(完整版)木马攻击技术彻底剖析毕业论文

XXXXXXXXXXX本科生毕业论文（设计）题目特洛伊木马程序的设计与实现学生姓名指导教师学院信息科学与工程学院专业班级完成时间2010年5月28日摘要随着计算机网络技术的飞速发展，黑客技术也不断更新，它对网络安全构成了极大的威胁。

特洛伊木马作为黑客工具中重要的一员，其技术日新月异，破坏力之大是绝不容忽视的。

因此,对木马技术的研究刻不容缓.本文首先介绍了木马的基本概念，包括木马的结构、行为特征、功能、分类以及木马的发展现状和发展趋势。

然后详细介绍了木马的工作原理和木马系统的关键技术。

木马的关键技术包括木马的伪装方式、木马程序的隐藏技术、木马的自启动以及木马的通信技术等.另外，本文研究了远程控制技术，包括TCP/IP协议的介绍、Socket通信技术和客户端/服务器模型（C/S）。

本文在研究木马技术的基础上设计了一款远程控制木马。

该木马程序能够通过客户端对远程主机进行控制和监视，服务端可以自动连接客户端。

另外该木马程序还包括远程文件操作（文件复制、拷贝、删除、下载、上传等），远程系统控制（关机、重启，鼠标、屏幕锁定,启动项管理），网络连接控制，远程进程管理和文件传输等功能。

最后本文实现了这一款木马程序，并对其进行了测试。

测试结果显示该木马程序实现了所有的功能,能够对远程主机进行控制。

关键词木马, Socket，远程控制ABSTRACTWith the rapid development of network，the dependence between our society，computer system and information network becomes bigger and bigger。

The safety of the internet is especially important。

The hackers create a great network security threats, and the currently most available mean of invasion are the Trojan technology. Therefore, this technique has been studied for the Trojan technology。

木马病毒防范与查杀目前计算机病毒可以渗透到信息社会的各个领域,给计算机系统带来了巨大的破坏和潜在的威胁。

为了确保信息的安全与畅通,提高计算机用户的木马病毒防范意识,因此,研究计算机病毒,尤其是木马病毒的防范措施已迫在眉睫。

本文从计算机病毒及木马的起源及现状的分析开始着手,对上百种流行木马的常见攻击手段进行追踪分析,从中寻求其相似性。

经过不断地实验和分析,总结并提炼出了木马病毒的攻击类型:修改系统注册表、修改文件打开关联、远程屏幕抓取、远程关机和重新启动、键盘与鼠标的控制、远程文件管理等。

为了进一步揭示这些常用攻击类型的原理和危害性,曾几何时我也有过这样的疑问：1.什么是木马病毒，干嘛叫木马而不叫别的？2.杀毒软件又是如何判定一个文件是不是木马病毒的？3.为什么我装了杀毒软件可是仍然中了木马毒？相信经常接触电脑的你也有过类似的想法吧下面就让我给大家逐步揭开木马病毒的神秘面纱吧！简单的说，病毒就是一段具有破坏性的程序代码。

这个范围比较广，通常包括普通病毒、蠕虫和特洛伊木马。

三者的界限并不是十分清晰的。

只要是你觉得对你有害的程序，都可以归为病毒。

木马之所以叫木马是因为木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

木马病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

而杀毒软件是根据特征码匹配杀毒的：了解这个概念首先必须明确什么叫特征码？这里我们举个小例子。

你说你为什么能分辨出谁是你的朋友，谁又是你的家人呢？你会说：他们长得不一样啊！对，他们长得不一样用计算机的语言说就是他们的特征不同。

《计算机信息安全》课程报告题 目 木马病毒的鉴别与查杀技术 姓 名学 号专业班级指导教师学 院完成日期 2013年1月宁波理工学院摘要随着信息时代的到来，网络遍及了生活与工作的各个领域，在大量信息传递的同时，电信息安全也成为了人们关注的重点。

其中，对于电脑病毒的防护与查杀显得尤为重要。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任木马病毒意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

因此，对于木马病毒的鉴别与查杀的研究，具有相当的理论意义和实际作用。

本文首先介绍了木马病毒的与其他病毒的异同之处，然后指出木马病毒发展及其危害，在本文的第四部分阐述了木马病毒的入侵方式和传播原理，在此基础上，提出了木马病毒的鉴别方式和查杀方法的建议。

关键词: 计算机；木马病毒；鉴别；查杀目录摘要 (I)1.引言 (1)1.1选题理由 (1)1.2本文的研究方法和框架 (2)1.2.1研究方法 (2)1.2.2研究框架 (2)1.2.3研究阶段 (3)1.2.4相关文献回顾 (3)2.木马病毒与其他病毒的异同分析 (6)2.1计算机病毒分类 (6)2.1.1病毒（Viruses）的感染方式 (6)2.1.2木马（Trojans）的感染方式 (6)2.1.3蠕虫（Worms ）的感染方式 (7)2.1.4其他 (7)2.2木马病毒与其他病毒的区别 (7)3.木马病毒的发展及危害 (9)3.1木马病毒的发展 (9)3.1.1木马病毒的发展历史 (9)3.1.2木马病毒的现状 (9)3.1.3木马病毒的分类 (11)3.2木马病毒的危害 (12)4.木马病毒的工作原理 (13)4.1木马病毒的工作原理 (13)4.2木马病毒的入侵方式 (13)4.2.1木马病毒的入侵方式 (13)4.2.2木马病毒的传播途径 (13)5.木马病毒的鉴别与查杀 (15)5.1木马病毒的鉴别 (15)5.1.1木马病毒的基本特性 (15)5.1.2木马病毒的自动恢复 (15)5.1.3木马病毒的功能特殊性 (15)5.1.4木马病毒的鉴别 (16)5.2木马病毒的查杀 (17)5.2.1发现木马 (17)5.2.2 查找木马 (17)5.2.3 手工清除 (19)参考文献 (21)1.引言1.1选题理由随着第一台计算机ENIAC于1946年在美国宾夕法尼亚大学诞生，信息时代随之步入了高速发展的阶段。

毕业论文木马病毒分析随着计算机与网络技术的发展，个人电脑和互联网在人们的日常生活中占据了越来越重要的位置。

但是，随着网络和计算机技术的快速发展，黑客和计算机病毒的数量也不断增加，给我们的计算机和互联网使用带来了很大的威胁。

在这种情况下，研究计算机病毒的原理和特征，在保护计算机安全方面具有特殊的意义。

因此，本文就木马病毒进行了研究和分析。

一、木马病毒的概念及特征木马病毒是指那些以其他程序为外壳进行自身隐藏的恶意程序，通常它们伪装成正常的、合法的程序，被用户误认为是合法的，从而达到了攻击的目的。

木马病毒一般都具有以下特点：1.潜伏性木马病毒的宿主可以是任何一个文件，因此木马病毒具有极高的潜伏性。

木马病毒一旦被宿主程序感染成功，就可以隐蔽地运行在系统中，一般用户很难发现。

2.渗透性木马病毒通常会利用系统漏洞等方式，渗透到受害系统内部，获取系统权限，从而实现对系统的控制。

3.多样性木马病毒有多种类型，每种类型有着不同的传播方式和攻击方式，其多样性使得木马病毒更加难以被发现和清除。

4.攻击目的性木马病毒可以用于窃取用户的敏感信息，也可以用于破坏系统、传播病毒等攻击目的。

二、木马病毒的传播方式木马病毒有多种传播方式，下面介绍几种常见的传播方式。

1.网络攻击黑客可以通过远程攻击利用系统漏洞，将木马病毒传播到受害者的计算机上。

2.社交网络黑客可以通过社交网络发送木马病毒链接或伪装成正常的文件或图片，通过欺骗用户的方式传播木马病毒。

3.邮件传播黑客可以通过发送伪装成正常的邮件附件等方式，将木马病毒传播到受害者的电脑上。

三、木马病毒的危害1.窃取用户信息木马病毒可以通过记录键盘输入等方式，窃取用户的敏感信息，如用户的用户名和密码等。

2.破坏系统木马病毒可以通过修改系统配置文件等方式，破坏系统的稳定性和安全性，使得系统出现崩溃等问题。

3.传播病毒木马病毒可以通过篡改系统安全设置等方式，传播病毒，导致计算机网络的瘫痪。

木马型网络攻击技术分析作者：谭博伦来源：《商品与质量·消费视点》2013年第10期摘要：随着科学技术的进步与发展，人类社会正在向网络社会迈进，人们的生活已经和网络产生了密不可分的关系，各个领域的进步与发展也都离不开网络技术，人们的决策已经越来越依赖于信息技术，它也使得信息站成为可能。

信息站将成为未来战争的一个新兴的形式之一，它的涉及面非常广，既可以破坏军事指挥，武器控制等，还可以使得诸如金融、商业、电力等遭受破坏。

而目前应用最广的病为人所知程度最广的就是木马病毒所造成的对于网络的攻击。

在这个背景之下，对于木马型网络攻击技术的分析和研究具有重要的现实意义。

关键词：木马型；网络攻击；技术分析网络攻击是指攻击者利用各种控制计算机的攻击手段通过网络技术实现对目标主机系统发动攻击，旨在破坏对方的网络系统或是获取更多有价值的信息。

伴随着科技的日益更新和发展，网络攻击技术的发展也呈现出自动化、快速化、动态化的发展趋势。

本文将通过两个方面对当前的木马型网络攻击技术进行分析，一方面是对于木马进行简单论述，另一方面是对木马型网络攻击技术的实现的关键技术进行介绍。

一、木马的简要介绍所谓计算机木马其实是源于古希腊中的特洛伊木马的故事，木马病毒是一种隐藏在计算机网络中的一种可以在毫无察觉的情况下对受害系统进行破坏或窃取的病毒。

与一般的病毒一样，木马病毒也是从Unix平台中产生的，直接作用于常见的Windows操作系统中。

截至目前为止，木马程序已经更新了好几代，它的危害性和隐藏的密闭性也在不断的提高，目前木马主要包括以下几种类型：远程控制型；密码发送型；键盘记录型；毁坏型；FTP型。

它们主要是根据木马对于计算机的具体动作形式来进行划分的。

据不完全统计，当前世界上木马已有好几千种，它们虽然都是通过程序实现，但是由于运行的环境的差异性，它们所发生的作用也不尽相同。

木马具有隐蔽性、欺骗性、自动恢复性、功能的特殊性。

它们都是木马的基本特征。

木马检测工具的实现—毕业设计论文毕业设计(论文)木马检测工具的实现论文作者姓名: 申请学位专业: 申请学位类别: 指导教师姓名,职称,:论文提交日期:木马检测工具的实现摘要近年来，“特洛伊木马”(以下简称木马)数量迅速增加，在各类非法程序中已经占到了极大的比重，由木马所造成的破坏和损失也越来越严重，因此，反木马的研究己成为网络安全领域的一个热点和重点。

基于特征码的静态扫描技成为反木马、反病毒等术由于具有检测潜伏的木马、病毒等非法程序的能力，研究领域的一个热点，所以至今特征码技术得到了广泛的应用。

特征代码法，是目前公认的检测己知病毒的最简单、开销最小的方法。

检测工具在将已知木马以二进制读取到的4096位字符串，通过MD5取摘要作为特征码，然后将这些木马独有的特征搜集在一个木马特征码数据库中。

每当需要确定文件是否为木马的时候，检测工具会以扫描的方式将数据文件与特征码数据库内的现有特征，如果双方数据吻合，就可以判定该数据文件为木马文件。

本工具码一一比对检测准确，可识别病毒的名称，依据检测结果，可做相应的处理。

关键词:网络安全;木马;MD5;特征码The Implementation of a Trojan Detection ToolAbstractIn recent years, the number of trojan is increasing very rapid and it now amounts to the most part among in all the illegal programs.Trojans have brought much more serious damages and losses .As a result, the research of anti-trojan has already become the hotspot and the main emphasis in the area of network security. Because of its ability of detecting unknown trojans, signature-based scanning has currently turned into hotspot in the anti-trojan research area. So the characteristic code technology is used widely. The characteristic code technology isthe method that has the simplest and lowest expense to check the Trojans. The tool gets 4,096 bits from the known Trojans file, and gets its message digest with MD5 algorithm, then puts this value in an INI fileas the database of Trojan characteristic code. When a file is checked, the tool will scan the file and compare with the characteristic code database, if the message digest of this file is equal to a certain record, then we can determine the file is a Trojan file. The accuracy of our tool is very high, and can identify the name of the Trojan. According to the result, it can take corresponding measure to deal with the Trojan file.Key words:Network security; Trojan; MD5; Characteristic code目录论文总页数:26页1 引言 ..................................................................... .. (1)1.1 木马查杀工具设计背景 ..................................................................... (1)1.1.1 木马的概念及技术原理 ..................................................................... . (1)1.1.2 木马的危害 ..................................................................... .......................................... 3 1.2 现在流行的查杀方式 ..................................................................... . (3)木马检测的实现方法 ..................................................................... .................................. 6 1.31.3.1 PE文件静态信息的提取和特征码的设置 (6)1.3.2 特征码选择与采集 ..................................................................... (8)1.3.3 特征码库的设计 ..................................................................... . (8)1.3.4 信息摘要技术中的MD5算法 ..................................................................... .. (9)1.3.5 MD5算法的原理及应用 ..................................................................... (10)1.3.6 MD5作特征码简介 ..................................................................... .......................... 11 2 需求分析及方案设计 ..................................................................... ........................................ 11 2.1 本工具要完成的功能 ..................................................................... ................................ 11 2.2 环境需求 ..................................................................... .................................................... 11 2.3 可行性研究 ..................................................................... ................................................ 11 3 木马查杀功能的实现 ..................................................................... ........................................ 12 3.1 工具模块介绍 ..................................................................... ............................................ 12 3.2 木马特征码的读取 ..................................................................... .................................... 12 3.3 获得文件MD5特征码 .................................................................................................. 14 3.4 文件属性的更改 ..................................................................... ........................................ 19 3.5 实现驱动器的选择 ..................................................................... .................................... 19 3.6 MD5特征码查杀 ..................................................................... ...................................... 22 结论 ..................................................................... .. (23)参考文献 ..................................................................... .. (24)致谢 ..................................................................... .. (25)声明 ..................................................................... .. (26)1 引言1.1 木马查杀工具设计背景“特洛伊木马”这个词源于希腊古神话中的一场战役，而今天计算机的应用领域中，木马的存在给网络安全带来了不容忽视的问题。

关于木马病毒的论文计算机0901班李丹 090521125摘要：木马（Trojan）这个名字来源于古希腊传说。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

以下是关于木马病毒的相关介绍与防治。

关键字：木马病毒的介绍、危害、防御、查找、删除正文：一、木马病毒的介绍：木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。

植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。

运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据。

特洛伊木马有两种，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。

特洛伊木马不经电脑用户准许就可获得电脑的使用权。

程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。

二、木马病毒的危害：1、盗取我们的网游账号，威胁我们的虚拟财产的安全。

木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。

2、盗取我们的网银信息，威胁我们的真实财产的安全。