1.3 国内外研究情况

纵观国内外，摆渡木马的研究主要经历了以下阶段。

1.3.1 摆渡木马植入技术研究（1990~2001年）

1）伪装：木马的发展最早产生于开放的操作系统Unix平台上，并在Windows操作系统上广泛流传。木马雏形最早只是运行在Unix服务器后台的一小段程序，改程序通过伪装为一个名为login的登录进程。当用户在系统内登录操作时，该木马会从底层劫持用户的登录信息，将用户的操作映射到一个与正常登录界面完全一致的伪装窗口，被欺骗用户通常会选择在该伪装界面内输入登录信息，当木马得到真实的用户名和口令之后，就会将这些信息自动存储，然后再将截获的信息传递给真正的登录进程，这样呈现给用户的就是正常的登录应用画面。

2）社会工程学特征：将木马程序伪装成共享软件，引诱用户点击并执行该程序。一旦用户点击该伪装的木马程序，那么结果可能是直接导致系统关机，更有甚者直接将计算机硬盘全部格式化，而造成无法挽回的损失。

3）Rootkit：该名词最早见于1994年2月提出的一份安全咨询报告，它描述了一类工具集，这类工具能够从系统底层截获并替换系统的ps命令、login命令、psw命令等。这类密码通过私有通道潜入系统，隐藏并窃取到底层的访问权限，不断探测和截获用户输入的密码，为系统内开设各类留待后续攻击的后门，属于极具危害性的攻击力强的木马程序，它也是最能够体现隐藏思想的木马。

4）新一代木马：伴随计算机图形计算科学的发展以及计算互联网络、无线网络等相关技术的进一步推广，木马程序也发生了更大的改变，木马设计人员在启动方式、远程通信、数据交互以及主动控制方面都进行了改进，并取得大量的技术成果，同时为信息安全领域带来了更多的威胁，在此阶段，中国先后出现了多种木马程序，其能够直接终止安全检测工具运行的特点引起了安全科学家的注意，通过破坏“对方”的形式来提高自身生存能力的思想得到了最有价值的体现。

1.3.2 摆渡木马隐藏技术研究（2005~2010年）

1）端口：伴随防火墙技术的不断成熟，木马可利用的系统漏洞和数据窃密通道愈发有限，很多行为都能够被防火墙捕获和拦截。为此，木马设计人员提出了更多的基于端口的攻击理念，例如以网络通信协议为载体，分析并监听数据传输；采用端口复用技术实现木马程序的隐藏和潜伏；利用端口反弹技术实现对被窃密主机的主动控制。

2）进程隐藏：Windows平台上时刻需要关注的部分包括注册表、文件、网络及进程，而木马如需健壮存在，则必须处理好进程隐藏的问题。为此，木马程序采用了多种技术加以实现，例如对于Windows平台利用远程插入线程技术、动态链接库、挂钩技术等，而对于Linux平台则采用动态模块加载技术实现进程隐藏，此外，基于内存映射的思想，也出现了通过直接修改映射地址来实现进程隐藏的高级木马程序。

3）移动存储：利用U盘、移动硬盘之类的移动介质，进行绑定和隐藏。

4）系统内核：消息拦截和驱动过滤是该层次需要关注的内容，对于高级木马程序，则必须解决好木马和底层操作系统内核的关系问题，这也是木马程序同合法应用程序的本质区别，为此，需要实现木马程序的文件隐藏、注册表隐藏、进程隐藏及服务隐藏等。越接近操作系统内核的木马程序，其生存能力更强，破坏程序越高，窃密能力越强。

1.3.3 摆渡木马分析技术研究（2011年至今）

目前，对木马攻击的分析主要分为两种：形式分析方法和实验分析方法。

形式分析方法主要采用仿真方式，通过形式化语言对攻击行为进行建模，然后根据诸多假设进行攻击分析。该方法的优势在于能够根据使用者的需求，灵活快捷地调整行为和环境，但形式分析方法只适合于一些理想或者单一的情况，而且形式分析方法主要依赖于数学模型和理论知识，当系统的构造很复杂时，就无法运用限制性假设来对系统进行详细描述，因而，形式分析方法就显得不再适用。

目前，世界上最成熟的主动安全框架是基于Trusted Source前沿技术的主动型前瞻性防御系统。该系统集中了全球数千个传感器节点，并共同组成了所谓的全球智能网络，依靠每一个独立的节点，即时搜索网关、IP地址等，该防御系统能够动态监控到被攻破的邮箱服务器、文件服务器等。在全球智能网络的构件上，分层设计的主动防御技术被应用于不同的节点，系统时刻同全球的5个数据中心保持沟通，随时将全球即时IP地址上的异常访问行为搜集、提交并进行集中分析。通过上述手段，该防御系统可以监控任何地址上的有害行为和特征向量，系统的误判率极低。

摆渡木马作为国际间谍机构专门开发的特种窃密工具，具有突出的隐蔽性和攻击性，对我国涉密信息系统产生巨大的威胁。在相关的科技文献和研究成果报告中，有关摆渡木马攻击技术和防范策略的介绍和论述寥寥无几。

在国际上，摆渡木马多为国外间谍机关独立开发，摆渡攻击技术原理，程序设计思想和实现方式均属于其研究内容的核心秘密范围。相关研究人员对于木马技术的发展方向和研究趋势从不对外公布。

在我国，由于受到摆渡攻击危害以及涉密信息网络的实际安全需求，少数具有军事背景的研究机构和高等院校相继开展了摆渡木马攻击技术的研究，出于安全考虑，相关技术成果和阶段研发报告同样不对外公布。

从当前涉密信息系统的建设情况看，摆渡木马攻击技术的研究仍处于初步阶段，大量涉及摆渡攻击技术的核心问题尚未得到解决，例如防止内部人员蓄意植入，实行主动窃密等行为。

另外，通过欧洲、日本以及中国专利检索，以及EI、维普、同方的引文数据检索，尚未发现摆渡木马仿真实验技术、摆渡木马防护技术的研究文献，特别是面向涉密信息网络的相关技术问题研究，无相关记录。