小组 黑客木马编程.pptxVIP

特洛伊木马的发展历史 基本的TCP/IP木马，代表:BO,冰河，采用基本的C/S结构容易被查杀和拦截 反向连接木马，代表：网络神偷，灰鸽子，在受害机端主动连接控制端，易于突破防火墙 ICMP木马,代表:lionbackdoor，改写传输层协议，隐蔽性强 DLL木马，无进程，特征码易于变化，难以被查杀 项目目的 通过实际的木马编程，从根本上熟悉和掌握特洛伊木马的原理 认真地完成一个完整的软件开发过程，体会其中的难点，增加项目经验 编程完毕后准备实现开源，让大众分享我们的研究成果 通过项目掌握扩展性网络编程的技术，为将来的一系列项目打下基础 设计思想 来自网络的调查使用.Net Framework 1.1 or 1.0 占25%没有安装.Net Framework 占21%不知道什么是.Net Framework 占54% 控制端采用.Net Framework开发，强调效率和开发速度;被控端采用Win32+Winsock2等底层方法编写，强调兼容性 采用动态远程进程DLL插入技术，无进程，绕开主流防火墙的检查 通信采用自己设计的加密方式进行 采用插件技术扩展木马功能 设计思想2 舍弃MFC,利用Win32API+WinSock2直接编写服务端，最大程度上减小木马程序的大小。小尺寸有助于木马的传播和隐藏 采用DLL动态插入技术编写，即使访问网络的进程被防火墙拦截，也很容易被用户允许 插件技术是本木马的最大特色，分离木马功能可以使容量进一步减少，并且提高再开发的效率，也助于特征码的修改 插件举例 基本端功能:文件传输，插件安装，目录列表，系统参数读取 插件功能：键盘记录，代理服务器建立，屏幕控制，音频窃听，硬件控制 插件版本统一控制，确保安全性 完整SDK发布，向互联网征求更多更好的插件 安装新插件 加密方式通信 小组会议 3-5周组员在互联网上寻找收集有关的木马资料 在第五周我们召开了第一次小组会议，主要把大家收集到的有关木马资料做了汇总分析 5-8周，陈天翔和鲁晨平讨论并最后确定了这个程序的思想和技术框架 第八周第二次小组会议，向大家介绍了项目思想，共享了技术文档并且划分了各人的具体分工 8-Now,组员在各自负责的技术领域内做技术研究，攻克各个技术要点 技术难点 .Net托管Socket和Winsock2之间的通信 DLL插入技术，如何保证程序工作正常以及系统稳定，找到平衡点 数据加密，防止通信内容被嗅探监听 PE格式研究，文件捆绑技术，EXE自写入自读取技术 插件技术，开发完整的插件定义，方便地扩展木马的功能 个人工作总结 第二周完成了8个小作业，帮助组员解决书上的错误，使大家尽快熟悉网络编程 第三周了解到个别组员对于木马不太熟悉，向大家推荐了一些网站让大家熟悉并且收集有关木马资料 第五周召开了第一次小组会议，整理了大家的资料并且把精华部分编译为CHM放在网上供大家使用 第五周-第八周，与鲁晨平一起完成了一个原形系统，可以执行简单的操作。并在编程的实际基础上精化和修改了我们的项目计划 第八周召开第二次小组会议，把我们的项目设计思想向大家作了形象的解释。 由于本项目涉及到的难点比较前沿而且冷门，查阅普通书籍显然无法满足要求，因此把各个技术难点分给组员研究，掌握技术要点后，整合自然不是问题 第八周以后在safechina，绿色安盟，CSDN，MSDN上提问具体的技术细节，主要集中在插件技术和子类化技术上 任务分配 陈天翔：Client端开发，客户插件技术研究 鲁晨平：Server端开发，通信语法语义定义，服务插件开发 王佳豪：DLL动态插入技术研究 顾晓宇：软件开发过程规范化，研究文档撰写及管理规范 柯伟：数据加密实现，开发加密技术，实现保密通信 冯一梁：主流病毒/网络防火墙工作机理研究,各类防火墙进程和特点总结 叶谋润：PE格式研究，文件捆绑技术实现，Server端信息文件定义及读取实现 谢谢观赏 下面请其他组员介绍