基于隱性存儲的木馬原型研究與實現(xiàn).pdf

1、近年來，互聯(lián)網(wǎng)技術(shù)的快速發(fā)展引發(fā)了越來越嚴重的網(wǎng)絡(luò)安全問題，如今網(wǎng)絡(luò)安全問題已經(jīng)嚴重威脅到個人的工作以及生活。其中，木馬作為網(wǎng)絡(luò)安全問題的重要攻克難題，亟需更好地防御技術(shù)來抵制它。由于木馬常常采用最前沿的互聯(lián)網(wǎng)技術(shù)。其技術(shù)已經(jīng)從最初被動的規(guī)避安全防護軟件迅猛發(fā)展到如今主動深入內(nèi)核爭奪主機的管理權(quán)，因此這對安全防護軟件的木馬查殺能力提出了更高層次的要求。本文對木馬展開深入研究，剖析其關(guān)鍵技術(shù)，以期為更好的查殺木馬提供堅實的理論基礎(chǔ)和技術(shù)支

2、撐。
　　本文以高隱蔽性和高擴展性為目標，針對木馬文件的“隱性存儲技術(shù)”和“動態(tài)鏈接庫內(nèi)存加載技術(shù)”展開研究，結(jié)合“多層指令解析機制”，設(shè)計并實現(xiàn)了一個基于隱性存儲的木馬原型系統(tǒng)。本文的主要工作歸納如下：
　　1、為解決傳統(tǒng)隱性存儲方法隱蔽性較低的問題，本文提出了“分塊化”隱性存儲方法，將內(nèi)存中的功能載荷DLL(Dynamic Link Library)庫文件以塊形式分散存儲在文件系統(tǒng)的“碎片”宿主中。由于碎片是文件系統(tǒng)的殘

3、留空間，將DLL庫文件存儲到碎片中不會占據(jù)文件系統(tǒng)的有效空間且不會改變系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，因此本文提出的方法隱蔽性更高。同時，為了能夠突破Windows DLL庫文件僅限于從磁盤加載的限制，本文實現(xiàn)了“動態(tài)鏈接庫內(nèi)存加載”技術(shù)完成了DLL庫文件在系統(tǒng)內(nèi)存中的加載，進一步增強了隱性存儲運行時的隱蔽性。
　　2、基于本文提出的“分塊化”隱性存儲方法，設(shè)計并實現(xiàn)了一個木馬原型系統(tǒng)。系統(tǒng)主要分為主控端和被控端兩部分，其中由主控端向被控端發(fā)送指