第35卷第5期计算机工程2009年3月
March2009
Vo1．35No．5ComputerEngineering

委秉——————————夏iiii萼■而二西159----03文献标识码：A中田分类号：TP309．2
基于BHO的网络隐蔽通道研究

王娟，郸永冲，王强。
(1．南开大学信息技术科学学院，天津300071；2．中国人寿保险股份有限公司信息技术部，北京100020；
3．西安空军工程大学电讯工程学院，西安710077)

摘要：针对现有网络隐蔽通道在流量隐藏和代理穿透方面的不足，提出一种基于浏览器帮助对象(BHo)构建网络隐蔽通道的方法。BHO
自身的“合法性”和“寄生性”不仅为躲避杀毒软件和防火墙提供天然屏障，而且能为流量隐藏和代理穿透提供有利条件。该文给出详细
方案设计和代码框架，通过测试验证该隐蔽通道的有效性。针对其可能带来的危害，提出防御建议。
关健词：网络隐蔽通道；浏览器帮助对象；流量隐藏；代理穿透；网络安全

ResearchofNetworkCovertChannelBasedonBHO

WANGJuan，GUOYong—chong2，WANGQiang

f1．CollegeofInformationTechnologyandScience，NankaiUniversity，Tianjin300071；
2．DepartmentofInformationTechnology，ChinaLifeInsuranceCompanyLimited，Beijing100020；
3．CollegeofTelecommunicationEngineering，Xi’anAirUniversityofEngineering，Xi’an710077)

[Abstract]Toalleviatetheweaknessofexistednetworkcovertchannelsintraficconcealingandproxypenetration，anewmethodofconstructing

covertchannelbasedonBHOisproposed．ThemethodusingInternetspacesuchaswebmail，blogorbbstotransferinformation．Thelegalityand

parasitichessofBHOprovidesprotectionagainstanti—virussoftwareandfirewall，andmakeiteasytoconcealtraficandpenetateproxy．Detail

designandcodeframeworkaregiven，testsaredonetovalidatethenetworkcoveitchanne1．SomeadvicearegiventOprotectagainstthiskindof

networkcover[channe1．
[Keywords]networkcovertchannel：BrowserHelperObject(BHO)；traficconcealing；proxypenetration；networksecurity


1概述浏览器的界面信息、实现浏览器的大部分功能。在合理的程
网络隐蔽通道是在正常的网络数据流中建立的一种违背序逻辑控制下，完全可通过BHO接13实现WebMail邮件的
安全策略、传输秘密信息的通道。采用网络隐蔽通道技术不自动收发、blog或bbs文章的自动读写。
仅可隐藏通信内容，还可隐藏通信信道。由于BHO的上述功能都被视为合法，因此杀毒软件很难
传统的网络隐蔽通道一般基于ISO模型中较低层的协从根本上杜绝对BHO的恶意利用。防火墙也难于识别对某一
议，如利用IP的标识字段、TCP的ISN字段等进行构建”l。页面的访问是BHO组件自动发起还是用户手动发起。这就为
低层协议的字段比较固定且限制较多，基于它们构建的网络利用BHO构建网络隐蔽通道提供了有利条件。
隐蔽通道易被检测，屏蔽且带宽较低。随着网络防护技术的2．2BHO的。寄生性
发展，传统的网络隐蔽通道已逐渐淘汰，取而代之的是ICMPBHO组件必须依靠浏览器才能运行。IE(4．0以上版本)
畸形报文、自定义TCP／UDP报文和HTTP隧道等。实例启动时会自动加载已注册的BHO组件，并对其进行初始
网络隐蔽通道的构建已上升到应用层，其带宽较高且隐化。BHO实例与IE实例运行在相同的内存上下文中J，有相
蔽性更强。但目前网络代理、异常流量检测、深度检测等技同的生命周期。通过BHO接VI实现网络通信，实质上，是借
术的发展又给网络隐蔽通道的生存带来新的挑战，突显出现用了IE的