|
知识路径: > 恶意代码防范技术原理 > 特洛伊木马分析与防护 > 特洛伊木马技术(特洛伊木马植入技术、特洛伊木马隐藏技术、特洛伊木马存活技术等) > 特洛伊木马隐藏技术 >
|
相关知识点:2个
|
|
|
|
现在的操作系统具有支持LKM(Loadable Kernel Modules)的功能,通过LKM可增加系统功能,而且不需要重新编译内核,就可以动态地加载,如Linux、Solaris和FreeBSD都支持LKM。木马设计者利用操作系统的LKM功能,通过替换或调整系统调用来实现木马程序的隐藏,常见的技术方法如下:
|
|
|
. 文件隐藏。如在Linux中,通过改变sys_getdents( )的系统调用功能可实现相应的文件、路径隐藏。
|
|
|
. 进程隐藏。木马程序事先替换或拦截显示进程信息的系统调用,避免管理员通过ps等相关进程查看命令发现木马进程,从而实现木马的本地隐藏。
|
|
|
. 通信连接隐藏。网络操作系统一般提供本地通信连接信息查看命令,如netstat。为避免网络管理员发现木马的通信活动,木马设计者将设法替换或拦截与通信连接信息查看相关的系统调用,使得管理员无法真正获取受害主机的网络木马通信连接信息。
|
|
|