基于ICMP的木马通信技术研究
计算机木马病毒研究与防范毕业设计
湖北大学高等教育自学考试本科毕业生论文评审表论文题目:计算机木马病毒研究与防范姓名:李宝君专业:计算机应用技术办学点:郧阳师范高等专科学校学生类型:独立本科段(助学班/独立本科段)2014年 12月 18日湖北大学高等教育自学考试办公室印制论文内容摘要目录第一章.木马病毒的概述 (5)1.1木马的的定义 (5)1.2木马的基本特征 (5)1.3木马的传播途径 (6)1.4木马病毒的危害 (6)第二章.木马病毒的现状 (7)2.1特洛伊木马的发展 (7)2.2 木马病毒的种类 (7)第三章.木马病毒的基本原理 (10)4.1木马病毒的加载技术 (10)4.1.1 系统启动自动加载 (10)4.1.2 文件劫持 (10)4.2 木马病毒的隐藏技术 (10)第四章.木马病毒的防范 (12)5.1基于用户的防范措施 (12)5.2基于服务器端的防范措施 (13)5.3加强计算机网络管理 (15)致谢 (16)参考文献 (17)第一章木马病毒的概述1.1木马的的定义木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具,它利用自身具有的植入功能,或依附具有传播功能的病毒,进驻目标机器监听、修改。
窃取文件。
1.2木马的基本特征(1)隐蔽性是其首要的特征当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有隐蔽性。
它的隐蔽性主要体现在6个方面:1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库(2)它具有自动运行性它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
(3)木马程序具有欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。
木马网络通信特征提取模型的设计与实现
ICMP 反弹式木马采用 ICMP 协议 [3],把命令或数据封装 在 ICMP 报文中,并设置某些特定的标识符等特征与网络中正 常的 ICMP 报文相区别,由被控端发出 ECHO 请求 (ICMP_ ECHO),并由木马的控制端进行响应 (ICMP_ECHOREPLY) 并 携带控制指令。如图 1 所示,由于控制端将数据包伪装为 ping 的 回 执 信 息 ,所 以 较 容 易 穿 透 防 火 墙 ,而 且 该 协 议 的 数 据 包 直 接封装在 IP 数据包中,不使用端口号,也较难于发现。
摘 要:由 于木马等窃密型 恶意程序对网 络安全的危害性 日益增加,为了提高网 络入侵检测系 统对木马的检测 效果,研究 分析 了木马的网络通 信形式和特点 ,结 合一种改进的 序列联配算法,设 计并实现了一个 木马网络通信特 征自动提取模 型。 该模 型提高了对木马 通信特征进行 分析的自动化程 度和准确性,实 例测试表明了该 模型的实用性 和有效性。 关键 词:特洛伊木马; 网络通信; 入侵 检测; 序列联配 ; 特征提取 中图 法分类号:TP393.08 文献标识码:A 文章编号:1000-7024 (2010) 20-4382-03
Design and implementation of model for network communications signatures automatic generation of Trojan horses
ICMP协议的应用及分析
ICMP协议的应用及分析ICMP(Internet Control Message Protocol)是一种用于在IP网络中传递控制消息的协议。
它被用于在网络中传输有关网络连接状态、网络错误和性能问题的各种信息。
ICMP协议主要用于网络故障排除和网络性能监测。
以下是ICMP协议的应用和分析。
1. 网络故障排除:ICMP协议的重要应用之一是网络故障排除。
当网络出现故障或连接问题时,可以使用ICMP协议的控制消息来诊断和定位问题。
例如,使用ICMP协议的“ping”命令可以向目标主机发送ICMP Echo Request消息,并等待接收ICMP Echo Reply消息。
如果目标主机成功回复,则表示网络连接正常,否则表示存在连接问题。
2. 网络性能监测:ICMP协议还可以用于监测网络的性能。
通过定期发送ICMP Echo Request消息,并测量对应的ICMP Echo Reply消息的往返时间(RTT),可以估计网络的延迟。
此外,ICMP协议还可以用于测量网络的丢包率,即发送一定数量的ICMP Echo Request消息,然后计算成功接收到ICMP Echo Reply消息的比例。
3. 路由故障检测:ICMP协议的另一个重要应用是路由故障检测。
当网络中的路由器出现故障或发生路由问题时,可以使用ICMP协议的控制消息来检测和报告问题。
例如,ICMP协议的“Traceroute”命令可以通过发送一系列的ICMP Echo Request消息,并在每一跳路由器上观察到对应的ICMP Echo Reply消息,从而确定消息的路径和网络瓶颈。
4. 错误报告和信噪比检查:ICMP协议还可以用于报告和检查网络中的错误。
例如,当封包无法被正确路由或丢失时,ICMP协议可以生成相应的错误消息,并将其返回给源主机。
此外,ICMP协议还可以用于检查信噪比,即通过发送ICMP Echo Request消息并测量响应的RTT,可以判断网络中的延迟和丢包情况。
木马(远程控制)系统的设计与实现
网络安全课设组成员:崔帅200800824114甘春泉200800824126课程设计组员分工如下:崔帅:木马主体程序甘春泉:木马测试、不兼容模块的修改、课程设计报告题目:木马(远程控制)系统的设计与实现1)任务参考同学们在课堂上的讨论,在Windows平台上设计并实现一个木马(远程控制)系统。
2)要求⏹实现木马的基本功能:自动安装、安装后文件删除、进程隐蔽、自动启动、远程控制等;⏹实现杀毒软件等安全防护软件的免杀。
一、木马的定义木马本质上是一种经过伪装的欺骗性程序, 它通过将自身伪装吸引用户下载执行, 从而破坏或窃取使用者的重要文件和资料。
木马程序与一般的病毒不同,它不会自我繁殖,也并不刻意!地去感染其他文件, 它是一种后台控制程序。
它的主要作用是向施种木马者打开被种者电脑的门户,使其可以任意毁坏、窃取被种者的文件,甚至远程操控其电脑。
二、木马的组成一般来说,完整的木马由两部分组成,即服务端Server 和客户端Client,也就是采用所谓的C/S 模式。
如下图2-1所示:图2-1木马的服务端和客户端一个完整的木马系统以下几部分组成:1、硬件部分建立木马连接所必须的硬件实体。
控制端:对服务端进行远程控制的一方。
服务端:被控制端远程控制的一方。
INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
2、软件部分实现远程控制所必须的软件程序。
控制端程序:控制端用以远程控制服务端的程序。
木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
3、建立连接的必要元素通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。
控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。
控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
概要介绍ICMPTCP及UDP三种高级扫描技术及原理
概要介绍ICMPTCP及UDP三种高级扫描技术及原理ICMPTCP(简称ICMP over TCP)是一种基于TCP封装的ICMP (Internet Control Message Protocol)扫描技术,UDP(User Datagram Protocol)是一种无连接的传输层协议。
这些高级扫描技术被广泛用于网络安全领域,可用于发现网络中的主机和开放的端口。
ICMPTCP原理:ICMPTCP利用了TCP协议中的已有特性和ICMP协议的灵活性。
它首先创建一个TCP连接,然后将ICMP消息嵌入TCP流中传送给目标主机。
目标主机收到ICMP消息后,会识别出ICMP消息,在其中获取IP头部和ICMP消息的数据,这样就可以扫描目标主机的开放端口。
ICMPTCP扫描技术可以绕过一些基于TCP的防火墙规则和IDS/IPS系统的检测,使得扫描更加隐蔽。
UDP原理:UDP是一种基于无连接的传输层协议,它没有像TCP那样的确认机制,因此适用于实时应用程序和对可靠性要求不高的应用。
UDP扫描技术则利用了UDP协议的特性进行主机和端口扫描。
UDP扫描技术主要分为三种类型:1.UDP扫描:UDP扫描技术通过向目标主机发送UDP数据包,并根据接收到的响应来判断目标主机的端口开放状态。
如果目标主机返回ICMP端口不可达(Destination Unreachable)错误消息,则表示该端口关闭;如果目标主机返回UDP协议没有响应(UDP Packet filtered)错误消息,则表示该端口可能被过滤,防火墙阻止了UDP数据包的传输;如果目标主机返回UDP数据包,说明该端口开放。
2. UDP圣诞树扫描(Christmas Tree Scan):圣诞树扫描技术发送一个设置了TCP标志位(FIN、URG、PSH等)的数据包到目标主机的UDP端口。
如果目标主机返回ICMP端口不可达错误消息,则表示该端口关闭;如果目标主机没有返回错误消息,则表示该端口开放。
ICMP攻击技术分析
ICMP攻击技术分析ICMP(Internet Control Message Protocol)是一种用于在网络中传递错误消息和操作状态信息的协议。
通常,ICMP用于进行网络故障诊断和错误报告。
但是,由于其设计的一些漏洞和不安全的实现方式,ICMP 也被用于执行攻击。
1. ICMP洪水攻击(ICMP Flood Attack):攻击者向目标发送大量的ICMP回显请求(ping)消息,使目标设备无法处理所有的请求,从而导致网络堵塞或系统崩溃。
2. Smurf攻击:在Smurf攻击中,攻击者发送一个伪造的ICMP回显请求(ping)消息到广播地址,这个消息的源地址欺骗性地设置为目标的IP地址。
然后,所有收到这个消息的主机都会向目标发送一个回应,这样就会造成目标网络的短时间洪泛,导致带宽被大量消耗或系统崩溃。
3. Ping of Death攻击:在Ping of Death攻击中,攻击者向目标发送一个超过标准大小(65,535字节)的ICMP回显请求消息。
当目标设备尝试处理这个过大的请求时,会导致设备崩溃、重启或变得不可用。
4. ICMP地址掩盖攻击(ICMP Address Mask Spoofing Attack):在这种攻击中,攻击者发送伪造的ICMP地址掩盖消息给目标主机。
通过使用伪造的源地址,攻击者可以掩盖自己的真实IP地址,从而隐藏自己的身份。
5. ICMP路由发现攻击(ICMP Router Discovery Attack):攻击者发送ICMP路由发现请求消息到目标网络,然后假扮目标网络的路由器发送响应。
这种攻击可能导致目标主机的路由表被劫持,使其网络数据流量被重定向到攻击者的主机。
为了防御ICMP攻击,可以采取以下措施:1.过滤ICMP流量:部署网络防火墙或入侵检测系统(IDS)以过滤掉异常的ICMP流量,如大量的ICMP回显请求或过大的ICMP消息。
2.源地址验证:使用防火墙或路由器配置源地址验证机制,阻止伪造的ICMP消息进入网络。
木马通信的隐蔽技术
引言木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。
系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。
木马一般也是利用TCP/UDP端口与控制端进行通信。
通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。
早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。
可是通过端口扫描很容易发现这些可疑的通信端口。
事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。
木马通信端口成为暴露木马形踪一个很不安全的因素。
为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。
2木马通信形式的隐蔽技术木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。
2.1端口寄生端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。
此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。
在Windows9X系统中进行此类操作相对比较简单,但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。
在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。
2.2反弹端口反弹端口就是木马针对防火墙所采用的技术[1]。
防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。
与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。
木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。
为了隐蔽起见,控制端的被动端口一般开在TCP80。
这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUSERIP:1026CONTROLLERIP:80ESTABLISHED这种情况,用户可能误认为是自己在浏览网页。
icmp redirect攻击原理
icmp redirect攻击原理ICMP Redirect攻击原理ICMP(Internet Control Message Protocol)是一种用于在IP网络上进行通信的协议,它可以传递有关网络状态和错误信息。
而ICMP Redirect攻击则是一种利用ICMP协议的安全漏洞进行的攻击手法。
本文将介绍ICMP Redirect攻击的原理及其可能造成的影响。
1. ICMP Redirect攻击的原理ICMP Redirect是一种用于改变数据包路由的机制,它在某些情况下可以告诉源主机修改其路由表,以便将数据包发送到更合适的下一跳路由器。
然而,攻击者可以利用这一机制向目标主机发送伪造的ICMP Redirect消息,欺骗目标主机修改其路由表,将数据包发送到攻击者指定的路由器。
攻击者首先需要在目标主机和目标路由器之间插入自己的设备,成为数据包的中间人。
然后,攻击者发送伪造的ICMP Redirect消息给目标主机,消息中包含攻击者自己的IP地址作为新的下一跳路由器。
目标主机接收到这个消息后,会相信攻击者的欺骗,修改自己的路由表,将数据包发送给攻击者指定的路由器。
2. ICMP Redirect攻击的影响ICMP Redirect攻击可以导致以下几种影响:2.1 路由劫持:攻击者通过修改目标主机的路由表,将数据包发送到攻击者指定的路由器。
这样一来,攻击者可以拦截和篡改目标主机与其他主机之间的通信,甚至进行中间人攻击。
2.2 降低网络性能:由于数据包被重定向到攻击者指定的路由器,可能会增加网络延迟和丢包率,降低网络性能。
2.3 网络瘫痪:如果攻击者将数据包重定向到不存在的路由器或无法正常处理数据包的路由器,可能导致目标主机无法正常访问网络,造成网络瘫痪。
3. 防御措施为了防御ICMP Redirect攻击,可以采取以下几种措施:3.1 网络隔离:将重要的网络设备和主机放置在受控的网络环境中,限制物理接入和网络访问,减少攻击者的机会。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
该连接指木马的服务端程序监听 ,客户端进行 主动连接的一种通信技术 。服务端首先在目标机器 上开放一个 TCP (或 UDP) 端口 , 并在此端口上监 听 ,然后等待客户端连接 ,在对客户端的连接认证之
后 ,客户端即可与服务端通讯 ,对服务端进行控制操 作 。由于目前防火墙技术的广泛应用 ,客户端对服 务端的连接容易被防火墙发现并报警 。因此该技术 通常为早期木马所采用 。
载 w insock库 ,第 2 步创建 ICM P 原始套接字 ,第 3
1期
林小进等 :基于 ICM P的木马通信技术研究
·83·
步设置 ICM P包的目的地址 ,第 4 步将木马的控制 命令和数据写入 ICM P数据包中 ,第 5 步向服务端 发送 ICM P 数 据包 , 第 6 步接 收从服 务端 返 回 的 ICM P数据包 ,从中获取被控制机器的相关信息 ,之 后再转入第 4步循环进行 。
4 隐蔽通道技术
隐蔽通道是指能让木马进程以违反系统安全策 略的方式传递消息的信息通道 。如果在网络上通信 双方之间建立起一个隐蔽通道 ,它会使得木马的客 户端程序与服务端程序之间可进行任意信息的交 流 。在 TCP / IP协议中有很多协议设计上不是非常 的安全 ,如 TCP, ICM P 等 ,可以被用来建立隐蔽通 道 。隐蔽通道还具有穿越防火墙的特点 ,极大地提 高了双方通信的成功率 。
B a se d o n ICM P
L IN Xiao - jin, Q IAN J iang
( S chool of Inform a tion S cience and Eng ineering, N an jing U n iversity of Technology, N an jing 210009, Ch ina)
术研究 (英文 ) [ J ]. 微电子学与计算机 , 2006, 23 ( 2) :
193 - 197. [ 2 ] 张新宇 ,卿斯汉 ,马恒太. 特洛伊木马隐藏技术研究
[ J ]. 通信学报 , 2004, 25 (7) : 153 - 159. [ 3 ] 夏耐 ,林志强 ,茅兵 ,等. 隐蔽通道发现技术综述 [ J ].
20第09 年1 期2 月
微 处 理 机
M ICROPROCESSORS
No. 1
Feb. , 2009
基于 ICMP的木马通信技术研究
林小进 ,钱 江
(南京工业大学信息科学与工程学院 ,南京 210009)
摘 要 :首先介绍了传统的木马工作原理 ,然后对现有的几种木马通信技术进行了分析介绍 , 最后提出了基于 ICM P协议的通信技术 。它不仅能够实现隐蔽通道 ,而且能穿越防火墙 ,大大提高 了木马两端间通信的成功率 。
3 反向连接技术
反向连接 ,顾名思义 ,与正向连接相反 ,是由客 户端程序监听 ,服务端对客户端进行主动连接的技 术 。这一技术是随着防火墙技术的出现而发展变化 的 。被入侵计算机安装了防火墙之后 ,相当于在其 和外部网络之间设了一层屏障 ,它会严格过滤外部 网络对本地计算机的连接 ,所以一旦客户端程序对 安装了防火墙的服务端计算机尝试连接 ,防火墙就 会发现并立刻报警 。但防火墙也有其弱点 ,即对内 部通往外部的连接疏于防范 。因为本地计算机如果 要上网 ,如 W EB 访问 , HTTP协议要通过 80端口进 行正常工作 ; FTP访问 , FTP协议要通过 21 端口进 行工作 。这就使得防火墙必须对这些端口上的数据 流动放行 。因此采用反向连接技术的木马就应运而
作者简介 :林小进 (1978 - ) ,男 ,江苏扬州人 ,硕士研究生 ,主研方向 :网络安全 。 收稿日期 : 2007 - 09 - 12
·82·
微 处 理 机
2009年
生 ,它采用服务端程序主动连接客户端的技术 ,再配 合以动态插入技术 ,将木马服务端进程插入系统进 程 (如 Exp lorer等 ) ,从而躲过防火墙的拦截 ,成功实 现两端通信 。
Worm s - A Proposed Taxonomy of Software W eapons
[ C ]. Proceedings of the IEEE W orkshop on Information
A ssurance United States M ilitary Academy, W est Point:
其中 ICM P包类型为 echo rep ly,代码为 0,进程 号为当时木马服务器端程序的进程号 ,初始化的校 验和为 0,序列号为 0。向选项数据域中填入木马的 控制命令与数据信息 ,计算校验和并将其重新填入 , 设置时间戳 ,重新设置它的序列号 ,之后即可发送数 据包 。
校验和域在自定义的 ICM P报文中具有重要的 作用 ,可用来检验数据包在网络传输中是否出差错 , 其计算方法为 :将数据以字为单位累加到一个双字 中 ,如果数据长度为奇数 ,最后一个字节将被扩展到 字 ,累加的结果是一个双字 ,最后将这个双字的高 16bit和低 16bit相加后取反 ,便得到了校验和 。
加载 winsock库
↓
创建 ICMP原始套接字
↓
设置 ICMP包目的地址
→↓
|
将木马的控制命令和数
|
据写入 ICMP头部
| |
↓
|
发送 ICMP数据包给
|
服务端
|
↓
| | |
接收服务端返回的 ICM P数据包
| |
图 3 客户端
6 结 束 语
随着计算机技术和网络技术的不断发展 ,网络 攻击事件日益增多 ,而木马越来越成为主要的攻击
程直接处理 ,不通过端口 ,所以就不会占用任何端
口 ,难以被发觉 。同时另一个优点在于可穿透防火
墙 ,目前大部分的防火墙会阻拦外部通向内部的连
接 ,而 ICM P _ECHOREPLY包是用来携带用户进行 p ing操作得到的返回信息 ,所以它往往不会出现在
防火墙的过滤规则中 ,因而可以顺利地穿透防火墙 ,
5 基于 ICM P的通信技术
ICM P ( Internet Control M essage Protocol) , 是因 特网控制报文协议 ,主要用来向 IP (和高层协议 )提
Hale Waihona Puke 供网络层的差错和流量控制情况 ,返回关于网络问
题的诊断信息 。用来测试网络是否通畅的 p ing命
令就是基于该协议中的两种报文进行工作的 ,因此
从而极大的提高了攻击的成功率 。
木马利用 ICM P 进行通讯首先要加载 w insock
库 ,创建 ICM P原始套接字 ,使用原始套接字可以自
已设定 ICM P数据包的格式 ,填写 ICM P数据包的信
息 , ICM P数据报文头部格式如图 1所示 。
0 7 8 15 16 31
关键词 :木马 ;通信技术 ; ICM P协议 中图分类号 : TP309. 5 文献标识码 : A 文章编号 : 1002 - 2279 (2009) 01 - 0081 - 03
R e se a rch o n the Comm un ica tio n Te chno lo gy o f Tro ja n Ho rse
Abstract: First, the working p rincip le of Trojan horse is introduced, then several p resent communication technologies of current Trojan horse are analyzed and introduced. Finally, this paper p resents a m ethod of technology based on ICM P p rotocol. This technology not only can realize the covert channel, but also can penetrate the firewall, greatly enhance communication success ratio between both sides of Trojan horse.
加载 winsock库
↓
创建 ICMP原始套接字
→↓
| |
接收客户端的 ICMP包并 进行相应处理
|
|
↓
| 读取服务端相关信息写入
| |
ICM P数据包中
|
↓
| |
向客户端发送 ICMP包
| |
图 2 服务端
木马客户端程序的工作流程如图 3 所示 ,第 1 步加
手段 ,木马的开发技术也变得更加专业化 。本文介 绍了木马的工作原理及各种通信技术 ,目的是能够 对木马通信技术有更深层次的了解 ,以有效保护计 算机和内部网络免受木马的侵害 。知已知彼 ,方能 百战百胜 。希望此研究能对木马防杀提供一丝帮
助。
参考文献 : [ 1 ] 罗红 ,慕德俊 ,戴冠中 ,等. 端口反弹型木马的通信技
Key words: Trojan horse; Comm unication technology; ICM P
1 引 言
木马 ,全称特洛伊木马 ,是一种基于 C / S (客户 / 服务器 )模式的计算机程序 。它常常会在用户未知 的情况下实施一些用户不期望的行为 。通常木马程 序分为两个部分 :客户端和服务器端 。客户端程序 运行在入侵者计算机上 ,服务器端则位于被入侵者 的计算机上 。木马工作原理是入侵者先将服务端程 序植入目标机器 ,再在自己机器上运行客户端程序 , 接着客户端通过网络与服务端建立起连接 ,有效连 接后入侵者就可以对目标机器进行一些远程操作 。 在此过程中建立起连接显得非常重要 ,因此有必要 对木马的通信技术进行研究 。