木马秘密解析之文件注入与反弹连接

一、进程及DLL文件注入

进程注入，就是指木马将自己注入到某个正常的进程当中，然后，就可以以此正常进程的子线程的方式运行。此时，进程名就不会在任务管理器中的进程列表框中出现。这样一来，用户将不能通过任务管理器来发现它而且，杀毒软件即使能够发现它但要将它从正常的进程当中清除它也不会很容易的。

由于防火墙对于系统中正常的网络相关进程 (例如Services.exSvchost.ex等)默认都是放行的，因此，木马一般都是注入到这些系统进程当中，并以此来穿透防火墙。但是木马顺序只有在获得了与这些系统进程相同的系统权限，才干够有可能注入胜利的不过，就目前来说，已经有许多木马具有了这种功能来实现远程进程注入。

至于DLL文件注入的目的一般都是用来躲过防火墙的拦截。主要是利用了防火墙在信任某个软件后，会对它所加载的所有DLL文件也全部信任。因此，只要木马将自己注入到这些DLL文件当中，就可以躲过防火墙的监控，然后就可以与攻击者进行网络通信，或者下载其他木马、键盘记录顺序和后门顺序等等。Window系统中，DLL注入利用最多的就是IE浏览器。

对于DLL文件注入的木马，可以通过验证系统文件的数字签名，来发现系统的DLL文件是否已经被修改过，这可以通过Window系统中的系统信息”中的数字签名验证顺序来完成。对于进程注入，可以通过使用IceSword软件来检查进行所加载的模块，只要发现不是Window系统自身的就说明已经有木马注入。然后，就可以通过IceSword来强行终止这个非法模块，再在相应位置完全删除它现在还有一些杀毒软件已经可以查杀注入型的木马，例如瑞星杀毒软件。至于防火墙，现在开始有一种新的技术，就是当防火墙检测到某个应用顺序所加载的文件被修改后，就会对它网络连接进行阻止。只是现在这种技术还没有加入到家用防火墙中来。

二、TCP/IP堆栈旁通

对于个人防火墙来说，一般只会对由Window系统自身所产生的TCP/IP堆栈进行过滤，而对其他方式所产生的网络数据堆栈却不会进行任何检查就会放行。因此，木马也就利用防火墙的这个漏洞，其运行后，同时装置某个网络驱动，然后通过它来与系统中的网络接口卡进行通信，这样就能够躲过防火墙的检测。

要想阻止这种方式的木马攻击，只要在防火墙中设置一条规则，禁止所有非标准Window系统所产生的TCP/IP堆栈通过。现在一些个人防火墙的最新版本，都已经具有了这些功能。因此，计算机网络用户最好不时升级自己的防火墙软件，以此来防止这种木马穿墙术。

三、反弹连接技术

现在计算机网络用户，一般都是使用PPPOE拔号方式，或通过代理服务器及NA T方式连接互联网的这就给攻击者通过木马的客户端主动连接其服务器器端的设置了一道不小的阻碍。因此，攻击者为了消除这道阻碍，就编写了一些具有反弹技术的木马。

使用反弹技术，只要木马监测到系统已经有一个活动的网络连接，其服务器端就会主动地按攻击者设置的方式连接攻击者所在客户端。而防火墙一般对系统内部发出的网络连接请求是不会拦截的因此，木马就这样轻而容易举地穿过了系统防火墙的拦截。

但是仅仅使用反弹技术，木马有时是过得了系统防火墙这关，而过不了硬件式网络防火墙这关的因此，为了能穿透硬件式网络防火墙，木马又打上了隧道技术的主意。将要发送到内容封装到其他网络防火墙允许通过的网络协议当中，例如HTTPDNS和SMTP等，然后就可以借助这些协议包将这些内容发送到攻击者指定的位置(例如一个Email地址)这些内容当中可能包括了用户登录系统的账号、密码、公网IP地址、打开了端口和运行了服务等等。然后，攻击都会以同样的方式来连接木马的服务器端了。

要防范反弹式木马。第一就是使用具有应用顺序过滤功能的个人防火墙，一般对请求网络连接的应用顺序都进行拦截并提示用户是否通过。现在大部份最新版本的个人防火墙都已经具有了这种功能。例如ZA瑞星等。第二就是使用具有免重组深度检测技术的硬件式网络防火墙，就有可能防范利用隧道方式进行攻击的木马。

其实，每一种方法不论有多好，都有其弱点存在，现在所有的木马，肯定不会只使用一种躲避方法。往往是几种方法同时使用，例如，同时对使用加壳、加密和注入技术，这样就能大大提高杀毒软件和防火墙体测到难度。但不管怎么说，木马的编写和保护技术在发展的同时，安全技术也在不时的发展，只要能找到存在弱点，防范和清除它也是可以做到的。