木马的原理分析与处理方案毕业设计(编辑修改稿)

木马的原理分析与处理方案毕业设计(编辑修改稿)内容摘要：

rol system controlling technology． The important aspects lie in the explanation of Trojan’s process realizing， the munication between controlling port and controlled port． This essay is under the platform of Window studies， on the basis of the Trojan essential technological foundation， produces one kind of system design and realization of an effective realtime monitoring on remote puters， which is unified the performance Trojan horse． Keywords： Trojan horse horse control 1 前 言 随着信息技术的飞速发展，计算机和计算机通信网络己经成为当今社会不可缺少的基本组成部分，依托瓦联网技术的全球信息化浪潮冲击和深刻影响着人类政治、经济、社会的方方面面，对经济发展、国家安全、国民教育和现代管理都起着重要的作用。 随着网络技术和信息化应用范围的不断扩大，网络信息应用领域开始从传统的、小型 业务系统逐渐向大型、关键业务系统扩展，如政府部门业务系统、金融业务系统、教育科研系统等等。 但随着网络应用的增加，以计算机信息系统为犯罪对象和犯罪工具的各类新型犯罪活动不断出现。 网络安全风险也不断暴露出来，网络信息安全问题已经成为制约各类网络信息系统实用化和进一步发展的不可忽视因素，对一些关系国民经济的重要信息系统和关系国家安全的网络信息系统，己经到了非解决不可的地步。 其中，利用木马技术入侵、控制和破坏网络信息系统，是造成网络信息安全问题的典型表现之一。 木马是一种基于 C/S 模式的远程控制技术，能在被监控对象毫 无察觉的情况下渗透到对方系统并隐藏在合法程序中的计算机程序。 一旦植入和触发成功，控制端与被控制端之间就能遵照 TCP/IP 协议进行数据通信，从而使得控制者获取被控制者的相关信息。 它们通常以欺骗为手段，在用户不知情的情况下进行安装，并暗中把所获的机密信息发送给第三者，威胁用户电脑中的数据安全并侵犯个人隐私，严重影响了人们正常工作和生活。 2020 年 1 月至 l0 月，瑞星公司共截获新病毒样本 930 余万个，其中绝大部分 (776 万 )是盗号木马、后门程序，专门窃取网游帐号、网银帐号等虚拟财产，具有极其明显的经济利益特征。 因此 ，社会上己经掀起一个木马研究的热潮，成为全社会探讨的热门话题，这也是本论文研究的出发点。 世界各国计算机安全应急响应小组 (puter emergency response )以及国内外各反病毒公司及厂商均对木马检测、清除和防范方面做了大量研究。 美国 New Haven 大学的 Fred cohen 博士等人首先对病毒进行了深入研究，他们将木马作为计算机病毒的一种特例，并给出了病毒和木马的数学模型， 英国 Middlesex 大学的 Harold Thim bleby 等人对病毒和木马的模型框架进行了研 究。 国内有中国科学院信息安全技术工程研究中心对木马技术进行了理论研究和原型开发，西北工业大学对木马在信息战的应用进行了研究，西安电子科技大学从人工免疫的角度对木马的检测与防御进行了研究，中国人民解放军信息工程大学对 Windows NT 平台下的木马启动与反跟踪技术进行了研究。 未来，木马将更注重底层的通讯，以便有效对抗相关查杀工具如防火墙的监视和过滤；将广泛采用非 TCP／ UDP 的 IP 包和寄生 TCP 端口方式作为信息传递的手段，从而达到更加隐的目的。 因此，研究和分析各种木马的工作原理和功能、木马种植的技巧和思路、 2 木 马自启动以及隐藏的方法，进而针对一些典型的木马攻击提出了相应的解决方法，建立相对完善的防御体，是我们 丰动防范木马入侵或攻击的有方法之一。 本论文就是对木马的原理进行深入地分析，从中总结一些木马的一般规律和最新技术，让人们更深入的了解木马，提高自我防范意识。 1 第 1 章 绪论 木马概述 木马全称特洛伊木马，其名称源于古希腊神话中的特洛伊木马记。 在公元前 12 世纪，希腊向特洛伊城宣战，交战了十年也没有取得胜利。 最后，希腊军队撤走了，并在特洛伊城外留下很多巨大的木马。 这些木马 是空心的，里面藏了希腊最好的战士。 特城人把木马搬进了城。 当晚，希腊战士从木马中钻出来与城外的希腊军队合力夺下了特洛伊城，这就是特洛伊木马名称的由来。 因此，特洛伊木马一般伪装成合法程序植人系统中，对系统安全构成威胁。 完整的木马程序一般由两个部份组成一个是服务器被控制端程序，一个是客户端控制端程序。 黑客主要利用控制端连接到服务器端来实现控制目标主机服务器端所在主机的目的，从而执行用户不知道或不期望的行为。 最初网络还处于以 UNIX 平台为主的时期，木马就产生了。 当时的木马程序的功能相对简单，往往是将一段程序嵌入到 系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。 而后随着 WINDOWS 平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 从木马的发展技术来看，总共可以分为四代： 第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即简单的密码窃取、发送等，在隐藏和通信方面均无特别 之处。 第二代木马在技术上有很大的进步，使用标准的 C/S 架构，提供远程文件管理、屏幕监视等功能。 但是由于植入木马的服务端程序会打开连接端口等候客户端连接，比较容易被发现。 如： ―冰河 ‖、 ―Qmitis‖。 第三代木马在功能上与第二代木马没有太大差异，它的改变主要在网络连接方式上，它的特征是不打开连接端口进行侦听，而是使用 ICMP 通信协议进行通信或使用反向连接技术让服务器端主动连接客户端，以突破防火墙的拦截。 在数据传递技术上也做了不小的改进，出现了 ICMP 等类型的木马，利用畸形报文传递数据，增加了查杀的难度。 如 ：网络神偷、 Peep201 等。 第四代木马在进程隐藏方面，做了大改动，采用了内核插入式的嵌入方式，利用远 2 程插入线程技术，嵌入 DLL 线程，或者挂接 PSAPI[6]，实现木马的隐藏。 前三代木马，大多都有独立的木马，因此用户可以根据启动项目中的描述内容，很快找到木马，并删除它。 但是，第四代木马选择注册表的方式，伪装成 DLL 文件形式加载到正常的启动程序上，无法通过 ―任务管理器 ‖查看到正在执行的木马。 不过在连接方式上，依然使用第三代木马或第二代木马的连接方式。 如： Beast 木马。 第五代木马实现了与病毒紧密结合，利 用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。 例如类似冲击波病毒的木马 ——噩梦II。 木马的分类 为了更方便地研究木马，并采取适当的防范措施，可对木马进行分类，快速了解新出现的木马，便于制订有效的防御措施将它拒之门外，或通过一些规则找到木马并清除。 (一 )根据木马程序对计算机的具体动作方式，可以把现在的木马程序分为以下几类： 第一类 远程控制型：远程控制型木马是现今最广泛的特洛伊木马，这种木马起着远程监控的功能，使用简单，只要被控制主机联入网络，并与控制端客户程序 建立网络连接，控制者就能任意访问被控制的计算机。 这种木马在控制端 的控制下可以在被控主机上做任意的事情，比如键盘一记录，文件上传 /下载，截取屏幕，远程执行等。 第二类 密码发送型：密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。 大多数这类木马程序不会在每次 windows系统重启时都自动加载，它们大多数使用 25 端口发送电子邮件。 第三类 键盘记录型：键盘记录型木马非常简单，它们只做一种事情，就是记录受害者的键盘敲击，并且在 LOG 文件里进行完整的记录。 这种木马程序随着 Windows 系统的启动而自动加载，并能感知受害主机在线，且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。 第四类 毁坏型：大部分木马程序只是窃取信息，不做破坏性的事件，但毁坏型木马却以毁坏并且删除文件为己任。 它们可以自动删除受控丰机上所有的． ini 或． exe 文件，甚至远程格式化受害者硬盘，使得受控主机上的所有信息都受到破坏。 总而言之，该类木马目标只有一个就是尽可能的毁坏受感染系统，致使其瘫痪。 第五类 FTP 型： FTP 型木马打开被控主机系统的 2l 号端 121(FTP 服务所使用的默认端口 )，使每一个人都可以用 一个 FTP 客户端程序来不要密码连接到受控制主机系统，并且可以进行最高权限的文件上传和下载，窃取受害系统中的机密文件。 3 (二 )根据木马的网络连接方向，可以分为两类： 第一类 正向连接型：发起通信的方向为控制端向被控制端发起，这种技术被早期的木马广泛采用，其缺点是不能透过防火墙发起连接。 第二类 反向连接型：发起通信的方向为被控制端向控制端发起，其出现丰要是为了解决从内向外不能发起连接的情况的通信要求，已经被较新的木马广泛采用。 (三 )根据木马使用的架构，可以分为四类： 第一类 C/S 架构：这种为普通的服务器、客户端 的传统架构，一般我们都是采用客户端作控制端，服务器端作被控制端。 在编程实现的时候，如果采用反向连接的技术，那么客户端 (也就是控制端 )要采用 Socket 编程的服务器端的方法，而服务端 (也就是被控制端 )采用 Socket 编程的客户端的方法。 第二类 B/S 架构：这种架构为普通的网页木马所采用的方式。 通常在 B/S 架构下，Server 端被上传了网页木马，控制端可以使用浏览器来访问相应的网页，达到对 Server端进行控制的目的。 第三类 C/P/S 架构：这里的 P 是 Proxy 的意思，也就是在这种架构中使用了代理。 当然，为了实 现正常的通信，代理也要由木马作者编程实现，才能够实现一个转换通信。 这种架构的出现，主要是为了适应一个内部网络对另外一个内部网络的控制。 但是，这种架构的木马目前还没有发现。 第四类 B/S/B 架构：这种架构的出现，也是为了适应内部网络对另外的内部网络的控制。 当被控制端与控制端都打开浏览器浏览这个 Server 上的网页的时候，一端就变成了控制端，而另外一端就变成了被控制端，这种架构的木马己经在国外出现了。 、 (四 )根据隐藏方式，可以分为几类隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。 木马区别与远程控制程 序的主要不同点就在于它的隐蔽性，木马的隐蔽性是木马能否长期存活的关键。 木马的隐藏技术主要包括以下几类：本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。 (五 )根据木马存在的形态不同，可将木马分为以下几种： 第一种 传统 EXE 程序文件木马。 这是最常见、最普通形态的木马，就是在目标电脑中以一般． EXE 文件运行的木马。 第二种 传统 DLL/VXD 木马。 此类木马自身无法运行，它利用系统启动或其他程序运行 (如： El 或资源管理器 )一并被载入运行，或使用 来运行。 第三种 替换关联式 DLL 木马。 这种木马本质上仍然是 DLL 木马，但它却是替换某个系统 DLL 文件并将它改名 第四种 嵌入式 DLL 木马。 这种木马利用远程缓冲区溢出的入侵方式，从远程将木马 4 写入目前正在运行的某程序的内存中，然后利用更改意外处理的方式来运行木马代码。 这种技术在操作上难度较高。 第五种 网页木马。 即利用脚本等设计的木马。 这种木马利用 IE 等漏洞植入到目标主机，传播范围广。 第六种 溢出型木马。 溢出型木马既是将缓冲区溢出攻击和木马相结合的木马实现手段，其实现方式有很多特点和优势，属于一种较新的木马类型。 木马的功能 木马的 功能木马的功能可以概括为以下内容： (1)、远程文件管理功能对被控主机 的系统资源进行管理，如：复制文件，删除文件，查看文件，以及上传 /下载文件等。 (2)、打开未授权的服务为远程计算机安装常用的网络服务，让它为黑客或其他非法用户服务。 如：利用木马设定为 FTP 文件服务器后的计算机，可以提供 FTP 文件传输服务；为客户端打开文件共享服务，这样可以轻松获取用户硬盘上的信息。 (3)、远程屏幕监视功能实时截取屏幕图象，可以将截取到的图象另存为图文件；实时监视远程用户目前正在进行的操作。 (4)、控制远程计算机通过命令 或通过远程监视窗口，直接控制远程计算机。 例如在远程计算机执行程序、打开文件或向其他计算机进行攻击等。 (5)、 窃取数据以窃取数据为目的，本身不破坏计算机的文件和数据，不妨碍系统的正常工作。 它以系统使用者很难察觉的方式向外传送数据。 例如键盘和鼠标操作记录型木马。 5。