特洛伊木马程序的设计与实现.doc

目录 第一章 绪论 1 1.1木马的研究背景 1 1.2木马发展的现状 1 1.3论文研究的意义和目的 2 第二章 木马技术基础 3 2.1木马系统结构 3 2.2木马的基本特征 4 2.3木马的功能 4 2.4木马的分类 5 第三章 木马工作原理及关键技术 7 3.1 木马的伪装 7 3.2木马的隐藏 8 3.3木马常见的启动方式 10 3.4远程控制技术 11 3.5木马的通信 12 第四章 远程控制木马的设计 13 4.1功能分析 13 4.2系统总体设计 13 4.3系统实现的关键技术 14 4.4 系统的开发工具 14 第五章 远程控制木马的实现 16 5.1服务端程序的实现 16 5.1.1服务端的自启动 16 5.1.2 通信模块的实现 16 5.1.3服务端管理模块 17 5.2客户端的实现 17 5.2.1远程文件控制 18 5.2.2系统控制 19 5.2.3冰河信使 20 第六章 结束语 23 参考文献 24 第一章 绪论 1.1木马的研究背景 随着网络的快速发展，Internet深入到社会的每个角落，人们充分享受到了其给工作和生活带来的巨大便利，人类社会对计算机系统和信息网络的依赖性也越来越大。工业和信息化部统计数据显示，网民规模已达3.84亿2010中国规模突破亿 木马程序使得远程的黑客能够享有系统的控制权。“知己知彼，百战不殆”，如果想找出防御木马攻击的有效途径，就必须认真地研究木马攻击的技术。在研究木马攻防的过程中，如果能够理清木马攻击手段的发展脉络，就有可能进一步找出木马发展的趋势，并提早思考应对策略。 1.2木马发展的现状 自从世界上出现第一个木马程序（1986年的PC-Write木马 第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即简单的密码窃取、发送等，在隐藏和通信方面均无特别之处。 第二代木马在技术上有很大的进步，使用标准的C/S架构，提供远程文件管理、屏幕监视等功能。但是由于植入木马的服务端程序会打开连接端口等候客户端连接，比较容易被发现。如：“冰河”、“Qmitis”。 第三代木马在功能上与第二代木马没有太大差异，它的改变主要在网络连接方式上，它的特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用反向连接技术让服务器端主动连接客户端，以突破防火墙的拦截。在数据传递技术上也做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度。如：网络神偷、Peep201等。 第四代木马在进程隐藏方面，做了大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程，或者挂接PSAPI[6]，实现木马的隐藏。前三代木马，大多都有独立的木马，因此用户可以根据启动项目中的描述内容，很快找到木马，并删除它。但是，第四代木马选择注册表的方式，伪装成DLL文件形式加载到正常的启动程序上，无法通过“任务管理器”查看到正在执行的木马。不过在连接方式上，依然使用第三代木马或第二代木马的连接方式。如：Beast木马。 第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马——噩梦II。 特洛伊木马程序发展到今天已经相当完善了，但随着计算机技术的发展，木马仍会继续演变并运用一些新的技术和方法使其更具有攻击性和破坏性。从现在的趋势来看，木马将在隐藏性、代码的模块化设计、及时通知、跨平台、底层通信以及和蠕虫病毒技术融合等方面有所提升和发展。 1.3论文研究的意义和目的 由于木马活动的猖獗和其实现技术的不断更新，木马的防范工作也必须与时俱进。只要了解木马的工作原理，借助协议分析工具，就能及时发现蛛丝马迹，降低木马带来的危害；只要熟悉木马的隐藏方法，就能快速找到并彻底清除木马，甚至找到入侵者；如果能够预先了解木马攻击手段，就可以有针对性防范木马主动入侵或攻击。 论文通过对木马的原理进行深入分析，总结一些木马的一般规律和最新技术，对于提高木马的防范水平以及网络管理提供了一定的借鉴作用。 第二章 木马技术基础 在计算机领域中特洛伊木马程序是一种未经授权的程序，它包含在一段正常的程序当中，这个未经授权的程序提供了一些用户不知道的功能，其目的是不需要管理员的准许就可获得系统使用权。它可以控制用户计算机系统，造成用户资料的泄漏，甚至造成整个计算机系统崩溃等。特洛伊木马和病毒的区别是它不能自行传播，而要依靠宿主以其它假象出现，冒充一个正常的程序，如Bo、Happy99、sub7、网络神偷、冰河等就是典型的特洛伊木马程序。本章详细论述了木马的分类、特征、功能、工作原理和攻击手段等。 木马的全称是“特洛伊木马”，是一种新型的计算机网络病毒程序。在RFC1244安全手册中给出的：“特洛伊