近年来,互联网技术的快速发展引发了越来越严重的网络安全问题,如今网络安全问题已经严重威胁到个人的工作以及生活。其中,木马作为网络安全问题的重要攻克难题,亟需更好地防御技术来抵制它。由于木马常常采用最前沿的互联网技术。其技术已经从最初被动的规避安全防护软件迅猛发展到如今主动深入内核争夺主机的管理权,因此这对安全防护软件的木马查杀能力提出了更高层次的要求。本文对木马展开深入研究,剖析其关键技术,以期为更好的查杀木马提供坚实的理论基础和技术支撑。本文以高隐蔽性和高扩展性为目标,针对木马文件的“隐性存储技术”和“动态链接库内存加载技术”展开研究,结合“多层指令解析机制”,设计并实现了一个基于隐性存储的木马原型系统。本文的主要工作归纳如下:1、为解决传统隐性存储方法隐蔽性较低的问题,本文提出了“分块化”隐性存储方法,将内存中的功能载荷DLL(Dynamic Link Library)库文件以块形式分散存储在文件系统的“碎片”宿主中。由于碎片是文件系统的残留空间,将DLL库文件存储到碎片中不会占据文件系统的有效空间且不会改变系统的数据结构,因此本文提出的方法隐蔽性更高。同时,为了能够突破Windows DLL库文件仅限于从磁盘加载的限制,本文实现了“动态链接库内存加载”技术完成了DLL库文件在系统内存中的加载,进一步增强了隐性存储运行时的隐蔽性。2、基于本文提出的“分块化”隐性存储方法,设计并实现了一个木马原型系统。系统主要分为主控端和被控端两部分,其中由主控端向被控端发送指令。为了保证系统的隐蔽性和可扩展性,系统中的功能载荷均采用DLL库文件的形式隐性存储在本地磁盘以及动态加载运行。另外,为了进一步提升系统的可扩展性,使被控端能够识别不同的指令,本文设计了一种“多层指令解析机制”用于解析和执行指令。最后,本文对基于隐性存储的木马原型系统进行了测试验证。通过对测试结果分析,表明本文提出的隐性存储方案具有较高的隐蔽性,使得保存在本地的DLL文件能够规避目前主流的磁盘查杀软件的检测。