目标

说明

1

本地活动行为隐藏技术

通过LKM （Loadable Kernel Modules） 动态加载系统功能，替换或调整系统调用实现木马隐藏

①文件隐藏。在Linux中，通过改变系统调用功能实现相应文件、路径隐藏

②进程隐藏。木马程序事先替换或拦截显示进程信息的系统调用，避免管理员通过ps等命令发现木马进程

③通信连接隐藏。木马程序设法替换或拦截与通信连接信息查看（如netstat）等系统调用，避免管理员发现木马通信活动

2

远程通信过程隐藏技术

包括通信内容和通信方式隐藏

关键技术方法：

①通信内容加密技术（传统方法）。将木马通信内容加密，使得管理员无法识别

②通信端口复用技术（隐蔽性强）。指共享复用系统网络端口来实现远程通信，既可欺骗防火墙，也可少开新端口

③网络隐蔽通道（掩盖通信内容及状态）。利用通信协议或网络信息交换方法构建隐蔽通道，绕过访问控制机制秘密传输