国内外木马研究现状
关于硬件木马电路检测技术分析及发展趋势探讨
1 硬件木马电路概述1.1 硬件木马电路的隐蔽性与多样性在软件系统中,木马病毒表现出的多样化与隐蔽性的特征,给软件系统安全检测带来了极大的困扰。
首先,表现在硬件木马电路的隐蔽性和存在的多样性,在硬件电路中很难被检测出来,隐蔽性主要体现在集成在芯片中,HTH 的面积比较小,而且它还可以分布在芯片布局的任意位置,一般情况下不易觉察到,容易被设计者及验证检查者忽视。
在HTH 未被触发时,原集成电路可以正常工作,对电路功能丝毫无损,增加了HTH 的隐蔽性。
HTH 在不同破坏行为的目的上有多样性,主要目的针对敏感数据泄露、更改硬件电路系统的功能、降低硬件系统的工作效能、间断底层硬件的正常运行时段等。
HTH 破坏目的决定了植入的模块也不同,呈现出不同的物理特性。
表现在电路上的改变,改变了原有电路的尺寸与参数;利用主/侧信道输出芯片的信息,在芯片及硬件系统工作时段内决定需要激活,采用何种方式来触发激活HTH。
1.2 硬件木马电路的植入位置层次化在ASIC 集成电路(IC)的设计、生产制造的过程中,HTH 的植入点随着芯片设计、制造层次结构化而呈现出植入位置多样性,使得HTH 的研究变得更为复杂。
ASIC 集成电路(IC)的上层逻辑设计中,在不同流程上需要加入第三方IP 库,其主要构成由硬核、固核以及软核组成(如图1所示),由于不同的设计流程,虽然采用了各种设计技术,但在目前IC 全球产业链发展的情况下,各种攻击方式开始向底层硬件渗透,采用HTH 的植入可能在各种流程中出现,例如,在芯片顶层寄存器级电路(Register Transfer Level,RTL)设计中,需要将IP 软核设计或系统整合,同时将电路的固核心、综合性能与可测性能设计在一起,将硬核、线路布局、掩模制作、工作方式等综合考虑,形成门级网表设计方式,在其中植入HTH 电路,一般很难发现,硬件木马电路的植入由于电路设计工程师的蓄意行为造成,或者后续在IC 或IP 开发商为达到某种目的恶意行为。
毕业综合实践报告-计算机木马病毒及防治(防治版)
GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目:计算机木马病毒及防治(in En glish) Computer Trojan virus research and prevention系别:班级:学生姓名:学号:指导老师:完成日期:目录一、计算机木马病毒的概述及现状 (1)(一)计算机木马病毒的概念 (1)(二)木马病毒的原理 (1)(三)木马病毒的特征 (3)(四)木马病毒的危害 (3)(五)计算机木马病毒发展 (4)二、计算机木马病毒的伪装方式 (5)(一)修改图标 (5)(二)捆绑文件 (5)(三)出错显示 (5)(四)定制端口 (5)(五)自我销毁 (5)(六)木马更名 (6)三、计算机木马病毒的防治 (6)(一)如何查出木马 (6)1、检测网络连接 (6)2、禁用不明服务 (6)3、检查系统账户 (6)4、对比系统服务项 (7)(二)如何删除木马病毒 (7)1、禁用系统还原 (7)2、安全模式或VGA模式 (8)(三)如何防范木马病毒 (8)1、截断传染源 (8)2、加强计算机防护 (8)3、善用账号保护工具 (8)四、几款免费的木马专杀工具 (9)(一)冰刃 (9)(二)Windows清理助手 (9)(三)恶意软件清理助手 (9)(四)Atool软件 (9)(五)Windows恶意软件删除工具(mrt.exe) (10)五、结束语 (10)参考文献 (11)内容提要随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。
因特网使得全世界都联系到了一起。
极大的促进了全球一体化的发展。
但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。
国内外网络信息治理现状
国内外网络信息治理现状1. 引言1.1 网络信息治理的重要性网络信息治理的重要性在当今社会日益凸显。
随着互联网的普及和信息技术的迅猛发展,网络已经成为人们获取信息、交流思想、开展商业活动的重要平台。
网络空间也面临着各种挑战和乱象,如虚假信息泛滥、网络诈骗、网络暴力等问题层出不穷。
加强网络信息治理显得尤为重要。
网络信息治理能够有效规范网络空间秩序,保障公民的合法权益和社会稳定。
通过建立健全的网络信息审查制度,可以防范和打击不良信息,净化网络环境。
加强网络信息安全管理,保护个人隐私和数据安全,防止黑客攻击和网络犯罪,维护国家安全和社会秩序。
网络信息治理还可以促进信息技术的创新与发展,推动数字经济的发展,提升国家在全球信息化领域的竞争力。
网络信息治理的重要性不容忽视。
只有加强网络信息治理工作,才能建设清朗、有序、安全的网络空间,推动互联网健康发展,促进社会繁荣与进步。
1.2 国内网络信息治理现状目前,中国政府通过多种手段对网络信息进行审查,以确保网络空间的安全和稳定。
中国实施了严格的网络审查制度,包括审查过滤敏感内容、封锁不良网站、监控网络行为等。
针对不法信息,中国政府通过建立网络监管机构和加强法律法规制裁违法行为,力求维护网络安全和社会秩序。
中国还实施了实名制登记、网络巡查等措施,以确保网络信息的真实性和合法性。
在网络信息传播态势方面,中国互联网用户数量庞大,网络信息传播速度快。
网络媒体的发展也为信息传播提供了更多载体和渠道。
与此网络信息疾速传播也带来了一些问题,如谣言传播、虚假信息泛滥等,给网络信息治理带来了新的挑战。
网络安全问题也是中国网络信息治理的重点之一。
随着网络技术的发展和应用,网络安全威胁越来越严峻。
网络黑产、网络攻击等成为了网络安全的主要威胁。
中国政府采取了一系列措施,加强网络安全防范和打击网络犯罪,维护国家网络安全。
中国在网络信息治理方面已取得了一定成就,但仍面临着诸多挑战。
要加强网络信息治理,需要进一步完善相关法律法规,提升监管机制和技术手段,增强国际合作,共同维护网络空间的安全和稳定。
浅谈木马病毒的发展与防范措施
浅谈木马病毒的发展与防范措施摘要近年来,计算机硬件和软件的技术发展迅猛,通过相对应的配到设施,人们的生活和工作中离不开计算机的帮助,但越是快速发展,越要重视其繁华后的黑暗。
计算机技术发展同时,也伴随着木马病毒的扩张,这将对人们的信息安全和财产安全增加了极大的隐患。
木马病毒是隐藏在用户计算机系统中的一种破坏程序,会影响系统的正常运行,严重时还会泄露用户的个人信息。
本文基于大数据背景下,分析了木马病毒的发展现状,并提出了一些对于病毒的防范措施,以期为相关人员提供参考。
关键词互联网;计算机;木马病毒人类中有违法犯罪的不良个体,那么在计算机的世界中,可以把木马病毒看作是计算机犯罪的一种体现,并且该类犯罪并不像人类社会中只会对有限的区域和个体产生危害。
得益于计算机的广泛的传播学和共享本质,木马病毒极易感染和造成强大破坏。
当计算机感染到了木马病毒之后,不法分子通過远程操作,就能调取用户电脑中的个人信息。
因此,有必要通过分析木马病毒的发展以及防范措施,有助于健全网站的管理和监督以及网民识别木马病毒,保证个人信息安全。
1 木马病毒的发展1.1 木马病毒的更新换代木马病毒从问世以来,就是以窃取密码为主要目的,然后通过e-mail把信息进行传播的一种非常程序。
随后,木马病毒逐渐在数据传递技术方面、进程隐藏方面、驱动级等方面进行发展、演变,形成了各种各样的病毒。
其中,比较典型的木马病毒有熊猫烧香病毒、中国黑客病毒等。
1.2 互联网的普及为木马病毒的发展提供了有利条件木马病毒主要是存在于用户的计算机系统中,它有着极强的破坏能力,能够盗取用户的个人信息。
而且在互联网时代下,网络几乎已经成为新时代的一种“代名词”,这也为木马病毒的传播提供了非常便利的条件。
由于木马病毒会通过各种手段来隐藏自己,欺骗用户去下载和安装它,当用户在不知情的时候,下载了木马,就会造成一定的危害。
比较典型的就是一些黑客建立了恶意网站,将病毒植入到软件中,让正常的软件和木马病毒一起安装,当用户在运行软件的时候,也会激活木马病毒[1]。
2020年手机木马分析趋势报告
手机木马分析趋势报告日前,360互联网安全中心发布了《201x年末最流行手机木马分析趋势报告》,报告中公布了201x年感染量最高的100款手机木马。
其中,14年最为猖獗的色情类恶意应用在今年只占3%,而伪装成系统类应用的木马则占比高达54%。
此外,报告还将这100款手机木马的七大恶意行为详细列举,以便网民小心提防。
图1:201x年末感染量Top100手机木马伪装类型分布据报告显示,在感染量最高的100款木马中,安卓补丁和下载服务两款恶意木马占比高达11%,位列榜首,SettingProvider(设置服务程序)紧随其后,占比10%,更为猖獗的是,以SecurityPlugin(安全插件)为名隐藏在手机中的木马占比也高达8%。
360手机安全专家分析,致使伪装成系统程序的木马增多的原因是以此方法更容易进入手机,感染成功率更高,并且被卸载的几率更低。
此外,报告中还列出了该100款木马的七大恶意行为,包括私自下载、私自窃取隐私、释放恶意程序到系统目录、隐藏图标、恶意广告、阻止正常卸载、私发短信。
其中私自下载、隐私窃取、释放恶意程序到系统目录的恶意行为位居前三,分别占比57%、37%和36%。
图2:201xTop100木马恶意行为统计1、私自下载手机木马伪装成系统应用私自下载的恶意行为占总体的57%,排名第一。
其通过下载恶意插件、下载安装程序、下载推广应用,可以执行更多恶意行为,更主要的是,私自下载插件或APP,将直接威胁到用户的流量安全。
2、隐私窃取隐私窃取占恶意行为总体的37%,手机木马在用户不知情的情况下会窃取手机型号、IMEI号、手机短信、通讯录、照片甚至是支付宝账号密码、网银账号密码等,极易造成手机用户隐私外泄,财产受损。
3、释放恶意程序到系统目录手机木马获取Root权限后会释放恶意程序到系统目录,甚至替换掉正常系统文件,破坏手机系统,甚至能远程控制用户手机,直接威胁到手机的系统安全。
4、隐藏图标同样会威胁到系统安全的还有“隐藏图标”的恶意行为。
病毒木马的发展趋势及解决办法
病毒木马的发展趋势及解决办法作者:刘城汾来源:《电子技术与软件工程》2015年第14期随着互联网业务不断增多,木马病毒近些年来发展趋势迅猛,严重威胁到网络用户的安全。
本文通过讨论近几年来病毒木马的发展方向及技术发展的趋势,然后从维护网络使用的安全、斩断产业链等的角度论述如何解决木马的危害。
【关键词】木马发展趋势解决办法木马通常指潜伏在电脑中,可受外部用户控制以窃取本机信息或者控制权的程序。
与常见的病毒不同,它将自身伪装吸引用户运行,向施种者提供打开被种者的电脑,使施种者通过远程操控,任意窃取被种者的文件。
木马通过各种各样的方式伪装在用户的电脑中,虽然病毒防御技术已经发展的相当迅速了,但木马病毒却仍然有着顽强的抵抗力。
1 木马入侵的趋势1.1 恶意软件及垃圾广告木马利用一些恶意网站误导使用者点击,自动安装、网页挂马、和常用软件捆绑等方式进行传播。
主要有:自动弹出广告;变换图标进入各类推销站点和恶意网站;修改主页为色情和广告网站;安装常用软件,安装后自动添加许多流氓软件等。
这种木马虽然很容易清除,但由于其不断变换样式,依托的宿主名目繁多,所以杀毒软件很少有专门的查杀工具,让人总是猝不及防。
1.2 针对个人信息的盗取增强自木马诞生以来,信息窃取由原来的恶作剧、炫耀式的攻击转变为为了产生非法所得为目的的攻击方向。
主要种类有:盗取网银账户;盗取网游或其它游戏账号的密码;盗取股票账户;盗取网购帐户;盗取智能手机通讯录及账号;针对某些政府机构、特种行业和公司的邮件木马;盗取图纸设计;针对银行和企业等商业组织的数据库木马。
1.3 加强了系统攻击的深度和破坏性随着杀毒软件不断升级更新,木马病毒的侵入难度加大,一些病毒制造者便开始对电脑系统的底层技术加以攻击,通过绕过杀毒软件和早于操作系统运行等方式引发木马,使查杀难度越来越大,一旦中马,轻者格式化、更换硬盘,重者只有重刷BIOS闪存。
1.4 欺骗性及隐匿性随着网络服务的不断增多,各类木马通过使用各种手段隐匿自身,欺骗用户安装下载,使用户在不知不觉下中了木马,造成一定的危害。
国内外木马研究现状
国外研究背景:快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。
网络战争战场将成为未来信息作战风格。
木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。
1.有关国外的隐藏技术(1)木马的P2P网络模型木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。
木马隐藏技术主要分为两类:主机隐藏和隐藏通信。
设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。
通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。
(2)BootkitBootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。
大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。
感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。
bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑,甚至可以绕过满卷加密,因为主引导记录不加密。
主引导记录包含密码解密的软件要求和解密开车。
国内研究现状:计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。
其中特洛伊木马的破坏最大,它能在高隐蔽性的状态下窃取网民的隐私信息。
通常被感染木马的计算机用户并不知道自己的计算机已被感染。
这是由于木马程序具有很高的隐蔽性,它能在看似无任何异常的情况下,秘密操控远程主机,进行破坏活动。
1.木马隐藏相关技术(1)程序隐蔽木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。
网络攻击与防御技术现状分析
网络攻击与防御技术现状分析近年来,随着人们对互联网的依赖程度愈加深入,网络安全问题日益成为人们关注的焦点。
网络攻击已经成为一种日益成熟和常见的违法犯罪活动。
在这个新时代,我们需要关注网络攻击与防御技术的现状,并探究其发展趋势。
一、网络攻击的现状随着互联网技术的发展,网络攻击手段不断升级和完善,给世界带来了巨大的危害。
网络攻击的形式有很多,例如黑客攻击、病毒攻击、木马程序、勒索软件等等。
这些攻击手段的出现,使得网络环境变得更加危险,个人用户和组织机构需要升级自己的对网络安全的认知,及时应对网络攻击的风险。
黑客攻击是网络空间最为常见并且最具破坏力的攻击方式之一。
黑客可以通过网络技术,非法获取或者破坏用户或组织机构的信息资源,影响其经济利益等方面。
勒索软件则是近年来网络安全领域非常严峻的一个问题。
勒索软件通过加密文件等方式进行攻击,然后通过索要赎金的方式进行敲诈勒索,给用户和组织机构带来极大的损失。
病毒攻击是最早一批的网络攻击形式之一,是通过特定程序破坏计算机系统正常运行的方式,病毒有着很强的隐蔽性,可以在不经过用户或系统许可的情况下进入电脑,繁殖并攻击电脑系统。
而木马程序是一种隐藏式的恶意程序,通常偷偷进入受害计算机,并掌控计算机。
它可以窃取用户的隐私信息、蒸发计算机存储空间或网络带宽,给用户带来极大的麻烦。
二、网络防御技术的现状面对日益复杂的网络攻击,网络安全防御技术也不断发展与壮大。
目前,国内外关于网络防御技术的研究及应用已经取得了令人瞩目的成果。
网络防御技术主要包括防御设备、防御软件和防御策略等方面。
网络安全设备包括防火墙、入侵检测/防御系统等,这些设备可以有效的防御网络攻击对网络系统的破坏。
防御软件则需要通过软件的更新与升级来提升其安全性,同时,使用系统防火墙对受到冲击的信息进行筛选是非常必要的。
防御策略包括针对网络安全的管理流程和规程等措施,旨在提高企业及个人用户对网络安全的认知和重视。
除了防御系统的技术手段外,提高个人用户和组织机构的安全意识、规范行为也是网络安全的重要措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国外研究背景:快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。
网络战争战场将成为未来信息作战风格。
木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。
1.有关国外的隐藏技术(1)木马的P2P网络模型木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。
木马隐藏技术主要分为两类:主机隐藏和隐藏通信。
设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。
通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。
(2)BootkitBootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。
大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。
感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。
bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑,甚至可以绕过满卷加密,因为主引导记录不加密。
主引导记录包含密码解密的软件要求和解密开车。
国内研究现状:计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。
其中特洛伊木马的破坏最大,它能在高隐蔽性的状态下窃取网民的隐私信息。
通常被感染木马的计算机用户并不知道自己的计算机已被感染。
这是由于木马程序具有很高的隐蔽性,它能在看似无任何异常的情况下,秘密操控远程主机,进行破坏活动。
1.木马隐藏相关技术(1)程序隐蔽木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。
要达到这一目的可以通过程序捆绑的方式实现。
程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件,当运行该exe 文件时,多个程序同时运行。
程序捆绑有多种方式,如将多个exe 文件以资源形式组合到一个exe 文件中或者利用专用的安装打包工具将多个exe 文件进行组合,这也是许多程序捆绑流氓软件的做法。
因此,木马程序可以利用程序捆绑的方式,将自己和正常的exe 文件进行捆绑。
当双击运行捆绑后的程序时,正常的exe 文件运行了,而木马程序也在后台悄悄地运行。
程序隐藏只能达到从表面上无法识别木马程序的目的,但是可以通过任务管理器中发现木马程序的踪迹,这就需要木马程序实现进程隐藏。
(2)进程隐蔽隐藏木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程,从而提高木马程序的隐蔽性。
目前,隐藏木马进程主要有如下两种方式:(2.1)API 拦截API 拦截技术属于进程伪隐藏方式。
它通过利用Hook 技术监控并截获系统中某些程序对进程显示的API 函数调用,然后修改函数返回的进程信息,将自己从结果中删除,导致任务管理器等工具无法显示该木马进程。
具体实现过程是,木马程序建立一个后台的系统钩子(Hook),拦截PSAPI的EnumProcessModules 等相关函数的调用,当检测到结果为该木马程序的进程ID(PID)的时候直接跳过,这样进程信息中就不会包含该木马程序的进程,从而达到了隐藏木马进程的目的。
(2.2)远程线程注入远程线程注入属于进程真隐藏方式。
它主要是利用CreateRemoteThread 函数在某一个目标进程中创建远程线程,共享目标进程的地址空间,并获得目标进程的相关权限,从而修改目标进程内部数据和启动DLL 木马。
通过这种方式启动的DLL 木马占用的是目标进程的地址空间,而且自身是作为目标进程的一个线程,所以它不会出现在进程列表中。
DLL 木马的实现过程是:①通过OpenProcess 函数打开目标进程;②计算DLL 路径名需要的地址空间并且根据计算结果调用VirtualAllocEx 函数在目标进程中申请一块大小合适的内存空间;③调用WriteProcessMemory 函数将DLL 的路径名写入申请到的内存空间中;④利用函数GetProcAddress 计算LoadLibraryW 的入口地址,并将LoadLibraryW 的入口地址作为远程线程的入口地址;⑤通过函数CreateRemoteThread 在目标进程中创建远程线程。
通过以上步骤就可以实现远程线程注入启动DLL 木马,达到隐藏木马进程的目的。
而且,远程线程注入方式与其他进程隐藏技术相比,具有更强的隐蔽性和反查杀能力,增加了木马的生存能力。
(3)通信隐藏进程隐藏可以进一步加强其隐蔽性。
但是仍然可以从通信连接的状况中发现木马程序的踪迹。
因此,很有必要实现木马程序的通信隐藏。
以下是两种通信隐藏技术的实现思想。
(3.1)端口复用技术木马服务器端程序在运行时会主动打开某一端口和客户端程序进行连接,从而降低了木马程序的隐蔽性。
木马端口复用技术能避免这种缺点,它让木马服务端程序共享其他网络程序已打开的端口和客户端进行连接,从而防止重新开启端口降低隐蔽性。
该技术的关键之处在于,木马程序应增设一个数据包转交判断模块,该模块控制主机对数据报的转交选择。
当主机收到目的端口与木马所复用的端口一致的数据包时,调用数据包转交判断模块进行判断,若为木马程序的数据包,将其转发给木马程序。
否则,将其转交给开启该端口的网络程序。
利用端口复用技术可以增强木马的通信隐藏,但是对于某些设置得过严的防火墙和入侵检测系统,这种技术也会失去作用。
因此,除了通信端口的隐藏之外,还应该考虑数据包传输协议的隐藏。
本文通过分析相关网络协议,编写出了一款利用ICMP 协议缺陷传输数据的木马程序,这里给出该技术的关键实现思想。
(3.2)利用ICMP 和HTTP 协议通常网络防火墙和入侵检测系统等安全设备只检查ICMP 报文的首部,对数据部分不做处理。
因此,可以将木马程序的通信数据隐藏在ICMP 报文格式的选项数据字段进行传送,如把服务端程序向客户端程序传输的数据伪装成回显请求报文,而把客户端程序向服务端程序传输的数据伪装成回显应答报文[1] 。
这样,就可以通过PING\PING-RESPONSE 的方式在木马服务端程序和客户端程序之间建立起一个高效的秘密会话信道。
利用ICMP 协议传输数据还有一个很大的优点,即ICMP 属于IP层协议,它在传输数据时并不使用任何端口,从而具有更好的隐蔽性。
利用HTTP 协议进行木马程序之间的数据传输同样具有很高的隐蔽性。
攻击者可以将木马客户端程序使用的端口绑定到HTTP 服务的端口(80)上。
那么,当木马服务端程序向客户端程序建立连接时,目的端口就变成了80 端口,从而将该连接伪装成HTTP 服务连接以逃过防火墙的检查。
实验测试表明,利用ICMP 协议缺陷传输数据的木马程序能够很好地逃避网络防火墙和入侵检测系统的检查,实现和控制端之间的通信。
但是,采用该技术的木马程序传输数据的效率和稳定性还有待提高。
以上分析的各种木马隐藏技术都只是建立在木马程序实现自身隐藏的基础上。
然而,目前网络安全状况表明,随着反木马技术的不断提高,木马程序仅靠自身或者某单一技术已无法实现高隐蔽性。
因此,实现木马的协同隐藏技术就显得尤为重要。
(4)协同隐藏木马协同隐藏思想通常是综合利用各种木马隐藏技术,通过木马子程序或者木马程序之间相互协作,实现更高的隐蔽性。
木马协同隐藏技术摆脱了传统隐藏技术仅靠单一木马、单一技术的方式,它能够从宏观整体出发,设计更加强大的木马协作隐藏模型。
模型加强了木马协同隐藏的能力,增加了木马程序的生存时间,但也产生了一些相关问题,如增加了木马通信结构的复杂度,降低了通信过程的稳定性,增加了网内控制信息,易造成网络阻塞、瘫痪等。
总之,木马隐藏技术正朝着复合、协同的方向发展,各种问题也会随着技术的进步逐步得以解决。
2.木马隐藏的最新技术(1)木马隐藏技术:Rootkit木马随着安全技术的发展和计算机用户群的技术提高,一般的木马后门越来越难生存,于是一部分有能力的后门作者把眼光投向了系统底层——ring 0。
位于ring 0层的是系统核心模块和各种驱动程序模块,所以位于这一层的木马也是以驱动的形式生存的,而不是一般的exe。
后门作者把后门写成符合wdm规范(windows driver model)的驱动程序模块,把自身添加进注册表的驱动程序加载入口,便实现了“无启动项”运行。
一般的进程查看器都只能枚举可执行文件exe的信息,所以通过驱动模块和执行文件结合的后门程序便得以生存下来,由于它运行在ring 0级别,拥有与系统核心同等级的权限,因此它可以更轻易的把自己隐藏起来,无论是进程信息还是文件体,甚至通讯的端口和流量也能被隐藏起来,在如此强大的隐藏技术面前,无论是任务管理器还是系统配置实用程序,甚至系统自带的注册表工具都失去了效果,这种木马,就是让人问之色变的Rootkit。
3.相关文献1.期刊论文刘冬.Liu Dong特洛伊木马的隐藏技术分析 -中国科技信息2013,""(1)文章首先介绍了木马的定义,概括了木马的特征,对木马的功能做了一定的介绍,然后着重从文件隐藏、通信隐藏、进程隐藏三个方面分析木马的隐藏技术.2.期刊论文刘德.甘早斌.LIU De.GAN Zao-Bin Windows下内核级木马隐藏技术研究 -微处理机2009,30(1)木马技术是网络安全的重要方面,也是网络攻击中获取信息的重要途径.隐藏技术是木马的关键技术之一,其直接决定木马的生存能力.从Rootkit的原理分析出发,深入的研究Windows下内核级木马的隐藏技术,并在此基础上实现一个内核级木马原型,最后介绍内核级木马的检测和应对策略.3.期刊论文林小进.钱江.LIN XIAOJIN.QIAN JIANG特洛伊木马隐藏技术研究 -微计算机信息2007,23(33)首先介绍了传统的木马隐藏方法,由于传统方法主要集中于本地进程的隐藏,对木马两端之间通信隐藏涉及甚少,而本文所采用的基于ICMP的连接技术能够穿越防火墙,实现通信连接的隐藏.4.学位论文孙淑华内核级木马隐藏技术研究与实现 2004特洛伊木马是网络攻击的主要手段之一,其首要特征是隐蔽性.它可以在目标系统被攻破以后继续保持对它的控制,并可以以长期潜伏、滞后活动的方式来隐身以获取连续性的政治、经济、军事或商业情报.在网络攻击技术中,木马技术是一个很重要的研究领域.特洛伊木马攻击、检测和清除技术在军方和国家安全保密等部门存在潜在应用,研究意义重大.在当前多维信息战的形势下,加强这方面的工作刻不容缓.该文的研究工作以国家"863"(《国家网络与信息安全保障持续发展计划》)项目"特洛伊木马隐藏技术研究"为基础,对Linux内核级木马的隐藏技术进行了深入地研究,分析和总结了现有的特洛伊木马的隐藏和检测技术,并针对著名的内核级木马SuKit进行了剖析,指出了该木马的不足,提出了改进建议和实现方案,开发了一个内核级木马原型LongShadow.内核级木马LongShadow是基于Silvio Cesare的思想:在不支持LKM技术的前提下,在运行的系统中实现对内核的改动.没有采用修改系统调用指针进行系统调用重定向来实现隐藏,而是通过在内核中重建一个系统调用表,因此检查系统调用表的变化无法检测到木马的存在.对利用检测系统调用重定向来检测LKM木马的扫描检测工具Kstat可以成功避过.chkrootkit也是检测LKM的工具,它是通过一些恶意代码签名来检测的,因此木马LongShadow能成功避过.stMicheal-LKM是检测内核变动的工具,木马 LongShadow通过首先定位stMicheal-LKM,然后使其失效的方法避过此种检测工具.由于木马原型LongShadow在通信隐藏上采用了隐蔽通道技术,因此木马LongShadow可以成功避过 Realsecure/snort的检测.该论文的工作主要创新之处在于:利用隐蔽通道技术和实时检测对抗技术改进了通信隐藏和对抗实时检测的能力.另外,论文也针对木马攻击过程的各个阶段对检测技术进行了分析和总结.当然,随着网络安全技术的不断发展,木马扫描检测技术在不断深入,因而木马隐藏技术也需要不断提高.木马隐藏技术与检测技术是攻与防、矛与盾的关系,它们是互相促进,螺旋式上升的.5.期刊论文彭迎春.谭汉松.PENG Ying-chun.TAN Han-song基于DLL的特洛伊木马隐藏技术研究 -信息技术2005,""(12)隐藏技术一直是木马设计人员研究的重要技术.在分析原有木马隐藏方法的基础上,提出了使用动态链接库(DLL)与线程技术相结合的木马进程隐藏方案,用动态链接库编程技术代替传统木马程序,并用线程嫁接技术将其植入目标进程,具有很好的隐蔽性和灵活性.6.期刊论文孟蕾.Meng Lei特洛伊木马隐蔽性研究 -电脑学习2007,""(5)从木马原理出发,分析了几种木马隐藏方法,并对各自优缺点做了简要评论.7.学位论文李建定木马隐藏技术的分析与实现 2008随着3G和信息网络技术的迅猛发展,人类社会正进入信息时代,信息己成为人类宝贵的资源,特别是Internet己经渗透到社会的各个领域,信息越来越成为一种战略资源,人们的决策越来越依赖于信息。