木馬技術(shù)探析

陳洪昌

(西安電子科技大學(xué) 電子信息攻防對(duì)抗與仿真重點(diǎn)實(shí)驗(yàn)室,陜西 西安 710071)

木馬技術(shù)探析

陳洪昌

(西安電子科技大學(xué) 電子信息攻防對(duì)抗與仿真重點(diǎn)實(shí)驗(yàn)室,陜西 西安 710071)

互聯(lián)網(wǎng)的開放性在給人們帶來便利的同時(shí),也加快了惡意代碼的傳播。黑客利用木馬程序隱藏在用戶計(jì)算機(jī)中,對(duì)受害用戶進(jìn)行信息竊取、破壞數(shù)據(jù)、監(jiān)控用戶行為等操作。文中介紹了計(jì)算機(jī)木馬的原理、植入技術(shù)、隱藏技術(shù)。并通過研究目前最新的殺毒軟件的查殺原理,實(shí)現(xiàn)了針對(duì)殺毒軟件中特征碼查殺以及主動(dòng)防御技術(shù)的繞過,并在安裝具備這兩種功能的殺毒軟件的Windows 7操作系統(tǒng)中成功免殺,可成功繞過殺毒軟件的查殺。

木馬;主動(dòng)防御;免殺技術(shù)

互聯(lián)網(wǎng)的開放性給人們帶來了便利,也加快了惡意代碼的傳播,特別是人們可以直接從網(wǎng)站獲得惡意代碼源碼或通過網(wǎng)絡(luò)交流代碼。很多編程愛好者把自己編寫的惡意代碼放在網(wǎng)上公開討論,發(fā)布自己的研究成果,直接推動(dòng)了惡意代碼編寫技術(shù)的發(fā)展。所以目前網(wǎng)絡(luò)上流行的惡意代碼及其變種層出不窮,攻擊特點(diǎn)多樣化。隨著計(jì)算機(jī)的發(fā)展以及網(wǎng)絡(luò)水平的不斷提高,特洛伊木馬的技術(shù)也日趨多樣化,這在很大程度上推動(dòng)了木馬技術(shù)的發(fā)展。

1 木馬的原理

在計(jì)算機(jī)網(wǎng)絡(luò)安全中,木馬[1]是指一類偽裝成合法程序或隱藏在合法程序中的惡意代碼,這些代碼或者執(zhí)行惡意行為,或者為非授權(quán)訪問系統(tǒng)的特權(quán)功能而提供后門。木馬是一種危害大、檢測(cè)困難的高級(jí)攻擊工具,感染了木馬的計(jì)算機(jī)將面臨數(shù)據(jù)丟失和機(jī)密泄露的危險(xiǎn)。

大多數(shù)木馬程序都包括客戶端和服務(wù)器端[2-4]兩部分。服務(wù)器端是植入到目標(biāo)計(jì)算機(jī)的部分,客戶端是安裝在自己PC機(jī)上的部分,作用是用來連接木馬服務(wù)器端,監(jiān)視或者控制目標(biāo)計(jì)算機(jī)。當(dāng)服務(wù)器端在目標(biāo)計(jì)算機(jī)上被執(zhí)行后,木馬便會(huì)打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽,當(dāng)客戶端向服務(wù)器端發(fā)起連接請(qǐng)求時(shí),服務(wù)器端的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行來應(yīng)答客戶端的請(qǐng)求,當(dāng)服務(wù)器端程序與客戶端建立連接后,服務(wù)器端就可以在目標(biāo)計(jì)算機(jī)中執(zhí)行由客戶端發(fā)出的指令,并將數(shù)據(jù)傳回到客戶端,以達(dá)到控制目標(biāo)主機(jī)的目的。

2 木馬植入技術(shù)

通過電子郵件附件夾帶的方式,是應(yīng)用最廣泛的方法。控制端將木馬程序以附件或圖標(biāo)等形式夾在郵件中發(fā)送出去,例如漂亮的網(wǎng)頁(yè)或電子賀卡等。當(dāng)用戶點(diǎn)擊這些圖標(biāo)的同時(shí)也下載了木馬程序。

夾帶在一些共享軟件中。黑客經(jīng)常將特洛伊木馬程序做進(jìn)這些軟件中,這種方式用得較多且成功的概率也大。比如,常稱之為某個(gè)共享軟件的升級(jí)版或者是系統(tǒng)補(bǔ)丁等,大多數(shù)人都希望自己用的是最新版本,這樣當(dāng)用戶下載時(shí)相應(yīng)地也把木馬程序下載到自己的機(jī)器上了。

通過網(wǎng)頁(yè)腳本程序植入。木馬和網(wǎng)頁(yè)捆綁在一起,當(dāng)用戶瀏覽到該網(wǎng)頁(yè),就會(huì)在不知不覺中下載其捆綁的木馬并執(zhí)行。其中網(wǎng)頁(yè)是網(wǎng)頁(yè)木馬的核心部分,特定的網(wǎng)頁(yè)代碼使得網(wǎng)頁(yè)被打開時(shí),木馬能隨之下載和執(zhí)行。木馬就是普通的木馬文件,被捆綁在網(wǎng)頁(yè)里,能夠跟隨網(wǎng)頁(yè)自動(dòng)打開,實(shí)現(xiàn)各種木馬功能。有利用Activex控件實(shí)現(xiàn)的網(wǎng)頁(yè)木馬;也有欺騙型網(wǎng)頁(yè)木馬;更多的網(wǎng)頁(yè)木馬是利用IE瀏覽器的漏洞來實(shí)現(xiàn)的。

3 木馬隱藏技術(shù)

木馬被植入到目標(biāo)主機(jī)后,通常利用各種手段來隱藏自己,以避免被發(fā)現(xiàn)追蹤,盡可能延長(zhǎng)其在目標(biāo)主機(jī)中的生存期。要讓木馬在主機(jī)中消失得無影無蹤,需要對(duì)木馬進(jìn)行多種隱藏[5]處理。下面對(duì)目前提高木馬隱蔽性[6]的方式進(jìn)行介紹。

啟動(dòng)隱藏是木馬在計(jì)算機(jī)啟動(dòng)的時(shí)候進(jìn)行隱藏加載從而達(dá)到不被用戶發(fā)現(xiàn)的目的。經(jīng)典的啟動(dòng)隱藏方式有:修改計(jì)算機(jī)啟動(dòng)項(xiàng),修改注冊(cè)表,新建服務(wù),更改配置文件,替換組策略等方法。但是,這種啟動(dòng)方式由于涉及到系統(tǒng)的敏感文件,因此比較容易被安全工具檢測(cè)到。

文件隱藏一般分為兩種隱藏方式,一是對(duì)木馬文件進(jìn)行一定的偽裝,使用戶認(rèn)為該文件為合法文件。二是隱藏木馬文件,不被用戶發(fā)現(xiàn)。對(duì)于第一種隱藏方式,一般木馬文件會(huì)修改自身的屬性以及將文件名設(shè)置成與一些無害的文件同名,來達(dá)到混淆視聽的目的。對(duì)于第二種隱藏方式,木馬文件會(huì)在運(yùn)行后刪除自身,并將其放置到系統(tǒng)目錄或者用戶比較少瀏覽的目錄下,甚至引導(dǎo)區(qū)都可以成為木馬文件用來隱藏的位置。

通信隱藏[7],主要有主機(jī)中通信所用到的各個(gè)方面的隱藏,如通信端口,流量和內(nèi)容。對(duì)通信內(nèi)容使用加密或者替換數(shù)據(jù)包的發(fā)送順序可以實(shí)現(xiàn)對(duì)通信內(nèi)容的隱藏。通信端口的隱藏可以使用HOOK技術(shù)或者端口復(fù)用技術(shù)來實(shí)現(xiàn)。通信中產(chǎn)生的流量可以使用隱蔽通道的方法實(shí)現(xiàn),在TCP/IP的協(xié)議中存在大量的冗余信息,利用這些信息建立隱蔽通道可以實(shí)現(xiàn)隱藏流量,突破安全機(jī)制的目的。

進(jìn)程隱藏的目的是為了讓正在運(yùn)行的木馬程序不被用戶發(fā)現(xiàn)。進(jìn)程的隱藏有兩個(gè)實(shí)現(xiàn)方向:讓木馬進(jìn)程不在進(jìn)程列表中顯示;讓木馬的進(jìn)程徹底消失,不以一個(gè)進(jìn)程或服務(wù)的方式工作。前者利用HOOK技術(shù),控制安全工具的相關(guān)調(diào)用,使其不能檢測(cè)到當(dāng)前運(yùn)行的木馬進(jìn)程或服務(wù)。后者則是依靠遠(yuǎn)程線程或DLL注入等方式將木馬代碼注入到合法的進(jìn)程中,用戶一般很難發(fā)現(xiàn)合法進(jìn)程中的注入木馬部分,從而實(shí)現(xiàn)在進(jìn)程或者服務(wù)層面上的真正隱藏。

內(nèi)核模塊隱藏是指木馬將程序中的內(nèi)核模塊部分進(jìn)行隱藏處理。為了不被安全工具中檢測(cè)程序驅(qū)動(dòng)信息模塊檢測(cè)出木馬中存在的惡意內(nèi)核代碼,內(nèi)核模塊的隱藏處理是必不可少的。要實(shí)現(xiàn)對(duì)程序內(nèi)核模塊的隱藏,黑客一般采用Rootkit[8-14]技術(shù)。

4 主動(dòng)防御木馬免殺技術(shù)

所謂主動(dòng)防御[15-22],是相對(duì)于傳統(tǒng)被動(dòng)防御軟件而言的。主動(dòng)防御具備以下優(yōu)勢(shì):病毒查殺的實(shí)時(shí)性、專業(yè)的病毒檢測(cè)規(guī)則庫(kù)、自動(dòng)判斷新病毒。

API掛鉤[23]就是通過掛鉤來找到需要修改的API函數(shù)的入口點(diǎn),改變它的地址使其指向新的自定義函數(shù)。API掛鉤最初并不是為了殺毒軟件服務(wù)而設(shè)計(jì)的。最早的時(shí)候開發(fā)人員對(duì)于Windows提供的API功能不滿意,為了修改這些API,使之能更好地服務(wù)于程序,開發(fā)人員設(shè)計(jì)了API掛鉤的方法。按照掛鉤的方式,有兩層的掛鉤方法,分別是用戶模式掛鉤和內(nèi)核模式掛鉤。

在用戶模式中,以下的一些API經(jīng)常被惡意程序調(diào)用來實(shí)現(xiàn)惡意功能。例如:文件操作API,CreateFile[19-20]和WriteFile[19-20],這兩個(gè)API分別用來創(chuàng)建和寫入一個(gè)文件;動(dòng)態(tài)庫(kù)操作API,LoadLibrarey和FreeLibrary,這兩個(gè)API用于創(chuàng)建和釋放操作動(dòng)態(tài)鏈接庫(kù)的句柄;進(jìn)程、線程操作API,CreateProcess和CreateRemoteThread,前者用于創(chuàng)建一個(gè)進(jìn)程,后者用來注入遠(yuǎn)程線程,其中CreateRemoteThread這個(gè)API是大部分安全軟件的關(guān)注對(duì)象。還有WriteProcessMemory這個(gè)用來寫入進(jìn)程內(nèi)存的API和WinExec這個(gè)執(zhí)行命令的API也是安全軟件中危險(xiǎn)級(jí)別比較高的API。

根據(jù)惡意程序的特性,網(wǎng)絡(luò)連接是必不可少的部分。大多數(shù)主動(dòng)防御安全軟件對(duì)于未經(jīng)驗(yàn)證的程序發(fā)起的網(wǎng)絡(luò)連接也會(huì)進(jìn)行攔截。用于建立連接的API也通常會(huì)被認(rèn)為是惡意程序在調(diào)用的API,如:connect,accept,listen和bind。

API的調(diào)用時(shí)通過加載其所在的DLL模塊來實(shí)現(xiàn)的。這其中最主要的DLL是kerne132.d11[19],user32.d11[19]和gdi.dllo kerne132.d11[19]屬于內(nèi)核文件,主要負(fù)責(zé)管理系統(tǒng)內(nèi)存、操作數(shù)據(jù)和處理中斷,系統(tǒng)啟動(dòng)后,kerne132.d11就占據(jù)一塊區(qū)域,該區(qū)域的屬性為寫保護(hù),之后其他程序都不能使用這個(gè)區(qū)域。User32.d11則是提供與用戶進(jìn)行交互的接口,其中有界面、消息等。gdi.dll是Windows GDI圖形用戶界面相關(guān)程序,包含的函數(shù)用來繪制圖像和顯示文字。而建立網(wǎng)絡(luò)連接的API則是在w2_32.d11模塊中被定義。

Windows API[20]調(diào)用通過查找導(dǎo)入地址表(IAT)的虛擬地址來查找相應(yīng)的API函數(shù)并對(duì)其進(jìn)行調(diào)用。程序中調(diào)用的API函數(shù)的執(zhí)行代碼不在程序的實(shí)現(xiàn)代碼中,而是在一個(gè)或多個(gè)DLL中。當(dāng)可移植的執(zhí)行體(PE)文件被裝入內(nèi)存時(shí),Windows就會(huì)通過裝載器把DLL裝入,并會(huì)調(diào)用導(dǎo)入函數(shù)的指令和函數(shù)實(shí)際所處地址聯(lián)系起來,這也就是動(dòng)態(tài)鏈接的概念,這部分需要導(dǎo)入地址表來實(shí)現(xiàn)。這個(gè)動(dòng)態(tài)鏈接的方法在代碼中實(shí)現(xiàn)表現(xiàn)為L(zhǎng)oadLibrary[23]和GetProcAddress[23]兩個(gè)API的配合。LoadLibrary加載需要調(diào)用DLL模塊到代碼中,并返回一個(gè)模塊句柄HMODULE,GetProcAddress利用前面返回的句柄的需要調(diào)用的API名稱,得到該API的地址,通過API的地址就可以實(shí)現(xiàn)對(duì)API的調(diào)用。這兩個(gè)函數(shù)位于kerne132.d11中,這也是前面提到kerne132.d11會(huì)在啟動(dòng)時(shí)駐留在特定寫保護(hù)區(qū)域的原因。簡(jiǎn)單地說,API的調(diào)用就是程序通過IAT表來查找API函數(shù)實(shí)際地址的過程。

根據(jù)API的調(diào)用流程,利用IAT的特性,修改IAT中某個(gè)API的地址,讓它指向另一個(gè)函數(shù)的入口點(diǎn),那么目標(biāo)進(jìn)程中的相應(yīng)API就會(huì)被重定位到用戶指定的函數(shù)上去,這就是用戶模式API掛鉤技術(shù)。

與用戶模式掛鉤中IAT類似,內(nèi)核模式的系統(tǒng)調(diào)用掛鉤需要用到的是SSDT(System Services Descriptor Table)系統(tǒng)服務(wù)描述符表,這個(gè)表把ring3的Windows API和ring0的內(nèi)核級(jí)API聯(lián)系起來。SSDT與IAT不同,它并不僅僅是一個(gè)包含有大量地址的索引表,另外其中還帶有許多有用的信息。內(nèi)核中的系統(tǒng)服務(wù)描述符表有兩個(gè):一個(gè)是KeServiceDescriptorTable,由ntoskrnl.exe導(dǎo)出;另一個(gè)是KeServiceDescriptorTableShadow,沒有導(dǎo)出。

虛擬機(jī)技術(shù)就是利用虛擬機(jī)對(duì)程序的執(zhí)行進(jìn)行監(jiān)控,判斷其危害性并反饋給用戶的一項(xiàng)技術(shù)。通過模擬CPU的指令系統(tǒng),內(nèi)存管理系統(tǒng),操作系統(tǒng),應(yīng)用程序編程接口(API)調(diào)用來實(shí)現(xiàn)在原始主機(jī)上構(gòu)造一個(gè)虛擬機(jī),并用來監(jiān)控惡意程序的行為。這是一個(gè)純粹的環(huán)境,惡意程序在其中運(yùn)行和當(dāng)前的系統(tǒng)環(huán)境相隔離,在惡意程序運(yùn)行時(shí)對(duì)該程序進(jìn)行脫殼、解密、行為判斷等功能。在虛擬機(jī)中,惡意程序的動(dòng)態(tài)脫殼操作就不會(huì)對(duì)系統(tǒng)環(huán)境造成影響,待脫殼完成后即可對(duì)惡意程序進(jìn)行更加深入的程序行為監(jiān)控。

從運(yùn)行行為上來看,一個(gè)程序如果對(duì)操作系統(tǒng)進(jìn)行可疑的操作,如修改注冊(cè)表,添加系統(tǒng)服務(wù),或者在系統(tǒng)目錄下創(chuàng)建文件等,傳統(tǒng)的查毒方式會(huì)使用特征碼比對(duì)和API掛鉤技術(shù)對(duì)程序的行為進(jìn)行監(jiān)控,但是這樣的查毒方式很容易通過簡(jiǎn)單的代碼修改來繞過。而虛擬機(jī)查毒技術(shù)則是讓程序在虛擬環(huán)境下運(yùn)行后,觀察操作系統(tǒng)的運(yùn)行狀態(tài),例如注冊(cè)表中發(fā)生變化,系統(tǒng)服務(wù)中服務(wù)的ServiceDll鍵值被刪除或者改寫,system32目錄下有新創(chuàng)建的文件等操作就會(huì)一目了然。相比于傳統(tǒng)的惡意程序查殺方式,這種查毒的技術(shù)顯然更有效。目前,虛擬機(jī)的查毒技術(shù)也在不斷地發(fā)展,一些相關(guān)產(chǎn)品也己經(jīng)用于人們的日常生活中,如沙盒技術(shù)。

5 木馬免殺測(cè)試

本次免殺測(cè)試[14]的測(cè)試系統(tǒng)為安裝了64位Windows 7操作系統(tǒng)的虛擬機(jī),測(cè)試免殺的殺毒軟件為賽門鐵克公司的Symantec Endpoint Protection。在該殺毒軟件中裝載了主動(dòng)防御的模塊SONAR。

將未經(jīng)過免殺處理的木馬服務(wù)端server.exe放入虛擬機(jī),并對(duì)其進(jìn)行病毒掃描。如圖1所示,殺毒軟件檢測(cè)出Trojan Horse風(fēng)險(xiǎn)。

圖1 檢測(cè)到風(fēng)險(xiǎn)

然后使用免殺技術(shù)對(duì)木馬服務(wù)端進(jìn)行免殺處理,將處理過的木馬服務(wù)端放入虛擬機(jī)中并進(jìn)行病毒掃描。如圖2所示,殺毒軟件發(fā)現(xiàn)風(fēng)險(xiǎn)為0,服務(wù)端成功繞過殺毒軟件的檢測(cè)。

圖2 未發(fā)現(xiàn)風(fēng)險(xiǎn)

運(yùn)行木馬服務(wù)端后,如圖3所示在控制端可以看到木馬己經(jīng)上線,IP地址為192.168.179.134,操作系統(tǒng)為Windows 7 SP1。實(shí)驗(yàn)證明,木馬的免殺技術(shù)對(duì)于擁有主動(dòng)防御引擎的殺毒軟件Symantec Endpoint Protection是有效的。

圖3 木馬服務(wù)端成功上線

6 結(jié)束語(yǔ)

對(duì)于一個(gè)計(jì)算機(jī)的完整安全系統(tǒng)來說,如果只突破其操作系統(tǒng)自帶的安全機(jī)制是不夠的。隨著網(wǎng)絡(luò)的普及以及人們安全意識(shí)的提高,一臺(tái)計(jì)算機(jī)中往往會(huì)安裝有殺毒軟件。因此,木馬的免殺技術(shù)對(duì)于木馬的可存活性也是至關(guān)重要的。本文通過研究目前最新的殺毒軟件的查殺原理,實(shí)現(xiàn)了針對(duì)殺毒軟件中特征碼查殺以及主動(dòng)防御技術(shù)的繞過,并在裝有具備這兩種功能的殺毒軟件的Windows 7操作系統(tǒng)中成功免殺。

[1] Trostle J T,Mitre Corp,Bedford Ma.Multiple Trojan horse systems and covert channel analysis[C].Tokyo:Computer Security Foundations Workshop IV,1991:22-33.

[2] Ahsan K,Kundur D.Pratical data hiding in TCP/IP[C].French Rrviera:Proceeding Worksshop on Multimedia Security at ACM Multimedia,2002.

[3] Wikipedia.The definition of Rootkit [EB/OL].(2012-12-26)[2014-07-03]www.http://en.wikipedia.org/wild/Rootkit.

[4] 胡和君.Windows Rootkit技術(shù)研究與應(yīng)用[D].成都:電子科技大學(xué),2009.

[5] 斯魯杰.DLL木馬隱藏技術(shù)研究[D].西安:西安電子科技大學(xué),2011.

[6] 劉牧星.木馬攻擊與隱藏技術(shù)研究[D].天津:天津大學(xué),2006.

[7] 王德強(qiáng).惡意代碼設(shè)計(jì)和分析技術(shù)的研究與實(shí)現(xiàn)[D].北京:清華大學(xué),2005.

[8] 曹峰.木馬病毒隱藏方法研究與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2012.

[9] 王超.基于特洛伊木馬技術(shù)的計(jì)算機(jī)遠(yuǎn)程控制研究與實(shí)現(xiàn)[D].鄭州:解放軍信息工程大學(xué),2009.

[10]毛輝.木馬原理分析與系統(tǒng)實(shí)現(xiàn)[D].西安:西安科技大學(xué),2011.

[11]蔣曉峰.面向開源程序的特征碼免殺與主動(dòng)防御突破研究[D].上海:上海交通大學(xué),2010.

[12]崔甲.Rootkit的分類方法和檢測(cè)技術(shù)研究[D].成都:電子科技大學(xué),2007.

[13]徐昊.Win32平臺(tái)下內(nèi)核技術(shù)的研究與應(yīng)用[D].上海:上海交通大學(xué),2007.

[14]趙麗.木馬檢測(cè)方法的研究與實(shí)現(xiàn)[D].蘭州:蘭州理工大學(xué),2008.

[15]高曉飛,申普兵.網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)[J].計(jì)算機(jī)安全,2009(1):38-40.

[16]莊穎杰.新型木馬技術(shù)的研究與分析[J].計(jì)算機(jī)工程.2004(12):318-319.

[17]羅改龍,程勝利.基于端口復(fù)用技術(shù)的木馬研究[J].計(jì)算機(jī)工程,2007(8):165-169.

[18]藺聰,黑霞麗.木馬的植入與隱藏技術(shù)分析[J].信息安全與通信保密,2009(7):53-55.

[19]潘愛民.Windows內(nèi)核原理與實(shí)現(xiàn)[M].北京:電子工業(yè)出版社,2010.

[20]Jeffrey Richter.Windows核心編程[M].北京:機(jī)械工業(yè)出版社,2008.

[21]趙玉明.木馬技術(shù)揭秘與防御[M].北京:電子工業(yè)出版社,2011.

[22]胡明.Windows網(wǎng)絡(luò)編程技術(shù)[M].北京:科學(xué)出版社,2008.

[23]孫鑫,余安萍.VC++深入詳解[M].北京:電子工業(yè)出版社,2008.

《電子科技》歡迎投稿

《電子科技》雜志(月刊),設(shè)置欄目有:電子·電路、協(xié)議·算法及仿真、圖像·編碼與軟件、保密及網(wǎng)絡(luò)安全、光電·材料、專題綜述等。歡迎業(yè)界專家、教授、學(xué)者及工程技術(shù)人員、教師、學(xué)生投稿。來稿應(yīng)以反映當(dāng)前國(guó)內(nèi)外電子科學(xué)技術(shù)領(lǐng)域中的先進(jìn)理論、創(chuàng)新成果及發(fā)展趨勢(shì),并有實(shí)際的應(yīng)用背景,以及相應(yīng)的實(shí)驗(yàn)結(jié)果。

投稿請(qǐng)登錄:www.dianzikeji.org 聯(lián)系電話:029-88202440

Research on the Trojan Horse Technology

CHEN Hongchang

(Key Lab.of Electronic Information Countermeasure and Simulation,Xidian University,Xi’an 710071,China)

The openness of the Internet brings people both convenience and security problems.Malicious codes are spreading quickly.Hackers use Trojans hidden in the affected user’s computer to steal information,destroy data,monitor user behavior and so on.This paper introduces the principles of the computer Trojan horse,the basic module,implant technology and hidden technology.By studying the latest antivirus software’s killing principle,it realizes the bypassing of both the killing of featured codes in antivirus software and active defense technologies.It is killing exempt in installing the Windows 7 operating system which has antivirus software with the two functions and can successfully bypass the killing of antivirus software.

trojan horse;active defense;anti-anti-virus technology

2014- 09- 21

陳洪昌(1988—),男,碩士研究生。研究方向:信息安全。E-mail:chenhclz@163.com

10.16180/j.cnki.issn1007-7820.2015.04.041

TP309

A

1007-7820(2015)04-154-04