木马攻击与防范技术研究

2008年12月第5卷第4期:理工长江大学学报(自然科学版)　

JournalofYangtzeUniversity(NatSciEdit)　Dec12008,Vol15No14:Sci&Eng

木马攻击与防范技术研究

　　汪北阳　(长江大学计算机科学学院,

湖北荆州434023)

[摘要]分析了木马现有的防范技术的不足之处,在对现有的防范技术缺陷分析的基础上,结合木马静态

特征和木马动态行为特征,提出了一种动静结合的木马检测防范体系。

[关键词]木马攻击;木马防范;网络安全[中图分类号]TP393108

[文献标识码]A　　[文章编号]167321409(2008)042N252202

由于现在应用软件的漏洞很多,木马对计算机的入侵变得越来越容易和普遍。同时木马程序的隐藏技术不断变动和提高,目前的检测手段对木马程序的检测也变得更加困难[1]。针对木马程序技术的更新,研究一种能够有效的检测和防范木马程序的技术显得非常迫切和必要。为此,笔者结合木马静态特征和木马动态行为特征,构建了一个新的木马防范检测体系。1　木马防范技术的现状目前防范木马的手段主要是依靠杀毒软件和网络防火墙所附加的检查功能。杀毒软件主要依靠对木马文件本身的特征以及木马对系统进行修改的行为特征来识别木马,而防火墙软件主要通过对网络通信的控制实现对木马通信的封锁[2]。

木马与病毒的工作原理不同,实现技术也不同,因此,防御的方法也不一样。杀毒软件是病毒的克星,对木马却不一定有效。一些高级的木马大都是单独使用,其曝光的几率小,这些木马即使长时间使用也不会被发现,对这样的木马,杀毒软件无能为力。特别是,随着反弹端口木马和注入式木马的出现,防火墙软件也难以阻止木马的入侵[3]。

2　动静结合的木马检测防范体系

木马隐蔽技术的发展使得木马植入目标系统后在目标系统中越来越隐蔽。传统的基于静态特征的木马检测技术,不仅面对已知木马的各种隐蔽和变化,检测能力不足,而且对于未知的木马更是无能为力、有根本性的缺陷。借鉴基于静态特征的木马检测技术的缺陷、在对木马各种隐蔽行为进行深入分析的基础上,研究了基于动态行为的木马检测防范方法,最后提出结合木马静态特征和木马动态行为特征相结合的检测防范思想,

并构建起基本框架,如图1。

1)动静结合的木马检测防范的基本方法　①根据系统的服务和应用需求及面临的安全威　　图1　木马检测与防范系统框架胁,编辑扫描监控策略和行为分析策略,制定

木马植入、隐蔽和恶意操作所需资源的控制(木马植入运行的资源控制)内容。②根据对已知木马静态

　[收稿日期]2008209216

　[作者简介]汪北阳(19732),男,1997年大学毕业,硕士,讲师,现主要从事计算机网络安全,计算机网络方面的研究工作。

第5卷第4期:理工汪北阳:木马攻击与防范技术研究　・253・

特征和木马动态行为的分析,建立木马的静态特征和动态行为特征库(简称木马动静态特征库)。③依据扫描监控策略的要求和木马动静态特征库的特征分别进行注册表扫描监控、文件目录扫描监控、端口进程关联扫描、可疑调用监控分析以及网络通信过滤等。④发现木马动静态特征库中已有的特征时提交给木马杀除行为阻止模块把木马杀除。⑤把可疑行为情况提交给可疑行为分析模块,可疑行为分析模块根据行为分析策略进行分析判断。如判定可疑行为是木马行为,把木马行为提交给木马杀除行为阻止模块,或先报警用户后由用户进行确定及处理。⑥木马杀除行为阻止模块除阻止或删除木马外,还要捕获木马的行为特征,补充或修正动静态特征库的相关条目,使木马动静态特征库进一步完善。

2)木马动静态特征库　动静态特征库中定义已知木马打开的固定的通信端口,定义已知木马的加载启动方式,已知木马文件中含有的特征字符串,已知木马的一些文件属性,木马的一些恶意操作行为等。3)扫描监控策略　(1)注册表扫描监控策略部分定义。①注册表中能够被木马用于启动的自启动项、关联项及其它一些具有启动功能的特殊项[4]。②注册表中能被木马用于运行形式隐蔽和自身文件隐蔽的特殊项。③注册表中这些项中的一些常见的合法内容。

(2)系统文件目录扫描监控策略部分定义。①保护的系统文件和文件目录。②系统中常见的系统文件。(3)端口进程关联扫描策略部分定义。①系统服务和应用程序常用端口及相应的服务和程序。②系统中常见系统进程、系统的常用服务进程。

(4)可疑调用监控分析策略部分定义。木马常用来进行隐蔽操作和恶意操作的函数调用。4)注册表扫描监控　注册表扫描监控模块,对注册表进行木马隐藏启动扫描,通过已知木马的注册表启动方式检测系统中已有的木马;对注册表操作的监控和保护,通过监控木马的常用启动和提升权限的操作行为检测木马。

5)文件目录扫描监控　文件和目录扫描监控模块有3个功能:①文件完整性检测;②系统文件和目录的操作监控和保护;③利用已知木马文件的特征字符串扫描木马。

6)端口进程关联扫描　通过端口进程关联扫描,根据策略中定义的系统正常端口和进程信息,检测系可疑端口和运行的可疑进程;端口进程关联发现端口寄生行为,检测木马。

7)可疑调用监控分析　程序调用监控策略定义了木马进行隐蔽和其它一些恶意操作时常用的Win32API函数。通过Hook函数监控这些木马常用的Win32API调用。把进行调用的程序和调用的

函数信息作为进一步判定是木马程序的依据报告给行为分析模块。

8)网络通信过滤分析　通过过滤网络通信,破坏木马的通信行为,使木马无法通知控制端,使控制端不能对木马进行控制;对系统中允许的数据包信息进行过滤,根据特征库定义的木马通信信息和行为特征检测木马。

9)可疑行为分析　对各扫描监控模块检测到的可疑行为进行分析,进一步判断是否为木马行为。依据可疑行为分析策略,对各扫描监控模块提交的可疑行为进行综合分析判断。把判断结果提示用户确认或直接转交给木马杀除行为阻止模块进行可疑行为的处理。

3　结　　语

在对木马攻击技术进行系统分析研究的基础上,基于动态行为的木马检测方法通过控制木马的植入、隐蔽、恶意操作所需资源以防范木马;通过扫描监控注册表、文件和目录端口进程关联和可疑调用行为,过滤分析网络通信,来检测木马。此检测防范方法不但对已知的木马有较好的防范能力,对于未知的木马程序也有较好的检测防范能力。

[参考文献]

[1]郭鑫著1防黑档案[M]1北京:电子工业出版社,20051

[2]韩筱卿,王建锋,钟玮1计算机病毒分析与防范大全[M]1北京:电子工业出版社,20061[3]张新宇,卿斯汉,马恒太,等1特洛伊木马隐藏技术研究[J]1通信学报,2004,26(6):21～241[4]张玉清,戴祖锋,谢崇斌1安全扫描技术[M]1北京:清华大学出版社,20041

[编辑]　洪云飞