|
知识路径: > 恶意代码防范技术原理 > 特洛伊木马分析与防护 > 特洛伊木马技术(特洛伊木马植入技术、特洛伊木马隐藏技术、特洛伊木马存活技术等) >
|
相关知识点:13个
|
|
|
|
特洛伊木马的设计者为了逃避安全检测,就要设法隐藏木马的行为或痕迹,其主要技术目标就是将木马的本地活动行为、木马的远程通信过程进行隐藏。
|
|
|
|
现在的操作系统具有支持LKM(Loadable Kernel Modules)的功能,通过LKM可增加系统功能,而且不需要重新编译内核,就可以动态地加载,如Linux、Solaris和FreeBSD都支持LKM。木马设计者利用操作系统的LKM功能,通过替换或调整系统调用来实现木马程序的隐藏,常见的技术方法如下:
|
|
|
. 文件隐藏。如在Linux中,通过改变sys_getdents( )的系统调用功能可实现相应的文件、路径隐藏。
|
|
|
. 进程隐藏。木马程序事先替换或拦截显示进程信息的系统调用,避免管理员通过ps等相关进程查看命令发现木马进程,从而实现木马的本地隐藏。
|
|
|
. 通信连接隐藏。网络操作系统一般提供本地通信连接信息查看命令,如netstat。为避免网络管理员发现木马的通信活动,木马设计者将设法替换或拦截与通信连接信息查看相关的系统调用,使得管理员无法真正获取受害主机的网络木马通信连接信息。
|
|
|
|
特洛伊木马除了在远程目标端实现隐藏外,还必须实现远程通信过程的隐藏,包括通信内容和通信方式的隐藏,只有这样才能增强特洛伊木马的生存能力。木马用到的远程通信隐藏的关键技术方法如下:
|
|
|
. 通信内容加密技术,这是传统的方法,是将木马通信的内容进行加密处理,使得网络安全管理员无法识别通信内容,从而增强木马的通信保密性。
|
|
|
. 通信端口复用技术,指共享复用系统网络端口来实现远程通信,这样既可以欺骗防火墙,又可以少开新端口。端口复用是在保证端口默认服务正常工作的条件下进行复用,具有很强的隐蔽性。
|
|
|
. 网络隐蔽通道,指利用通信协议或网络信息交换的方法来构建不同于正常的通信方式。特洛伊木马的设计者将利用这些隐蔽通道绕过网络安全访问控制机制秘密地传输信息。由于网络通信的复杂性,特洛伊木马可以用隐蔽通道技术掩盖通信内容和通信状态。
|
|
|
|
|
|