特洛伊木马作为一种网络安全中的技术,被人们广泛的应用与远程控制、网络攻防等领域中。然而,随着安全技术的不断发展,安全软件的检测能力越来越强大,大大压缩了木马的生存空间。内核Rootkit技术作为一种新型的隐藏技术,以其强大的破坏性和隐蔽性,越来越多的受到人们的关注和研究。内核级木马是一种与内核Rootkit技术相结合的特洛伊木马。内核Rootkit通过修改内核重要的数据结构,来实现对整个木马的隐藏。由于内核Rootkit处于系统的底层,安全软件很难对其进行查杀,从而保证了整个木马具有很高的隐蔽性。内核级木马是未来木马发展的趋势。传统架构下的内核级木马采用应用层和内核层相结合的方式。负责隐藏整个木马的隐藏模块采用内核级Rootkit技术实现,而具体完成用户期望功能的模块则是在用户层来实现。这样的优点是实现起来比较容易,系统比较稳定。然而随着安全件检测技术的不断发展,各种新的检测方法不断出现,使得这种混合性的内核级木马越来越容易被检测出来。具体来说,计算机中客体的存在是以其属性来表现出来的,决定木马属性的功能实现主要是在用户层,导致木马整体的敏感属性完全暴露于位于更底层的安全软件。从而需要内核隐藏模块通过修改大量的内核数据结构来实现相关属性的隐藏,导致隐藏模块的体积过大,造成比较大的噪声。这样即使隐藏模块位于较底层也很容易被安全软件检测出来。基于以上分析,本文针对传统内核木马架构模型中隐藏模块体积过大导致容易被安全软件检测的缺陷,对其进行了改进,提出了一种轻量型隐藏模块的纯内核级木马架构模型。该架构中,所有的模块均在内核层来实现,与安全软件位于同一层甚至低于安全软件,这样大大减少了暴露给安全软件的属性,从而简化了子隐藏模块之间的协作关系,使得隐藏模块只需较少的修改系统内核结构就可以完成木马整体的隐藏,大大提高了整个木马的隐蔽性。最后,为了证明改进后架构模型的有效性和高隐蔽性,本文实现了一个基于该架构的内核级木马,并与传统架构下的内核级木马进行了实验对比,结果证明了该架构模型的有效性和高隐蔽性。