DLL木马隐藏技术研究

摘要

计算机和网络技术的快速发展给社会带来了巨大的变化。随着技术的发展,人们在享受技术带来的便利的同时,对计算机的依赖性也随之增强。越来越多新型病毒的出现,使人们目光更多聚集于计算机网络安全。同时,木马技术也伴随着计算机系统和网络技术的发展在不断地升级,并且总是走在技术的前沿。尤其是木马隐藏技术,它是木马生存能力的体现,决定着木马在宿主计算机内的生存时间以及对目标的影响程度。
　　 本文主要研究的是DLL木马的隐藏技术。首先介绍了木马技术的特点及发展历程,然后详细阐述了几种基于ROOTKIT技术的DLL木马隐藏技术。这些技术主要包括:建立远程线程将DLL注入到任意一个宿主进程的地址空间；将DLL木马从宿主进程的模块链表中摘除；从系统进程链表摘除宿主进程；在SSDT中钩住遍历系统进程链表和进程模块的函数并过滤掉被检测出来的DLL木马；修改VAD中的DLL模块信息和宿主进程信息；最后再隐藏托盘中的宿主进程图标。在DLL木马完成其功能后,能够恢复系统进程链表,使系统恢复到植入木马前的正常状态。
　　 最后,在Windows XP系统上进行了功能测试,并用相关的工具进行测试。测试结果表明在Windows XP系统下能成功躲避检测工具的检测,达到了预期的设计目标。

目录

文摘

英文文摘

第一章 绪论

1.1 研究背景

1.2 木马相关原理及其发展

1.2.1 木马功能分类

1.2.2 木马隐藏方式分析

1.2.3 木马技术的发展及趋势

1.3 Rootkit相关知识

1.3.1 Ring0与Ring3

1.3.2 Rootkit木马

1.4 本文的主要工作及章节安排

第二章 进程中注入DLL木马

2.1 DLL与木马

2.2 DLL与进程的地址空间

2.3 DLL模块的建立

2.4 DLL模块的加载

2.5 DLL注入方法

2.5.1 使用注册表注入DLL

2.5.2 使用Windows钩子注入DLL

2.5.3 使用特洛伊DLL来注入DLL

2.5.4 使用远程线程来注入DLL

2.6 DLL的执行顺序

2.7 DLL木马注入的实现及结果分析

2.8 本章小结

第三章 隐藏DLL模块

3.1 断开模块链表

3.2 断开模块链表的实现及结果分析

3.3 修改VAD隐藏模块

3.4 修改VAD的实现及结果分析

3.5 本章小结

第四章 隐藏DLL木马的宿主进程

4.1 Windows内存管理

4.1.1 物理内存地址和虚拟内存地址

4.1.2 用户模式地址和内核模式地址

4.1.3 内存保护

4.2 使用HOOK技术隐藏进程

4.2.1 内核函数系列

4.2.2 HOOK技术

4.2.3 用HOOK技术隐藏进程的实现及结果分析

4.3 使用DKOM技术隐藏进程

4.3.1 EPROCESS结构及其查找

4.3.2 从进程链表中摘除宿主进程

4.3.3 恢复进程至活动进程链表

4.3.4 用DKOM技术隐藏进程的实现及结果分析

4.4 隐藏托盘图标

4.5 本章小结

结论

致谢

参考文献

在读期间的研究成果

附录 A:EPROCESS结构

附录 B:TEB结构

附录 C:PEB结构