网络安全课设.docx

网络安全课设 题目：木马（远程控制）系统的设计与实现 任务 参考同学们在课堂上的讨论，在Windows 平台上设计并实现一个木马（远程控制）系统。 要求 实现木马的基本功能：自动安装、安装后文件删除、进程隐蔽、自动启动、远程控制等； 实现杀毒软件等安全防护软件的免杀。 一、木马的定义 木马本质上是一种经过伪装的欺骗性程序, 它通过将自身伪装吸引用户下载执行, 从而破坏或窃取使用者的重要文件和资料。 木马程序与一般的病毒不同，它不会自我繁殖，也并不刻意!地去感染其他文件, 它是一种后台控制程序。它的主要作用是向施种木马者打开被种者电脑的门户，使其可以任意毁坏、窃取被种者的文件，甚至远程操控其电脑。 二、木马的组成 一般来说，完整的木马由两部分组成，即服务端 Server 和客户端 Client，也就是采用所谓的C/S 模式。 如下图 2-1 所示： 图 2-1 木马的服务端和客户端一个完整的木马系统以下几部分组成: 1、硬件部分 建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。 服务端： 被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 2、软件部分 实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 3、建立连接的必要元素 通过 INTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。 控制端 IP， 服务端 IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口， 木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。 用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。 配置木马 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能： 木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪 装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。 信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC 号 ，ICQ 号等等 三、木马的隐藏与自启动 “木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把 Form 的 Visible 属性设为 False，ShowInTaskBar 设为 False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪 装自己。当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端，“木马”会在每次用户启动时自动装载。Windows 系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。 木马常用的隐藏技术： 合并端口法 使用特殊的手段， 在一个端口上同时绑定两个 TCP 或者 UDP 连接（比如 80 端口的 HTTP），以达到隐藏端口的目的。 修改 ICMP 头法 根据 ICMP 协议进行数据的发送，原理是修改 ICMP 头的构造，加入木马的控制字段。这样的木马具备很多新特点，如不占用端口、使用户难以发觉等。同时，使用 ICMP 协议可以穿透一些防火墙，从而增加了防范的难度。 木马常用的自启动技术： 为了达到长期控制目标主机的目的，当主机重启之后必须让木马程序再次运行，这样就需要木马具有一定的自启动能力。下面介绍几种常见的方法。 加载程序到启动组 我们需要关注“开始”菜单中的启动项，对应的文件夹是 c:\Documents and Settings\ 用户名\「开始」菜单\ 程序\ 启动。 在注册表中加载自启动项 一、当前用户专有的启动文件夹 这是许多应用软件自动启动的常用位置，Windows 自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般 在：\Documents and Settings\用户名字\「开始」菜单\程序\启动，其中“用户名字”是当前登录的用户帐户名称。 二、对所有用户有效的启动文件夹 这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所 在。该文件夹一般在：\Documents and Settings\All Users\「开始」菜单\程序\启动。 三、Load 注册键 介 绍 该 注 册 键 的 资 料 不