《特洛伊木马程序的设计与实现 毕业论文[医学参照]》由会员分享,可在线阅读,更多相关《特洛伊木马程序的设计与实现 毕业论文[医学参照](52页珍藏版)》请在金锄头文库上搜索。
1、XXXXXXXXXXX本科生毕业论文(设计)题 目特洛伊木马程序的设计与实现学生姓名 指导教师 学 院信息科学与工程学院专业班级 完成时间2010年5月28日医学参照#摘 要随着计算机网络技术的飞速发展,黑客技术也不断更新,它对网络安全构成了极大的威胁。特洛伊木马作为黑客工具中重要的一员,其技术日新月异,破坏力之大是绝不容忽视的。因此,对木马技术的研究刻不容缓。本文首先介绍了木马的基本概念,包括木马的结构、行为特征、功能、分类以及木马的发展现状和发展趋势。然后详细介绍了木马的工作原理和木马系统的关键技术。木马的关键技术包括木马的伪装方式、木马程序的隐藏技术、木马的自启动以及木马的通信技术等。另
2、外,本文研究了远程控制技术,包括TCP/IP协议的介绍、Socket通信技术和客户端/服务器模型(C/S)。本文在研究木马技术的基础上设计了一款远程控制木马。该木马程序能够通过客户端对远程主机进行控制和监视,服务端可以自动连接客户端。另外该木马程序还包括远程文件操作(文件复制、拷贝、删除、下载、上传等),远程系统控制(关机、重启,鼠标、屏幕锁定,启动项管理),网络连接控制,远程进程管理和文件传输等功能。最后本文实现了这一款木马程序,并对其进行了测试。测试结果显示该木马程序实现了所有的功能,能够对远程主机进行控制。关键词木马, Socket,远程控制ABSTRACTWith the rapid
3、development of network, the dependence between our society, computer system and information network becomes bigger and bigger. The safety of the internet is especially important. The hackers create a great network security threats, and the currently most available mean of invasion are the Trojan tec
4、hnology. Therefore, this technique has been studied for the Trojan technology.This paper introduces the basic concepts of Trojans, including structure, behavior characteristics, function, classification and Trojans situation and development trend. Then, it also introduces the details of the Trojan w
5、orks and Trojan key technology. Key technologies include Trojan disguised way, stealth technology of Trojans, Trojans self-running and communication technology. In addition, this paper also studies about the remote control technology, including TCP/IP protocol description, Socket communication techn
6、ology and client / server model (C / S). There is a remote control Trojan based on this paper which is studying the Trojan technology. This Trojan horse can control and watch the distance host through the client, and the server can connect with the client automatically. In addition, the Trojan progr
7、am also includes a remote file operations (file copy, copy, delete, download, upload, etc.), remote system control (shutdown, restart, mouse, screen lock, startup item management), network connection control, remote process management, file transfer and other functions. Finally, this paper realizes
8、this Trojan horse program, and tests it. Test results show that the Trojan horse program achieves all the functions and it can control the remote host.KEY WORDSTrojan, Socket, Remote control目录摘 要IABSTRACTII第一章绪论11.1木马的研究背景11.2木马发展的现状11.3论文研究的意义和目的21.4论文的研究内容31.5论文章节安排3第二章木马技术基础42.1木马系统结构42.2木马的基本特征5
9、2.3木马的功能62.4木马的分类62.5木马的发展趋势7第三章木马工作原理及关键技术93.1 木马的伪装93.2木马的隐藏103.3木马常见的启动方式123.4远程控制技术143.4.1IP协议143.4.2 TCP协议153.4.3套接字(Sockets)技术163.5木马的通信163.5.1端口复用技术173.5.2反弹端口173.5.3潜伏技术183.6客户机/服务器模型18第四章远程控制木马的设计204.1功能分析204.2系统总体设计214.2.1使用环境和拓扑结构214.2.2系统的逻辑模型224.2.3设计思路234.3系统实现的关键技术244.3.1DLL模块化技术244.3
10、.2 钩子技术264.3.3远程线程插入技术274.3.4隐蔽通信技术294.4系统的开发工具30第五章远程控制木马的实现325.1服务端程序的实现325.1.1服务端的自启动325.1.2 通信模块的实现345.1.3服务端管理模块385.2客户端的实现395.2.1远程文件控制395.2.2系统控制405.2.3文件传输42第六章结束语43参考文献44致 谢46第一章绪论1.1木马的研究背景随着网络的快速发展,Internet深入到社会的每个角落,人们充分享受到了其给工作和生活带来的巨大便利,人类社会对计算机系统和信息网络的依赖性也越来越大。工业和信息化部统计数据显示,2009年中国网民规
11、模已达3.84亿;预计2010中国网民规模突破4亿1。由于计算机系统和信息网络系统本身固有的脆弱性,网络入侵工具(如蠕虫、木马等)不断涌现,社会、企业和个人也因此蒙受了越来越大的损失。木马由于它的隐蔽性、远程可植入性和可控制性等技术特点,已成为黑客攻击或不法分子入侵网络的重要工具,目前,不断发生的互联网安全事故中,大部分都有木马的身影。2010年1月,国内最知名的信息网络安全厂商金山安全正式发布2009年中国电脑病毒疫情及互联网安全报告。报告显示, 2009年金山毒霸共截获新增病毒和木马20684223个,与5年前新增病毒数量相比,增长了近400倍。在新增病毒中,木马仍然首当其冲,新增数量多达
12、15223588个,占所有病毒重量的73.6%。全国共有76409010台(约7600万台)计算机感染病毒,与08年的感染量相比增加了13.8%2。计算机病毒猖獗的背后是巨大的经济利益。据中国国家计算机网络应急处理中心估计,目前木马黑色产业链的年产值己超过2.38亿元人民币,造成的损失则超过76亿元。木马经济产业化的一个重要表现就是:制造木马、传播木马、盗窃账户信息、销赃、洗钱,分工明确,形成了一个非常完善的流水性作业程序,这个流水作业程序就是一条黑色产业链3。木马程序使得远程的黑客能够享有系统的控制权。“知己知彼,百战不殆”,如果想找出防御木马攻击的有效途径,就必须认真地研究木马攻击的技术。
13、在研究木马攻防的过程中,如果能够理清木马攻击手段的发展脉络,就有可能进一步找出木马发展的趋势,并提早思考应对策略。1.2木马发展的现状自从世界上出现第一个木马程序(1986年的PC-Write木马)到今天,木马的发展已经历了五代45:第一代木马出现在网络发展的早期,是以窃取网络密码为主要任务,即简单的密码窃取、发送等,在隐藏和通信方面均无特别之处。第二代木马在技术上有很大的进步,使用标准的C/S架构,提供远程文件管理、屏幕监视等功能。但是由于植入木马的服务端程序会打开连接端口等候客户端连接,比较容易被发现。如:“冰河”、“Qmitis”。第三代木马在功能上与第二代木马没有太大差异,它的改变主要
14、在网络连接方式上,它的特征是不打开连接端口进行侦听,而是使用ICMP通信协议进行通信或使用反向连接技术让服务器端主动连接客户端,以突破防火墙的拦截。在数据传递技术上也做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。如:网络神偷、Peep201等。第四代木马在进程隐藏方面,做了大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI6,实现木马的隐藏。前三代木马,大多都有独立的木马,因此用户可以根据启动项目中的描述内容,很快找到木马,并删除它。但是,第四代木马选择注册表的方式,伪装成DLL文件形式加载到正常的启动程序上,无法
15、通过“任务管理器”查看到正在执行的木马。不过在连接方式上,依然使用第三代木马或第二代木马的连接方式。如:Beast木马。第五代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马噩梦II。特洛伊木马程序发展到今天已经相当完善了,但随着计算机技术的发展,木马仍会继续演变并运用一些新的技术和方法使其更具有攻击性和破坏性。从现在的趋势来看,木马将在隐藏性、代码的模块化设计、及时通知、跨平台、底层通信以及和蠕虫病毒技术融合等方面有所提升和发展。1.3论文研究的意义和目的由于木马活动的猖獗和其实现技术的不断更新,木马的防范工作也必须与时俱进。只要了解木马的工作原理,借助协议分析工具,就能及时发现蛛丝马迹,降低木马带来的危害;只要熟悉木马的隐藏方法,就能快速找到并彻底清除木马,甚至找到入侵者;如果能够预先了解木马攻击手段,就可以有针对性防范木马主动入侵或攻击。论文通过对木马的原理进行深入分析,总结一些木马的一般规律和最新技术,对于提高木马的防范水平以及网络管理提供了一定的借鉴作用。1.4论
