主流木马技术分析及攻防研究

对当前主流的木马技术原理进行了深入的剖析,对主流木马的基本功能、隐藏机制和传播途径进行了研究,对主流木马使用的两种技术——API HOOK技术和SPI技术进行了细致地分析,根据新型木马实现隐藏的机制,提出了相关检测和清除的技术,探索出了一种新型木马的检测和清除方法。最后总结出了可以对新型木马实施清除的有效方法,实现了利用迭代比较法查杀木马的示例软件。     

特洛伊木马隐藏技术研究

主要研究Linux环境下的特洛伊木马隐藏技术,提出了协同隐藏思想,并给出木马协同隐藏的形式化模型。针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足,采用实时检测对抗技术和隐蔽通道技术开发了一个内核级木马原型,改进了木马的隐藏能力。通过实验结果分析,这一木马体现了协同隐藏的思想,验证了实时检测对抗技术和网络隐蔽通道技术的有效性。     

Android系统木马隐藏及检测技术分析

Android系统木马可以通过root系统权限的获取,实现对内核表项隐藏功能的实现,从而使木马查杀软件的检测也能够获得有效的躲避.基于Android系统本身拥有庞大的操作用户,在很大程度上俨然已经成为众多黑客集中攻击的主要对象.作为攻击Android系统的重要手段之一,特洛伊木马具有强大的破坏性、隐蔽性以及欺骗性,因此,强化对Android系统木马隐藏及检测技术分析,对于智能手机的发展至关重要.     

基于行为分析的木马检测

首先介绍了特洛伊木马的基本概念,其利用的基本技术,再介绍了常用的木马检测方法。阐述了木马检测的现状和发展趋势。分析并归纳了木马在安装阶段的行为特征,以此提出基于行为分析的木马检测方法。     

内核级木马隐藏技术研究与实践

文章通过对现有Linux下的内核级木马的隐藏和检测技术的分析研究，讨论了有关的隐藏和检测技术，并在此基础上实现了一个内核级木马。通过实验测试，该木马达到了较好的隐藏效果，可以避过目前大多数检测工具的检测。     

芯片级木马检测技术研究综述

集成电路在各个领域都具有极其重要的作用,但是在当今集成电路设计、制造、测试、封装各种环节相分离的产业模式下,用户所使用的芯片可能会被别有用心者植入硬件特洛伊木马电路,这给信息安全领域带来了严重威胁,芯片级硬件木马的检测技术已经成为了芯片安全研究领域的新热点。首先介绍了硬件木马的概念、危害以及分类方式;然后对硬件木马检测技术国内外有影响的研究成果进行了详细的总结和评述,着重阐述了目前比较有效的旁路分析方法,指出基于功耗指纹分析的硬件木马检测技术是当前最有前途的一种检测方法;最后简要总结了硬件木马的主动防御机制。     

木马隐藏技术的研究与分析

以WINDOWS系统环境为基础,分析了常见的木马隐藏技术及其特点,并给出了部分技术的实现原理。首先分析了单一木马程序的常见隐藏技术,然后根据Harold Thimbleby提出的木马模型和木马协同隐藏思想,提出了一种基于动态星型结构的木马协同隐藏模型,该模型展现了基于多木马结构的协同隐藏思想,通过采用代理方式通信,提高了各木马程序的隐蔽性和生存周期,增加了追查木马程序控制端地址的难度。     

一种基于沙箱技术的网页挂马检测系统

随着互联网的迅猛发展,网页已经成为人们日常发布和获取信息的重要途径,给人们带来了极大的便利。然而,安全挑战也随之而来,层出不穷的网页入侵手段严重影响着互联网的长远应用和发展,尤其是网页挂马是一个十分泛滥的攻击方式,严重威胁着用户安全。针对此问题,本文提出了一种基于沙箱技术的检测系统,能够动态地检测和抵御网页木马攻击。在安全性上,所提系统通过高交互蜜罐中多个沙箱技术,动态地模拟网页木马攻击过程,进而能够分析和抵御应用层、系统层和内核层的恶意行为,实现了多层检测。在效率上,所提系统采用了轻量级的沙箱技术,在内核层涉及较少调用,着重在应用层HOOK相关API实现检测,提高了效率表现。实验评估分析表明,所提系统能够获得较好的性能。     

特洛伊木马植入综述

本文对特洛伊木马植入技术的发展历史进行了简略介绍。并着重剖析了在Windows操作系统环境下基于DLL和远程线程插入的木马植入技术。     

基于行为分析的木马检测系统设计与实现

随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。     

基于综合行为特征的木马检测技术研究

随着计算机网络技术的快速发展和中国信息化工作的快速推进,如何更有效地检测及防范木马是一个重要的研究方向。文中重点讨论的是,在Windows系统下,基于木马综合行为特征分析的木马检测技术、木马分析检测算法和识别方法,设计并实现了一套针对特种木马的检测软件原型系统。     

现代木马植入技术研究及其防范

木马发展至今产生了一些经典植入技术手段,而现代木马植入技术在继承原有经典方法基础上进一步纵深拓展,同时不断挖掘新的手段。对于现代木马主流植入技术,文中从被动植入和主动植入两大方面做了较为系统和详细的研究,其中介绍了一些较新颖的技术方案,概述了突破UAC（User Account Control）安全防护机制的新技术手段,最后提出一些对应的安全防范措施,从而可对现代木马植入技术发展及防护方法有一个针对性的系统把握和认识。     

内存映射型内核级木马的研究与改进

本文对Linux下内存映射型内核级木马的隐藏和检测技术进行了深入的研究，并针对著名的内核级木马SuKit进行了剖析，指出了该木马功能上的不足和实现上的缺陷，进而提出了改进建议和实现方案，在此基础上开发了一个内存映射型内核级木马原型LongShadow。     

木马的植入与隐藏技术分析

论文首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。     

基于DLL的特洛伊木马隐藏技术研究

隐藏技术一直是木马设计人员研究的重要技术。在分析原有木马隐藏方法的基础上，提出了使用动态链接库（DLL）与线程技术相结合的木马进程隐藏方案，用动态链接库编程技术代替传统木马程序，并用线程嫁接技术将其植入目标进程，具有很好的隐蔽性和灵活性。     

硬件木马综述

集成电路在设计或制造过程中会受到硬件木马的攻击,使芯片与硬件的安全性受到威胁。硬件木马技术逐渐受到重视,已成为当今一个新的研究热点。文章介绍了硬件木马的概念,对三种主要的硬件木马分类方法进行了分析;着重探讨了硬件木马的检测方法。对检测方法存在的问题与面临的挑战进行了分析,指出基于旁路信号分析的硬件木马检测方法是当前最主要的一种检测方法。     

融入环形振荡器木马特征的无监督硬件木马检测

机器学习用于集成电路硬件木马的检测可以有效提高检测率。无监督学习方法在特征选择上还存在不足,目前研究工作主要集中于有监督学习方法。文章引入环形振荡器木马的新特征,研究基于无监督机器学习的硬件木马检测方法。首先针对待测电路网表,提取每个节点的5维特征值,然后利用局部离群因子(LOF)算法计算各节点的LOF值,筛选出硬件木马节点。对Trust-HUB基准电路的仿真实验结果表明,该方法用于网表级电路硬件木马的检测,与现有基于无监督学习的检测方法相比,TPR(真阳性率)、P(精度)和F(度量)分别提升了16.19%、10.79%和15.56%。针对Trust-HUB基准电路的硬件木马检测的平均TPR、TNR和A,分别达到了58.61%、97.09%和95.60%。     

基于IAT表的木马自启动技术

随着注册表监视软件的普及以及系统文件保护机制的增强,木马如何安全隐蔽的随机自启动成为一个挑战。论文描述了在Windows XP SP2环境中如何突破系统文件保护,实现基于IAT表的木马隐蔽自启动技术。     

基于数据二极管技术的摆渡木马防御研究

电子文件具有易复制和易传播的特点,如何防止电子文件被恶意窃取和传播,是电子文件安全面临的突出难题。针对借助移动存储介质入侵的摆渡木马进行了阐述,提出了防护摆渡木马的方法。通过访问控制技术和数据二极管技术,实现数据流的单向传输,为电子文件的共享和交流建立安全屏障,从根本上解决摆渡木马恶意窃取、传播文件的问题,从而保证电子文件的安全。