木马课程设计孙明杨.docVIP

计算机病毒与防治课程设计 题目：木马制作原理分析 姓名：孙明杨 学号：201230210223 班级：1232102 专业：信息工程（安全方向） 指导老师：韩梅 2014年10月 目录 第一章 引言 3 1.1研究背景 3 1.2发展的现状 3 第二章 木马技术基础 4 2.1系统结构 4 2.2基本特征 5 2.3功能 5 2.4分类 6 第三章 远程控制木马的设计 8 3.1功能分析 8 3.2系统总体设计 8 3.3系统实现的关键技术 9 3.4 系统的开发工具 9 3.5 代码实现 10 第四章 远程控制木马的实现 12 4.1服务端程序的实现 12 4.1.1服务端的自启动 12 4.1.2 通信模块的实现 13 4.1.3服务端管理模块 13 4.2客户端的实现 14 4.2.1远程文件控制 15 4.2.2系统控制 16 4.2.3冰河信使 17 第五章 结束语 20 参考文献 20 第一章 引言 1.1研究背景 木马的全称是“特洛伊木马”（Trojan horse），来源于希腊神话。 古希腊围攻特洛伊城多年无法攻下，于是有人献出木马计策，让士兵藏匿于巨大的木马中，然后佯作退兵，城中得知解围的消息后，将“木马”作为战利品拖入城内，匿于木马中的将士出来开启城门，与城外部队里应外合攻下特洛伊城，后世称这只大木马为“特洛伊木马”。 随着网络的快速发展，Internet深入到社会的每个角落，人们充分享受到了其给工作和生活带来的巨大便利，人类社会对计算机系统和信息网络的依赖性也越来越大。工业和信息化部统计数据显示，2009年中国网民规模已达3.84亿；预计2010中国网民规模突破4亿[1]。由于计算机系统和信息网络系统本身固有的脆弱性，网络入侵工具(如蠕虫、木马等)不断涌现，社会、企业和个人也因此蒙受了越来越大的损失。木马由于它的隐蔽性、远程可植入性和可控制性等技术特点，已成为黑客攻击或不法分子入侵网络的重要工具，目前，不断发生的互联网安全事故中，大部分都有木马的身影。 木马程序不仅可能侵害到个人乃至某些公司的利益和权力，更可能危及整个社会和国家的利益和安全。如果公安部用于采集处理人们身份证信息的计算机被安装了木马，那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去，后果不堪设想。木马是受控的，它能分清敌我，所以与分不清敌我的其它病毒和攻击技术相比，具有更大的危险性和破坏性。 1.2发展的现状 自从世界上出现第一个木马程序（1986年的PC-Write木马）到今天，木马的发展已经历了五代[4][5]： 第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即简单的密码窃取、发送等，在隐藏和通信方面均无特别之处。 第二代木马在技术上有很大的进步，使用标准的C/S架构，提供远程文件管理、屏幕监视等功能。但是由于植入木马的服务端程序会打开连接端口等候客户端连接，比较容易被发现。如：“冰河”、“Qmitis”。 第三代木马在功能上与第二代木马没有太大差异，它的改变主要在网络连接方式上，它的特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用反向连接技术让服务器端主动连接客户端，以突破防火墙的拦截。在数据传递技术上也做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度。如：网络神偷、Peep201等。 第四代木马在进程隐藏方面，做了大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程，或者挂接PSAPI[6]，实现木马的隐藏。前三代木马，大多都有独立的木马，因此用户可以根据启动项目中的描述内容，很快找到木马，并删除它。但是，第四代木马选择注册表的方式，伪装成DLL文件形式加载到正常的启动程序上，无法通过“任务管理器”查看到正在执行的木马。不过在连接方式上，依然使用第三代木马或第二代木马的连接方式。如：Beast木马。 第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马——噩梦II。 特洛伊木马程序发展到今天已经相当完善了，但随着计算机技术的发展，木马仍会继续演变并运用一些新的技术和方法使其更具有攻击性和破坏性。从现在的趋势来看，木马将在隐藏性、代码的模块化设计、及时通知、跨平台、底层通信以及和蠕虫病毒技术融合等方面有所提升和发展。 第二章 木马技术基础 在计算机领域中特洛伊木马