剖析远程控制免杀DLL木马

木马是一类具有隐藏性、自发性的恶意程序,目的多为控制用户电脑以窃取信息。首先简单介绍了木马程序的设计原理和木马的主要工作流程,木马客户端和服务端之间的通信过程。在此基础之上,介绍了几种目前主流的木马免杀技术,主要包括特征免杀、加花指令免杀、加壳免杀及内存免杀等。然后介绍了利用远程线程注入的方法进行木马注入DLL程序,从而达到木马进程隐藏的目的。最后综述了木马防治的基本方法。     

木马隐藏技术的研究与分析

以WINDOWS系统环境为基础,分析了常见的木马隐藏技术及其特点,并给出了部分技术的实现原理。首先分析了单一木马程序的常见隐藏技术,然后根据Harold Thimbleby提出的木马模型和木马协同隐藏思想,提出了一种基于动态星型结构的木马协同隐藏模型,该模型展现了基于多木马结构的协同隐藏思想,通过采用代理方式通信,提高了各木马程序的隐蔽性和生存周期,增加了追查木马程序控制端地址的难度。     

主流木马技术分析及攻防研究

对当前主流的木马技术原理进行了深入的剖析,对主流木马的基本功能、隐藏机制和传播途径进行了研究,对主流木马使用的两种技术——API HOOK技术和SPI技术进行了细致地分析,根据新型木马实现隐藏的机制,提出了相关检测和清除的技术,探索出了一种新型木马的检测和清除方法。最后总结出了可以对新型木马实施清除的有效方法,实现了利用迭代比较法查杀木马的示例软件。     

基于木马的计算机远程控制及隐藏技术分析

主要研究基于木马的计算机远程控制与隐藏技术。研究木马是为了更好地查杀木马,同时将木马有价值的功能充分利用起来,保证网络运行安全,保护网络隐私。     

内核级木马隐藏技术研究与实践

文章通过对现有Linux下的内核级木马的隐藏和检测技术的分析研究，讨论了有关的隐藏和检测技术，并在此基础上实现了一个内核级木马。通过实验测试，该木马达到了较好的隐藏效果，可以避过目前大多数检测工具的检测。     

内存映射型内核级木马的研究与改进

本文对Linux下内存映射型内核级木马的隐藏和检测技术进行了深入的研究，并针对著名的内核级木马SuKit进行了剖析，指出了该木马功能上的不足和实现上的缺陷，进而提出了改进建议和实现方案，在此基础上开发了一个内存映射型内核级木马原型LongShadow。     

模块二进制木马分析方法的研究与实现

内核级木马是黑客入侵系统后保留后门的重要技术。文章主要分析和讨论了目前Linux下的常见的内核级木马的隐藏方法及其检测原理,重点分析了基于符号执行的模块二进制木马分析方法。     

基于API HOOK技术的特洛伊木马攻防研究

文章首先对Windows下的API HOOK技术进行分析研究,并将该技术运用于特洛伊木马的属性隐藏中。然后在此基础上实现了一个基于API HOOK技术的内核级木马。通过实验测试,该木马达到了较好的隐藏效果,可以避开目前大多数检测工具的检测。最后,讨论了基于API HOOK技术的特洛伊木马的检测技术。     

基于行为分析的木马检测技术研究

木马是以获取主机控制权和窃取信息为主要目的恶意程序,对网络安全和信息安全造成极大危害.首先介绍了木马的工作原理,针对传统木马检测技术比较被动这一缺陷,研究了木马检测新技术—行为分析,进而分析了朴素贝叶斯算法在木马检测中的应用,并在此基础上结合监控技术提出了基于行为分析的木马检测模型,采用朴素贝叶斯算法对可疑行为进行分析与判定,可有效检测已知木马的变种及新型木马,提高木马检测的精准度.     

利用DLL在WinNT下隐藏木马进程

本文讨论了在WinNT下木马隐藏进程的方法,并详细介绍了利用远程线程技术将DLL木巴动态嵌入到其他运行进程的实现过程。     

现代木马植入技术研究及其防范

木马发展至今产生了一些经典植入技术手段,而现代木马植入技术在继承原有经典方法基础上进一步纵深拓展,同时不断挖掘新的手段。对于现代木马主流植入技术,文中从被动植入和主动植入两大方面做了较为系统和详细的研究,其中介绍了一些较新颖的技术方案,概述了突破UAC（User Account Control）安全防护机制的新技术手段,最后提出一些对应的安全防范措施,从而可对现代木马植入技术发展及防护方法有一个针对性的系统把握和认识。     

针对Ghost还原的木马隐蔽驻留技术研究

Ghost还原系统已经被广泛应用于计算机的系统还原,该技术在使用方便的同时,也存在着安全隐患。文中首先介绍了Ghost映像文件的格式,并阐述其解析的过程和原理。然后在此基础上引出针对Ghost还原系统映像的木马隐蔽驻留技术,并剖析了所实现的Ghost映像文件穿越的命令行工具。该工具读取解析Ghost映像文件,然后往其中写入后门文件来实现木马的隐蔽驻留。最后提出了如何预防和检测利用该方法隐蔽驻留的木马,确保系统还原后的完整和安全。     

基于DLL的特洛伊木马隐藏技术研究

隐藏技术一直是木马设计人员研究的重要技术。在分析原有木马隐藏方法的基础上，提出了使用动态链接库（DLL）与线程技术相结合的木马进程隐藏方案，用动态链接库编程技术代替传统木马程序，并用线程嫁接技术将其植入目标进程，具有很好的隐蔽性和灵活性。     

基于综合行为特征的木马检测技术研究

随着计算机网络技术的快速发展和中国信息化工作的快速推进,如何更有效地检测及防范木马是一个重要的研究方向。文中重点讨论的是,在Windows系统下,基于木马综合行为特征分析的木马检测技术、木马分析检测算法和识别方法,设计并实现了一套针对特种木马的检测软件原型系统。     

硬件木马综述

集成电路在设计或制造过程中会受到硬件木马的攻击,使芯片与硬件的安全性受到威胁。硬件木马技术逐渐受到重视,已成为当今一个新的研究热点。文章介绍了硬件木马的概念,对三种主要的硬件木马分类方法进行了分析;着重探讨了硬件木马的检测方法。对检测方法存在的问题与面临的挑战进行了分析,指出基于旁路信号分析的硬件木马检测方法是当前最主要的一种检测方法。     

Rootkit木马隐藏技术分析与检测技术综述

对Rootkit技术和Windows操作系统内核工作流程作了简要介绍,对Rootkit木马的隐藏技术进行了分析,内容包括删除进程双向链表中的进程对象实现进程隐藏、SSDT表内核挂钩实现进程、文件和注册表键值隐藏和端口隐藏等Rootkit木马的隐藏机理,同时还对通过更改注册表和修改寄存器CR0的写保护位两种方式屏蔽WindowsXP和2003操作系统SSDT表只读属性的技术手段做了简要分析。最后对采用删除进程双项链表上的进程对象、更改内核执行路径和SSDT表内核调用挂钩3种Rootkit隐藏木马的检测技术作了概要性综述。     

融入环形振荡器木马特征的无监督硬件木马检测

机器学习用于集成电路硬件木马的检测可以有效提高检测率。无监督学习方法在特征选择上还存在不足,目前研究工作主要集中于有监督学习方法。文章引入环形振荡器木马的新特征,研究基于无监督机器学习的硬件木马检测方法。首先针对待测电路网表,提取每个节点的5维特征值,然后利用局部离群因子(LOF)算法计算各节点的LOF值,筛选出硬件木马节点。对Trust-HUB基准电路的仿真实验结果表明,该方法用于网表级电路硬件木马的检测,与现有基于无监督学习的检测方法相比,TPR(真阳性率)、P(精度)和F(度量)分别提升了16.19%、10.79%和15.56%。针对Trust-HUB基准电路的硬件木马检测的平均TPR、TNR和A,分别达到了58.61%、97.09%和95.60%。