木马服务端的设计与实现毕业设计论文

关于木马病毒的论文计算机0901班李丹 090521125摘要：木马（Trojan）这个名字来源于古希腊传说。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

以下是关于木马病毒的相关介绍与防治。

关键字：木马病毒的介绍、危害、防御、查找、删除正文：一、木马病毒的介绍：木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。

植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。

运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据。

特洛伊木马有两种，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。

特洛伊木马不经电脑用户准许就可获得电脑的使用权。

程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。

二、木马病毒的危害：1、盗取我们的网游账号，威胁我们的虚拟财产的安全。

木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。

2、盗取我们的网银信息，威胁我们的真实财产的安全。

基于进程和通信隐藏的木马设计与实现摘要近年来，特洛伊木马等恶意代码己经成为网络安全的重要威胁。

很多国家都采取积极的网络安全防御措施,投入大量的人力和物力研究网络信息安全技术。

文章首先分析了传统木马的一般工作原理及其植入、加载、隐藏等关键技术。

随着网络技术的不断更新和发展，木马技术也在不断地更新换代,现代木马的进程隐藏和通信隐藏等等都发生了变化。

进程的隐藏和通信的隐藏一直是木马程序设计者不断探求的重要技术。

攻击者为达到进程隐藏的目的，采用远程线程和动态链接库，将木马作为线程隐藏在其他进程中。

选用一般安全策略都允许的端口通信,如80端口，则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。

本文研究了如何将Windows环境下的动态链接库(DLL)技术与远程线程插入技术结合起来实现特洛伊木马植入的新方案。

在该方案中，提出了特洛伊木马程序DLL模块化,并且创建了独立的特洛伊木马植入应用程序，将木马程序的DLL模块植入宿主进程。

实验结果证明该方案能实现的木马植入，具有很好的隐蔽性和灵活性。

关键词：特洛伊木马；动态连接库；进程插入；远程线程The Design and Implementation of Trojan Horses Base on Process Hiding and Communications HidingAbstractIn recent years,malicious codes including Trojan have threatened network information security, and more and more countries paid attention to take active measures to protect the network, and spent a lot in research to develop network information security technology mentally and materially. This paper firstly analyses the basic principle, entry technology, load technology and hiding technology of traditional Trojan horse. With the development of network technology, Trojan horse technology is upgrading constantly. Modern Trojan horse is changed in process hiding and communication hiding.The process hiding and communications hiding are important technology being explored by Trojan horse programmers all long. Adopting the measure of dynamic link storage, and Remote Thread technology, and hiding Trojan horse behind the other processes as a thread program, it is easy to hide. Choosing the port correspondence which is permitted by almost all the ordinary security policy, likes 80port, may easily penetrate the firewall and avoid the examine of security systems as invasion-checking mechanisms and so on. Thus, it has a very strong covered.This paper is implemented the injection of Trojan horse by combining the technology of DLL (dynamic linking library) and of remote thread injection on the Windows platform. In this paper, modularization of Trojan horse process is proposed to create an independent Trojan horse injection process, thus, to inject Trojan horse DLL module to the host process.Experimental results show that the program could realize the Trojan injected with good covered and flexibility.Key Words：Trojan Horse；DLL；Process Injection；Remote Thread目录论文总页数：23页1 引言 (1)2 特洛伊木马简介 (1)2.1 认识木马 (2)2.2 木马原理 (2)2.3 木马的危害 (3)2.4 常见木马的介绍 (3)3 木马隐藏概述 (4)3.1 本地隐藏 (4)3.2 通信隐藏 (8)4 隐藏技术的实现 (10)4.1 隐藏进程 (10)4.2 隐藏通信 (14)4.3 木马功能的实现 (15)5 系统测试 (19)5．1功能测试 (19)5．2性能测试 (20)结论 (21)参考文献 (21)致谢 (22)声明 (23)1引言近年来，黑客攻击层出不穷，对网络安全构成了极大的威胁。

引言：木马程序是一种恶意软件，它通过在目标系统中植入并隐藏自身，实现对目标系统的控制或信息窃取。

本文是《木马程序设计（二）》的续篇，将继续深入探讨关于木马程序的设计和相关技术。

概述：本文旨在介绍如何设计和开发具有高度隐蔽性和攻击能力的木马程序。

通过深入了解木马程序的原理和开发过程，有助于安全专家和网络管理员更好地了解和对抗木马程序，以保护系统和用户的安全。

正文内容：1.攻击向量和传播方式1.1社交工程1.2漏洞利用1.3传输层安全协议绕过1.4僵尸网络攻击1.5欺骗用户2.木马程序的免疫和检测2.1超早期威胁检测2.2行为监测和模式识别2.3特征码识别和病毒库更新2.4网络流量分析2.5操作系统层面的防御3.植入与控制技术3.1进程注入技术3.2Rootkit技术3.3驱动程序植入3.4远程命令执行3.5定时任务和触发器4.木马通信与隐藏通道4.1隐蔽通信协议4.2随机化通信端口4.3数据加密和解密4.4数据压缩和分段传输4.5反向连接和动态DNS5.对抗与防治策略5.1安全软件与防火墙5.2漏洞修补和补丁管理5.3用户教育与安全意识培训5.4减少攻击面的措施5.5安全审计和日志分析总结：木马程序作为一种隐蔽且具有破坏性的攻击方式，对网络和系统的安全造成了严重威胁。

本文通过深入分析木马程序的设计和相关技术，希望能够帮助读者更好地了解木马程序的工作原理，以便有效对抗和防治木马程序的攻击。

同时，也强调了用户教育、安全软件、漏洞修补等方面的重要性，以建立更加安全和可靠的网络环境。

只有不断学习和加强防护，才能提高网络和系统的安全性。

引言：随着互联网的迅速发展，木马程序成为了网络安全领域中的一个重要话题。

木马程序是一种能够在用户不知情的情况下获取或控制目标系统的恶意软件。

它们能够隐藏在正常的应用程序或文件中，以欺骗用户下载和安装。

本文将深入探讨木马程序设计的背景、原理、类型以及防御方法。

概述：木马程序设计是指创建和开发恶意软件，以实现对目标系统的非法访问和控制。

一个简单木马程序的设计与开发1 前言 1.1 课题背景随着互联网技术的迅猛发展，网络给人们带来了很多便利，但是也带来了许多麻烦。

各种网页木马，后门，下载者，病毒，利用各种系统漏洞，网站漏洞，程序漏洞，邮箱漏洞，U 盘及社会工程学等在网上横行，给广大用户带来了重要资料丢失，机密文件提前泄密，邮箱帐号，游戏帐号，各类照片被人恶意修改后传播到网上，系统被格盘，系统被监视，摄像头被人暗中开启并录像传播等非常严重的后果。

使得许多朋友，闻木马,就变色。

为了使更多朋友了解木马病毒，通过编写一个简单的木马,来分析它及其的变形，提出相应的防范措施。

1.2 国内外研究现状从有关的资料看，国内外的windows系统下的木马，功能已经从简单发展到全面，大致包括以下功能：上传下载文件，删除文件，复制文件，粘贴文件，文件编辑，文件重命名，文件剪切，新建文件，修改文件，修改文件的创建时间等；获得目标主机名，IP地址，以及目标主机地理位置，系统打了多少补丁，安装了些什么软件，MAC地址，安装了几个处理器，内存多大，网速多快，系统启动时间，系统目录，系统版本等；取得目标主机的CMD权限，添加系统管理员，对目标主机进行注册表操作，开启目标主机3389端口，软件自动更新，使目标主机成为HTTP，SOCK5代理服务器，对目标主机的服务进行操作，对目标主机的开机自启动项进行操作，目标主机主动向控制端发起连接，也可主动向目标主机发起连接等，暗中打开用户摄像头，监控，录制用户隐私生活，对用户进行屏幕监控等。

木马的隐蔽性更强了，从原来的单纯隐藏在某个目录中，发展到了替换系统文件，修改文件修改时间等。

木马从EXE文件靠注册表启动，发展到了DLL文件远程线程插入，替换修改系统DLL文件，靠驱动文件等高级水准，更有写入系统核心中的。

木马深藏在系统中，甚至在许多杀毒软件启动前启动，或者是绑定到杀毒软件上，或者修改杀毒软件规则，使得杀毒软件误以为它是合法文件，或者是将木马DLL文件插入到WINLOGON.EXE 中，以至于在安全模式下也无法删除。

毕业论文（设计）论文（设计）题目：木马攻击技术彻底剖析学院：理工学院专业（方向）：计算机科学与技术（网络工程）年级、班级：网络1101 学生姓名：指导老师：2015 年 5 月 15 日论文独创性声明本人所呈交的毕业论文（设计）是我个人在指导教师指导下进行的研究工作及取得的成果。

除特别加以标注的地方外，论文中不包含其他人的研究成果。

本论文如有剽窃他人研究成果及相关资料若有不实之处，由本人承担一切相关责任。

本人的毕业论文（设计）中所有研究成果的知识产权属三亚学院所有。

本人保证：发表或使用与本论文相关的成果时署名单位仍然为三亚学院，无论何时何地，未经学院许可，决不转移或扩散与之相关的任何技术或成果。

学院有权保留本人所提交论文的原件或复印件，允许论文被查阅或借阅；学院可以公布本论文的全部或部分内容，可以采用影印、缩印或其他手段复制保存本论文。

加密学位论文解密之前后，以上声明同样适用。

论文作者签名：年月日木马攻击技术彻底剖析摘要如今是大数据的时代，有效的信息能够带来巨大的效益，它作为一种普遍性、共享性、增值型、可处理性和多效用性的资源，使其对于人类具有特别重要的意义。

信息安全的实质就是要保护信息系统或网络信息传输中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

信息安全是一个不容忽视的国家安全战略，任何国家、政府、部门、行业都不可避免的问题。

因此，在计算机信息安全领域，对计算机木马技术的研究已成为一个重点和热点。

本文对计算机木马攻击技术进行了系统的分析和研究，主要工作如下：1．对木马的基本概念进行说明、攻击机制进行剖析。

2．采用“冰河”实例进行剖析说明。

3．在研究了木马隐蔽技术的基础上，提出了一个动静特征相结合的行为木马特征检测技术基本框架。

尽最大能力去检测与防范木马攻击。

【关键词】木马攻击,计算机信息安全,木马检测,木马防范Trojan horse attack technologys ThoroughanalysisAbstractToday is the era of big data, effective information can bring huge benefits, it is a kind of universality, sharing, value-added, processing and multi utility of resources, which is of special significance for human. The essence of information security is to protect the information systems or information transmission network information resources from various types of threats, interference and destruction, which is to ensure the safety of information. Information security is an important national security strategy, any country, government, departments, industries are inevitable problems. Therefore, in the field of computer information security, research on computer Trojan technology has become a key and hot. This paper carried out a systematic analysis and Research on computer technology of the Trojan horse attack, the main work is as follows:1. analyze the attack mechanism of basic concepts of Trojan horse.2. by the analysis of examples to illustrate the "ice age".3.According to the static characteristics of the Trojan based on theweaknesses and Trojan hidden methods, put forward the basic framework of the Trojan detection system of the static characteristics of Trojan detection and dynamic behavior of Trojan detection combined, as much as possible to prevent the Trojan horse attack.[Key words]Trojan attacks, computer information security, Trojan detection, Trojan guard目录1 绪论 (1)1.1木马研究的背景与意义 (1)1.2本课题研究的内容 (2)2 木马攻击机制剖析 (3)2.1概述 (3)2.2木马的定义 (4)2.3木马的攻击模式剖析 (4)2.4木马的攻击特点剖析 (5)2.5木马攻击能力剖析 (6)2.6木马实施攻击的步骤剖析 (7)2.7木马伪装方法剖析 (8)2.7.1 木马启动方式的隐藏技术 (11)2.7.2木马运行形式的隐藏技术 (17)2.7.3 木马通信形式的隐藏技术 (19)2.7.4木马程序在宿主机磁盘上的隐藏 (25)2.8木马的传播途径剖析 (26)3 “冰河”木马实例分析 (27)3.1“冰河”起源与发展 (27)3.2服务端与客户端实现原理 (27)3.3隐藏的实现原理 (28)3.4木马的启动实现 (28)3.5远程控制的实现原理 (29)3.6实现冰河服务器的配置 (30)3.7冰河在目标主机中的隐藏 (31)3.8冰河在目标主机中的控制 (33)3.9冰河木马的查杀 (33)4 动静结合的木马检测防范技术 (34)4.1基于动态行为的木马检测防范技术 (34)4.1.1 行为监控检测防范木马的基本思想 (34)4.1.2 动态检测与防范木马的主要方法 (35)4.2动静结合的木马检测防范体系的分析 (37)4.3动静结合的木马检测防范技术评价 (39)5 结论 (41)参考文献 (42)致谢 (43)1 绪论1.1 木马研究的背景与意义如今计算机科学技术的迅猛发展和广泛应用，使计算机之间的网络通信成为现代社会不可缺少的基本组成部分，具有全球化的互联网技术影响着人类经济、政治、社会的方方面面，对经济可持续发展、国家信息安全、国民教育和现代化管理都起着重要的作用。

木马程序的工作机理的研究11 引言随着计算机和网络技术的迅猛发展和广泛应用，Intemet深入到社会的每个角落，人们充分享受到了其给工作和生活带来的巨大便利，人类社会对计算机系统和信息网络的依赖性也越来越大。

但是从另一方面，由于计算机系统和信息网络系统本身固有的脆弱性。

越来越多的网络安全问题开始困扰着我们，入侵者入侵和病毒蔓延的趋势有增无减，社会、企业和个人也因此蒙受了越来越大的损失。

特别是在此基础上发展起来的“信息战”，通过计算机攻击工具(如计算机病毒、木马等计算机程序)对敌方的计算机系统和网络设施发动袭击，造成敌方的信息通信的中断和指挥控制系统的瘫痪，从而达到“不战而屈人之兵”的目的。

显然，计算机攻击和防御工具也将成为国家之间、企业之间一种重要的攻击和防御手段。

因此，计算机和信息安全问题正日益得到人们的重视，并成为国内外的学者和专家研究的热点。

在早期的计算机安全防御中，由于网络并不流行，反病毒软件发挥着主要的作用，通过对输入设备的监控，有效地阻止了恶意程序对每台独立的计算机的危害。

随着网络的应用，绝大部分计算机连入互连网，威胁变为主要来自网络，网络入侵工具(如蠕虫、木马等)在这时不断涌现。

防火墙在这种情况下应运而生，它通过禁止非法的网络请求来防御来自网络的攻击。

随着计算机攻击技术的发展，病毒、蠕虫和木马等攻击工具在功能上相互吸收和借鉴，攻击方式和手段也层出不穷，促使计算机安全也向着不断细化的方向发展，即针对不同的攻击方式采用不同的对策，从而形成了比较完善的防御体系。

2 木马的功能和特征木马程序的危害是十分大的，它能使远程用户获得本地计算机的最高操作权限，通过网络对本地计算机进行任意的操作，比如删添程序、锁定注册表、获取用户保密信息、远程关机等。

木马使用户的电脑完全暴露在网络环境之中，成为别人操纵的对象。

就目前出现的木马来看，大致具有以下功能：1．自动搜索已中木马的计算机。

2．对对方资源进行管理，复制文件、删除文件、查看文件内容、上传文件、下载文件等。

无进程无端口DLL木马的设计与实现摘要随着网络技术的发展，越来越多的人开始接触到互联网。

在人们感叹互联网功能强大的同时，面对了越来越多的网络信息安全的问题。

网络木马程序对于网络信息安全是一个极大的挑战，它不同于计算机病毒，它能够盗取他人主机上的信息，或者拦截、监听、篡改他人发布到互联网上的信息。

作者设计的DLL木马正是在研究木马程序的工作原理和工作方式的前提下，利用线程插入技术设计并开发出一种动态连接的木马，并且实现无进程和无端口的特点。

木马设计主要侧重于将进程隐藏、端口隐藏和破坏word文档这三个功能实现并且有机的结合起来，对木马的远程注入有待进一步研究。

论文介绍了木马程序的工作原理和实现的功能，描述了主要的API函数，并且总结了一些查杀DLL木马的方法。

关键词：木马；线程插入；动态链接库；无进程；无端口The Design and Implement of No-process and no-port DLLTrojan horseAbstractWith the development of the network technology, more and more people begin to use Internet. At the time people found the powerful function of the Internet, people have to face to more and more information security problems in the Internet. The Trojan horse program is a big challenge to the information security .It isdiff erent from computer’s virus. It could obtain the information of others’ computers and hold up, monitor, falsify others’ information which is distributed in the Internet.The DLL Trojan horse which the author designed makes use of the thread injecting technology to design and implement a dynamic link of Trojan horse after the study of Trojan horse program and the work mode. It has realized the features of no- process and no-port. The design of Trojan horse is to realize these three functions: hiding process and ports, destroying word files. The technology about long-distance injecting will be researched in the future.The thesis introduces the work principle of Trojan horse program and the functions of realization. It also gives full descriptions of main API functions and summarizes some methods of killing DLL Trojan horse.Key words: Trojan horse; Thread injecting; Dynamic Link Library;No-process; No-port目录论文总页数：20页1 引言 (1)1.1 课题背景 (1)1.2 国内外研究现状 (1)1.3 本课题研究的意义 (1)2 相关理论基础 (1)2.1 动态链接技术 (1)2.2 应用编程接口API (2)2.3 木马的有关知识 (3)2.3.1 木马的定义 (3)2.3.2 木马发展的方向 (3)2.3.3 木马程序分类 (4)3 需求分析 (5)3.1 功能需求 (5)3.2 性能需求 (5)3.3 开发环境需求 (6)3.3.1 单机模式 (6)3.3.2 Visual C++ 6.0开发软件 (6)4 设计与实现 (6)4.1 系统结构的介绍 (6)4.1.1 木马的主体 (6)4.1.2 木马的嵌入 (6)4.1.3 木马的启动 (7)4.1.4 系统的各结构关系 (7)4.2 具体设计的步骤及相关函数 (8)4.2.1 木马主体的设计 (8)4.2.2 远程嵌入 (9)4.2.3 木马的启动 (12)4.3 DLL木马的防治 (13)5 系统测试 (15)5.1 测试环境： (15)5.2 测试效果： (15)5.3 测试结果： (16)结论 (17)参考文献 (18)致谢 (19)声明 (20)1引言1.1课题背景木马的定义为：隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。