楊恩鎮(zhèn) 向來生

山東師范大學(xué) 山東 250014

0 引言

1 木馬的隱藏技術(shù)

木馬的首要特征是它的隱蔽性，為了提高自身的生存能力，木馬會采用各種手段來偽裝隱藏。常見的木馬隱藏方式主要有以下幾種。

1.1 文件隱藏

文件隱藏，就是通過偽裝迷惑用戶，并且隱藏木馬文件自身。木馬通常會設(shè)置自身文件的屬性為“隱藏”和“系統(tǒng)”，并把文件名改成類似于系統(tǒng)文件的文件名來隱蔽自己；在Windows NT/2000中，可以利用NTFS的多數(shù)據(jù)流特性來實現(xiàn)文件隱藏；修改與文件系統(tǒng)操作有關(guān)的程序，可以過濾掉木馬信息。例如使用Rootkit技術(shù)，通過修改系統(tǒng)呈現(xiàn)給用戶的文件列表，使用戶或檢測軟件無法發(fā)現(xiàn)木馬文件，從而實現(xiàn)隱藏；另外把木馬文件存放在特殊區(qū)域（如引導(dǎo)區(qū)）也可以達到隱藏的目的。此外，常見的木馬文件隱藏方式有：嵌入到宿主文件中，即插入到某程序中或與某程序捆綁到一起；或者偽裝成圖片、文本等非可執(zhí)行文件；或者復(fù)制多個副本隱蔽；或者采取文件替換，即用修改后的DLL文件替換系統(tǒng)DLL文件。

1.2 啟動隱藏

啟動隱藏，是指目標(biāo)機自動加載運行木馬程序，而不被用戶發(fā)現(xiàn)。在Windows系統(tǒng)中，典型的木馬自動加載技術(shù)有：修改系統(tǒng)“啟動”項；修改注冊表的相關(guān)鍵值；修改“組策略”；修改系統(tǒng)配置文件（Win.ini、System.ini和Autorun.bat等）；利用文件關(guān)聯(lián)技術(shù)和文件劫持技術(shù)；上述啟動方式，一般要修改系統(tǒng)的相關(guān)文件，容易被檢測工具發(fā)現(xiàn)。隨著木馬技術(shù)的發(fā)展，出現(xiàn)了更高級的服務(wù)自啟動技術(shù)和插入系統(tǒng)服務(wù)自啟動技術(shù)。服務(wù)自啟動技術(shù)主要是木馬偽裝成系統(tǒng)服務(wù)，操作系統(tǒng)在啟動時自動加載該服務(wù)；插入系統(tǒng)服務(wù)自啟動技術(shù)主要是將木馬自身插入系統(tǒng)服務(wù)程序，伴隨系統(tǒng)服務(wù)程序啟動。

1.3 進程隱藏

進程隱藏，就是通過某種技術(shù)手段，使用戶不能發(fā)現(xiàn)木馬進程，或者木馬程序不以進程或服務(wù)的形式存在。木馬實現(xiàn)進程隱藏的方式有兩種：偽隱藏和真隱藏。

偽隱藏，就是指木馬程序的進程仍然存在，但不在任務(wù)管理器中顯示。在Windows 9x系統(tǒng)下，可以利用Register-ServiceProcess方法，把木馬進程注冊為系統(tǒng)服務(wù)，使其以服務(wù)的方式在后臺工作，而不出現(xiàn)在任務(wù)管理器的列表中；在Windows NT/XP系統(tǒng)中，可以將木馬編寫為NT-Service，替換系統(tǒng)相應(yīng)的服務(wù)進程，偽裝成合法服務(wù)，實現(xiàn)自身進程的隱藏。NameLess木馬就采用了這種技術(shù)。

典型的偽隱藏方法是利用API攔截技術(shù)，建立一個后臺的系統(tǒng)鉤子（Hook），攔截 ToolHelp API、PDH（Performance Data Helper）、PSAPI（Process Status API）的EnumProcessModules等相關(guān)函數(shù)的調(diào)用，實現(xiàn)對進程和服務(wù)的遍歷調(diào)用的控制，當(dāng)檢測到木馬進程 ID（PID）的時候直接跳過，這樣進程信息中就不會包含該木馬程序的進程，從而實現(xiàn)了木馬進程的隱藏。

如今，當(dāng)我懷揣著文學(xué)夢，亦步亦趨來到北大之后，每天我只有珍惜，只有感恩，有時，我會擔(dān)心第二天一覺醒來，發(fā)現(xiàn)自己不在北大。我現(xiàn)在能做的，就是對身邊的每一個人好，用我的筆勤奮地耕耘下去，縱然艱難，但身處這樣一個和諧的環(huán)境內(nèi)，不對立就是進步，就是人生最大的成功。

真隱藏，是指讓木馬程序不以進程或服務(wù)的方式工作，而是將木馬核心代碼以線程或DLL的方式插入到遠程進程中。

真隱藏的方法一般采用動態(tài)嵌入技術(shù)、注冊表DLL插入、特洛伊DLL、CreateProcess插入和調(diào)試程序插入等。其中動態(tài)嵌入技術(shù)比較流行，其原理是將自己的代碼嵌入正在運行的其它進程中。常見的動態(tài)嵌入技術(shù)有：遠程線程注入、掛接API、Windows Hook等。其中遠程線程注入技術(shù)指的是通過CreateRemoteThread函數(shù)在一個遠程進程中創(chuàng)建遠程線程，進入該進程的內(nèi)存地址空間。掛接API主要通過改寫代碼或修改待掛接模塊的輸入節(jié)地址實現(xiàn)，其中修改輸入節(jié)的方法更為實用，其不存在CPU問題和線程同步問題。

1.4 內(nèi)核模塊隱藏

內(nèi)核模塊隱藏，就是使木馬程序依附到操作系統(tǒng)部件上，或成為操作系統(tǒng)的一部分。這種技術(shù)具有很好的隱藏性，但是實現(xiàn)起來比較復(fù)雜。在Windows系統(tǒng)中采用設(shè)備驅(qū)動技術(shù)，編寫虛擬設(shè)備驅(qū)動程序?qū)崿F(xiàn)。在Linux系統(tǒng)中，內(nèi)核級木馬一般使用LKM技術(shù)實現(xiàn)。LKM（load kernel module）主要是用于系統(tǒng)擴展功能，不需要重新編譯內(nèi)核，就可以被動態(tài)加載。由于LKM工作在內(nèi)核空間，對LKM的追蹤要比一般程序困難得多。

1.5 通信隱藏

主要包括通信內(nèi)容、流量、信道和端口的隱藏。通信內(nèi)容隱藏主要是對傳輸內(nèi)容加密，隱藏通信內(nèi)容；當(dāng)不存在任何其他通信流量時，木馬程序處于監(jiān)聽狀態(tài)，等待其他進程通信。一旦出現(xiàn)其他通信流量時，木馬程序也隨即啟動通信，從而實現(xiàn)通信流量的隱藏；通信信道隱藏主要采用網(wǎng)絡(luò)隱蔽通道技術(shù)。比較常見的網(wǎng)絡(luò)隱蔽通道技術(shù)有：ICMP畸形報文傳遞、HTTP隧道技術(shù)、自定義TCP/UDP報文等。端口隱藏主要采用端口復(fù)用技術(shù)，不打開新的通信端口，而是在一個端口上建立了多個連接，利用系統(tǒng)實際存在的合法端口（如21、80、23等）進行通訊和控制。

1.6 協(xié)同隱藏

協(xié)同隱藏，是指木馬為了能更好地實現(xiàn)隱藏，達到長期潛伏的目的，通常融合多種隱藏技術(shù)，多個木馬或多個木馬部件協(xié)同工作，保證木馬的整體隱藏能力。此類木馬通常包含一個完成主要功能的主木馬和若干個協(xié)同工作的子木馬。子木馬協(xié)助主木馬實現(xiàn)功能和屬性的隱藏。Rootkit就是一個使用了協(xié)同隱藏技術(shù)的木馬，它包含多個子木馬程序，具有良好的反檢測能力。

2 木馬的檢測和清除方法

木馬的查殺，最簡單的方法是利用殺毒軟件，目前大多數(shù)殺毒軟件，比如卡巴斯基、諾頓、小紅傘、Avast等都能有效刪除大多數(shù)木馬。另外也可以使用專門的木馬專殺工具來殺除，例如木馬克星、Spy Sweeper、360安全衛(wèi)士等軟件。由于殺毒軟件和專殺工具的更新速度通常滯后于新木馬的出現(xiàn)，因此有必要掌握木馬的檢測和手動清除方法。

2.1 檢查本地文件

在我的電腦窗口下打開工具-文件夾選項-查看-顯示所有文件和文件夾，可以看到隱藏的文件。再選擇顯示已知文件類型擴展名，查看是否存在多擴展名的程序，如果有就可能是木馬文件。然后檢查系統(tǒng)文件是否都處于正常的系統(tǒng)文件夾內(nèi)。如果存在多個同樣的系統(tǒng)文件，那么就要注意查看是否為木馬文件。

2.2 檢查端口及連接

由于木馬一般需要通過端口進行通信（如冰河木馬使用7626端口進行監(jiān)聽），因此檢查系統(tǒng)開放端口及連接是輔助判斷木馬的一個重要依據(jù)。用戶可以通過系統(tǒng)自帶的netstat命令查看系統(tǒng)的開放端口和TCP/UDP連接，輔助使用Fport等工具具體查看進程與端口的映射關(guān)系，來判斷系統(tǒng)是否有木馬存在。

2.3 檢查系統(tǒng)進程

用戶可以利用Windows系統(tǒng)自帶的任務(wù)管理器檢查系統(tǒng)的活動進程，觀察有沒有陌生的進程，重點注意一些CPU占用率較高的進程。另外借助一些專門工具如Process Explorer，用戶可以檢查更加詳盡的進程列表信息，以此來判斷進程的合法性。找到對應(yīng)木馬文件后，就可以把木馬進程結(jié)束。

2.4 檢查注冊表

重點檢查注冊表啟動項和系統(tǒng)服務(wù)相關(guān)鍵值。運行regedit命令打開注冊表，展開“HKEY_LOCA-L_MACHINESoftwareMicrosoftWindowsCurrent-Version”和“HKEY_CURRENT_USERSoftwareM-icrosoftWindowsCurrentVersion”下的所有以Run開頭的項，檢查其下是否有新增的和可疑的鍵值。找到木馬程序的文件名后搜索整個注冊表，找出所有對應(yīng)的項，然后刪除或修改注冊表里相應(yīng)的內(nèi)容，并將安裝路徑所指示的文件刪除。

2.5 檢查系統(tǒng)配置文件

檢查Win.ini。在C:WINDOWS目錄下有一個配置文件Win.ini，在它的[windows]字段中有啟動命令“l(fā)oad=”和“run=”，在一般情況下，“=”后面是空白的，如果有啟動程序，很可能就是木馬。

檢查System.ini。在System.ini中，其[boot]字段的“shell=explorer.exe”是加載木馬的常見位置。如果該字段變?yōu)檫@樣：“shell=explorer.exe某一程序名”，那么后面跟著的那個程序就是木馬。另外，Syste-m.ini的[386Enh]字段內(nèi)的“driver=路徑程序名”也是木馬常更改的項。

2.6 使用系統(tǒng)工具

主要是利用Windows的文件保護特性，檢測驅(qū)動程序/動態(tài)鏈接庫類型木馬，這些木馬會修改虛擬設(shè)備驅(qū)動程序（vxd）或修改動態(tài)鏈接庫（DLL）。使用Windows的系統(tǒng)文件檢查器可以檢測操作系統(tǒng)文件的完整性。如果系統(tǒng)驅(qū)動程序或動態(tài)鏈接庫被木馬程序修改，使用系統(tǒng)文件檢查器可以檢測出來，并能從安裝盤中還原這些系統(tǒng)文件，以保證系統(tǒng)安全和穩(wěn)定。

3 木馬的防范措施

防范木馬攻擊最基本的方法就是安裝殺毒軟件和防火墻，防火墻可以主動攔截各種應(yīng)用程序的網(wǎng)絡(luò)連接，殺毒軟件可以查殺絕大部分的木馬。用戶可以輔助使用專業(yè)的木馬防護工具如360安全衛(wèi)士等實現(xiàn)對系統(tǒng)和網(wǎng)絡(luò)的監(jiān)控。

對于一般的木馬防護采取如下措施。

3.1 用戶系統(tǒng)防護

3.1.1 用戶管理策略

為了防止黑客非法入侵，用戶管理工作應(yīng)做到：①禁用來賓賬戶，同時只保留必要的賬戶；②安全密碼的設(shè)置要盡量復(fù)雜，并且定期更換；③設(shè)置賬戶鎖定策略，防止黑客反復(fù)破解用戶密碼。

3.1.2 文件共享策略

設(shè)置文件共享時要注意：①只有需要時才打開文件共享，共享完畢后及時關(guān)閉。②關(guān)閉默認共享和IPC$共享。用戶可以通過修改注冊表來刪除默認共享，也可以通過在控制面板的服務(wù)管理器中關(guān)閉Server服務(wù)來解決。為了防止IPC入侵，用戶可以通過修改注冊表禁止IPC$共享和IPC$空連接。

3.1.3 修復(fù)漏洞

很多木馬可以通過操作系統(tǒng)和應(yīng)用軟件漏洞侵入系統(tǒng)，建議用戶開啟Windows的自動更新功能，及時升級系統(tǒng)。用戶可以使用專用安全工具進行漏洞檢查，定期對漏洞進行更新修復(fù)。

3.1.4 關(guān)閉不常用端口

木馬一般需要通過端口與外界進行通信，為安全考慮應(yīng)當(dāng)關(guān)閉不常使用的端口。例如：關(guān)閉3389端口防止黑客通過遠程終端服務(wù)默認端口入侵。

3.1.5 關(guān)閉不必要的服務(wù)

Windows操作系統(tǒng)提供很多系統(tǒng)服務(wù)以方便管理，但開啟太多服務(wù)也給入侵者打開了方便之門。所以用戶可以根據(jù)需要在服務(wù)管理器中進行設(shè)置，在允許的情況禁止可能為黑客入侵提供方便的服務(wù)。

3.2 用戶安全意識策略

用戶安全意識淡薄是木馬攻擊得以順利進行的一個重要原因。用戶亟需加強安全意識，杜絕木馬心理欺騙層面的入侵企圖。①不要隨意下載和運行來歷不明的軟件，安裝軟件之前先用殺毒軟件查殺。②不隨意散播個人電子郵箱地址，不要任意執(zhí)行電子郵件中的附件。③不登錄陌生網(wǎng)站，禁用瀏覽器的“ActiveX控件和插件”以及“Java腳本”功能，禁用文件系統(tǒng)對象FileSystemObject，防止惡意站點網(wǎng)頁木馬全自動入侵。

4 結(jié)束語

隨著網(wǎng)絡(luò)安全防范技術(shù)的不斷發(fā)展，木馬程序的入侵手段也在不斷變化，新型木馬層出不窮。新型木馬廣泛采用反彈端口、http隧道、API Hook技術(shù)、高級防火墻繞過技術(shù)、Rootkit技術(shù)等各種手段，使得木馬在系統(tǒng)中更具隱蔽性，更具危害性。因此，對木馬所采用的各種技術(shù)進行深入的研究，有助于木馬程序的檢測和防范，可以更好的應(yīng)對木馬攻擊。

[1]Pelaez，C.E.，Bowles，J.，Computer viruses，System Theory.1991.Proceedings.，Twenty-Third Southeastern Symposium on.10-12 Mar 1991.

[2]康治平，向宏.特洛伊木馬隱藏技術(shù)研究及實踐[J].計算機工程與應(yīng)用.2006.

[3]張新宇，卿斯?jié)h，馬恒太等.特洛伊木馬隱藏技術(shù)研究[J].通信學(xué)報.2004.