**动态嵌入的实现动态嵌入的实现步骤①通过OpenProcess函数打开试图嵌入的进程因为需要写入远程进程的内存地址空间,所以必须申请足够的权限,包括远程创建线程、远程VM操作、远程VM写权限②为LoadLibraryW函数线程启动DLL木马准备参数LoadLibraryW函数是在kernel32.dll中定义的一个功能函数,用于加载DLL文件,它只有一个参数,就是DLL文件的绝对路径名(也就是木马DLL文件的全路径文件名)。由于木马DLL是在远程进程内调用的,所以还需要将这个文件名复制到远程地址空间③计算LoadLibraryW的入口地址,启动远程线程LoadLibraryW,通过远程线程调用木马DLL可以用远程线程技术启动木马DLL,也可以事先将一段代码复制到远程进程的内存空间,然后通过远程线程起动这段代码第30页,共47页,星期日,2025年,2月5日**文件隐藏早期,把病毒文件属性设为隐藏,修改文件不显示隐藏文件。高级阶段通过HOOK文件读取函数,自动隐藏病毒文件。公开的主流检测隐藏文件主要有两种方法:第一种是文件系统层的检测,属于这一类的有Icesword,darkspy,gmer等。第二种便是磁盘级别的低级检测(DiskLow-LevelScanning),属于这一类的ark也很多,典型代表为rootkitunhooker,filereg(is的插件),rootkitrevealer,blacklight等。第31页,共47页,星期日,2025年,2月5日**加壳木马再狡猾,可是一旦被杀毒软件定义了特征码,在运行前就被拦截了。要躲过杀毒软件的追杀,很多木马就被加了壳,相当于给木马穿了件衣服,这样杀毒软件就认不出来了,但有部分杀毒软件会尝试对常用壳进行脱壳,然后再查杀。除了被动的隐藏外,最近还发现了能够主动和杀毒软件对着干的壳,木马在加了这种壳之后,一旦运行,则外壳先得到程序控制权,由其通过各种手段对系统中安装的杀毒软件进行破坏,最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己体内的木马体并执行之。第32页,共47页,星期日,2025年,2月5日**通信隐藏通信隐藏是指利用授权的通信手段和载体进行在系统安全策略允许之外的非授权的通信活动。通信隐藏主要包括通信内容、流量、信道和端口的隐藏。木马常用的通信隐藏方法是对传输内容加密,这可以采用常见/自定义的加密、解密算法实现,但这只能隐藏通信内容,无法隐藏通信信道。采用网络隐蔽通道技术不仅可以成功地隐藏通信信道,还可以隐藏通信内容。第33页,共47页,星期日,2025年,2月5日关于木马病毒原理及特征分析**第1页,共47页,星期日,2025年,2月5日**特洛伊木马的定义特洛伊木马(TrojanHorse),简称木马,是一种恶意程序,是一种基于远程控制的黑客工具,一旦侵入用户的计算机,就悄悄地在宿主计算机上运行,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘,或窃取用户信息古希腊特洛伊之战中利用木马攻陷特洛伊城;现代网络攻击者利用木马,采用伪装、欺骗(哄骗,Spoofing)等手段进入被攻击的计算机系统中,窃取信息,实施远程监控第2页,共47页,星期日,2025年,2月5日**特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源,是恶意攻击者进行窃取信息等的工具。他由黑客通过种种途径植入并驻留在目标计算机里。第3页,共47页,星期日,2025年,2月5日**木马可以随计算机自动启动并在某一端口进行侦听,在对目标计算机的的数据、资料、动作进行识别后,就对其执行特定的操作,并接受“黑客”指令将有关数据发送到“黑客大本营”。这只是木马的搜集信息阶段,黑客同时可以利用木马对计算机进行进一步的攻击!这时的目标计算机就是大家常听到的“肉鸡”了!第4页,共47页,星期日,2025年,2月5日**2.特洛伊木马病毒的危害性特洛伊木马和病毒、蠕虫之类的恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序。除此以外,木马还有其自身的特点:?窃取内容;?远程控制。第5页,共47页,星期日,2025年,2月5日**第6页,共47页,星期日,2025年,2月5日**常见的特洛伊木马,例如BackOrifice和SubSeven等,都是多用