木马论文

1目录目录.............................................................................................................................................................1摘要.............................................................................................................................................................2一、木马概述.................................................................................................................................................4二、木马的功能...........................................................................................................................................5三、木马的工作原理.....................................................................................................................................5四、木马系统的组成.....................................................................................................................................6结束语.............................................................................................................................................................7参考文献.........................................................................................................................................................82摘要随着计算机网络技术的高速发展，Internet已伸向了世界的每一个角落，正在对人们的生活方式和工作方式产生着前所未有的影响。互联网在给人民群众的生活带来便利的同时，也给犯罪分子利用计算机网络从事犯罪活动提供了便利。今天，利用计算机网络实施的智能犯罪日益猖撅，对社会造成的危害也越来越大，网络犯罪的发展对新时期信息时代的安全工作提出了新的挑战。在某些特定的时间、地点，公安民警通过诸如木马程序对利用互联网实施犯罪、逃避打击的犯罪嫌疑人的目标计算机进行远程监控，掌握犯罪嫌疑人的活动情况及犯罪证据，从而更好的打击犯罪，维护国家安全和保障人民群众安居乐业，这就是本文研究的出发点。本论文对目前较为流行的木马技术的实现方式、工作原理及远程控制的关键技术进行系统的研究，重点对木马程序的进程实现、受控端与控制端通信进行剖析。在研究Windows平台下特洛伊木马关键技术的基础上，给出一种木马对远程计算机进行有效实时监控的系统设计与实现。关键词：木马技术，木马原理，远程控制3AbstractWiththerapidlygrowingofcomputernetworktechnology，thereachofInternethasextendedtoeverycomerintheworld，andithasallunprecedentedinfluenceonpeople’slifestylesandtheworkways．Theinternetgivesthepublicconvenience；meanwhile，itprovidescriminalschancestoengageincriminalactivitiesthroughusingthenetwork．Today，theintelligentcrimes，bymeansofthecomputernetworkbecomefranticdaybyday，whichcausedmoreandmoreharmstothesociety，sotheincreaseofnetworkcrimesproposednewchallengestonetworksecurityintheinformationage．Inacertaintimeandplace，policeshouldcarryoutremotecontrolonsuspect’stargetcomputerthroughwhichthecriminalscommitcrimesviatheinternetandgetridofattacks．Theyshouldmasterthesuspect’sactivitiesandcrimeevidenceinordertocrackdownoncrimestoprotectthenationandpeople’ssecurity．Allofthesearethestartingpointofthisessay．ThisessaytakesresearchonrealizingwaysofpopularTrojanhorsetechnology，theprincipleofworkingandtheremote-controlsystemcontrollingtechnology．TheimportantaspectslieintheexplanationofTrojan’sprocessrealizing，thecommunicationbetweencontrollingportandcontrolledport．ThisessayisundertheplatformofWindowstudies，onthebasisoftheTrojanessentialtechnologicalfoundation，producesonekindofsystemdesignandrealizationofaneffectivereal-timemonitoringonremotecomputers，whichisunifiedtheperformanceTrojanhorse．Keywords：Trojanhorseprinciple.Trojanhorsetechnology.Remotecontrol4一、木马概述木马全称特洛伊木马，其名称源于古希腊神话中的特洛伊木马记。在公元前12世纪，希腊向特洛伊城宣战，交战了十年也没有取得胜利。最后，希腊军队撤走了，并在特洛伊城外留下很多巨大的木马。这些木马是空心的，里面藏了希腊最好的战士。特城人把木马搬进了城。当晚，希腊战士从木马中钻出来与城外的希腊军队合力夺下了特洛伊城，这就是特洛伊木马名称的由来。因此，特洛伊木马一般伪装成合法程序植人系统中，对系统安全构成威胁。完整的木马程序一般由两个部份组成一个是服务器被控制端程序，一个是客户端控制端程序。黑客主要利用控制端连接到服务器端来实现控制目标主机服务器端所在主机的目的，从而执行用户不知道或不期望的行为。最初网络还处于以UNIX平台为主的时期，木马就产生了。当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。从木马的发展技术来看，总共可以分为四代：第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即简单的密码窃取、发送等，在隐藏和通信方面均无特别之处。第二代木马在技术上有很大的进步，使用标准的C/S架构，提供远程文件管理、屏幕监视等功能。但是由于植入木马的服务端程序会打开连接端口等候客户端连接，比较容易被发现。如：“冰河”、“Qmitis”。第三代木马在功能上与第二代木马没有太大差异，它的改变主要在网络连接方式上，它的特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用反向连接技术让服务器端主动连接客户端，以突破防火墙的拦截。在数据传递技术上也做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度。如：网络神偷、Peep201等。第四代木马在进程隐藏方面，做了大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程，或者挂接PSAPI[6]，实现木马的隐藏。前三代木马，大多都有独立的木马，因此用户可以根据启动项目中的描述内容，很快找到木马，并删除它。但是，第四代木马选择注册表的方式，伪装成DLL文件形式加载到正常的启动程序上，无法通过“任务管理器”查看到正在执行的木马。不过在连接方式上，依然使用第三代木马或第二代木马的连接方式。如：Beast木马。第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马——噩梦II。5二、木马的功能木马的功能木马的功能可以概括为以下内容：(1)、远程文件管理功能对被控主机的系统资源进行管理，如：复制文件，删除文件，查看文件，以及上传/下载文件等。(2)、打开未授权的服务为远程计算机安装常用的网络服务，让它为黑客或其他非法用户服务。如：利用木马设定为FTP文件服务器后的计算机，可以提供FTP文件传输服务；为客户端打开文件共享服务，这样可以轻松获取用户硬盘上的信息。(3)、远程屏幕监视功能实时截取屏幕图象，可以将截取到的图象另存为图文件；实时监视远程用户目前正在进行的操作。(4)、控制远程计算机通过命令或通过远程监视窗口，直接控制远程计算机。例如在远程计算机执行程序、打开文件或向其他计算机进行攻击等。(5)、窃取数据以窃取数据为目的，本身不破坏计算机的文件和数据，不妨碍系统的正常工作。它以系统使用者很难察觉的方式向外传送数据。例如键盘和鼠标操作记录型木马。三、木马的工作原理木马是一类特殊的计算机程序，其作用是在一台计算机上监控被植入木马的计算机的情况。所以木马的结构是一种典型的客户端服务器(Client/Server)简称c/s)模式。木马程序一般分为客户端(Clinet)和服务器端(Server)，服务器端程序是控制者传到目标计算机的部分，骗取用户执行后，便植入计算机，作为响应程序。客户端是用来控制目标主机的部分，安装在控制者的计算机，它的作用是连接木马服务器端程序，监视或控制远程计算机。典型的木马工作原理是：当服务器端在目标计算机上被执行后，木马打开一个默认的端口进行监听，当客户机向服务器端提出连接请求，服务器上的相应程序就会自动运行来应答客户机的请求，服务器端程序与客户端建立连接后，由客户端发出指令，服务器在计算机中执行这些指令，并将数据传送到客户端，以达到控制主机的目的。木马服务器端与客户端之间也可以不建立连接。由于建立连接容易被察觉，因此就