僵尸网络，是指采用一种或多种传播手段，迫使大量主机感染bot程序，从而在控制者
和被感染主机之间所形成的一个一对多控制网络。其最主要的特点是可一对多地执行相
同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时
发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代
价高效地控制大量资源为其服务。虽然僵尸网络已经存在很多年，并不是一个新鲜术
语，但近年来无论是僵尸网络数量还是借助此网络实现的各种恶意操作都在快速增
长。尤其在金融领域，它们常用来实施金融诈骗以及各种洗钱活动，如 Zeus bot（具
备在合法用户正常登入网络银行时盗取你的账号及密码，并立刻通过即时通讯工具传
送到 ZeuS Bot 的幕后操纵者）。
本文，我们专注于如何编写一个抵御僵尸网络的代码，并使其运行在受感染的客
户端主机上。通过理解并破坏僵尸主控机进程，我们可以挫败它们收集到的各种信息。
本文针对的目标主要是 Zeus botnet.

僵尸网络控制者能有效地利用运行着地 vitcim 主机实施未授权操作，如窃取银
行账户信息等。僵尸网络存在一个典型的生命周期（传播、感染、指挥与控制和攻击），

在周期内从受感染主机中窃取信息，并通过各种途径向需求者出售各种可能的信息如信用卡号、

登录凭证等。僵尸网络除了获取各种金融数据信息外，还可从受感染主机中收集各种有效信息，

如用户名、密码、cookies 以及各种通过 post 方式提交的表单参数。图 1 给出了一僵尸网络在有

效周期内记录的存储过程：（1）感染（2）在 server主机上记录 victim 数据（3）获取日志信息。  

  受感染的主机会被命令控制服务器（C&C Server）控制，根据 C&C 发出的命令及
时做出响应，如回传 victim 主机信息等。最简单的 C&C Server 可以仅仅是由 PHP 实
现的一个应用程序，用来管理僵尸网络活动。C&C Server 也可支持后端数据库访问方
式，对收集到的数据进行简单分析。从 victim 主机收集的信息通常以明文文本日志
方式返回，故主控机可使用样式匹配和简单的数据挖掘技术获取有效信息。  

抵御僵尸网络编码方法 

编码抵御僵尸网络的目的是使用它自己的工具和技术以期破坏主控机收集日志行

为。我们的方法基准是尽可能地使主控机收集日志的过程复杂化。对 Zeus 进行实验
发现，存储在 C&C Server 数据库内的信息十分巨大，使其从海量数据中提取敏感信
息的可能性变得极为复杂。显然，若攻击者很难借助 C&C Server 提炼出有效的敏感
数据，将会有效地降低从事偷窃与买卖资料的热情。而且数据收集复杂化以及数据质
量低效化也会极大的挫败投资商投资构建僵尸网络的兴趣。当日志数据以 raw 形式存
在时，C&C Server 将很难找到身份凭证信息（用户名、密码、信用卡号等）。主控机
只能利用数据挖掘技术从日志文件中萃取敏感数据。如：搜索“用户名”和“密码”
变量的组合特征值，或者搜索一些常用变量名如银行应用程序常使用的信用卡名
cc_number 等。
在继续讨论部分破坏技术之前，有必要阐述下安全 Web通信 HTTPs的影响性。 HTTPs
并不能抵御恶意软件的非法安装，如 Zeus 感染。事实上，在数据真实发送到网络线
路上之前，Zeus 已经通过窃取数据破坏了加密过程。这种窃取类型包括键盘记录器以
及在内存中破坏加密函数功能等。 Zeus 类型的僵尸网络仅仅窃取 victim 以 Post 方式
提交的请求数据，并不关心 Get 请求。利用 Zeus 僵尸网络的这个特点，我们可以借
助 GET 请求传递加密密钥以及破坏函数。通过这种方式，我们可以在 Zeus 眼皮底下
为浏览器增加新功能以实现破坏日志的目的。为了迁移僵尸网络感染方式，我们设计
了不同的编码方式，为了区分下面将这个过程分为几个不同的级别。在每个级别，本
文将会讨论记录器的影响以及日志的存储。其主要目的是破坏数据的记录和日志的提