摆渡攻击是黑客和间谍针对物理网隔离环境下窃取秘密资料而采取的主要手段,该攻击方式主要依托移动存储介质。摆渡攻击的攻击原理十分简单:移动介质类似中转站,而互不相连的两个网站通过中转站实现最终的连接。为了保护文件以及信息的安全,敏感单位都会组建与因特网物理隔离的局域网,以优盘为代表的移动存储介质成为了内外网文件交换的中转站。摆渡攻击以优盘为媒介,达到悄无声息地窃取内网中的秘密文件的不法目的。摆渡攻击的主要攻击手段是采用摆渡木马,摆渡木马的针对性很强,一般感染处于涉密系统中的计算机,同时还具有很强的针对性,设计该类病毒源于间谍人员的需求,对国家重要部门和涉密单位的信息安全威胁巨大。本文以优盘摆渡木马为例,首先解析摆渡木马的技术特点,及其全生命周期的行为过程。随后,提出了摆渡木马特征库的设计与实现方法,对特征库的组成、加载方式、自定义特征库、行为规则库进行分析,并重点分析了静态特征库和行为特征库的构造及组合使用策略。最后,本文分析了基于特征库的摆渡木马检测与清除原理,涉及到文件过滤驱动、底层消息拦截等关键技术,通过实际开发的摆渡木马检测与清除系统,对本文提出的特征库的性能进行了检验。