木马程序攻击原理分析与检测技术研究
摘 要摘 要近年来,互联网的快速发展,正在对人们的生活方式和工作方式产生着前所未有的影响,网络已经成为人类生活不可缺少的部分。但随着网络应用的增加,以计算机信息及其系统为犯罪对象和犯罪工具的各类新型犯罪活动不断出现,网络安全面临的威胁不断显露出来。其中,利用木马入侵网络和控制网络通信系统,是典型的新时代的网络犯罪。因此,对于木马的研究刻不容缓。木马是一种以C/S模式为基础的远程控制应用程序。它能够利用被控制端的服务器程序,在用户毫无察觉的情况下植入到系统并隐藏在合法程序中,对用户系统造成一系列损害。一旦植入成功,客户端与服务器端就能遵照TCP/IP协议进行数据通信,从而使得控制者获取被控制者的相关信息。本文对当前流行的木马程序的工作原理、实现方法以及远程监控技术进行了较为全面的分析和研究。在分析了Windows平台木马病毒程序核心技术的基础上,以VC++语言为基础,开发完成了一个C/S架构的木马程序,可以对远程计算机实行实时有效的监控。木马的主要功能有:远程关机、重启、注销、屏幕截屏获取、摄像头开启、文件下载、系统信息获取等功能。经过测试主要模块的功能,验证了设计的正确性,基本达到了设计目标,实现了对目标主机的监控。关键字:隐藏;木马程序;DLL;检测
目 录
第一章 绪论 1
1.1 研究背景 1
1.2 木马程序的发展 1
1.3 研究木马的目的与意义 2
1.4 Windows基本知识介绍 2
1.4 章节安排 4
第二章 木马及其关键技术介绍 6
2.1 木马简介 6
2.1.1 木马的定义 6
2.1.2 木马的基本原理 6
2.1.3 木马的主要特点 7
2.1.4 病毒、远程控制软件和木马的联系与区别 7
2.1.5 木马的主要活动 8
2.1.6 木马的分类 9
2.2 木马关键技术介绍 10
2.2.1 API拦截技术 10
2.2.2 套接字技术 10
2.2.3 DLL技术 11
2.2.4 DLL顺序加载劫持 11
2.2.5 端口复用技术 12
*好棒文|www.hbsrm.com +Q: *351916072*
的联系与区别 7
2.1.5 木马的主要活动 8
2.1.6 木马的分类 9
2.2 木马关键技术介绍 10
2.2.1 API拦截技术 10
2.2.2 套接字技术 10
2.2.3 DLL技术 11
2.2.4 DLL顺序加载劫持 11
2.2.5 端口复用技术 12
2.2.6 钩子技术 12
2.2.7 Rootkit 13
第三章 木马程序总体设计 15
3.1 功能要求 15
3.2 环境需求 16
3.3 可行性研究 16
3.4 木马程序 16
3.4.1 设计原理 16
3.4.2 木马程序植入 17
3.4.3 木马程序的自启动 17
3.4.4 木马的隐藏 19
第四章 木马功能设计实现 21
4.1 Socket通信 21
4.2 远程关机、注销、重启 22
4.3 屏幕补捉 22
4.4 文件下载 24
4.5 系统信息获取 25
4.6 摄像头启动 26
4.7 本章小结 27
第五章 木马程序的检测 28
5.1 在任务栏中检测木马 28
5.2 杀毒软件中检测木马 28
结 语 30
致 谢 31
参 考 文 献 33
第一章 绪论
1.1 研究背景
互联网的迅猛发展已经超出了很多人的想象,它为我们的生活提供了极大的便利,人们的生活已经越来越依赖互联网。一项网络调查显示,“没有网络”已经成为2014年最不能忍受的事。根据第35次CNNIC报告显示:截止2014年12月,中国网民规模达6.49亿,全年共计新增网民3117万,互联网普及率为47.9%。手机网民规模达5.57亿,网民中使用手机上网的人群占85.8%。中国网站数量为335万个,年增长4.6%,网页数量为1899亿个,年增长为26.6%。
网络出现以来,安全问题就一直伴随着Internet的发展而成长。2014年,中国总体网民中有46.3%的网民遭遇过网络安全问题,个人互联网使用的安全状况不容乐观。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。计算机病毒,木马程序等严重威胁网民的信息财产安全。
网络是双向的,世界范围内的信息共享同时意味着世界范围的安全问题。社会信息化的高速发展,令信息变得前所未有的重要,掌握了信息就变得更有主动权。“没有永远的敌人,也没有永远的朋友,只有永恒的利益。”为了利益,国家之间是通过各种手段攻击网络而窃取信息,是完全可以理解的,这甚至可以推广的集团,乃至个人。网络中庞大的信息流是已然已经超出所有人的想象,在其中未经许可地窃取其中的信息,没有什么比木马程序做的更好的了,更加确切地说,木马程序正是由此而生。
木马程序对于用户个人信息的泄露有着直接的作用,使用户计算机系统被远程所操控。它是如此危害,所以无论作为主动攻击者还是被动防御者,对于木马程序的研究就显得很有必要。研究木马的各种技术可以让我们的信息在受到其威胁更加主动。
1.2 木马程序的发展
从木马的发展来看,有人把木马分为五代。
第一代Windows木马只是一个将自己伪装成特殊的程序或文件的软件,如本身伪装成一个用户登录窗口,当用户运行了木马伪装的登录窗口,输入用户名与密码后,木马将自动记录数据并转发给入侵者,入侵者借此来获得用户的重要信息。然后达到自己的目的。
第二代木马相对于第一代木马,技术与功能发生了质的变化,第二代木马可以看做是现代木马的雏形,提供了几乎所有能够进行的远程控制操作。
第三代木马继续完善连接与文件传输技术,并增加了木马穿透防火墙的功能,并出现了“反弹端口”技术。
第四代木马除了完善以前的技术外还利用远程线程插入技术,将木马线程插入DLL线程中,是系统更加难以发现木马的存在与入侵的连接方式。
第五代木马相对于第四代木马,功能更加全面,而且应用动态链接库技术(DLL技术)后在目标主机的计算机中不生成新的文件。而且某些五代木马已经可以嵌入任何线程中,这使得木马更加隐蔽[1]。
1.3 研究木马的目的与意义
木马技术不断发展,至今已经是第五代。对木马的查杀与防御技术在不断与时俱进。只有更深入地了解木马,我们才能更好地在网络中保障自己的安全。了解了木马的植入方式,我们就可以根据电脑的变化及时察觉;了解了木马的隐蔽技术,我们就可以迅速地查找到木马的各处痕迹,最后彻底地清除;了解了木马的破坏形式,我们就可以及时地保护数据、将损失减到最小。
本论文通过对木马原理与技术的分析,详细列举了一些木马的关键技术,对木马功能的各种实现方式做了阐述。帮助用户深层次的防范木马。
1.4 Windows基本知识介绍
木马程序与Windows系统是紧密相关的,因此,首先介绍一些与Windows系统相关的概念。
(1)进程(Process)和线程(Thread)
进程通常被定义为一个正在运行的程序的实例,它由两部分组成:进程内核对象和地址空间。内核对象是操作系统用来管理此进程的信息块。地址空间包含所有可执行模块或DLL模块的代码和数据,包含动态分配的内存空间(如线程堆栈和堆分配空间)。进程可拥有一个或多个线程,由线程负责执行进程地址空间中的代码。一个Windows应用程序,在运行之后,会在系统之中产生一个进程。Windows系统会为每个进程都分配一个虚拟的内存空间,一切相关的程序操作,都会在这个虚拟的空间中进行。多个进程之间往往通过内存映射文件共享信息。
线程是进程地址空间中代码的具体执行者。每个线程都有它自己的CPU寄存器和堆栈,用于执行代码和保存数据。进程创建一
第一章 绪论 1
1.1 研究背景 1
1.2 木马程序的发展 1
1.3 研究木马的目的与意义 2
1.4 Windows基本知识介绍 2
1.4 章节安排 4
第二章 木马及其关键技术介绍 6
2.1 木马简介 6
2.1.1 木马的定义 6
2.1.2 木马的基本原理 6
2.1.3 木马的主要特点 7
2.1.4 病毒、远程控制软件和木马的联系与区别 7
2.1.5 木马的主要活动 8
2.1.6 木马的分类 9
2.2 木马关键技术介绍 10
2.2.1 API拦截技术 10
2.2.2 套接字技术 10
2.2.3 DLL技术 11
2.2.4 DLL顺序加载劫持 11
2.2.5 端口复用技术 12
*好棒文|www.hbsrm.com +Q: *351916072*
的联系与区别 7
2.1.5 木马的主要活动 8
2.1.6 木马的分类 9
2.2 木马关键技术介绍 10
2.2.1 API拦截技术 10
2.2.2 套接字技术 10
2.2.3 DLL技术 11
2.2.4 DLL顺序加载劫持 11
2.2.5 端口复用技术 12
2.2.6 钩子技术 12
2.2.7 Rootkit 13
第三章 木马程序总体设计 15
3.1 功能要求 15
3.2 环境需求 16
3.3 可行性研究 16
3.4 木马程序 16
3.4.1 设计原理 16
3.4.2 木马程序植入 17
3.4.3 木马程序的自启动 17
3.4.4 木马的隐藏 19
第四章 木马功能设计实现 21
4.1 Socket通信 21
4.2 远程关机、注销、重启 22
4.3 屏幕补捉 22
4.4 文件下载 24
4.5 系统信息获取 25
4.6 摄像头启动 26
4.7 本章小结 27
第五章 木马程序的检测 28
5.1 在任务栏中检测木马 28
5.2 杀毒软件中检测木马 28
结 语 30
致 谢 31
参 考 文 献 33
第一章 绪论
1.1 研究背景
互联网的迅猛发展已经超出了很多人的想象,它为我们的生活提供了极大的便利,人们的生活已经越来越依赖互联网。一项网络调查显示,“没有网络”已经成为2014年最不能忍受的事。根据第35次CNNIC报告显示:截止2014年12月,中国网民规模达6.49亿,全年共计新增网民3117万,互联网普及率为47.9%。手机网民规模达5.57亿,网民中使用手机上网的人群占85.8%。中国网站数量为335万个,年增长4.6%,网页数量为1899亿个,年增长为26.6%。
网络出现以来,安全问题就一直伴随着Internet的发展而成长。2014年,中国总体网民中有46.3%的网民遭遇过网络安全问题,个人互联网使用的安全状况不容乐观。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。计算机病毒,木马程序等严重威胁网民的信息财产安全。
网络是双向的,世界范围内的信息共享同时意味着世界范围的安全问题。社会信息化的高速发展,令信息变得前所未有的重要,掌握了信息就变得更有主动权。“没有永远的敌人,也没有永远的朋友,只有永恒的利益。”为了利益,国家之间是通过各种手段攻击网络而窃取信息,是完全可以理解的,这甚至可以推广的集团,乃至个人。网络中庞大的信息流是已然已经超出所有人的想象,在其中未经许可地窃取其中的信息,没有什么比木马程序做的更好的了,更加确切地说,木马程序正是由此而生。
木马程序对于用户个人信息的泄露有着直接的作用,使用户计算机系统被远程所操控。它是如此危害,所以无论作为主动攻击者还是被动防御者,对于木马程序的研究就显得很有必要。研究木马的各种技术可以让我们的信息在受到其威胁更加主动。
1.2 木马程序的发展
从木马的发展来看,有人把木马分为五代。
第一代Windows木马只是一个将自己伪装成特殊的程序或文件的软件,如本身伪装成一个用户登录窗口,当用户运行了木马伪装的登录窗口,输入用户名与密码后,木马将自动记录数据并转发给入侵者,入侵者借此来获得用户的重要信息。然后达到自己的目的。
第二代木马相对于第一代木马,技术与功能发生了质的变化,第二代木马可以看做是现代木马的雏形,提供了几乎所有能够进行的远程控制操作。
第三代木马继续完善连接与文件传输技术,并增加了木马穿透防火墙的功能,并出现了“反弹端口”技术。
第四代木马除了完善以前的技术外还利用远程线程插入技术,将木马线程插入DLL线程中,是系统更加难以发现木马的存在与入侵的连接方式。
第五代木马相对于第四代木马,功能更加全面,而且应用动态链接库技术(DLL技术)后在目标主机的计算机中不生成新的文件。而且某些五代木马已经可以嵌入任何线程中,这使得木马更加隐蔽[1]。
1.3 研究木马的目的与意义
木马技术不断发展,至今已经是第五代。对木马的查杀与防御技术在不断与时俱进。只有更深入地了解木马,我们才能更好地在网络中保障自己的安全。了解了木马的植入方式,我们就可以根据电脑的变化及时察觉;了解了木马的隐蔽技术,我们就可以迅速地查找到木马的各处痕迹,最后彻底地清除;了解了木马的破坏形式,我们就可以及时地保护数据、将损失减到最小。
本论文通过对木马原理与技术的分析,详细列举了一些木马的关键技术,对木马功能的各种实现方式做了阐述。帮助用户深层次的防范木马。
1.4 Windows基本知识介绍
木马程序与Windows系统是紧密相关的,因此,首先介绍一些与Windows系统相关的概念。
(1)进程(Process)和线程(Thread)
进程通常被定义为一个正在运行的程序的实例,它由两部分组成:进程内核对象和地址空间。内核对象是操作系统用来管理此进程的信息块。地址空间包含所有可执行模块或DLL模块的代码和数据,包含动态分配的内存空间(如线程堆栈和堆分配空间)。进程可拥有一个或多个线程,由线程负责执行进程地址空间中的代码。一个Windows应用程序,在运行之后,会在系统之中产生一个进程。Windows系统会为每个进程都分配一个虚拟的内存空间,一切相关的程序操作,都会在这个虚拟的空间中进行。多个进程之间往往通过内存映射文件共享信息。
线程是进程地址空间中代码的具体执行者。每个线程都有它自己的CPU寄存器和堆栈,用于执行代码和保存数据。进程创建一
版权保护: 本文由 hbsrm.com编辑,转载请保留链接: www.hbsrm.com/jsj/jsjkxyjs/2368.html
