基于信息隐藏技术的木马植入方法

张 茹，黄福鸿，刘建毅，祝 锋

(北京邮电大学 网络空间安全学院， 北京 100876)(*通信作者电子邮箱937714569@qq.com)

0 引言

木马技术[1]一种常用的网络攻击技术，由于其本身的技术优势及利益驱动得到了广泛的应用。木马在渗透到受控端系统内部后可以建立一个稳固的内部攻击点，为后续进一步的攻击提供一个畅通无阻的安全通道，再由里及外、内外结合，往往可以收到更好的攻击效果。随着黑客技术不断发展，新型木马和变种木马不断涌现，深入研究各式各样的木马才能相应地进行防御，对保障国家网络安全具有重要意义[2]。从1986年第一个真正意义上的木马诞生到现在，木马不断更新换代，攻击方式也发生了巨大的变化。最新的木马研究已从恶意的木马程序扩展到基于集成电路的硬件木马[3]研究，但比起已经全面发展了多年的软件木马，硬件木马尚处于起步阶段。木马表面形态千变万化、各不相同，但总结其实质，所有木马程序都包含三个阶段：植入木马、加载运行木马和数据回传。

木马植入是指利用各种途径使木马程序进入到目标主机。常用的植入手段有：社会工程学欺骗用户下载执行捆绑了木马的正常文件；利用系统或者浏览器漏洞进行网页挂马，从而下载木马JS脚本进行植入；将木马程序伪装成非可执行文件图标。文献[4]展示了一种在WMV格式的视频媒体文件中嵌入恶意链接，当播放此WMV格式视频时链接到伪装成DRM(Digital Rights Management)验证的第三方挂马网站，从而实现种马的方法。

第二个阶段是运行加载木马程序，建立与目标主机的通信通道和远程控制权，延长木马生命期。木马程序需要对本身进行伪装或者隐藏，常见的运行阶段的木马隐藏技术有：启动隐藏、文件隐藏以及进程隐藏。文献[5]提出了一种巧妙的启动隐藏方法：关机时，修改注册表中系统自动加载运行项，实现木马开机启动；开机时，木马程序启动成功后则恢复修改。测试表明该方法可以避开注册表监视工具Regsn、RegShot等的检测。新一代木马已经实现DLL模块化和远程线程插入技术，即利用进程的线程调用函数LoadLibrary加载具有完整功能的DLL模块，实现木马植入[6-7]。

木马千方百计隐藏自身盗取数据的目的在于回传数据。数据回传阶段常常用到端口隐藏、隐蔽通信等隐藏技术。计算机的端口多达256×256个，早期木马植入后一般驻留在高端口。随着端口复用技术的出现，木马程序利用系统已开放的常用端口如23、80端口实现通信[8]。有的木马程序使用TCP/IP协议族中的其他协议如ICMP来进行数据和命令传输，由于ICMP是IP层的协议，在传输数据时并不使用端口，隐蔽性能更好。反弹端口[9]是木马等间谍软件一种常用的通信隐蔽方式，相对于服务器端的防火墙而言，从内向外发起的连接是不被防火墙监听的，可轻易穿透防火墙和避过入侵检测系统等安全机制的检测，具有很强的隐蔽性。除了反弹端口进行隐蔽通信外，对通信信道进行隐藏也可有效防止防火墙查杀，维持木马通信周期。TCP/IP协议中Option域、传输数据时不常用的域、传输数据时强制填充的域等都可以用来建立隐蔽信道。

木马程序通过各种隐藏手段隐匿在计算机之中盗取各种重要数据，因此为了保护信息安全应运而生地出现了多种先进的木马检测技术。两种比较主流的木马检测技术有基于特征码检测技术和基于主机行为的主动防御技术。

基于特征码检测技术[10]通常是对木马程序的特征码进行扫描提取，并对比匹配病毒库中已有的木马特征码，以此判断文件是否为木马。基于特征码检测技术目前应用最为广泛、实用，对已知恶意代码检测准确度非常高；然而它无法检测出新品种木马，具有严重滞后性，其检测能力受到了新的挑战。

木马程序通常有异于正常程序的危险行为，如对注册表键值的修改、远程进程的注入、特定API函数的调用等。基于主机行为的主动防御技术[11-12]正是以程序的行为作为判断的关键依据，通过实时监控程序的行为、检测程序的异常行为进而发现隐蔽在系统中的木马。文献[13]通过分析注册表修改、文件系统修改、端口启动、进程创建、系统服务修改以及键盘记录、屏幕捕获等行为特征，结合启发式检测技术来检测以上行为是否为木马程序的行为。该方法的缺点是会把未知的操作列为非法操作，导致误报率较高；而且实时监控文件操作、注册表更改会大量消耗系统资源，引起计算机卡顿，影响其他程序的正常运行。

社交网络[14]具有用户数量众多、媒介多元化、大数据量、信息开放的特点，这为木马病毒等恶意代码传播提供了新途径。信息隐藏作为主要的安全通信手段，在隐私保护中发挥了重要作用[15-16]。近年来，隐藏载体的研究从主流图像文件等扩展到网络上常见的音频、视频、文本等主流多媒体文件[17]。文献[18]利用汉字的数学表达式，提出一种无载体的文本信息隐藏方法；周琳娜等[19]概述了近年来基于二值图像的信息隐藏研究成果, 并对研究成果的鲁棒性和隐藏容量等问题作了简要的比较与总结；文献[20]利用广播信道中包含的大量音频信息，提出了一种时频调制的音频信息隐藏算法，在经过FM广播信道后可保持96%以上的信息恢复率。视频信息隐藏尚处于初级阶段，经典的视频隐藏算法是边界匹配法。文献[21]采用直方图平移技术将每个宏块的运动矢量嵌入到相邻宏块的量化离散余弦变换(Discrete Cosine Transform， DCT)系数中，克服了最低有效位(Least Significant Bit, LSB)替换技术对载体宏块的解码重构质量造成的不可逆损失，实现了可逆信息隐藏。新的网络坏境下，信息隐藏的形态不断发生变化，出现了适用于特定载体类型的半构造式信息隐藏、完全构造式信息隐藏和行为信息隐藏的基本形式。代表性隐藏方法有纹理合成信息隐藏、Marbling信息隐藏和指纹构造信息隐藏等[22]。

当前社交网络影响并改变了互联网的通信结构，信息传播从C/S架构一家独大转向C/S、B/S、P2P架构共存。P2P通信网络中每个节点都是对等的，没有传统的服务器与客户端的角色，极大地提高了网络的隐蔽性及可扩展性。风靡全球的即时通信应用如MSN Message、微信、QQ等大量采用了P2P技术，用户可以在线实时交流语音、文本、视频、图像等多媒体数据。无孔不入的黑客极可能利用信息隐藏技术在多媒体数据中植入木马进行海量传播，从而为隐私泄露提供新的载体和途径。

现有的基于图片的木马攻击如Stegosploit，Graftor木马等，仅是利用图片来挂载相应的木马程序或恶意DLL，在注入木马时直接将恶意代码注入图片中，并未用到信息隐藏技术，很容易被检测到木马特征，在穿透审计的能力上明显不足。其他利用了信息隐藏技术的木马如Stegoloader，将木马隐写在图片中，待系统检测木马结束后再进行释放。该方法需要依靠恶意程序的传播，仅仅将信息隐藏在隐藏木马时使用，而在木马运行后数据的回传与传统木马回传数据的方式类似，依然无法有效地穿透审计。这些木马工具采用的都是端对端的C/S架构通信，受害目标和黑客之间直接相连，且回传的信息都是公开的，易暴露传输内容并被取证，控制端容易被溯源。因此，本文提出了一种利用信息隐藏来同时保护木马注入和信息回传的方法。借助隐写术将木马程序隐藏到图像中，以一种非可执行文件的形式突破现有防火墙的拦截入侵到目标主机；渗透成功后，盗取的数据同样采用信息隐藏算法隐藏到JPEG载体图像。本文的木马并不主动进行端对端回传数据，而是建立在木马集成的自动发博客脚本将载密多媒体文件上传至社交网络的基础上，同时社交应用使用频繁的受害者也较大可能主动外传数据。攻击者与受害者不存在直接的通信连接，利用了隐写术的特点来隐藏整个通信过程。因此实现了对目标用户、指定数据进行数据采集和盗取的一种隐蔽性更好、透明性更高的，防追踪性能更好的信息盗取方案。同时，本文利用的JPEG图像隐藏算法，不仅嵌入量较大，同时通信也较隐蔽，具有一定的抗取证作用，能降低木马通信暴露的机率。

1 信息隐藏算法设计

1.1 JPEG图像隐藏算法

JPEG图像是一种在网络图像传送过程中流行且被广泛使用的图像文件格式，也是信息隐藏算法最实用的隐写载体之一。JPEG图像隐写方案一般是将信息嵌入到载体图像的DCT系数上。典型JPEG图像隐写算法有Jsteg、F5、OutGuess、MME等[23-25]。

STC(Syndrome-Trellis Codes)框架使图像信息隐藏研究大为改观，目前主流信息隐藏方法大都是利用STC编码并合理设计失真函数，保证对载体的改变量最小[26-27]。文献[28]结合STC编码并据DCT系数大小关系设计失真函数，设计了使用nsF5修改方式的单层嵌入方法以及使用加减一修改方式的双层嵌入方法，实验表明，单层嵌入方法安全性比nsF5高，双层嵌入方法比nsF5抵抗检测的能力更强。JPEG图像格式采用的是有损压缩，质量因子不同时图像显示出的效果会有差异，攻击者难以判断图像中的异常是较低的质量因子还是嵌入隐藏信息所导致，不易引起怀疑。

1.2 算法设计

1.2.1 加密预处理

私钥隐写系统是借用密码学技术对秘密信息先加密、再隐藏。其定义如下，对于一个六元组:

Σ=〈C,M,K,S,DK,EK〉

(1)

其中：C是所有可能载体对象的集合，M是所有可能秘密消息的集合，K是所有可能密钥的集合。嵌入函数是：

EK:C×M×K→S

(2)

提取函数是：

DK:S×K→M

(3)

若满足性质：对所有m∈M,c∈C和k∈K,恒有：DK(EK(c,m,k),k)=m,则称该六元组为私钥隐写系统。本文使用混沌序列实现私钥隐写系统。Logistic混沌映射源于人口统计的动力学系统，其系统方程如下：

Xk+1=μ*xk(1-xk)

(4)

可以看出此系统方程为非线性迭代形式，当3.569 94<μ<4且0

En=Mn⊕Xn

(5)

其中：Mn为明文序列，Xn为混沌序列，En为密文序列。

1.2.2 JPEG图像嵌入算法

JPEG图像大容量隐写算法主要包括两部分：JPEG图像隐写算法和JPEG图像提取算法部分。基于JPEG图像大容量隐写算法包括四个模块： JPEG图像解码模块、秘密信息读取模块、隐写模块和载密JPEG图像文件生成模块。具体模块关系如图1所示。

图1 JPEG图像嵌入算法模块

JPEG文件解码模块首先读取M*N大小的JPEG图片文件，调用libjpeg库的接口函数读取量化后的DCT系数，并将读取的DCT系数存储在临时文件中，核心函数如下：

1)void jpeg_create_decompress(&srcinfo)

功能描述：初始化解码对象。

输入参数：srcinfo表示JPEG解码结构体。输出参数：无。

2)void jpeg_stdio_src(&srcinfo， input_file)

功能描述：初始化源数据。

输入参数：srcinfo表示JPEG解码结构体；input_file表示待解码文件指针。输出参数：无。

3)void jpeg_read_header(&srcinfo， TRUE)

功能描述：读取jpeg文件的头信息

输入参数：srcinfo表示JPEG解码结构体；TRUE表是否需要图片。输出参数：无

4)(jvirt_barray_ptr *) jpeg_read_coefficients(&srcinfo)

函数名：jpeg_read_coefficients

功能描述：读取图片DCT系数。

输入参数：srcinfo表示JPEG解码结构体。输出参数：结构体指针。

秘密信息读取模块读取到DCT块的个数为NDCT=⎣M/8」*⎣N/8」,进而确定图像隐藏容量与待嵌入的秘密信息相比，判断其大小是否可以实现隐藏。秘密信息长度嵌入到图片DCT系数的LSB中，图片的前64个字节用于隐藏秘密信息长度，在提取秘密信息时可以正确得到秘密信息的大小。

隐写模块将扫描秘密信息以确定隐藏秘密信息中的哪个字节的哪个比特位，然后利用伪随机数生成器生成随机数来确定对哪个位置的DCT系数进行嵌入，最后将秘密信息的比特位替换该DCT系数的最低比特位以完成秘密信息的嵌入，核心函数如下：

1)void setRangeAndSeed(unsigned long seed_1，unsigned long range_1)

功能描述：通过用户输入密码作为种子，各分组DCT数作为随机数产生范围，得到随机数确定DCT系数嵌入位置。

输入参数：seed_1表示随机数产生数种子，这里将用户输入密码作为种子；range_1表示随机数产生范围，这里为将DCT系数分组后，每组中DCT系数的数量；输出参数：无。

2)unsigned long nextRandom()

功能描述：前一次产生的伪随机数作为参数输入到该函数，产生另一个随机数。

输入参数：class RandomGenerator中的变量。输出参数：伪随机数。

3)int getBitNo (bitno)

功能描述：通过扫描秘密文件，确定隐藏哪个字节的哪个比特位，并且返回该比特位的值。

输入参数：bitno表示对应秘密文件的比特数。输出参数：要隐藏秘密信息的比特位值。

载密JPEG图像生成模块的主要功能是将被替换的DCT系数隐写成载密JPEG图像文件，其主要函数如下：

1)void jpeg_create_compress(&dstinfo)

功能描述：分配和初始化jpeg压缩对象。

输入参数：dstinfo表示jpeg压缩结构体。输出参数：无。

2)void jpeg_write_coefficients(&dstinfo，src_coef_arrays)

功能描述：分配和初始化jpeg压缩对象。

输入参数：dstinfo表示jpeg压缩结构体；src_coef_arrays表示替换后的DCT系数。输出参数：无。

1.2.3 JPEG图像提取算法

基于JPEG提取算法包括两个模块：JPEG图片解码模块和秘密信息提取模块。具体模块关系如图2所示。

图2 JPEG图像提取算法模块

JPEG文件解码模块首先读取JPEG图片文件，调用libjpeg库的接口函数读取量化后的DCT系数，并将读取的DCT系数存储在临时文件中，主要函数见1.2.2节的JPEG隐写算法介绍。秘密信息提取模块通过读取载密图像前64个字节DCT系数的最低比特位得到秘密信息文件的长度，并且通过伪随机数产生器确定提取信息的位置，将该位置处的DCT系数的最低比特位提取出来写入文件生成秘密信息文件，核心函数如下：

函数名：int putBitNo(int n，int value)。

功能描述：将载密DCT系数中提取出的秘密信息比特写入文件。

输入参数：n表示对应秘密文件的比特数；value表示载密DCT系数提取出的秘密信息比特。输出参数：载密DCT系数提取出的秘密信息比特。

1.3 算法性能分析

本文的信息隐藏算法是基于JPEG图像的DCT变换域设计的LSB隐写算法，不需要对JPEG图像进行深度解码，计算复杂度低。为对比隐写前后的载体图像的相似程度，客观评价标准以峰值信噪比(Peak Signal-to-Noise Ratio, PSNR)为衡量，计算公式如下。

具体测试数据见表1，本文算法的PSNR值均高于文献[29]的经典隐藏算法，同时均不小于40 dB，高于理想图像视觉质量要求的40 dB。从人眼视觉效果上看，两种图像没有明显区别，不可感知性好。同时本文算法在保证不影响载体质量的前提下，嵌入容量大。以600×800像素、垂直水平采样因子为(1∶1∶1)的图片为例，图片解码后量化后的DCT系数的个数为100×75×64×3，理想情况下每个DCT系数都可隐藏数据，最大的嵌入容量为100×75×64×3/8/1024,约为175 KB。由于满嵌时不可感知性下降，实验过程中，嵌入容量约为50 KB(约为有效数据的30%)时可保证不可感知性，因此本文算法具有透明性好、隐藏容量较大等优点。通过stegodetect软件对隐写后的图片进行隐写检测，检出率约为3%，实验验证可以抵抗结构检测和挂接检测，有实用价值，可用于满足于本文设计的木马程序隐蔽通信。

表1 对比算法针对不同载密图像在不同信息嵌入量下的PSNR比较

2 基于信息隐藏的木马通信模型

2.1 通信模型流程

基于信息隐藏的木马通信模型的示意图如图3所示：木马攻击方使用信息隐藏算法将木马程序隐写到JPEG图像中，并上传到网络Web服务器；用户使用社交网络时被诱使点击挂马网页，隐藏有木马程序的图像和木马提取程序被投放到主机；一旦提取程序得以运行，木马被提取释放到主机并进行一系列的隐藏自身操作之后开始上线工作。木马盗取的用户私密数据仍然使用信息隐藏算法隐写到图像文件中，木马集成的自动发博客脚本将载密多媒体文件上传至社交网络；同时受害者也较大概率将此类隐写了私人信息的照片通过社交网络如QQ分享给其他众多好友，受害者与好友都十分可能上传照片到公开的微信朋友圈、微博等，这无疑加大了泄密的可能性。黑客通过公开渠道获取载密图像提取出秘密信息。

图3 基于信息隐藏的木马通信模型

2.2 通信模型实现

结合信息隐藏技术和木马技术各自的特点，以实现数据采集为目的，发挥信息隐藏技术透明性高、不易被防火墙拦截的特点，设计了基于信息隐藏的木马软件。图4展示了完整的基于信息隐藏的木马通信模型的工作流程。

图4 基于信息隐藏的木马通信模型的流程

具体实现过程如下：

1)木马预处理：将木马DLL程序采用一维混沌加密算法加密成密文，混沌系统参数作为密钥。采用信息隐藏算法将保存所有木马功能的DLL文件植入到JPEG图片中，嵌入隐藏的DLL文件后，JPEG图片的外观和功能保持不变。

2)诱导及植入木马：将嵌入了木马DLL程序的载体图像上传到搭建好的Web服务器，同时木马提取程序的可执行文件、可执行木马注入程序以普通文件格式上传到Web服务器；诱导用户访问Web服务器对应的挂马网站，相关文件被下载到用户主机。

3)木马文件隐藏：木马程序从带有木马的网站下载在到本地后，将会在本地存在两个文件：一个可执行文件用于木马功能模块的启动，一个DLL文件保存有所有的木马功能。将这两个文件隐藏起来，可以大大增加木马的潜伏性和生存期。文件的隐藏方式有多种，本文采用灵活轻便的更改文件属性加修改注册表的方式实现文件的隐藏。Windows操作系统中存在大量的支持系统运行的文件，通常情况下，用户很少查看和修改这些文件，系统默认将这些文件设置为隐藏属性并设置为不显示隐藏文件。利用这个系统的默认特性，将木马的两个文件设置为隐藏属性，并修改注册表项：HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersio-nexplorerAdvancedFolderHiddenSHOWALL的checkvalue键值便可以达到隐藏文件的目的。

4)木马激活：浏览器调用js脚本将木马提取程序运行，之后根据嵌入位置等参数使用信息隐藏提取算法得到DLL文件并注入到正常的进程之中。本文选取远程线程注入的方法来实现隐藏进程。远程线程注入技术是通过特殊的内核编程手段，打破进程的界限来访问另一个进程的地址空间。在指定的进程中创建一个远程线程，该线程可以访问进程的地址空间，在已有进程的内存空间里加载DLL文件。DLL并非可执行文件，只有通过进程调用才能够启用，所以进程列表中不会出现DLL的痕迹，不容易被发现。

线程注入过程的原理是采用Win32 API函数WriteProcessMemory和CreateRemoteThread将DLL的代码直接复制到远程进程空间，并用CreateRemoteThread执行它。CreateRemoteThread函数建立一个远程线程，调用LoadLibrary函数来加载指定的DLL。CreateRemoteThread函数使用方法如下：

功能描述：建立远程线程。

输入参数：THandle表示远程进程的句柄；Pointer表示线程安全描述字；DWORD表示线程栈大小，以字节表示；TFNThreadStartRoutine表示一个TFNThreadStartRoutine类型的指针，指向在远程进程中执行的函数地址；Pointer表示传入参数的指针；DWORD表示创建线程的其他标志。输出参数：无。

在Windows系统下，每个进程都拥有自己的地址空间，各个进程之间都是相互独立的，要在远程进程的内存空间里申请一块内存空间写入需要注入的DLL的路径，需要用到的API函数有：

①OpenProcess，功能是打开目标进程，得到目标进程的操作权限；

②VirtualAllocEx，功能是用于在目标进程内存空间中申请内存空间以写入DLL的文件名；

③WriteProcessMemory,功能是往申请到的空间中写入DLL的文件名。

有了以上介绍的关键Windows API函数，通过以下流程即可实现远程线程注入：

①调整权限，使程序可以访问其他进程的内存空间(EnableDebugPriv)；

②得到远程进程的HANDLE(OpenProcess)；

③在远程进程中为要注入的数据分配内存(VirtualAllocEx)；

④将注入DLL复制到本进程，实现函数DLL装载过程(MapInjectFile)；

⑤把DLL资源复制到分配的内存中(WriteProcessMemory)；

⑥用CreateRemoteThread启动远程的线程。

实现线程注入后，木马程序访问系统注册表，修改系统启动加载项，将木马程序的路径和名称添加到启动自动运行程序的列表中。用户下次启动系统时将启动加载项列表，木马程序将自动运行，此时木马程序就完成了植入过程。

5)数据获取及回传：木马程序每次都随系统自动运行，不断通过后台进程获取本地文档和数据，随后利用大容量信息隐藏算法将这些分片数据隐藏到图片中，接着运行自动发微博功能将载体图像上传至社交网络；攻击者从公开的社交网络渠道获取载密图像，使用隐藏信息提取算法还原秘密数据，最终实现文件和数据信息回传到木马控制端。

3 实验与分析

3.1 实验

木马程序运行在Windows XP操作系统下，使用一台计算机运行Tomcat搭建轻量级挂马网页服务器，控制端程序运行在Windows XP、Windows 7操作系统下均可。各个工具及网络的部署关系如图5所示。

图5 网络环境部署

测试分三步执行:先在局域网中部署一个小型网站作为挂马网站，并上载隐藏了木马的JPEG图像等资源文件，用户打开挂马网站的链接，模拟实现挂马过程以真实反映互联网中的网页挂马的攻击方式；木马程序在目标机器中启动后自动扫描目标文件夹下的秘密数据，本文以DOC文件为测试文件，在本地使用JPEG隐藏算法将秘密数据隐写到JPEG图像文件中，通过社交网络回传至控制端；最后控制端发现木马上线并接收数据(控制端界面如图6)，然后进行数据的提取、恢复。

图6 木马控制端界面

3.2 测试结果及性能分析

木马程序总文件大小为36 kb，inject.exe是启动程序，troDLL主功能模块大小148 kb。在分别安装360杀毒、360安全卫士、金山卫士和腾讯电脑管家杀毒软件情况下，除360杀毒、360安全卫士外，其他软件没有对程序报警和拦截、控制端程序可收到木马主机的IP地址，说明木马程序可在金山卫士和腾讯电脑管家相应版本下实现免杀功能并成功运行。查看主机注册表信息，无明显带有“inject”字样的注册表项；查看系统C盘、D盘、system32文件夹，没有查看到木马程序的文件；使用任务管理器查看系统运行中的进程，没有查看到木马进程。如图7所示，观察木马运行整个过程中CPU利用率波动情况，没有观察到持续性超过30%。

3.3 新型木马的检测和防范方法分析

本文提出的新型木马在植入与加载阶段运用了典型木马技术，因此在引言中提到的已有成熟的木马检技术如基于动态行为、静态特征相结合的木马检测方法在一定程度上能够识别本文木马的抗检测对抗技术。然而本文的新型木马有效地利用了隐写术的特点来隐藏整个通信过程，现有的基于木马回传阶段的如端口检测、过滤分析网络通信流量监测等机制无法识别到这样的通信渠道。计算机自身对信息管理本质上是完全不设防的，无论是用户还是木马都可以拥有绝大多数文件的读写复制等访问权限，本文的木马就是通过扫描用户的私人多媒体数据，从而给了木马可乘之机。因此，对多媒体文件、文件夹进行加密、设置读写权限等是一个有效防范方法，可以在一定程度上降低本文的木马对数据进行盗取的机率。

图7 木马运行过程CPU利用率波动图

4 结语

以往的木马通常采用端对端的通信方式，受害目标和黑客之间直接相连，且回传的信息都是公开的，易暴露传输内容，控制端容易被溯源。本文结合信息隐藏技术与木马技术两者的优势设计了一种基于信息隐藏的木马植入途径。该方法以JPEG图像为载体进行信息隐藏，实验结果显示该方式具有较大的隐藏容量，而且保持了良好的透明性；将木马技术与信息隐藏技术相结合，将木马程序隐写到JPEG图像中进行投放，以一种非可执行文件的形式突破现有防火墙的拦截入侵到目标主机，木马盗取的数据经过加密后隐藏到多媒体图像当中，能提高木马抗取证性能；新型木马有效地利用了信息隐藏技术的优势来盗取数据，并通过社交网络多媒体共享行为实现木马程序隐蔽通信，使木马具有相当好的通信隐蔽性与防追踪性能，能有效对抗已有的木马检测技术；最后通过分析指出，在社交网络如微信、QQ等即时通信中，如果此类型木马被利用，则可能造成用户隐私泄露，并提出了一些检测防范思路，以便更好地防范木马的渗透和攻击。