2010年第04期，第43态
总第220期·通信保密
通信技术
Communications Technology
木马隐藏技术的研究与分析
刘澜，高悦翔“
Vo1. 43, No. 04, 2010
No. 220, Total1y
（①四川师范大学计算机科孚学院，川成都610068；②四川大学计算机孕院，四川成都610065）
【摘要】以WINDOVS系统环境为基础，分析了常见的木马隐藏技术及其特点，并给出了部分技术的实现原理，首先分析了单一木马程序的常见隐藏技术，然后根据Haro1d Thimbleby提出的木马模型和木马协同稳藏思想，提出了一种基于动态星型结构的本马协同隐藏模型，该模型展现了基于多木马结构的协同隐藏思想，通过采用代理方式通信，提高了各本马程序的隐蔽性和生存周期，增加了追查术马程序控制端地址的难度，
【关键词】特洛伊木马；木马隐藏；协同隐藏模型
【中图分类号】TP393.08
【文献标识码】A
【文章编号】10020802(2010)04007803
StudyandAnalysisofConcealingTechnologyforTrojanHorses
LIULan，
GAO Yue-xiang
( Department of Computer Science, Sichuan Norrs1 University, Chengdu Sichuan 610068, China;
② Department of Corputer, Sichuan University, Chengdu Sichuan 610065, China)
[Abstract] Based the environment of Windows system, this paper analyzes the characteristics and principles of the concealing technology for Trojan Horse and gives the realization principle of some technologies. First, the common concealing technology for single Trojan Horse is discussed, and then, according to the model of Trojan Horse proposed by Harold Thimbleby, a new cooperative concealment model between Trojan Horses based on the cooperative concealment among multiple Trojan horses is presented. This new model increases the difficulty in finding the control side, and improves the concealment of Trojan Horses by using agent method.
【Key words] Trojan Horse: Trojan Horse concealing; cooperative concealment model
0引言
随着互联网络的快速发展，网络安全间邀日益突出。计算机病毒、特洛伊木马以及网络蜻虫等恶意程序对网络安全构成了巨大的威助胁。其中特洛伊木马的破坏最大，它能在高隐蔽性的状态下窃取网民的隐私信息。
通常被感染本马的计算机用户并不知道自已的计算机已被感染。这是由于木马程序具有很高的隐蔽性，它能在看似无任何异常的情况下，秘密操控远程主机，进行破坏活动。本文主要针对本马的隐藏技术展开研究，揭示了本马各种隐
激技术的实现原理和技术手段。 1程序隐蔽
木马程序隐藏通常指利用各种手段伪装木马程序，让一收稿日期：2009-02-28.
基金项目：川省大学生创新性实验计划项目。
作者简介：刘润（1986-），男，土研究生，主要研究方向为计算机
网络安全；高悦期（1975-），男，硕土，讲师，主要研究方向为信息安全。
78
般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序拥绑的方式实现。
程序捆绑方式是将多个exe程序链接在一起组合成一个 exe文件，当运行该exe文件时，多个程序同时运行。程序捆绑有多种方式，如将多个exe文件以资源形式组合到一个 exe文件中或者利用专用的安装打包工具将多个exe文件进行组合，这也是许多程序搁绑流氓软件的做法。
因此，木马程序可以利用程序捆绑的方式，将自已和正常的exe文件进行拥绑。当双击运行搁绑后的程序时，正常的exe文件运行了，面本马程序也在后台悄悄地运行，
程序隐藏只能达到从表面上无法识别木马程序的目的，但是可以通过任务管理器中发现木马程序的踪迹，这就需要
本马程序实现进程隐藏。 2进程隐蔽
隐藏木马程序的进程显示能防止用户通过任务管理器查者到本马程序的进程，从而提高本马程序的隐散性。目前，