木馬秘密解析之文件注入與反彈連接

一、進程及DLL文件注入

進程注入，就是指木馬將自己注入到某個正常的進程當中，然后，就可以以此正常進程的子線程的方式運行。此時，進程名就不會在任務管理器中的進程列表框中出現。這樣一來，用戶將不能通過任務管理器來發現它而且，殺毒軟件即使能夠發現它但要將它從正常的進程當中清除它也不會很容易的。

由于防火墻對于系統中正常的網絡相關進程 (例如Services.exSvchost.ex等)默認都是放行的，因此，木馬一般都是注入到這些系統進程當中，并以此來穿透防火墻。但是木馬順序只有在獲得了與這些系統進程相同的系統權限，才干夠有可能注入勝利的不過，就目前來說，已經有許多木馬具有了這種功能來實現遠程進程注入。

至于DLL文件注入的目的一般都是用來躲過防火墻的攔截。主要是利用了防火墻在信任某個軟件后，會對它所加載的所有DLL文件也全部信任。因此，只要木馬將自己注入到這些DLL文件當中，就可以躲過防火墻的監控，然后就可以與攻擊者進行網絡通信，或者下載其他木馬、鍵盤記錄順序和后門順序等等。Window系統中，DLL注入利用最多的就是IE瀏覽器。

對于DLL文件注入的木馬，可以通過驗證系統文件的數字簽名，來發現系統的DLL文件是否已經被修改過，這可以通過Window系統中的系統信息”中的數字簽名驗證順序來完成。對于進程注入，可以通過使用IceSword軟件來檢查進行所加載的模塊，只要發現不是Window系統自身的就說明已經有木馬注入。然后，就可以通過IceSword來強行終止這個非法模塊，再在相應位置完全刪除它現在還有一些殺毒軟件已經可以查殺注入型的木馬，例如瑞星殺毒軟件。至于防火墻，現在開始有一種新的技術，就是當防火墻檢測到某個應用順序所加載的文件被修改后，就會對它網絡連接進行阻止。只是現在這種技術還沒有加入到家用防火墻中來。

二、TCP/IP堆棧旁通

對于個人防火墻來說，一般只會對由Window系統自身所產生的TCP/IP堆棧進行過濾，而對其他方式所產生的網絡數據堆棧卻不會進行任何檢查就會放行。因此，木馬也就利用防火墻的這個漏洞，其運行后，同時裝置某個網絡驅動，然后通過它來與系統中的網絡接口卡進行通信，這樣就能夠躲過防火墻的檢測。

要想阻止這種方式的木馬攻擊，只要在防火墻中設置一條規則，禁止所有非標準Window系統所產生的TCP/IP堆棧通過。現在一些個人防火墻的最新版本，都已經具有了這些功能。因此，計算機網絡用戶最好不時升級自己的防火墻軟件，以此來防止這種木馬穿墻術。

三、反彈連接技術

現在計算機網絡用戶，一般都是使用PPPOE拔號方式，或通過代理服務器及NA T方式連接互聯網的這就給攻擊者通過木馬的客戶端主動連接其服務器器端的設置了一道不小的阻礙。因此，攻擊者為了消除這道阻礙，就編寫了一些具有反彈技術的木馬。

使用反彈技術，只要木馬監測到系統已經有一個活動的網絡連接，其服務器端就會主動地按攻擊者設置的方式連接攻擊者所在客戶端。而防火墻一般對系統內部發出的網絡連接請求是不會攔截的因此，木馬就這樣輕而容易舉地穿過了系統防火墻的攔截。

但是僅僅使用反彈技術，木馬有時是過得了系統防火墻這關，而過不了硬件式網絡防火墻這關的因此，為了能穿透硬件式網絡防火墻，木馬又打上了隧道技術的主意。將要發送到內容封裝到其他網絡防火墻允許通過的網絡協議當中，例如HTTPDNS和SMTP等，然后就可以借助這些協議包將這些內容發送到攻擊者指定的位置(例如一個Email地址)這些內容當中可能包括了用戶登錄系統的賬號、密碼、公網IP地址、打開了端口和運行了服務等等。然后，攻擊都會以同樣的方式來連接木馬的服務器端了。

要防范反彈式木馬。第一就是使用具有應用順序過濾功能的個人防火墻，一般對請求網絡連接的應用順序都進行攔截并提示用戶是否通過。現在大部份最新版本的個人防火墻都已經具有了這種功能。例如ZA瑞星等。第二就是使用具有免重組深度檢測技術的硬件式網絡防火墻，就有可能防范利用隧道方式進行攻擊的木馬。

其實，每一種方法不論有多好，都有其弱點存在，現在所有的木馬，肯定不會只使用一種躲避方法。往往是幾種方法同時使用，例如，同時對使用加殼、加密和注入技術，這樣就能大大提高殺毒軟件和防火墻體測到難度。但不管怎么說，木馬的編寫和保護技術在發展的同時，安全技術也在不時的發展，只要能找到存在弱點，防范和清除它也是可以做到的。