一个简单木马程序的设计与开发. .pdfVIP

一个简单木马程序的设计与开发

1前言1.1课题背景随着互联网技术的迅猛发

展，网络给人们带来了很多便利，但是也带来了许多麻烦。各种网页木马，后

门，下载者，病毒，利用各种系统漏洞，网站漏洞，程序漏洞，邮箱漏洞，U

盘及社会工程学等在网上横行，给广大用户带来了重要资料丢失，机密文件提

前泄密，邮箱帐号，游戏帐号，各类照片被人恶意修改后传播到网上，系统被

格盘，系统被监视，摄像头被人暗中开启并录像传播等非常严重的后果。使得

许多朋友，闻木马,就变色。为了使更多朋友了解木马病毒，通过编写一个简单

的木马,来分析它及其的变形，提出相应的防范措施。1.2国内外研究现

状从有关的资料看，国内外的windows系统下的木马，功能已经从简单发展到

全面，大致包括以下功能：上传下载文件，删除文件，复制文件，粘贴文件，

文件编辑，文件重命名，文件剪切，新建文件，修改文件，修改文件的创建时

间等；获得目标主机名，IP地址，以及目标主机地理位置，系统打了多少补

丁，安装了些什么软件，MAC地址，安装了几个处理器，内存多大，网速多

快，系统启动时间，系统目录，系统版本等；取得目标主机的CMD权限，添加

系统管理员，对目标主机进行注册表操作，开启目标主机3389端口，软件自动

更新，使目标主机成为HTTP，SOCK5代理服务器，对目标主机的服务进行操

作，对目标主机的开机自启动项进行操作，目标主机主动向控制端发起连接，

也可主动向目标主机发起连接等，暗中打开用户摄像头，监控，录制用户隐私

生活，对用户进行屏幕监控等。木马的隐蔽性更强了，从原来的单纯隐藏在某

个目录中，发展到了替换系统文件，修改文件修改时间等。木马从EXE文件靠

注册表启动，发展到了DLL文件远程线程插入，替换修改系统DLL文件，靠驱

动文件等高级水准，更有写入系统核心中的。木马深藏在系统中，甚至在许多

杀毒软件启动前启动，或者是绑定到杀毒软件上，或者修改杀毒软件规则，使

得杀毒软件误以为它是合法文件，或者是将木马DLL文件插入到WINLOGON.EXE

中，以至于在安全模式下也无法删除。有的病毒会在系统部分盘中，创建

Autorun.inf文件，然后把病毒也复制到该目录下隐藏着，使得用户双击该盘

时，运行该病毒，对此，某些用户格式化了系统盘再重装系统，也无法删除

它。更有木马，病毒会感染某些盘中的EXE文件，COM文件，使得用户重装系

统后，运行该文件后又运行病毒。木马中招的方式包括：访问不安全网站，访

问某些被入侵后的安全网站，在不同机子上使用U盘，通过U盘传播的木马病

毒也越来越多，对系统或是一般程序进行溢出后，上传木马，对网络中的主机

进行漏洞扫描，然后利用相关漏洞自动传播，利用邮箱漏洞配合网页木马，使

用户中招，直接通过QQ等聊天软件传给用户，并叫其运行，在QQ等聊天软件

中发布网址给好友，好友不知情下点击中招，通过物理接触主机以及远程破解

主机密码等手段中招。木门在被杀毒软件查杀后，一般马上就会有变种或是升

级版本流传，通过对木马进行加壳，修改木马特征码，修改程序等手段使木马

免杀。木马还包括ASP和PHP以及ASPX，JSP木马，它们能过网页的形式存

在，也可以有很多功能，如常见的ASP木马就有如下功能：登录验证，上传下

载文件，删除，复制，移动，编辑文件，新建文件，新建目录，搜索文件，更

改文件名，查看文件修改时间，serv_u漏洞提权，查看服务器信息，查看环境

变量，注册表操作，探查网站是否支持PHP，查找网站上已经存在的木马，包

括已经加密后的，对服务器上所有盘的文件操作，对数据库进行操作，对网站

文件进行打包以及解包，实现单页代理，进行cmd命令行操作，对整站进行挂

马等功能。而简单的ASP，PHP，ASPX，JSP木马，则只有一句话。1.3本

课题研究的意义通过对木马病毒及其变形的分析，提出可行的防范措施，使更

多的用户了解木马病毒，了解防火墙，了解杀毒软件，了解常给系统打补丁的

作用，以及加密保管重要文件，机密文件脱机保管的重要性。1.4本课题

的研究方法及目标编写一个简单木马，通过网页传播，使用户了解其功能，传

播方法，删除方法，危害性以及其变形后的可能