木马的伪装和免杀技术分析计算机与现代化2022年第1期JISUANJIYUXIANDAIHUA总第161期文章编号:10162475(2022)01002503收稿日期:20071212作者简介:蔺聪(1979),男,河北邯郸人,广东商学院教育技术中心助理工程师,本科,研究方向:信息安全,数据挖掘等;黑霞丽(11011),女,广东商学院信息学院讲师,硕士,研究方向:信息安全等。木马的伪装和免杀技术分析蔺聪1,黑霞丽2(1.广东商学院教育技术中心,广东广州510320;2.广东商学院信息学院,广东广州510320)摘要:首先介绍了木马技术的结构和基本功能,描述了木马的发展概况它的五个发展阶段,及其未来的发展趋势。然后着重从更名换姓、文件捆绑、木马加壳、文件重组四个方面分析了木马的伪装技术。最后从加壳、修改特征码、加花指令、修改内存特征码等方面,分析和介绍了木马的免杀的技术。本文试图通过研究木马的攻击技术,找到防范的途径。关键词:伪装;免杀;加壳;花指令;特征码中图分类号:TP393.08文献标识码:AAnalysisofTechnologyofTrojansDisguiseandAvoidableCleanLINCong1,HEIXiali2(https://www.sodocs.net/doc/7e6871288.htmlcationalTechnologyCenterofGuangdongUniversityofBusinessStudies,Guangzhou510320,China;https://www.sodocs.net/doc/7e6871288.htmlrmationTechnologyCollegeofGuangdongUniversityofBusinessStudies,Guangzhou510320,China)Abstact:Firstly,itsintroducedinthetextthestructure,functions,developmentandcurrentoftheTrojanhorse.Inordertoenterourcomputerstealthily,trojanwilldisguiseitselfbyallmeans,inthesecondpartofthetext,itsintroducedemphaticallyfourdisguisetechnologyforTrojanhorses.ForTrojanhorses,disguiseisthefirststep,toavoidthescanandcleanofantivirussoftware,themostimportantofallistomakethetrojantoavoidclean,inthelast,itisempasisedonaddingshel,lamendingkey,addingnopinstruction,amendingkeyinthememoryinthetext,andtrytofindthemethodofpreventingaccordingtostudythetechnologyoftrojanhoursesattacking.Keywords:disguise;avoidableclean;addshel;lnopinstructon;key1木马技术的发展概况木马程序一般分为客户端程序和服务端程序两部分。客户端程序用于远程控制计算机,而服务端程序则隐藏到远程计算机中,接收并执行客户端程序发出的命令。到目前为止,木马的发展已经历了五代。第一代木马出现在网络发展的早期,功能相对简单,以窃取密码为主要任务,在隐藏和通信方面均无特别之处。第二代木马在技术上有了很大的进步,它使用标准的C/S架构,提供屏幕监视,远程管理等功能。在木马技术发展史上开辟了新的篇章。但是由于植入木马的服务端程序会打开连接端口等候客户端连接,因此比较容易被用户发现。典型的如国产的!冰河?木马。第三代木马在功能上的改变主要在网络连接方式上,它的特征是不打开连接端口进行侦听,而是使用ICMP(网际控制报文协议)进行通信或使用反向连接技术让服务器端主动连接客户端,以突破防火墙的拦截。在数据传递技术上也做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。如:网络神偷(Netthief)、Peep201等。第四代木马在进程隐藏方面做了大改动,采用内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI,实现木马的隐藏。前三代木马,大多都有独立的木马,因此用户可以根据启动项目中的描述内容,很快找到木马,并删除它。但是,第四代木马选择注册表的方式,伪装成DLL文件本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！