特洛伊木马是网络攻击的主要手段之一,其首要特征是隐蔽性.它可以在目标系统被攻破以后继续保持对它的控制,并可以以长期潜伏、滞后活动的方式来隐身以获取连续性的政治、经济、军事或商业情报.在网络攻击技术中,木马技术是一个很重要的研究领域.特洛伊木马攻击、检测和清除技术在军方和国家安全保密等部门存在潜在应用,研究意义重大.在当前多维信息战的形势下,加强这方面的工作刻不容缓.该文的研究工作以国家"863"(《国家网络与信息安全保障持续发展计划》)项目"特洛伊木马隐藏技术研究"为基础,对Linux内核级木马的隐藏技术进行了深入地研究,分析和总结了现有的特洛伊木马的隐藏和检测技术,并针对著名的内核级木马SuKit进行了剖析,指出了该木马的不足,提出了改进建议和实现方案,开发了一个内核级木马原型LongShadow.内核级木马LongShadow是基于Silvio Cesare的思想:在不支持LKM技术的前提下,在运行的系统中实现对内核的改动.没有采用修改系统调用指针进行系统调用重定向来实现隐藏,而是通过在内核中重建一个系统调用表,因此检查系统调用表的变化无法检测到木马的存在.对利用检测系统调用重定向来检测LKM木马的扫描检测工具Kstat可以成功避过.chkrootkit也是检测LKM的工具,它是通过一些恶意代码签名来检测的,因此木马LongShadow能成功避过.stMicheal-LKM是检测内核变动的工具,木马LongShadow通过首先定位stMicheal-LKM,然后使其失效的方法避过此种检测工具.由于木马原型LongShadow在通信隐藏上采用了隐蔽通道技术,因此木马LongShadow可以成功避过Realsecure/snort的检测.该论文的工作主要创新之处在于:利用隐蔽通道技术和实时检测对抗技术改进了通信隐藏和对抗实时检测的能力.另外,论文也针对木马攻击过程的各个阶段对检测技术进行了分析和总结.当然,随着网络安全技术的不断发展,木马扫描检测技术在不断深入,因而木马隐藏技术也需要不断提高.木马隐藏技术与检测技术是攻与防、矛与盾的关系,它们是互相促进,螺旋式上升的.