文档介绍:摘要
随着互联网的迅速普及和应用的不断发展,各种黑客工具和网络攻击手段也
层出不穷,网络攻击导致网络和用户受到损害,其中木马攻击以其
攻击范围广、隐蔽性、危害大等特点成为常见的网络攻击技术之一,对网络安全
造成了极大的危胁。
论文介绍了木马的定义、原理、分类及其发展趋势,重点对木马病毒特点和
所采用技术方法进行了归纳研究,详细介绍了木马病毒在植入、加载、隐藏、反
清除和网络通信等五方面所采用的技术方法。论文探讨了木马程序在
操作系统下的自动启动技术,并实现了关键的程序片段研究了在下通过
进程注入实现进程隐藏的方法,为木马进程的隐藏开拓了新的思路本论文率先
提出了网络秘密信道的概念,并系统地研究了利用秘密信道的木马通讯技术论
文在介绍木马检测现状的基础上,提出了基于时频联合分析的木马检测算法,并
针对真实的木马对算法做了模拟测试,取得较好的效果论文还探讨了防范木马
的策略与手段,这些措施对预防木马侵入、恢复木马危害和加强网络安全均有一
定的指导意义。
论文相关的研究工作得到国家信息产业部项目“安全网管技术”和国家“十
五”工程”重点学科项目“信息安全保密技术与相关数学理论研究”的资
助,现已取得阶段性的成果。如何实现秘密信道的检测与阻断,以及对木马程序
自动清除技术的研究将是下一步的目标。
关键词秘密信道、时频分析、木马检测
前言
特洛伊木马,本文简称“木马”是隐藏在系统中的用以完成未
授权功能的非法程序,木马使得远端的黑客能够享有系统的控制权。木马以其攻
击范围广、隐蔽性强、危害大等特点成为常见的网络攻击技术之一,从而对网络
安全造成了极大的威胁。
黑客在实施木马攻击时首先需要通过某种手段在目标主机中植入木马服务
程序,使这台机器变成一台开放性极高的服务器,然后就可以远程访问服务来控
制这台被植入木马的目标主机。
对优秀的木马而言自启动功能是必不可少的,这样可以保证木马不会因为关
机操作而彻底失去作用。本文讨论了在操作系统中,可能被木马用来
实现自启动的各种手段,为清除木马尤其是手工查杀木马提供了有益的线索。
木马采用多种手段隐蔽自身以提高生存能力。木马体积一般都十分小,执行
时不会对系统运行速度产生明显的影响有些木马执行后,就会自动变更文件名,
甚至隐形有些木马运行后会自动复制到其他文件夹中做备份。隐藏进程是木马
经常采用的隐藏手段,这样,木马执行时就不会显示在系统进程列表中。在
系统里面,简单地注册为系统进程就可以从任务列表中消失,但是在系统
里面,任何一个运行的进程都会在管理者权限下显示出来,并且可以直接关闭掉。
新近出现的针对平台的木马,开始采用了先进的陷阱技术。这是一
种针对的高级编程技术,编程者用特洛伊替换已知的系统,并对
所有的函数调用进行过滤,对于正常的调用,使用函数转发器直接转发给被替换
的系统,对于一些事先约定好的特殊情况,会执行对应的操作,比如
启动一个新的进程完成木马功能—虽然所有的操作都在中完成会更加隐
蔽。但是这大大增加了程序编写的难度,此类木马大多数只是使用陷阱监
听。所以如何在中隐藏木马进程仍然是木马开发者关注的重要问题。
本文在深入研究文件系统的基础上提出了利用流来隐藏木马可
执行文件和利用线程注入技术以非进程方式执行木马
代码,从而实现“木马进程隐藏”的方案。本方案考虑到进程要由给其
分配资源,由来实现其线程上下文的切换,所以想在下“真正隐
藏进程”,可以讲根本是不可能的而在中有多种方法能够查看进程,如
使用等,如果完
全替换工作量很大而且可能会导致系统的不稳定。故本方案没有试图去替换全部
查看进程的函数,进行进程列表欺骗而是以非进程方式执行目标代码来逃避进
程查看器的检查,从而达到“进程隐藏”的目的本方案为下的木马隐藏
提供了一种简洁高效的新思路。
木马一般直接采用协议进行控制端和被控制端通信,这种通信可以使
用工具监听,分析该通信的特征就可以从中寻找木马的蛛丝马迹基于网
络的木马入侵检测系统的工作原理正是通过对网络上传输的实际分组的内容进
行测试、对分组结构进行识别来分析网络中使用的协议并从其中抽取木马相关信
息。传统的木马检测系统主要可以分成误用检测和异常检测两类,其中以基于网
络的误用检测系统最为常用。特征检测与匹配是木马检测系统的核心问题,本文
充分考虑到木马特征信号具有短时、突变的特点,提出基于时一频联合分析的木
马检测技术,并取得了较好的应用效果。
本文在传统“隐信道”的启发下,率先对利用网络隐蔽信道的木马通信技术
进行研究,详细分析了可供利用的一些典型的隐蔽信道,并初步