返回
国内外木马研究现状

国内外木马研究现状

ID:19767295

大小:23.44 KB

页数:7页

时间:2018-10-06

国内外木马研究现状_第1页
国内外木马研究现状_第2页
国内外木马研究现状_第3页
国内外木马研究现状_第4页
国内外木马研究现状_第5页
资源描述:

《国内外木马研究现状》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、国外研究背景:快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。网络战争战场将成为未来信息作战风格。木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。1.有关国外的隐藏技术(1)木马的P2P网络模型木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。木马隐藏技术主要分为两类:主机隐藏和隐藏通信。设计一个新的木马主机隐藏DLL陷阱技术在WindowsSPI接口,木马没有隐藏的过程。通信隐藏使用P2P技术控制网

2、络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。(2)BootkitBootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,

3、从而得到无限制的访问整个电脑,甚至可以绕过满卷加密,因为主引导记录不加密。主引导记录包含密码解密的软件要求和解密开车。国内研究现状:计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。其中特洛伊木马的破坏最大,它能在高隐蔽性的状态下窃取网民的隐私信息。通常被感染木马的计算机用户并不知道自己的计算机已被感染。这是由于木马程序具有很高的隐蔽性,它能在看似无任何异常的情况下,秘密操控远程主机,进行破坏活动。1.木马隐藏相关技术(1)程序隐蔽木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程

4、序捆绑的方式实现。程序捆绑方式是将多个exe程序链接在一起组合成一个exe文件,当运行该exe文件时,多个程序同时运行。程序捆绑有多种方式,如将多个exe文件以资源形式组合到一个exe文件中或者利用专用的安装打包工具将多个exe文件进行组合,这也是许多程序捆绑流氓软件的做法。因此,木马程序可以利用程序捆绑的方式,将自己和正常的exe文件进行捆绑。当双击运行捆绑后的程序时,正常的exe文件运行了,而木马程序也在后台悄悄地运行。程序隐藏只能达到从表面上无法识别木马程序的目的,但是可以通过任务管理器中发现木马程序的踪迹,这就需要木马程序实现进程隐藏。(2)进程隐蔽隐藏

5、木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程,从而提高木马程序的隐蔽性。目前,隐藏木马进程主要有如下两种方式:(2.1)API拦截API拦截技术属于进程伪隐藏方式。它通过利用Hook技术监控并截获系统中某些程序对进程显示的API函数调用,然后修改函数返回的进程信息,将自己从结果中删除,导致任务管理器等工具无法显示该木马进程。具体实现过程是,木马程序建立一个后台的系统钩子(Hook),拦截PSAPI的EnumProcessModules等相关函数的调用,当检测到结果为该木马程序的进程ID(PID)的时候直接跳过,这样进程信息中就不会包含该木马程序

6、的进程,从而达到了隐藏木马进程的目的。(2.2)远程线程注入远程线程注入属于进程真隐藏方式。它主要是利用CreateRemoteThread函数在某一个目标进程中创建远程线程,共享目标进程的地址空间,并获得目标进程的相关权限,从而修改目标进程内部数据和启动DLL木马。通过这种方式启动的DLL木马占用的是目标进程的地址空间,而且自身是作为目标进程的一个线程,所以它不会出现在进程列表中。DLL木马的实现过程是:①通过OpenProcess函数打开目标进程;②计算DLL路径名需要的地址空间并且根据计算结果调用VirtualAllocEx函数在目标进程中申请一块大小合适

7、的内存空间;③调用WriteProcessMemory函数将DLL的路径名写入申请到的内存空间中;④利用函数GetProcAddress计算LoadLibraryW的入口地址,并将LoadLibraryW的入口地址作为远程线程的入口地址;⑤通过函数CreateRemoteThread在目标进程中创建远程线程。通过以上步骤就可以实现远程线程注入启动DLL木马,达到隐藏木马进程的目的。而且,远程线程注入方式与其他进程隐藏技术相比,具有更强的隐蔽性和反查杀能力,增加了木马的生存能力。(3)通信隐藏进程隐藏可以进一步加强其隐蔽性。但是仍然可以从通信连接的状况中发现木马程

8、序的踪迹。因此,很有必要

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。