以前，我曾認為只要不隨便運行網(wǎng)友發(fā)來的文件就不會中病毒或木馬，但后來出現(xiàn)了利用漏洞傳播的沖擊波、震蕩波;以前，我曾認為不上小網(wǎng)站就不會中網(wǎng)頁木馬，但后來包括國內(nèi)某知名游戲網(wǎng)站在內(nèi)的多個大網(wǎng)站均在其首頁被黑客掛上了木馬。從此，我知道:安全，從來沒有絕對的。

　　雖然沒有絕對的安全，但如果能知已知彼，了解木馬的隱藏手段，對于木馬即使不能百戰(zhàn)百勝，也能做到及時發(fā)現(xiàn)，使損失最小化。那么，木馬究竟是如何躲在我們的系統(tǒng)中的呢?

　　最基本的隱藏:不可見窗體+隱藏文件

　　木馬程序無論如何神秘，但歸根究底，仍是Win32平臺下的一種程序。Windows下常見的程序有兩種:

　　1.Win32應(yīng)用程序(Win32 Application)，比如QQ、Office等都屬于此行列。

　　2.Win32控制臺程序(Win32 Console)，比如硬盤引導(dǎo)修復(fù)程序FixMBR。

　　其中，Win32應(yīng)用程序通常會有應(yīng)用程序界面，比如系統(tǒng)中自帶的“計算器”就有提供各種數(shù)字按鈕的應(yīng)用程序界面。木馬雖然屬于Win32應(yīng)用程序，但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況，如木馬使用者與被害者聊天的窗口)，并且將木馬文件屬性設(shè)置為“隱藏”，這就是最基本的隱藏手段，稍有經(jīng)驗的用戶只需打開“任務(wù)管理器”，并且將“文件夾選項”中的“顯示所有文件”勾選即可輕松找出木馬(見圖1)，于是便出現(xiàn)了下面要介紹的“進程隱藏”技術(shù)。

　　第一代進程隱藏技術(shù):Windows 98的后門

　　在Windows 98中，微軟提供了一種能將進程注冊為服務(wù)進程的方法。盡管微軟沒有公開提供這種方法的技術(shù)實現(xiàn)細節(jié)(因為Windows的后續(xù)版本中沒有提供這個機制)，但仍有高手發(fā)現(xiàn)了這個秘密，這種技術(shù)稱為RegisterServiceProcess。只要利用此方法，任何程序的進程都能將自己注冊為服務(wù)進程，而服務(wù)進程在Windows 98中的任務(wù)管理器中恰巧又是不顯示的，所以便被木馬程序鉆了空子。

　　要對付這種隱藏的木馬還算簡單，只需使用其他第三方進程管理工具即可找到其所在，并且采用此技術(shù)進行隱藏的木馬在Windows 2000/XP(因為不支持這種隱藏方法)中就得現(xiàn)形!中止該進程后將木馬文件刪除即可。可是接下來的第二代進程隱藏技術(shù)，就沒有這么簡單對付了。

　　第二代進程隱藏技術(shù):進程插入

　　在Windows中，每個進程都有自己的私有內(nèi)存地址空間，當使用指針(一種訪問內(nèi)存的機制)訪問內(nèi)存時，一個進程無法訪問另一個進程的內(nèi)存地址空間，就好比在未經(jīng)鄰居同意的情況下，你無法進入鄰居家吃飯一樣。比如QQ在內(nèi)存中存放了一張圖片的數(shù)據(jù)，而MSN則無法通過直接讀取內(nèi)存的方式來獲得該圖片的數(shù)據(jù)。這樣做同時也保證了程序的穩(wěn)定性，如果你的進程存在一個錯誤，改寫了一個隨機地址上的內(nèi)存，這個錯誤不會影響另一個進程使用的內(nèi)存。

　　你知道嗎——進程(Process)是什么

　　對應(yīng)用程序來說，進程就像一個大容器。在應(yīng)用程序被運行后，就相當于將應(yīng)用程序裝進容器里了，你可以往容器里加其他東西(如:應(yīng)用程序在運行時所需的變量數(shù)據(jù)、需要引用的DLL文件等)，當應(yīng)用程序被運行兩次時，容器里的東西并不會被倒掉，系統(tǒng)會找一個新的進程容器來容納它。

　　一個進程可以包含若干線程(Thread)，線程可以幫助應(yīng)用程序同時做幾件事(比如一個線程向磁盤寫入文件，另一個則接收用戶的按鍵*作并及時做出反應(yīng)，互相不干擾)，在程序被運行后中，系統(tǒng)首先要做的就是為該程序進程建立一個默認線程，然后程序可以根據(jù)需要自行添加或刪除相關(guān)的線程(見圖2 進程關(guān)系圖)。

　　1.進程插入是什么

　　獨立的地址空間對于編程人員和用戶來說都是非常有利的。對于編程人員來說，系統(tǒng)更容易捕獲隨意的內(nèi)存讀取和寫入*作。對于用戶來說，*作系統(tǒng)將變得更加健壯，因為一個應(yīng)用程序無法破壞另一個進程或*作系統(tǒng)的運行。當然，*作系統(tǒng)的這個健壯特性是要付出代價的，因為要編寫能夠與其他進程進行通信，或者能夠?qū)ζ渌M程進行*作的應(yīng)用程序?qū)⒁щy得多。但仍有很多種方法可以打破進程的界限，訪問另一個進程的地址空間，那就是“進程插入”(Process Injection)。一旦木馬的DLL插入了另一個進程的地址空間后，就可以對另一個進程為所欲為，比如下文要介紹的盜QQ密碼。

　　2.木馬是如何盜走QQ密碼的

　　普通情況下，一個應(yīng)用程序所接收的鍵盤、鼠標*作，別的應(yīng)用程序是無權(quán)“過問”的。可盜號木馬是怎么偷偷記錄下我的密碼的呢?木馬首先將1個DLL文件插入到QQ的進程中并成為QQ進程中的一個線程，這樣該木馬DLL就赫然成為了QQ的一部分!然后在用戶輸入密碼時，因為此時木馬DLL已經(jīng)進入QQ進程內(nèi)部，所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了，真是“家賊難防”啊!

　　(插入圖06zcxtrojan0a.tif)

　　3.如何插入進程

　　(1)使用注冊表插入DLL

　　早期的進程插入式木馬的伎倆，通過修改注冊表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs]來達到插入進程的目的。缺點是不實時，修改注冊表后需要重新啟動才能完成進程插入。

　　(2)使用掛鉤(Hook)插入DLL

　　比較高級和隱蔽的方式，通過系統(tǒng)的掛鉤機制(即“Hook”，類似于DOS時代的“中斷”)來插入進程(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他進程中“偷雞摸狗”)，需要調(diào)用SetWindowsHookEx函數(shù)(也是一個Win32 API函數(shù))。缺點是技術(shù)門檻較高，程序調(diào)試困難，這種木馬的制作者必須具有相當?shù)腤in32編程水平。

　　你知道嗎——什么是API

　　Windows中提供各種功能實現(xiàn)的接口稱為Win32 API(Application Programming Interface，即“應(yīng)用程序編程接口”)，如一些程序需要對磁盤上的文件進行讀寫，就要先通過對相應(yīng)的API(文件讀寫就要調(diào)用文件相關(guān)的API)發(fā)出調(diào)用請求，然后API根據(jù)程序在調(diào)用其函數(shù)時提供的參數(shù)(如讀寫文件就需要同時給出需要讀寫的文件的文件名及路徑)來完成請求實現(xiàn)的功能，最后將調(diào)用結(jié)果(如寫入文件成功，或讀取文件失敗等)返回給程序(見圖3 應(yīng)用程序、Win32 API、系統(tǒng)的關(guān)系圖)。

　　(3)使用遠程線程函數(shù)(CreateRemoteThread)插入DLL

　　在Windows 2000及以上的系統(tǒng)中提供了這個“遠程進程”機制，可以通過一個系統(tǒng)API函數(shù)來向另一個進程中創(chuàng)建線程(插入DLL)。缺點很明顯，僅支持Windows 2000及以上系統(tǒng)，在國內(nèi)仍有相當多用戶在使用Windows 98，所以采用這種進程插入方式的木馬缺乏平臺通用性。

　　木馬將自身作為DLL插入別的進程空間后，用查看進程的方式就無法找出木馬的蹤跡了，你能看到的僅僅是一些正常程序的進程，但木馬卻已經(jīng)偷偷潛入其中了。解決的方法是使用支持“進程模塊查看”的進程管理工具(如“Windows優(yōu)化大師”提供的進程查看)，木馬的DLL模塊就會現(xiàn)形了。

　　不要相信自己的眼睛:恐怖的進程“蒸發(fā)”

　　嚴格地來講，這應(yīng)該算是第2.5代的進程隱藏技術(shù)了，可是它卻比前幾種技術(shù)更為可怕得多。這種技術(shù)使得木馬不必將自己插入到其他進程中，而可以直接消失!

　　它通過Hook技術(shù)對系統(tǒng)中所有程序的進程檢測相關(guān)API的調(diào)用進行了監(jiān)控，“任務(wù)管理器”之所以能夠顯示出系統(tǒng)中所有的進程，也是因為其調(diào)用了EnumProcesses等進程相關(guān)的API函數(shù)，進程信息都包含在該函數(shù)的返回結(jié)果中，由發(fā)出調(diào)用請求的程序接收返回結(jié)果并進行處理(如“任務(wù)管理器”在接收到結(jié)果后就在進程列表中顯示出來)。

　　而木馬由于事先對該API函數(shù)進行了Hook，所以在“任務(wù)管理器”(或其他調(diào)用了列舉進程函數(shù)的程序)調(diào)用EnumProcesses函數(shù)時(此時的API函數(shù)充當了“內(nèi)線”的角色)，木馬便得到了通知，并且在函數(shù)將結(jié)果(列出所有進程)返回給程序前，就已將自身的進程信息從返回結(jié)果中抹去了。就好比你正在看電視節(jié)目，卻有人不知不覺中將電視接上了DVD，你在不知不覺中就被欺騙了。

　　所以無論是“任務(wù)管理器”還是殺毒軟件，想對這種木馬的進程進行檢測都是徒勞的。這種木馬目前沒有非常有效的查殺手段，只有在其運行前由殺毒軟件檢測到木馬文件并阻止其病毒體的運行。當時還有一種技術(shù)是由木馬程序?qū)⑵渥陨淼倪M程信息從Windows系統(tǒng)用以記錄進程信息的“進程鏈表”中刪除，這樣進程管理工具就無法從“進程鏈表”中獲得木馬的進程信息了。但由于缺乏平臺通用性而且在程序運行時有一些問題，所以沒有被廣泛采用。

　　你知道嗎——什么是Hook

　　Hook是Windows中提供的一種用以替換DOS下“中斷”的一種系統(tǒng)機制，中文譯名為“掛鉤”或“鉤子”。在對特定的系統(tǒng)事件(包括上文中的特定API函數(shù)的調(diào)用事件)進行Hook后，一旦發(fā)生已Hook的事件，對該事件進行Hook的程序(如:木馬)就會收到系統(tǒng)的通知，這時程序就能在第一時間對該事件做出響應(yīng)(木馬程序便搶在函數(shù)返回前對結(jié)果進行了修改)。

　　毫無蹤跡:全方位立體隱藏

　　利用剛才介紹的Hook隱藏進程的手段，木馬可以輕而易舉地實現(xiàn)文件的隱藏，只需將Hook技術(shù)應(yīng)用在文件相關(guān)的API函數(shù)上即可，這樣無論是“資源管理器”還是殺毒軟件都無法找出木馬所在了。更令人吃驚的是，現(xiàn)在已經(jīng)有木馬(如:灰鴿子)利用該技術(shù)實現(xiàn)了文件和進程的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟件在其運行前進行攔截。

　　跟殺毒軟件對著干:反殺毒軟件外殼

　　木馬再狡猾，可是一旦被殺毒軟件定義了特征碼，在運行前就被攔截了。要躲過殺毒軟件的追殺，很多木馬就被加了殼，相當于給木馬穿了件衣服，這樣殺毒軟件就認不出來了，但有部分殺毒軟件會嘗試對常用殼進行脫殼，然后再查殺(小樣，別以為穿上件馬夾我就不認識你了)。除了被動的隱藏外，最近還發(fā)現(xiàn)了能夠主動和殺毒軟件對著干的殼，木馬在加了這種殼之后，一旦運行，則外殼先得到程序控制權(quán)，由其通過各種手段對系統(tǒng)中安裝的殺毒軟件進行破壞，最后在確認安全(殺毒軟件的保護已被瓦解)后由殼釋放包裹在自己“體內(nèi)”的木馬體并執(zhí)行之。對付這種木馬的方法是使用具有脫殼能力的殺毒軟件對系統(tǒng)進行保護。

　　你知道嗎——什么是殼

　　顧名思義，你可以很輕易地猜到，這是一種包在外面的東西。沒錯，殼能夠?qū)⑽募?比如EXE)包住，然后在文件被運行時，首先由殼獲得控制權(quán)，然后釋放并運行包裹著的文件體。很多殼能對自己包住的文件體進行加密，這樣就可以防止殺毒軟件的查殺。比如原先殺毒軟件定義的該木馬的特征是“12345”，如果發(fā)現(xiàn)某文件中含有這個特征，就認為該文件是木馬，而帶有加密功能的殼則會對文件體進行加密(如:原先的特征是“12345”，加密后變成了“54321”，這樣殺毒軟件當然不能靠文件特征進行檢查了)。脫殼指的就是將文件外邊的殼去除，恢復(fù)文件沒有加殼前的狀態(tài)。