摆渡木马主要针对与互联网隔离的涉密局域网络，它通过U盘，移动硬盘等移动存储介质在两个网络之间传递文件数据。木马通过移动存储介质植入，并在涉密计算机网络中搜索涉密文件，将搜索到的文件发送到移动存储介质中，当移动存储介质接入联网的计算机时，涉密文件就会被发送到网络的指定位置。摆渡木马即是利用木马技术渗透到隔离网络系统内部，建立一个稳固的内部攻击点，为攻击提供一个畅通无阻的安全通道。本文在研究了摆渡木马攻击技术的基础上，设计实现了基于动态链接库的摆渡木马原型系统。从行为链路角度，摆渡木马包括木马注入，文件搜索，移动存储介质的探测和读写，文件发送，自动销毁五个基础功能模块。基于深度隐藏，躲避杀毒软件的性能需求，本文的木马注入采用以封装了木马功能的动态链接库(DLL)文件替换系统组件的方式，通过改写原系统DLL文件中的函数使得木马功能随着DLL文件中函数的调用而运行。随后，对DLL文件关键位置进行断链处理，并进一步将通过虚拟地址描述查找到系统获取文件名的位置，通过对缓冲区的处理，使得杀毒软件无法查找木马踪迹。并且对木马文件进行加花指令，加壳，修改特征码等一系列免杀处理，使得杀毒软件对木马文件无法识别。这样，在实现了摆渡木马功能的基础上，实现了木马的深度隐藏，提高了木马的存活率。本文利用实验室的设备资源搭建了小型局域网络进行仿真实验。为每一台网络主机安装一款主流的防护系统或杀毒软件，从社会工程学角度对局域网的主机进行攻击测试。通过多次针对不同主机的测试，以及针对同一个杀毒软件或防护系统在不同设置情况下的测试，实际验证了本文摆渡木马设计方法的有效性。实验表明，在木马未运行时杀毒软件无法发现它的存在，在木马运行后，有少部分杀毒软件或防护系统会提示疑似木马功能，大部分杀毒软件或防护系统无法发现，木马能顺利的执行摆渡信息的功能。