特洛伊木马程序的设计与实现论文.doc

特洛伊木马程序的设计与实现毕业论文 目 录 摘 要 I ABSTRACT II 第一章 绪论 1 1.1木马的研究背景 1 1.2木马发展的现状 1 1.3论文研究的意义和目的 2 1.4论文的研究内容 3 1.5论文章节安排 3 第二章 木马技术基础 4 2.1木马系统结构 4 2.2木马的基本特征 5 2.3木马的功能 6 2.4木马的分类 6 2.5木马的发展趋势 7 第三章 木马工作原理及关键技术 9 3.1 木马的伪装 9 3.2木马的隐藏 10 3.3木马常见的启动方式 12 3.4远程控制技术 14 3.4.1IP协议 14 3.4.2 TCP协议 15 3.4.3套接字(Sockets)技术 16 3.5木马的通信 16 3.5.1端口复用技术 17 3.5.2反弹端口 17 3.5.3潜伏技术 18 3.6客户机/服务器模型 18 第四章 远程控制木马的设计 20 4.1功能分析 20 4.2系统总体设计 21 4.2.1使用环境和拓扑结构 21 4.2.2系统的逻辑模型 22 4.2.3设计思路 23 4.3系统实现的关键技术 24 4.3.1DLL模块化技术 24 4.3.2 钩子技术 26 4.3.3远程线程插入技术 27 4.3.4隐蔽通信技术 29 4.4系统的开发工具 30 第五章 远程控制木马的实现 32 5.1服务端程序的实现 32 5.1.1服务端的自启动 32 5.1.2 通信模块的实现 34 5.1.3服务端管理模块 38 5.2客户端的实现 39 5.2.1远程文件控制 39 5.2.2系统控制 40 5.2.3文件传输 42 第六章 结束语 43 参考文献 44 致 谢 46 第一章 绪论 1.1木马的研究背景 随着网络的快速发展，Internet深入到社会的每个角落，人们充分享受到了其给工作和生活带来的巨大便利，人类社会对计算机系统和信息网络的依赖性也越来越大。工业和信息化部统计数据显示，网民规模已达3.84亿2010中国规模突破亿 2010年1月，国内最知名的信息网络安全厂商金山安全正式发布《2009年中国电脑病毒疫情及互联网安全报告》报告显示， 2009年金山毒霸共截获新增病毒和木，与5年前新增病毒数量相比，增长了近400倍。在新增病毒中，木马仍然首当其冲，新增数量多，占所有病毒重量的73.6%。 计算机病毒猖獗的背后是巨大的经济利益。据中国国家计算机网络应急处理中心估计，目前木马黑色产业链的年产值己超过2.38亿元人民币，造成的损失则超过76亿元。木马经济产业化的一个重要表现就是：制造木马、传播木马、盗窃账户信息、销赃、洗钱，分工明确，形成了一个非常完善的流水性作业程序，这个流水作业程序就是一条黑色产业链[3]。 木马程序使得远程的黑客能够享有系统的控制权。“知己知彼，百战不殆”，如果想找出防御木马攻击的有效途径，就必须认真地研究木马攻击的技术。在研究木马攻防的过程中，如果能够理清木马攻击手段的发展脉络，就有可能进一步找出木马发展的趋势，并提早思考应对策略。 1.2木马发展的现状 自从世界上出现第一个木马程序（1986年的PC-Write木马 第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即简单的密码窃取、发送等，在隐藏和通信方面均无特别之处。 第二代木马在技术上有很大的进步，使用标准的C/S架构，提供远程文件管理、屏幕监视等功能。但是由于植入木马的服务端程序会打开连接端口等候客户端连接，比较容易被发现。如：“冰河”、“Qmitis”。 第三代木马在功能上与第二代木马没有太大差异，它的改变主要在网络连接方式上，它的特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用反向连接技术让服务器端主动连接客户端，以突破防火墙的拦截。在数据传递技术上也做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度。如：网络神偷、Peep201等。 第四代木马在进程隐藏方面，做了大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程，或者挂接PSAPI[6]，实现木马的隐藏。前三代木马，大多都有独立的木马，因此用户可以根据启动项目中的描述内容，很快找到木马，并删除它。但是，第四代木马选择注册表的方式，伪装成DLL文件形式加载到正常的启动程序上，无法通过“任务管理器”查看到正在执行的木马。不过在连接方式上，依然使用第三代木马或第二代木马的连接方式。如：Beast木马。 第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马——噩梦II。 特洛伊木马程序发展到今天已经相当完善了，但随着计算机技术