毕业设计论文_c++基于反弹socket通信的windows系统后门实现.docVIP

课 程 设 计 报 告 课程名称：面向对象程序设计 设计题目： 基于反弹Socket通信的windows系统后门实现 专 业：计算机科学与技术 姓 名： 学 号： 指导教师：李 晓 虹 2016 年 1 月 5 日 基于反弹socket通信的windows系统后门程序 前言 由于工作需要，本人开发了一个比较强大的windows系统后门程序管理某个公司内网作为间谍软件，经过一翻修改，将大部分功能去掉，公布了这部分功能源代码，请老师细看，绝对是网上独一无二的后门程序，开发周期为3个月的时间（此次作业仅为部分主要功能源代码），此程序具有一定的破坏性，请勿恶意使用，仅仅做测试即可。 需求分析 介绍 后门程序就是留在计算机系统中，供某位特殊使用者通过某种特殊方式控制计算机系统的途径。HVNcon.exe： 后门主控制程序，包含主要的系统操作代码与后门反弹连接代码，其中包含的功能有服务安装、关机计划注册表操作、写Explorer启动项、下载者、反弹cmdshell、cmdshell密码保护。 HVNADD.exe 主要功能是延时添加指定用户到注册表中，代码中设置了sleep函数在系统启动后规定的时间外执行用户添加，HVNcon.exe中写Explorer启动项就是为了执行HVNADD.exe。 HVNdel.exe 主要功能是关机执行的从注册表SAM中删除指定用户信息的任务，HVNcon.exe中关机计划注册表操作函数就是实现此功能。 功能简介 服务启动 服务是指执行指定系统功能的程序、进程，以便支持其他程序，尤其是底层程序，服务就是一种特殊的应用程序，服务启动后对应的程序就一直运行，对于自启动的服务，在系统加载完后就自动启动，而不需要登陆，采用服务启动可以获取系统最高权限，而不仅仅是当前用户权限。 反弹后门连接 反弹后门的工作原理与常见的木马不一样，反弹后门的连接为反向连接方式，也就是让我们预控制的目标中马后来反向连接我们的控制端，由于防火墙对外连的流量一般是放行的，都是信任的流量，也就信任了反弹后门的行为。 后门连接密码保护 对我们已经控制了的服务器，为了不被其他黑客所利用，通常会为自己的后门加密码验证来保护自己所控制的服务器。 隐藏用户的重启隐藏 此功能为本后门的又一大亮点，在为服务器添加隐藏账后可能由于各种原因管理员要对服务器进行维护更有可能重启服务器，那么在“计算机管理”里的“本地用户和组”—“用户”里会通过重新读取注册表SAM来显示出我们的隐藏用户，那么我想到的思路则是关闭服务器的过程中从注册表中删除隐藏用户重启服务器后延时添加我们的隐藏用户的操作。 这里通过HVNcon.exe来写入Explorer/Run启动项来开机进入桌面后自动调用HVNADD.exe来添加用户。 下载者 通过去互联网上下载其他恶意程序到本地执行其他恶意行为，如：键盘记录、远程监听、广告插件等。 总体设计 功能要求 支持单个目标客户端的连接，在服务器和多个客户端之间进行数据传输； 利用C/S socket通信，反弹连接，由客户端主动去连接服务端，可在服务端上执行客户端的命令并将显示结果回传； 在用户连接上后有提示，显示出连接信息与客户端主机名； 在系统注册表中创建用户配置； 关机前删除注册表中的用户，重启完成后延时在注册表中创建关机前删除的用户。 2.3系统主要功能和主要功能描述： 服务器端控制程序能够做的事情： 隐藏用户，并且重启隐藏，当运行此程序时恶意用户会在服务器关机后被删除，开机后延迟在注册表中创建隐藏账户。 反弹连接，由客户端主动通过Socket隧道连接服务端，并执行CMD命令。 通过下载者功能可以下载其他程序到客户端上执行。 通过服务启动，并非注册表启动项启动，可以获得系统最高权限。 详细设计 隐藏用户的重启隐藏 隐藏用户的基本创建思路是首先创建一个基本的最后带$符号的用户，然后将HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下的目标隐藏用户的二进制目录与HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下的用户名称导出到本地磁盘，然后删除刚才创建的隐藏用户，将导出的注册表键值导入注册表就完成了隐藏用户的创建，这样就创建了隐藏用户，重启系统后打开“计算机管理”—“本地用户和组管理”—“用户”后会自动刷新HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Us