打造火眼金星 谈谈如何识别驱动木马

一提起木马或者病毒，大家都会是一脸憎恶且避而远之的态度。

但是现实却是残酷的，在当今这个时代，国内用于家庭和企业的电脑，平均每十台就有至少一台感染过后门，染毒途径除了移动媒介扩散以外，最常见的就是网络途径，如那些被植入木马的网站、网络中爬行的蠕虫、即时聊天系统传输的文件、系统漏洞导致的入侵植马和带毒的电子邮件等。可以说，各种途径都可能使你的计算机受到感染，即使你只是打开了几个网站页面看看当天的时事新闻。

正所谓知己知彼、百战不殆，要想远离木马或病毒的骚扰，当然需要我们对它们有详细的了解，才能让我们战胜这些木马、病毒以及那些恶意的入侵！下面我们就为大家介绍一种历史悠久的木马――驱动木马。

一、 隐藏技术的演变：

要谈驱动木马的识别，就不能不介绍木马、病毒的隐藏技术的演变过程。最初的木马，如同恶意软件或流氓软件那样，使用普通的EXE可运行文件和简单的隐藏技术。较为强大的木马，是直接跳过了第一代木马形态，而采用DLL文件形态和线程注射技术。

线程注射的全称是“远程线程注射”（RemoteThread Injection），通常情况下，各个进程的内存空间是不可以相互访问的，这也是为程序能够稳定运行打下基础，这个访问限制让所有进程之间互相独立，这样一来，任何一个非系统关键进程发生崩溃时都不会影响到其他内存空间里的进程执行，从而使NT架构的稳定性远远高于Win9x架构。但是在一些特定的场合里，必须让进程之间可以互相访问和管理，这就是“远程线程”技术的初衷，这个技术实现了进程之间的跨内存空间访问，其核心是产生一个特殊的线程，这个线程能够将一段执行代码连接到另一个进程所处的内存空间里，作为另一个进程的其中一个非核心线程来运行，从而达到交换数据的目的，这个连接的过程被称为“注射”（Injection）。远程线程技术好比一棵寄生在大树上的蔓藤，一旦目标进程被注射，这段新生的线程就成为目标进程的一部分代码了，只要目标进程不被终止，原进程无论是否还在运行都不会再影响到执行结果了。

曾经，线程注射技术成为摆在用户面前的一道难题，因为一旦它加载运行，一般的手段就无法对其造成伤害，但是随着时代变迁，它的“弊端”也开始暴露得越来越明显了，例如在安全模式下，由于载体EXE的启动项无法被调用运行，这些木马自然也就失去了作用。而一部分木马则利用开始浏览器，只要“Windows外壳”Explorer.exe程序被加载，它就随之启动了，虽然它使用这种方法实现了在一般的安全模式里也能保持运行，但是在更进一步的“命令提示符的安全模式”里，由于它的依赖载体Explorer.exe并不会被调用（该模式里使用CMD.EXE作为外壳），在有经验的用户面前，这种保护模式也就被破解了。

二、驱动木马的诞生：

于是木马开发者开始寻求一种更高级更保险的手段来确保自己的“作品”不受破坏，最终他们把眼光投向了系统底层——Ring 0，这里运行着系统核心模块和各种驱动程序模块，而且也只能运行这些以驱动文件为形态的代码。为了达到目的，后门作者们把“作品”编写成符合WDM规范（Windows Driver Model）的驱动程序模块，把自身添加进注册表的驱动程序加载入口，便实现了“无启动项”运行。一般的进程查看器都只能枚举可执行文件EXE的信息，所以通过驱动模块和执行文件结合的后门程序便得以生存下来，由于它运行在Ring 0级别，拥有与系统核心同等级的权限，因此它可以更轻易的把自己隐藏起来，无论是进程信息还是文件体，甚至通讯的端口也能被隐藏起来，在如此强大的隐藏技术面前，无论是任务管理器还是系统配置实用程序，甚至系统自带的注册表工具都失去了效果，这种木马，就是让人闻之色变的Rootkit。

起初，这种技术仅仅为高级的木马所使用，然而到了后期，为了避免自身被用户和恶意软件清理工具卸载，越来越多的恶意软件纷纷加入了这个阵营，到了这个阶段，恶意软件已经彻底成为流氓了，有许多恶意软件甚至结合了多种途径蚕食用户的系统领域，包括驱动形态、线程注射的DLL形态和表面上的EXE——它们只比类似的木马多了一个EXE而已。在多种技术的结合下，这些惹人讨厌的东西越来越难以查杀。