易被检测工具发现。此外，还有些特殊的木马启动方式，如:文件关联和寄生启动( 注入普通进程)等。 2.文件隐藏 文件隐藏包括两方面，一是通过伪装, 达到迷惑用户的目的；二是隐藏木马文件自身。对于前者，除了修改文件属性为“隐藏”之外,大多通过一些类似于系统文件的文件名来隐蔽自己。对于后者，可以修改与文件系统操作有关的程序, 以过滤掉木马信息；特殊区域存放( 如对硬盘进行低级操作，将一些扇区标志为坏区，将木马文件隐藏在这些位置，或将文件存放在引导区中)等方式达到隐藏自身的目的。在Windows NT/2000 中,如果文件系统采用的是NTFS，可以用NTFS 流来实现木马文件的隐藏。 3.进程隐藏 进程通常被定义为一个正在运行的程序的实例，它由两个部分组成： （1）一个是操作系统用来管理进程的内核对象。内核对象也是系统用来存放关于进程的统计信息的地方。 （2）另一个是地址空间，它包含所有可执行模块或DLL模块的代码和数据。它还包含动态内存分配的空间。如线程堆栈和堆分配空间。 一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程。Windows 2000/XP系统中的任务管理器能查看到系统中正在运行哪些进程。只要平时多看任务管理器中的进程列表，熟悉系统的基本进程，就可以随时发现可疑进程，这对防范木马和病毒大有裨益！所以，要想木马在服务端运行，就必须做到在任务管理器里面消失，也就是进程隐藏。 木马的进程隐藏包括两方面：伪隐藏和真隐藏。伪隐藏，就是指木马程序的进程仍然存在， 只不过是消失在进程列表里；真隐藏，则是让程序彻底消失， 不以一个进程或者服务的方式工作。