26
E-mail:cmee@
木马技术发展至今，已经不再只是简单的客户及服 务器程序，它涉及到了系统及网络安全的方方面面，对 于许多高级木马技术的研究，是对网络环境及系统实现 中各种安全机制的重新审视，因此，对木马的开发技术 做一次彻底的透视，从了解木马技术开始，更加安全地 管理好自己的计算机显得尤为重要。
为客户端和服务端。其原理是一台主机提供服务，另一 台主机接受服务，作为服务器的主机一般会打开一个默 认的端口进行监听。如果有客户机向服务器的这一端口 提出连接请求，服务器上的相应程序就会自动运行，来 应答客户机的请求。这个程序被称为守护进程。当攻击 者要利用木马进行网络入侵，一般都要完成“向目标主 机传播木马”，“启动和隐藏木马”，“建立连接”， “远程控制”等环节。
二、木马的实现原理
从本质上看，木马都是网络客户／服务模式，它分
收 稿 日 期 ：２ ０ ０ ６ － １ １ － ０ ３ 作 者 简 介 ： 盖凌云， 女， 工程师。
采用网络隐蔽通道技术不仅可以成功地隐藏通信内 容，还可以隐藏通信信道。ＴＣＰ／ＩＰ协议族中，有许多
E-mail:cmee@
25
２ ０ ０ ７年第５ 期（ 总第５１ 期）
信息冗余可用于建立网络隐蔽通道。木马可以利用这些 网络隐蔽通道突破网络安全机制，比较常见的有：ＩＣＭＰ 畸形报文传递、ＨＴＴＰ隧道技术，自定义ＴＣＰ／ＵＤＰ报文 等。采用网络隐蔽通道技术，如果选用一般安全策略都 允许的端口通信，如８０端口。木马技术利用防火墙允许 从机器向网外发出连接的这一特点，将木马服务器端植 入目标机器，隐藏在目标机器内部，而木马客户端的监 听端口开在８０或２１端口。被植入到目标机器的木马服务 器端会定期或不定期地访问一个提前设定的个人主页空 间。如果木马客户端程序想连接木马服务器端时，则会 在此主页空间设置一个标志文件。一旦木马客户端想与 木马服务端建立连接时，通过主页空间上的文件实现： 将自己的ＩＰ地址写到主页空间的该指定文件里，并打开 端口监听，等待木马服务端的连接，木马服务端定期或 不定期读取这个文件的内容，就可得到客户端的ＩＰ 地 址，然后就向木马客户端程序的８０或２１端口发起主动连 接，而攻击者的本机是被动接受连接的。由于木马使用 的是系统信任的端口，系统会认为木马是普通应用程 序，而不对其连接进行检查。防火墙在处理内部发出的 连接时，也就信任了反弹木马。木马则可轻易穿透防火 墙和避过入侵检测系统等安全机制的检测，从而具有很 强的隐蔽性。 变换数据包顺序也可以实现通信隐藏。对于传输ｎ 个对象的通信，可以有ｎ ！ 种传输顺序，总共可以表示 ｌｏｇ２（ｎ！）比特位的信息。但是该方法对网络传输质量 要求较高，接收方应能按照数据包发送的顺序接收。这 种通信隐藏方式具有不必修改数据包内容的优点。 ３．协同隐藏 协同隐藏是指木马为了能更好地实现隐藏，达到长 期潜伏的目的，通常融合多种隐藏技术，多个木马或多 个木马部件协同工作，保证木马的整体隐藏能力。 ２． 检查启动组：木马如果隐藏在启动组虽然不是 十分隐蔽，但这里的确是自动加载运行的好场所。启动 组对应的文件夹为：Ｃ：＼ｗｉｎｄｏｗｓ＼ｓｔａｒｔ ｍｅｎｕ＼ｐｒｏｇ ｒａｍｓ＼ｓｔａｒｔｕｐ，在注册表中的位置：ＨＫＥＹ＿ＣＵＲＲＥＮＴ＿ ＵＳＥＲ＼Ｓｏｆｔｗａｒｅ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ｓｈｅｌｌ Ｆｏｌｄｅｒｓ Ｓｔａｒｔｕｐ＝＂Ｃ：＼ｗｉｎｄｏｗｓ＼ｓｔａｒｔ ｍｅｎｕ＼ ｐｒｏｇｒａｍｓ＼ｓｔａｒｔｕｐ＂。要注意经常检查这两个地方。 ３．检查Ｗｉｎ．ｉｎｉ 、Ａ ｕ ｔ ｏ ｅ ｘ ｅ ｃ ． ｂ ａ ｔ 以及Ｓｙｓｔｅｍ． ｉｎｉ：Ｗｉｎ．ｉｎｉ的［Ｗｉｎｄｏｗｓ］下的ｌｏａｄ和ｒｕｎ后面在正常 情况下不跟什么程序，如果有了就需要注意；在 Ｓｙｓｔｅｍ．ｉｎｉ的［ｂｏｏｔ］节的Ｓｈｅｌｌ＝Ｅｘｐｌｏｒｅｒ．ｅｘｅ 后面 也是加载木马的好场所，因此也要注意。当 Ｓｈｅｌｌ＝Ｅｘｐｌｏｒｅｒ．ｅｘｅ ｗｉｎｄ０ｗｓ．ｅｘｅ时，请ｗｉｎｄ０ｗｓ． ｅｘｅ很有可能就是木马服务端程序。要注意检查。 ４．如果是ＥＸＥ文件启动，那么运行这个程序，看木 马是否被装入内存，端口是否打开。如果是的话，则说 明是该文件启动木马程序，或是该文件捆绑了木马程 序，需重新安装程序。 ５． 木马启动都有一个方式，它只是在一个特定的 情况下启动，所以，平时多注意一下你的端口，查看一 下正在运行的程序，用此来监测大部分木马应该没问 题。
一、木马程序的分类
木马程序技术发展至今，已经经历了四代，第一代 是简单的密码窃取、发送等。第二代木马在技术上有了 很大的进步，“冰河”可以说为是国内木马的典型代表 之一。第三代木马在数据传递技术上，又做了不小的改 进，出现了Ｉ Ｃ Ｍ Ｐ等类型的木马，利用畸形报文传递数 据，增加了查杀的难度。第四代木马在进程隐藏方面， 做了大的改动，采用了内核插入式的嵌入方式，利用远 程插入线程技术，嵌入ＤＬＬ线程；或者挂接ＰＳＡＰＩ，实 现木马程序的隐藏，甚至在Ｗｉｎｄｏｗｓ ＮＴ／２０００下，都达 到了良好的隐藏效果。２００７年第５期（总第５来自期）木马隐蔽技术分析及检测
盖凌云 黄树来
（莱阳农学院 山东青岛 266109）
摘 要 ： 木马作为一种计算机网络病毒，对计算机信息资源构成了极大危害。研究木马技术，对防范木马 攻击，减少网络破坏有重要的意义。文章分析了木马的关键技术— 隐藏技术，提出了对木马病毒的有效的 检测方法。 关 键 词 ： 木马 隐藏技术 网络安全
三、木马程序的隐藏技术
木马程序的服务器端，为了避免被发现，多数都要 进行隐藏处理。 １．本地隐藏 本地隐藏是指木马为防止被本地用户发现而采取的 隐藏手段，主要采用将木马隐藏在合法程序中；修改或 替换相应的检测程序，对有关木马的输出信息进行隐蔽 处理；利用检测程序本身的工作机制或缺陷巧妙地避过 木马检测。 ２．通信隐藏 木马常用的通信隐藏方法是对传输内容加密，这可 以采用常见／自定义的加密、解密算法实现，这只能隐 藏通信内容，无法隐藏通信信道。
五、结束语
木马的存在需要引起广大用户的警惕和注意，它是 用户面临的众多安全威胁中的一种，给我们带来了经济 损失和信息泄露的风险。防范各种网络安全威胁，需要 用户的整体合作。
四 、木 马 检测
１．检查注册表：看ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷ ＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼Ｃｕｒｒｅｎ Ｖｅｒｓｉｏｎ和 ＨＫＥＹ＿ＣＵＲＲＥＮＴ＿ＵＳＥＲ＼Ｓｏｆｔｗａｒｅ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ 下，所有以”Ｒｕｎ”开头的键值名，其下有没有可疑的 文件名。如果有，就需要删除相应的键值，再删除相应 的应用程序。
参考文献 ［１］Ａｈｓａｎ Ｋ，Ｋｕｎｄｕｒ Ｄ． Ｐｒａｃｔｉｃａｌ ｄａｔａ ｈｉｄｉｎｇ ｉｎ ＴＣＰ／ＩＰ［Ｃ］．Ｉｎ： Ｐｒｏｃ Ｗｏｒｋｓｈｏｐ ｏｎ Ｍｕｌｔｉｍｅｄｉａ Ｓｅｃｕｒｉｔｙ ａｔ ＡＣＭ Ｍｕｌｔｉｍｅｄｉａ，Ｆｒｅｎｃｈ Ｒｉｖｉｅｒａ， ２００２ ［ ２ ］ 王伟兵． 现代木马技术的分析与研究［ Ｊ ］ ． 网 络安全技术与应用， ２ ０ ０ ６ ， １ ０