木马原理分析与系统实现_毛辉.docx

《木马原理分析与系统实现_毛辉.docx》由会员分享，可在线阅读，更多相关《木马原理分析与系统实现_毛辉.docx（71页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、硕士学位论文 木马原理分析与系统实现 Trojan Principle Analysis and System Implementation 专业名称： 通信与信息系统 作者姓名： _ 指导老师： 廢晓群 _ &真斜城灸馨 学 位 论 文 独 创 性 说 明 本人郑重声明：所呈交的学位论文是我个人在导师指导下进行的研宄工作及 其取得研宄成果。尽我所知，除了文中加以标注和致谢的地方外，论文中不包含 其他人或集团己经公开发表或撰写过的研宄成果，也不包含为获得西安科技大学 或其他教育机构的学位或证书所使用过的材料。与我一同工作的同志对本研宄所 做的任何贡献均己在论文中做了明确说明并表示了谢意。 学位

2、论文作者签名： 日期： 学 位 论 文 知 识 产 权 声 明 书 本人完全了解学校有关保护知识产权的规定，即：研宄生在校攻读学位期间 论文工作的知识产权单位属于西安科技大学。学校有权保留并向国家有关部门或 机构送交论文的复印件和电子版。本人允许论文被查阅和借阅。学校可以将本学 位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存和汇编本学位论文。同时本人保证，毕业后结合学位论文研宄课 题在撰写的文章一律注明作者单位为西安科技大学。 保密论文待解密后适用本声明。 学位论文作者签名： 指导教师签名： 年月日 论文题目：木马原理分析与系统实现 专 业：通信与信息系

3、统 硕 士 生 ： 毛 辉 （签名 ). 指导教师：廖晓群 （签名 ). 摘要 21 世纪是信息社会，信息作为一种资源，它的普遍性、共享性、增值性、可处理性 和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统 或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。信 息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家 安全战略。然而计算机木马程序则是当前网络信息安全的最大隐患。 本论文对目前较为流行的木马技术的实现方式、工作原理及远程控制的关键技术进 行系统的研究，重点对木马程序的进程实现、受控端与控制端通信进行剖析。在研

4、究 Windows 平台下特洛伊木马关键技术的基础上，给出一种木马对远程计算机进行有效实 时监控的系统设计与实现：其中木马客户端采用基于 I0CP 完成端 口的高性能服务器模 型，服务端采用 DLL木马远程线程嵌入技术，本系统能隐蔽地植入受控计算机，实时将 受控计算机当前屏幕显示的信息、硬盘资料信息、浏览文件等各种信息传输至远程控制 端；最后本文给出了木马防范的相关策略。 关键 i 司： 信息安全；特洛伊木马；远程控制； IOCP 完成端口；动态嵌入 研究类型：应用研究 Subject Specialty ： Name ： Instructor ： Trojan Principle Analy

5、sis and System Implementation Communication and Information System Mao Hui (Signature) _ Liao Xiaoqun (Signature) _ ABSTRACT The 21st century is the information society, information as a resource, its universality, sharing, value-added, treatable and more, make its utility for human vital significan

6、ce. The essence of information security is to protect the information systems or information network information resources from various types of threats, the interference and damage, namely assurance information security. Information security is any country, governments, departments, industry must a

7、ttach to the question, is a nots allow to ignore to the national security strategy. However computer Trojan programs is the largest current network information security hidden danger. This paper present relatively popular Trojan technologys realization, working principle and remote control key techn

8、ologies of the system the research, focus on the process of Trojan program realization, the controlled end and control analyzes the communications. In research Windows the workbench Trojan horse key technology foundation, given a Trojan effectively to the remote computer real-time monitoring system

9、design and realization: Including Trojan client IOCP completion port based on the high-performance server model, the server using DLL Trojan remote thread embedded technology, this system can concealment to implant real-time controlled the computer, the computer screen display controlled current inf

10、ormation, hard disk material information, browse files, etc. Various kinds of information transmission to remote control terminals; Finally, this paper gives some strategies to prevent Trojan. Key words: Information security Trojan Remote control I/O Completion Port Dynamicembedded Thesis :Applicati

11、on research 目录 目录 1谢仑 . 1 1.1课题背景与现状 . 1 1.2特洛伊木马简介 . 1 1.3论文的结构和章节安排 . 6 2木马开发技术研究 . 7 2.1工作原理 . 7 2.2传播方式 . 8 2.3隐藏技术 . 8 2.4通信技术 . 10 2.5启动技术 . 11 2.6本文相关核心技术 . 12 2.6.1 windows API 和 Socket . 12 2.6.2 IOCP 完成端口技术与反弹连接 . 15 2.6.3DLL木马技术 . 17 3木马系统总体设计 . 18 3.1系统的设计目标 . 18 3.1.1系统体系结构建立 . 18 3.1.2

12、木马植入方案流程 . 19 3.2系统功能模块设计 . 20 3.3传输命令结构的设计 . 22 3.3.1控制端发出的命令 . 22 3.3.2受控端发出的标识 . 22 3.3.3命令调度流程 . 23 3.4系统的工作流程 . 24 3.4.1受控端工作流程 . 24 3.4.2控制端工作流程 . 25 4木马系统的技术实现 . 26 4.1关键技术的程序实现 . 26 4.1.1 IOCP 服务器实现 . 26 4.1.2 DLL木马远程线程插入技术实现 . 31 4.2主要功能模块实现 . 33 _ 目录 _ 4.2.1控制端用户界面编程 . 33 4.2.2反弹端口实现 . 33

13、4.2.3动态 IP 更新 . 33 4.2.4基本信息的获取 . 35 4.2.5 IP 地址转换为物理地址 . 37 4.2.6进程管理模块实现 . 37 4.2.7文件管理 . 41 4.2.8远程控制命令 . 44 4.2.9服务管理 . 48 4.2.10键盘记录 . 52 4.2.11清除曰志 . 55 4.2.12屏幕监控 . 55 4.2.13远程卸载 . 57 5木马的防范技术 . 59 5.1木马防范一般策略 . 59 5.2入侵检测技术介绍 . 60 6组仑 . 61 m i 射 . 62 #斓 . 63 附录 . 65 1 绪论 1 绪论 1.1 课题背景与现状 伴随着

14、互联网的发展，木马病毒不再单纯的以破坏用户系统，炫耀技术为目的，而 更多的是依赖互联网赚取钱财。木马作为病毒集团 “ 互联网转型 ” 的主要工具，是黑 客实现经济利益的最直接手段。伴随着电子商务的发展，在经济利益最集中的互联网应 用领域，如网络购物，木马的危害会越来越大，因此木马仍然在 2010 年病毒总数中占 据绝对优势。从病毒种类的构成比例 1也可以看出，木马以 85.4%的比例依然占据主 流，而传统病毒仅占 4.3%、懦虫 2.6%、后门程序 7.7%。 国家互联网应急中心发布的 2010 年互联网网络安全态势报告指出，随着我国互 联网新技术、新应用的快速发展， 2011年的网络安全形势

15、将更加复杂。该报告认为， 2011 年，中国网络安全形势可能呈现如下特点： 网络安全形势日益严峻，针对我国互联网基础设施和金融、证券、交通、能源、 海关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击将逐渐增多。 黑客地下产业将更加专注于网络钓鱼、攻击勒索、网络刷票、个人隐私窃取等 能够直接获利或易于获利的攻击方式；大型商业网站将成为热点目标。 网络安全技术对抗 将不断升级，恶意代码的变种数量将激增， “ 免杀 ” 能力将进 一步增强；窃密木马将不断演变升级，木马的投放方式将更加隐藏和具有欺骗性，木马 抗查杀将更加强大；网络攻击的规模将进一步扩大，对公共互联网安全运行带来严重影 响

16、；为躲避处置和打击，网络攻击的跨境特点将更加突出。 随着智能终端的迅速普及，移动互联网的安全问题凸显，手机恶意程序数量将 急剧增加，其功能将集中在恶意扣费、弹出广告、垃圾短信和窃听窃取方面，手机用户 的经济利益和个人隐私安全面临挑战。 综上所述，在 21世纪的第二个十年，网络信息安全问题更加应该得 到高度重视。 1.2 特洛伊木马简介 1.2.1 木马的定义与发展历史 特洛伊木马 (Trojan horse， 简称木马 )来源于古希腊神话 ， Dan Edwards 将特洛伊木 马这一名称引入计算机领域。它是指一类伪装成合法程序或隐藏在合法程序中的恶意代 码，这些代码或者执行恶意行为，或者为非

17、授权访问系统的特权功能而提供后门。 经典的 Internet 安全文件用不同的方法给出了木马程序的概念，其中使用最广的定 1 _ 西安科技大学硕士学位论文 _ 义是在 RFC1244 节点安全手册中给出的： “ 特洛伊木马程序是这样一种程序，他提供了 一些有用的，或仅仅是有意思的功能。但通常要做一些用户不希望的事，诸如在你不了 解的情况下拷贝文件或窃取你的密码 ” 。 早期的木马通过替代系统合法程序、修改系统合法管理命令等来完成一定的简单功 能。如用修改过的 Login 命令，替换系统原有的命令，使得特殊的用户可以通过修改后 的 Login 进入系统。这种木马虽然功能简单、实现技术容易 (将一

18、段程序嵌入到系统文件 中，用跳转指令来控制执行一些隐藏功能 )，但却是现代木马的先驱者，一些主要思想 还在继续发挥作 用。 1986 年出现的 PC-Write 木马，不再以替代或者修改系统程序为隐藏手段，而是融 入了更多社会工程学的观点。它伪装成共享软件 PC-Write 的 2.72版本 (事实上，编写 PC-Write 的Quicksoft 公司从未发行过 2.72 版本 )，引诱用户执行该程序 。一 旦用户信以 为真运行该木马程序，那么结果将是硬盘被格式化。 继 PC-Write 之后， 1989年出现了 AIDS 木马。由于当时很少有人使用电子邮件， 所以AIDS 的作者就利用现实生

19、活中的邮件进行散播：给其他人寄去一封封含有木马程 序软盘的邮件，这就是木马最初的传播方式。由于该软盘中含有关于 AIDS 和 HIV 的相 关信息，因而称之为 “ AIDS 木马 ” ，该木马不会破坏数据，但它会将硬盘加密锁死。 之后几年中，随着计算机网络的快速发展，木马的传播方式也发生了一些变化，如 采用电子邮件、下载传播等，但木马的功能依旧比较单一，如敏感数据获取，键盘记录 等，用户界面也未得到根本的改变。 这一时期 Unix 平台木马呈现出新的发展趋势，出现了全面隐藏木马相关属性的 Rootkit。CERT/CC 在 1994年 2月的一篇安全咨询报告中首次使用了这个名词，它被 描 述为

20、一类替换系统 ps 命令、 login 命令、 psw 等一组工具的集合。根据 NSA 的定义 ， Rootkit 是攻击者用来隐藏踪迹，保留 root 访问权限，窃取密码，留下后门等一组工具的集合， 是一种危害性极大的特洛伊木马程序，它体现的是一种多种工具共同隐藏木马属性的思 想。这类木马隐藏性较好，可生存性强。目前典型的 Unix 平台木马有： TOrn， adore， knark 和 phide 等。 伴随图形化操作系统的普及和计算机网络应用的进一步广泛，木马在自启动方式、 远程功能、人机界面交互以及控制技术等方面得到了较大 的提高， Windows 木马逐渐步 入主流。比较典型的有：国

21、外的 Back Orifice， Netbus 和 Sub7， 国内的冰河、广外女生、 聪明基因等 。Back Orifice 于 1998 年发布，它允许用户使用一个 GUI 控制台，通过 TCP/IP 协议，连接到目标主机，实施包括文件系统、进程、网络和多媒体等在内的远程控制。 随后在 1999 年 7 月的 DEFCON7.0 大会上，发布了 B02k， 新增插件管理，端口自定义 等功能。 1999 年国产木马冰河的出现，使国产木马的开发和应用开始流行。 之后，木马在隐藏技术上有较大改进，在远程控制功能上的改动较小。通信隐藏 2 _ 1绪论 _ 技术方面，由于防火墙的使用压缩了木马的可生

22、存空间，木马开始利用 ICMP 报文 、 HTTP 隧道技术等方式传递数据；利用反弹端口实现对局域网内主机的控制：采用端口复用技 术实现端口隐藏。这一时期比较典型的木马有：国外的 Boinet,国内的网络神偷等。 进程隐藏技术方面，在 Windows 平台上采用了内核插入式的嵌入方式，利用远程 线程插入技术、 DLL插入、挂钩 PSAPI 等实现木马进程的隐藏；在 LINUX 平台上采用 动态模块加载技术 (LKM， Loadable Kernel Module)实现进程隐藏，同时也出现了直接修 改内存映射来实现隐藏的方式。比较典型的木马有：黑客之门、广外幽灵、灰鸽子等。 1.2.2 木马形式

23、化模型 为了更加深入的研宄木马，揭示其本质，以计算机程序的输入输出为研宄对象，对 木马进行形式化描述 。 Harold Thimbleby等人通过对病毒、木马的研宄给出了 Harold Thimbleby 木马模型 2框架。其框架如下： 定义 1:计算机的状态、程序文本 和图像等统称为表示，记为 R。 rR， r是有限 的。 定义 2: E:R(LIR)， E 是表示到环境的映射。在此，表示通常为计算机的系统配置。 LIR是名字到表示的部分映射， L 是标号的可数集。用户通常关心的是名字，如程序名 或文件名，具体的名字属于集合 L。 LIR 的含义是如果名字有定义则利用名字获取其相 应的表示。

24、 定义 3: E(r)的域： namesr=domE(r)， 是可计算的和有限的，其中包含一些独立于 r 的名字。 定义 4:程序的含义是指程序在运行时完成了什么工作，用 Up 表示。如果 re R， r 中的程序 p， dpi 卫的含义用 : R4(R4R)表示。程序的运行将使一种表示变为另 一种表示，如系统的状态在程序的作用下变为另一种状态。在没有歧义的情况下，将 用 R 表示。 定义 5:程序和 ;/相等是指任意 reR， /r = ;/。由于判定两个程序等是不 可解的，引入程序相似关系和大多数量词 M。 定义 6:考虑检测程序输出的过程所耗费的时间，定义 R 上小于于线性时间可计算 的

25、关系为相似，用 表示相似关系是非传递的。 定义 7:对大多数的输入而言，如果两个程序和 ;/能够产生相似结果，则认为它 们是不可区分的，记作 /? /，即 i ffM rR: 为方便讨论，再引入一些符号： (1) 表亦 /?的木马化程序； (2) r : r i f f / G nmaes r a n d r = 其中 /可以自然扩展到 /i ， /2， ，的有限序列。 西安科技大学硕士学位论文 定义 8:木马关系 trojan 3,/?,/7 厂 该定义说明如果程序 /和 存在木马关系，则至少存在一种表示，能够将他们区分。木 马关系是对称的，如果无法明确难常程序功能，则无法确定 p 是声的木

26、马化程序，还是 彡是 p 的木马化程序。 定义 9:木 马 方 法 是 一 个 非 空 的 、 递 归 的 、 可 枚 举 的 关 系 如 果 r乂， er， 则有： 八尸 A Er)l E?)l 八 A/7 e L*: 这一定义说明如果 乂 /r 表示一个木马方法 T， H 用有与 r 类似的环境，其中存 在名为 z 的程序，对潜在的大多数输入参数来说在两个环境中执行的情况是一样的，但 最终会显现出不一致，这个 /就是木马程序。 由模型可以看出：木马与计算环境密切相关。每个木马方法都需要特定的配置作为 支撑环境。某个计算环境中被认为是木马的程序在另一环境中可能就是正常程序。因此 木马依赖于特

27、定的工作环境。该模型关注的是木马完成了什么工作，而不是采用何种具 体的方式完成了人们所不期望的工作。木马通常在提供正常功能之外隐蔽执行一些用户 不期望的工作，这也是木马的复杂之处。按照木马模型，隐蔽性是木马的基本特性。只 有实时隐藏，木马才能在系统中存活下来。 1.2.3 常见木马特性介绍 (1) 木马的功能 木马是有隐藏性的、自发性的可被用来进行恶意行为的程序，多不会直接对电脑产 生危害，而是以控制为主，所以其危害是非常巨大的它能使远程用户获得本地机器的最 高操作权限，通过网络对本地计算机进行任意的操作 3，比如添删程序、修改锁定注册 表、获取用户保密信息、远程关机等。木马使用户的电脑完全暴

28、露在网络环境之中，成 为别人操纵的肉鸡。就目前来说木马的功能大概有：窃取密码功能、远程文件操作功能、 打开未授权的服务、远程监控功能、控制远程计算机、修改注册表等。 (2) 木马的特征 据不完全统计，目前世界上有着成千上万种木马程序。虽然这些程序使用不同的程 _I-I尸隐蔽性是木马的首要特征 HaroldThimbleby 木马模型 2中，表明了隐蔽性是木马的基本特性。只有实时隐藏， 木马才能在系统中存活下来。这一点与病毒特征是很相似的，木马在被控主机系统上运 行时会使用各种方法来隐藏自己。 木马具有自动运行性 木马是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文 件中，如

29、 win.ini、 system.ini、 winstart.bat 以及启动组等文件之中。 木马程序具有欺骗性 木马程序要达到其长期隐蔽的目的，就必需借助系统中己有的文件，以防被你发现， 它经常使用的是常见的文件名或扩展名，如 “ dllwinsysexplorer 等字样，或者仿制一些 不易被人区别的文件名，如字母 “1” 与数字 “1” 、字母 “ ” 与数字 “0” ，更有甚者干脆就借 用系统文件中己有的文件名，只不过它保存在不同路径之中。 自动恢复功能 现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份， 可以相互恢复。 能自动打开特别的端口 木马程序潜入用户电

30、脑之中的目的不主要为了破坏你的系统，更是为了获取你的系 统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用 服务器 /客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进 一步入侵企图。 功能的特殊性 通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜 索 cache中的口令、设置口令、扫描目标机器人的 IP 地址、进行键盘记录、远程注册表 的操作、以及锁定鼠标等功能，这些功能远程控制软件一般是没有的。 (3) 木马的分类 按历史年代分 第一代木马：伪装型木马一一这种木马通过伪装成一个合法性程序诱骗用户上当。 第二代木马： AI

31、DS 型木马一一具备了传播特征 第三代木马：网络传播性木马一一随着 Internet 的普及，这一代木马兼备伪装和传 播两种特征并结合 TCP/IP 网络技术四处泛滥。同时还有新的特征：添加了 “ 后门 ” 功能和添加了键盘记录功能。 根据木马程序对计算机的具体动作方式，可以把现在的木马程序分为：远程控制型、 5 _ 西安科技大学硕士学位论文 _ 密码发送型、键盘记录型、毁坏型、 FTP 型、 DOS 攻击型、代理木马、程序杀手木 马、反弹端口型木马。 1.2.4 木马的发展趋势 特洛伊木马程序发展到今天己经相当完善了，但随着计算机技术的发展，木马仍会 继续演变并运用一些新的技术和方法使其更具

32、有攻击性和破坏性。从现在的趋势看，木 马在未来大概会向以下方向发展： 木马将更注重自身的隐藏性 更注重代码模块化的设计 即时通知 可能会出现跨平台的木马 木马与蠕虫会相互融合 未来木马将更注重底层的通讯编程 1.3 论文的结构和章节安排 全文共分为六个章节。 第一章：绪论 简要介绍了选题背景、研究现状以及特洛伊木马的基本知识。 第二章：木马开发技术研究 主要介绍了木马软件开发的相关技术，包括工作原理、传播方式、隐藏技术、通信 技术、启动技术、最后介绍了本文所开发木马系统使用的核心技术。 第三章：木马系统的总体设计 对整个木马系统进行设计，包括通信架构设计、植入方案设计、系统功能设计、传 输命令

33、结构设计，最后给出整个系统的工作流程。 第四章：木马系统的技术实现 使用 VC+6.0 对整个反弹木马系统进行编程实现，其中主要是采用 IOCP 完成端口 的控制端程序实现和采用 DLL 远程线程插入技术的受控端程序实现，并且包括动态 IP 更新、文件管理、键盘记录等远控木马功能的程序实现。 第五章：木马的防范技术 给出木马防范的一般策略，以及简单介绍入侵检测系统 （ IDS)在防范木马入侵中 的作用。 第六章：结论 对本文工作进行了总结，并提出后期木马系统开发工作的主要方向。 6 2木马开发技术研究 木马的攻击步骤 5如图 2.2 所示，木马攻击的第一步是对木马受控端进行相应配置， 如设置受

34、控端开放的端口号、名称、触发条件、连接密码等，若是反向连接还包括控制 端地址等信息。第二阶段即木马的传播 /植入阶段，常见传播 /植入方式有：即时通讯传 播、 E-mail 传播、下载传播、脚本植入、远程溢出攻击植入等。运行木马阶段一般实现 木马受控端的移动、删除、注册表修改、远程程序插入等。木马运行后，被系统加载进 入内存，并通过事先的通信连接方式与控制端建立连接。木马程序双方建立通信连接后， 即可实施敏感信息获取或者远程控制操作。 在整个木马的攻击过程中，都贯穿有隐藏操作的实施，在前 3 个阶段多涉及社会工 程学问题，即根据用户习惯，欺骗用户，达到运行木马程序的目的。如受控端与常用软 件或

35、者图片捆绑，受控端文件名称与系统文件名称类似等。攻击过程的后两个阶段主要 涉及技术问题，即如何在技术上实现木马信息的隐藏。总之，隐藏性贯穿于整个攻击过 2 木马开发技术研究 2.1 工作原理 计算机木马一般由两部分组成 一一 客户端（控制端）和服务端 （ 受控端），也就是常 用的 C/S 模式，如图 2.1 所示。在正向连接中，受控端会打开一个默认的端口进行监听， 等待控制端提出连接请求。在反向连接中，受控端则主动发送连接请求。双方建立连接 后 ，控制端一般会发送命令，如屏幕监控命令、键盘记录命令、文件操作命令以及敏感 信息获取命令等，被控制端接收并执行这些命令，然后返回相应结果到控制端 4。

36、 控制端 受控端 控制端 执行 : 通 图 2.1 木马 C/S 工作模式 回应 指令转换 命令事件模拟 获取指令 命令截取 事件请求 信 0通 7 西安科技大学硕士学位论文 程，是木马可生存性的首要前提。 图 2.2 木马攻击步骤 2.2 传播方式 计算机木马通常都采用 C/S 模式，那么必须把木马服务器端程序植入到目标主机上 , 才能够启动木马的功能。木马的传播途径很多，常见的有如下几类： 通过电子邮件的附件传播 通过下载文件传播。 通过网页传播。 通过聊天工具传播。 2.3 隐藏技术 木马程序与普通远程控制程序的显著区别是它的隐蔽性，这是木马的首要特征。为 了提高自身的生存能力，木马会采

37、用各种手段来伪装隐藏以使被感染的系统表现正常。 FredCohen 等人 69对病毒进行了深入研宄，他们将木马作为病毒的一种特例，并给出 了病毒和木马的数学模型。 Harold Thimbleby 等人对病毒和木马模型框架进行了研究， 给出了木马的形式化模型，对木马隐藏的特征进行了描述。张新宇等人 M对 Linux 环境 下的木马隐藏技术进行了研宄，提出了协同隐藏思想，并给出了木马协同隐藏的形式化 模型。木马植入目标系统后，必然会以各种技术隐藏行踪避免被发现，尽可能延长生存 期。木马的隐藏技术 11主要分为三类：本地隐藏、通信隐藏和协同隐藏。 (1) 本地隐藏 本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段。主要包括启动隐藏、 文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。这些手段可以分为三类： 建立通信连接 潜伏获取敏感信息或远程控制 实时隐藏 8 2木马开发技术研究 将木马隐藏 (附着、捆绑或替换 )在合法程序中； 修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理； 利用检测程序本身的工作机制或缺