特洛伊木马(简称木马)危害性大,隐蔽性强,是目前攻击计算机信息系统的主要手段之一,由木马所造成的信息系统破坏和损失的情况越来越多,对计算机信息系统的安全保密构成了极大的威胁,因此对计算机木马技术的研究已成为计算机信息安全领域的一个重点和热点。本文对木马攻击与防范技术进行了系统的分析研究,主要工作如下:1.对木马的基本概念、基本特性、植入方法、上线通知方法进行了归纳总结。2.分析了Windows系统下木马的各种隐蔽技术。对其植入方法、启动方式的隐蔽技术、运行时的隐藏方式、隐蔽通信技术以及木马文件在宿主机磁盘中的隐藏方法进行了深入分析。3.剖析了BO2K木马和网络神偷木马的具体隐蔽技术。重点分析了BO2K木马的运行形式、隐蔽技术和网络神偷木马针对防火墙的通信隐蔽技术。4.分析了仅仅基于静态特征木马检测的技术缺陷。指出,仅仅基于静态特征的木马检测技术对未知木马存在检测的盲区,无法检测出未知木马;对采用各种隐蔽技术的已知木马缺乏检测的应变能力。基于静态特征木马检测技术的检测能力过度依赖于检测系统中已知木马静态特征库。5.在研究了木马隐蔽技术和基于静态特征木马检测技术的基础上,提出了一个基于动态行为分析和木马静态特征相结合的木马检测防范系统的基本框架。结合木马的静态特征检测和对木马动态行为检测两种检测技术进行木马的防范与检测:通过控制木马的植入、隐蔽、恶意操作所需资源以最大可能防范木马;通过扫描监控注册表、文件和目录、端口进程关联和可疑调用行为以及过滤分析网络通信来最大可能检测木马的存在。