特洛伊木马攻击分析与检测技术研究 .pdfVIP

维普资讯

本

进程与端口之间的映射，同时扫描注册表，扫描系统的是典型代表之一；

ＩＮＩ文件等几种方法相结合，实现了一个检测特洛伊木马（３）第三代木马在数据传输技术上做了不小的改进，

攻击的工具，能够检测各类利用ＴＣＰ、ＵＤＰ等进行通讯出现了ＩＣＭＰ等类型的木马，利用畸形报文传递数据，增

的木马，加强了网络安全。加了查杀的难度；

（４）第四代木马在进程隐藏方面做了大的改动，采用

特洛伊木马程序的发作表现及其发展历史了内核插入式的嵌入方式，利用远程插入线程技术，嵌入

一

如果用户计算机中了木马，那么发作时的情况多种多ＤＬＬ线程，或者挂接ＰＳＡＰＩ，实现木马程序的隐藏。

样，常见表现如下：＝特洛伊木马技术原理

（１）计算机有时死机，有时又重新启动；特洛伊木马是一种基于Ｃ／Ｓ架构的网络通信软件，

（２）莫名其妙地读写硬盘或软驱，光驱莫名其妙地开仓般情况下可分为客户端程序和服务器端程序两部分，其

一

（３）用户并没有运行大的程序，系统速度变慢，系统中服务器端在目标计算机上驻留，客户端被控制者操纵。

资源占用变多；通常情况下，由客户端程序通过某种方法，主动与服务器

（４）在任务管理器中出现一些陌生且奇怪的进程名，端程序连接并建立通信关系，对目标计算机进行操纵。现

它们明显不应该出现在这里。在比较流行的“反弹端口”的木马，由服务器端主动向客

出现上述现象，说明用户计算机有可能中了木马，当户端发出建立连接的请求并建立通信关系。著名的木马“灰

然，也有可能是其他病毒在作怪。特洛伊木马具有隐蔽性，鸽子”就采用了这种技术。

这是木马程序的一大特点，同时也是它与远程控制类软件特洛伊木马可以通过多种方法与特定的程序进行关

（如Ｗｉｎｄｏｗｓ自带的“远程桌面连接”）的主要区别。联，当目标计算机系统启动后，如果用户不幸打开了被木

特洛伊木马程序发展至今，已经经历了４代：马用来关联的程序，则木马的服务器端程序将被激活，并

（１）第一代木马，即是简单的密码窃取，发送等；开始打开端口，建立与远程对应的客户端程序的通信。通

机理，进一步探索和研究，最终让我们的网络和计算机达【５】彭君。融合环境下的终端安全技术。信息安全决策者大

到“百毒不侵”的最终目标。ｏ会２００６，北京．

【４】林海等，《计算机网络安全》，高等教育出版社，２００１．７

参考文献【５】劳帼龄．网络安全与管理．【Ｍ】．北京：高等教育出版社