【畢業(yè)學(xué)位論文】（Word原稿）高隱匿度遠(yuǎn)程控制后門系統(tǒng)的研究和實(shí)現(xiàn)-軟件工程

中圖分類號： 學(xué)校代碼： 10055 密級： 碩 士 專 業(yè) 學(xué) 位 論 文 高隱匿度遠(yuǎn)程控制后門系統(tǒng)的研究和實(shí)現(xiàn) f 要 I 摘要 近年來，后門 技術(shù)在網(wǎng)絡(luò)空間安全 領(lǐng)域得到廣泛關(guān)注， 相關(guān)技術(shù) 涉及到網(wǎng)絡(luò)安全研究的諸多 方面 ，如 數(shù)據(jù)加密、 道 技術(shù) 、代理 技術(shù) 、網(wǎng)絡(luò)嗅探、 漏洞利用等 等 。 研究后門程序的技術(shù)原理， 設(shè) 計(jì)和實(shí)現(xiàn)高隱匿后門系統(tǒng)，是 建立 網(wǎng)絡(luò) 攻防靶場的關(guān)鍵內(nèi)容， 可為 提高網(wǎng)絡(luò)攻擊和防護(hù)水平，應(yīng)對國家 網(wǎng)絡(luò)空間 安全的巨大挑戰(zhàn)提供技術(shù)支撐 。 針對網(wǎng)絡(luò) 攻擊和防御的 實(shí)際需求， 本文設(shè)計(jì)和實(shí)現(xiàn)了一套高隱匿遠(yuǎn)程控制后門系統(tǒng)。 該系統(tǒng)包括高隱匿服務(wù)端、 后門控制端 ，以及隱匿通信通道三個(gè)子系統(tǒng)。 高隱匿服務(wù)端 子系統(tǒng) 部署 在被控主機(jī)節(jié)點(diǎn)上， 不僅 可對 文件、進(jìn)程、注冊表、桌面、鍵盤記錄、多媒體設(shè)備等 進(jìn)行遠(yuǎn)程管理 ，而且具有文件、注冊表、進(jìn)程、服務(wù)、端口、動態(tài)鏈接庫等 操作系統(tǒng)關(guān)鍵屬性的 隱藏功能，以隱藏后門程序的痕跡，提高其在被控系統(tǒng)上的生存能力。 隱 匿通信通道 子系統(tǒng) 利用互聯(lián)網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境和資源， 結(jié)合第三方中轉(zhuǎn)節(jié)點(diǎn)，應(yīng)用信息隱藏和視覺加密技術(shù)， 構(gòu)建 了 后門服務(wù)端與控制端之間的通信通道，能夠?yàn)槠涮峁╇p向的、可靠的、機(jī)密的、 可穿透內(nèi)網(wǎng)的、抗追蹤溯源的隱匿的通信服務(wù)。 后門控制端 子系統(tǒng) 采用統(tǒng)一描述的命令和協(xié)議， 將用戶的遠(yuǎn)程控制需求變換為相應(yīng)的遠(yuǎn)程控制 協(xié)議或指令，將其發(fā)送給后門服務(wù)端執(zhí)行，并接收顯示相應(yīng)的執(zhí)行結(jié)果 ，從而實(shí)現(xiàn)可擴(kuò)展性較強(qiáng)的人機(jī)交互界面。 綜上所述， 本文 設(shè)計(jì)和實(shí)現(xiàn) 了 高隱匿遠(yuǎn)程控制后門系統(tǒng) ，該系統(tǒng) 功能豐富、擴(kuò)展性強(qiáng)、具有穿透內(nèi)網(wǎng)、抗追蹤溯源能力。相關(guān)研 究 成果可以直接應(yīng)用于網(wǎng)絡(luò)攻防靶場構(gòu)建、紅藍(lán)模擬對抗等諸多領(lǐng)域，對 提高網(wǎng)絡(luò)攻擊和防護(hù)水平， 維護(hù)我國網(wǎng)絡(luò)空間安全具有積極的意義。 關(guān)鍵詞 ： 特洛伊 木馬 ， 后門 ， 惡意代碼 I n in of in as In we of is to of of a is on to S, as of on of to a It is be to to or it to to it I In we be to be to as to of 錄 錄 第一 章 引言 . 1 第一節(jié) 研究背景 . 1 第二節(jié) 隱匿后門的研究現(xiàn)狀 . 2 門典型案例分析 . 2 門分類的分析 . 3 門傳播途徑的分析 . 4 門常用的隱藏方法 . 5 門的自啟動方式 . 6 第三節(jié) 論文結(jié)構(gòu) . 8 第 二 章 遠(yuǎn)程控制后門系統(tǒng)的功能設(shè)計(jì) . 10 第一節(jié) 高隱匿后門的需求分析 . 10 程控制功能需求 . 10 藏功能需求 . 12 匿通信功能需求 . 13 第二節(jié) 遠(yuǎn)程控制后門總體框架 . 14 第三節(jié) 本章小結(jié) . 16 第 三 章 高隱匿后門服務(wù)端的設(shè)計(jì)和實(shí)現(xiàn) . 17 第一節(jié) 后門服務(wù)端框架 . 17 第二節(jié) 基礎(chǔ)支撐層的設(shè)計(jì)與實(shí)現(xiàn) . 18 截模塊的設(shè)計(jì)與實(shí)現(xiàn) . 18 程注入模塊的設(shè)計(jì)與實(shí)現(xiàn) . 20 第三節(jié) 隱藏功能層的設(shè)計(jì)與實(shí)現(xiàn) . 22 冊表隱藏模塊的設(shè)計(jì)實(shí)現(xiàn) . 22 件隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 24 程隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 25 務(wù)隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 26 口隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 28 態(tài)連接庫隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 29 目錄 四節(jié) 本章小結(jié) . 31 第 四 章 基于視覺密碼和信息隱藏的隱匿通信通道 . 32 第一節(jié) 系統(tǒng)基本通信框架 . 32 第二節(jié) 視覺加解密模塊 . 33 覺加解密方案 . 33 覺加解密模塊設(shè)計(jì)與實(shí)現(xiàn) . 36 第三節(jié) 信息的隱藏和提取模塊 . 37 于 像的隱藏設(shè)計(jì) . 37 像隱藏方案 . 38 息的隱藏和提取模塊的實(shí)現(xiàn) . 39 第四節(jié) 秘密信息的通信模塊 . 40 第五節(jié) 本章小結(jié) . 42 第 五 章 基于統(tǒng)一描述的可擴(kuò)展控制端 . 44 第一節(jié) 控制命令的統(tǒng)一描述方案 . 44 于統(tǒng)一描述的控制命令設(shè)計(jì) . 44 于統(tǒng)一描述的通信方案設(shè)計(jì) . 46 第二節(jié) 后門控制端的設(shè)計(jì)與實(shí)現(xiàn) . 47 絡(luò)通信模塊的設(shè)計(jì)與實(shí)現(xiàn) . 48 道模塊的設(shè)計(jì)與實(shí)現(xiàn) . 51 第三節(jié) 本章小結(jié) . 52 第 六 章 總結(jié)與展望 . 53 第一節(jié) 主要工作 . 53 第二節(jié) 未來展望 . 53 參考文獻(xiàn) . 55 致謝 . 57 個(gè)人簡歷 . 57 第 一 章 引言 1 第一章 引言 近年來，隨著科學(xué)技術(shù)的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)得到了飛速的發(fā)展。 根據(jù) 2013年 告， 當(dāng)前 中國網(wǎng)民規(guī)模 達(dá)到 ，其中手機(jī)網(wǎng)民規(guī)模 達(dá)到 絡(luò)購物、網(wǎng)絡(luò)支付、網(wǎng)上銀行等電子商務(wù)類應(yīng)用也穩(wěn)步發(fā)展，用戶規(guī)模均超過 2 億 1。 網(wǎng)絡(luò)的發(fā)展使其形成了一個(gè)與現(xiàn)實(shí)世界相對獨(dú)立的虛擬空間。在網(wǎng)絡(luò)空間中，由于其具有聯(lián)結(jié)形式多樣性，互聯(lián)性 等特點(diǎn)，加之安全監(jiān)管機(jī)制匱乏，安全意識不強(qiáng)，使得網(wǎng)絡(luò)空間的安全性受到嚴(yán)重的威脅。在影響網(wǎng)絡(luò)空間安全的因素中，后門程序是一類重要的威脅 2。 第一節(jié) 研究背景 當(dāng)前， 網(wǎng)絡(luò)安全已成為影響互聯(lián)網(wǎng) 快速、健康發(fā)展的關(guān)鍵問題之一，而后門程序作為網(wǎng)絡(luò)安全的一類重要威脅，驅(qū)動其不斷發(fā)展和應(yīng)用的支撐技術(shù)也在不斷創(chuàng)新，這是網(wǎng)絡(luò)安全研究的一個(gè)前沿領(lǐng)域，涉及到數(shù)據(jù)加密、線程插入 34、67、封包、隧道、通信代理、網(wǎng)絡(luò)嗅探 8 9、文件捆綁 10、 件修改等各種網(wǎng)絡(luò)攻防技術(shù)。研究后門程 序的技術(shù)原理， 設(shè)計(jì)和實(shí)現(xiàn)高隱匿后門系統(tǒng)， 是 建立 網(wǎng)絡(luò) 攻防靶場的關(guān)鍵內(nèi)容，可為 提高網(wǎng)絡(luò)攻擊和防護(hù)水平，應(yīng)對國家 網(wǎng)絡(luò)空間安全的巨大挑戰(zhàn)提供技術(shù)支撐 。 后門也叫做陷阱門 ， 是訪問程序、在線服務(wù)的一種秘密方式。通過安裝后門 ， 攻擊者可保持一條秘密的通道 11。 網(wǎng)絡(luò)攻擊者則設(shè)法在受攻擊的目標(biāo)系統(tǒng)上安裝后門，以實(shí)現(xiàn)對計(jì)算機(jī)系統(tǒng)的入侵和控制。 后門軟件對于網(wǎng)絡(luò)安全帶來嚴(yán)重威脅，例如 遠(yuǎn)程控制用戶信息系統(tǒng)，竊取企業(yè)和用戶 銀行賬戶 、網(wǎng)上交易賬戶、游戲賬戶等各類保密信息，實(shí)時(shí)監(jiān)控用戶的上網(wǎng)行為，發(fā)動網(wǎng)絡(luò)攻擊等等。 “冰河 ”12、 “13、 “14、 “15等大量知名后門在互聯(lián)網(wǎng)上快速傳播和運(yùn)行，對各國網(wǎng)絡(luò)安全及社會生活各個(gè)領(lǐng)域造成了重大影響。例如， 2012年， 程管理工具 6的中文版被爆出存在后門，該后門會自動竊取管理員所輸入的 戶名與口令，并將其發(fā)送至指定服務(wù)器上。通過跟蹤分析發(fā)現(xiàn)，中文版 理軟件連接服務(wù)器時(shí)，程序會自動記錄登錄時(shí)的用戶第 一 章 引言 2 名、密碼和服務(wù)器 址等信息，并會以 方式將這些信息發(fā)送到指定的服務(wù)器上 。 本文針對互聯(lián)網(wǎng)攻擊和防御的實(shí)際需求，從工程實(shí)踐的角度， 本文 設(shè)計(jì)和實(shí)現(xiàn)了高隱匿遠(yuǎn)程控制后門系統(tǒng)，該系統(tǒng)功能豐富、擴(kuò)展性強(qiáng)、具有穿透內(nèi)網(wǎng)、抗追蹤溯源能力。相關(guān)研究成果可以直接應(yīng)用于網(wǎng)絡(luò)攻防靶場構(gòu)建、紅藍(lán)模擬對抗等諸多領(lǐng)域， 提高網(wǎng)絡(luò)攻擊和防護(hù)水平 。 同時(shí)，本文的技術(shù)研究成果和項(xiàng)目實(shí)踐經(jīng)驗(yàn)，將為后續(xù)的木馬研發(fā)及其他網(wǎng)絡(luò)安全研究工作提供良好的理論和實(shí)踐基礎(chǔ) ，維護(hù)我國網(wǎng)絡(luò)空間安全具有積極的意義 。 第二節(jié) 隱匿后門的研究現(xiàn)狀 后門程序是一 種惡意程序，能繞過系統(tǒng)已有的安全設(shè)置，獲取遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限。后門程序類似于通常所說的 木馬 ，它們都隱藏在被攻擊的系統(tǒng)中，對其具有一定的操作權(quán)限，并由攻擊者通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行操控，以便實(shí)施對攻擊目標(biāo)的控制。但與木馬相比，后門程序更加追求隱蔽性，功能更加單一化，且體積較小。 由于后門程序是黑客實(shí)施網(wǎng)絡(luò)攻擊的常用工具，其后常常隱藏著 信息安全地下黑色產(chǎn)業(yè) 鏈，后門程序相關(guān)技術(shù)往往僅限于黑 客之間的私下交流，公開文獻(xiàn)鮮見。為此，本節(jié)首先分析 在此基礎(chǔ)上分別從后門的分類、傳播途徑、隱藏方法、自啟動方式等方面探討和分析后門程序采用的相關(guān)技術(shù)。 門典型案例分析 本節(jié) 分別分析 典型 后門程序 ，討論 和分析其 基本原理、采用的相關(guān)技術(shù)等 。 2008 年，在互聯(lián)網(wǎng)上流傳后門程序“ 17，該后門程序 通過網(wǎng)絡(luò)傳播，運(yùn)行時(shí)會首先將自身拷貝到系統(tǒng)目錄下，并設(shè)置成隱藏、系統(tǒng)、只讀屬性。然后 該后門 會創(chuàng)建系統(tǒng)服務(wù)，實(shí)現(xiàn)隨系統(tǒng)自啟動。它還會新建 程并設(shè)置該進(jìn)程為隱藏，然后將 后門 自身插入該進(jìn)程中。通過在后臺記錄用戶鍵盤操作， 該后門 會偷取用戶信息和本地系統(tǒng)信息等，并將該信第 一 章 引言 3 息發(fā)送給黑客。如此用戶計(jì)算機(jī)將被 遠(yuǎn)程控制，不自主地刪除文件，遠(yuǎn)程下載上傳文件，修改注冊表等等。 “ 紅娘大盜 ” 的 變種 8是 “ 紅娘大盜 ” 后門家族的成員之一 。該后門采用 采用 編寫 ，運(yùn)行后 將自身 復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“ % 文件夾里，并重命名為 “ 并 自我注冊為系統(tǒng)服務(wù)，實(shí)現(xiàn) “ 紅娘大盜 ” 變種 的 開機(jī)自動 。 該后門可以 破壞某些安全軟件的監(jiān)控，大大降低被感染計(jì)算機(jī)系統(tǒng)的安全性 ，并 在后臺秘密記錄用戶的鍵盤操作和鼠標(biāo)操作，竊取用戶輸入的 信息，發(fā)送 給 黑客 。 該后門 與 黑客 指定的服務(wù)器建立網(wǎng)絡(luò)連接， 幫助 黑客 遠(yuǎn)程 控制 被感染的計(jì)算機(jī) ，使 黑客 可在被感染的計(jì)算機(jī)上進(jìn)行任意文件操作、進(jìn)程操作 、 注冊表操作 、 服務(wù)操作 、 屏幕監(jiān)控、攝像頭抓圖、命令操作等。 后門程序 9也是安全威脅較大的一種后門 。 該樣本是使用“ C/C+”編寫的后門程序 ，通過文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是控制用戶系統(tǒng) ，用戶中毒后，會出現(xiàn)網(wǎng)絡(luò)運(yùn)行緩慢，網(wǎng)絡(luò)端口開啟，運(yùn)行未知進(jìn)程等 。 后門程序 0采用 開發(fā)， 運(yùn)行后復(fù)制自身到“ % 目錄下，并重命名 生 后門 文件，并刪除自身。 該后門可以 修改注冊表，添加啟動項(xiàng)，以達(dá)到隨機(jī)啟動的目的。后門 新建 件，屏蔽相關(guān)網(wǎng)站 ， 嘗試連接到 務(wù)器，等待受控。 后門程序 1是“灰鴿子”在 2005 年的一個(gè)“變種 ”。該后門運(yùn)行后將創(chuàng)建一系列病毒程序，并通過修改注冊表項(xiàng)，將自身添加為服務(wù)， 將 入到 系統(tǒng) 的 每個(gè)進(jìn)程中，通過 統(tǒng)函數(shù)隱藏 自身。 門分類 的 分析 目前，網(wǎng)絡(luò)安全領(lǐng)域的后門程序五花八門，其技術(shù)發(fā)展和應(yīng)用領(lǐng)域的拓展日新月異，相應(yīng)地也存在著多種分類標(biāo)準(zhǔn)。本文從后門使用的技術(shù) 角度對后門程序分類分析 。 1、網(wǎng)頁后門 22。此類 后門 程序一般都是 通過 服務(wù)器上正常的 務(wù)來構(gòu)造自己的連接方式， 如 本后門等。 這類 后門是一段網(wǎng)頁代碼，這些第 一 章 引言 4 代碼都 運(yùn)行在服務(wù)器端，攻擊者通過設(shè)計(jì)代碼，在服務(wù)器端進(jìn)行某些危險(xiǎn)的操作，獲得某些敏感的技術(shù)信息或者通過滲透獲得服務(wù)器的控制權(quán)。 2、線程插入后門 23。 此類后門 利用系統(tǒng)自身的某個(gè)服務(wù)或者線程，將后門程序插入到其中。這種后門在運(yùn)行時(shí)沒有進(jìn)程，所有網(wǎng)絡(luò)操作均 寄生 到其他應(yīng)用程序的進(jìn)程中完成。可突破對方防火墻，其隱蔽性較強(qiáng)，不易被安全軟件查殺，且功能比較強(qiáng)大。 3、 c/s 后門 24。 此類后門采用 和傳統(tǒng)的木馬程序類似的控制方法，采用 “ 客戶端 /服務(wù)端 ” 的控制方式，通過某種特定的訪問方式來啟動后門程序，并向其發(fā)送命 令控制后 門程序，可獲取 被控系統(tǒng)的 信息、文件等。 4、擴(kuò)展后門 25。所謂的 “擴(kuò)展 ”，是指在功能上有擴(kuò)展 ，比普通的單一功能的后門有很強(qiáng)的 實(shí)用 性，這種后門本身就相當(dāng)于一個(gè)小型安全工具包，能實(shí)現(xiàn)多種常見安全功能。 該類后門常常 將 多種黑客常用 功能集成到了后門里， 便于直接控制對方機(jī)器或者服務(wù)器 ，例如具有 文件上傳 /下載、系統(tǒng)用戶檢測、 端安裝、端口開放、啟動 /停止服務(wù)等功能。 5、 門 26。 門 主要通過替換系統(tǒng)文件 使得 其本身 更加隱蔽，使檢測變得困難。有些 門 可以通過 替換 件或更改系統(tǒng) 實(shí)施 攻擊 。 不能直接獲得權(quán)限， 需要通過其他方式獲取 系統(tǒng)根權(quán)限以后 ，才能安裝該類后門并 隱藏 相關(guān) 行跡。 此外， 還可從其他角度對后門程序進(jìn)行分類。例如， 基于功能任務(wù)的分類，可分為密碼破譯類后門、校驗(yàn)和及時(shí)間戳后門、隱匿進(jìn)程后門、隱匿網(wǎng)絡(luò)通信后門等；基于運(yùn)行載體的分類，可分為利用系統(tǒng)服務(wù)和應(yīng)用服務(wù)建立的后門、利用加密函數(shù)等共享庫函數(shù)建立的后門、利用內(nèi)核操作機(jī)制建立的后門、 利用文件系統(tǒng)屬性建立的后門等 ； 基于通信連接方式的分類，可分為 端口監(jiān)聽 后門 、端口反彈 后門 等 ； 基于應(yīng)用領(lǐng)域的分類 ，可分為網(wǎng)絡(luò)銀行后門、即時(shí)通信后門、網(wǎng)游后門、廣告后門等等。 門傳播途徑 的 分析 本節(jié)從后門的傳播途徑角度分析 后門程序的常見 技術(shù)。 1、通過嵌入在電子郵件的附件文檔中 傳播 。當(dāng)用戶被具有誘惑性的郵件主題和內(nèi)容所吸引，點(diǎn)擊執(zhí)行附件中的文檔時(shí)，其中嵌入的后門服務(wù)器端程序?qū)⒌?一 章 引言 5 被釋放并得以執(zhí)行。如后門程序 是 通過郵件進(jìn)行傳播，偽裝成照片， 用戶雙擊后顯示無法打開圖片， 從而完成后門的傳播 。 2、通過捆綁在正常軟件程序中 傳播 。利用各種 件捆綁工具（如 可以將后門程序與流行的軟件下載網(wǎng)站 上提供的正常軟件捆綁成一個(gè)程序。當(dāng)用戶下載并執(zhí)行這類程序時(shí)， 被 綁定的后門將被釋放并得以執(zhí)行。后門 “冰河 ”就自帶一個(gè)捆綁工具，可以把 后門 代碼嵌入到網(wǎng)頁文件、 圖片文件、可執(zhí)行文件等多種支持腳本語言或運(yùn)行代碼的文件中。當(dāng)接 收到這些文件時(shí)，幾乎感覺不到有任何異樣， 即可實(shí)現(xiàn)后門傳播 。 3、通過操作系統(tǒng)漏洞直接下載運(yùn)行后門。攻擊者可以利用操作系統(tǒng)自身的某些漏洞，執(zhí)行定制的 碼來下載并執(zhí)行后門。后門程序利用用戶操作系統(tǒng)漏 洞和其它惡意程序進(jìn)行傳播， 自我復(fù)制到系統(tǒng)目錄下 ，完成后門傳播。 4、通過感染 件的方式進(jìn)行傳播。這類后門相對數(shù)量較少，但卻使得后門具備了傳染特性。如后門程序 冰河的一個(gè)變種都會感染件并進(jìn)行傳播。 5、通過即時(shí)通信類軟件進(jìn)行傳播。隨著 術(shù)和應(yīng)用的快速發(fā)展，一些具有特定功能 的后門能夠利用即時(shí)通信類 軟件進(jìn)行傳播感染，例如基于 件的自動發(fā)送廣告消息功能進(jìn)行傳播的 “子（ ”，以及數(shù)以百計(jì)的頻繁變異更新的 “巴 ”、 號等后門 等 。 6、通過蠕蟲病毒進(jìn)行傳播。一些攻擊者利用蠕蟲的高效傳播特性來散布和執(zhí)行后門，許多病毒在成功感染計(jì)算機(jī)或移動終端后會在其上安裝后門程序，以便保持后門在受攻擊目標(biāo)系統(tǒng)上的長久存在。如后門程序 用 其他病毒進(jìn)行釋放，并在成功安裝后，記錄電腦的鍵盤操作，獲得用戶的郵箱密碼、銀行賬戶密碼等等。 門常用的隱藏方法 后門在目標(biāo)系統(tǒng)上運(yùn)行時(shí)需保持自身和網(wǎng)絡(luò)通信行為的隱蔽狀態(tài)，以避免被防護(hù)系統(tǒng)檢測到或者被用戶所警覺。后門程序常用的隱藏方法，一是利用社會工程學(xué)的辦法，加強(qiáng)后 門自身程序的欺騙性；二是利用技術(shù)手段藏匿自身的可見性。 第 一 章 引言 6 1、利用社會工程學(xué)方法提高后門程序的偽裝性。為提高后門程序在外觀上的偽裝性，其文件可選取類似于系統(tǒng)文件名的名稱，例如，數(shù)字 “1”偽裝成字母 “l(fā)”）、 數(shù)字 “0”偽裝成字母 “o”），甚至直接選用某個(gè)系統(tǒng)文件的名稱作為后門文件名（但后門與系統(tǒng)文件保存在不同的存儲路徑之上），以增大用戶辨識出后門文件的難度。由于后門和正常文件的名稱相近或完全相同，用戶經(jīng)常會忽略這類攻擊程序，從而有效降低了其被發(fā)現(xiàn) 的可能性。 2、利用技術(shù)方法藏匿后門程序的外部特征。 若后門進(jìn)程在目標(biāo)機(jī)器中能被顯示或查找，無疑會暴漏后門程序 。若能夠有效隱藏自己的 外部特征 ， 將大大提高后門的隱蔽性。 目前有以下幾種 隱藏 后門程序 特征的方法 。 1）截獲 特征 查看函數(shù)調(diào)用。操作系統(tǒng)中有很多方法能夠查看到進(jìn)程的存在，例如在 可對進(jìn)程進(jìn)行查看?？梢酝ㄟ^截獲相應(yīng)的 數(shù)，替換返回的數(shù)據(jù)，實(shí)現(xiàn)對后門進(jìn)程的隱藏。 2）使用 術(shù)。不使用單獨(dú)的進(jìn)程運(yùn)行后門程序，可以有效隱藏后門程序的運(yùn)行。 件沒有程序邏輯，不能獨(dú)立運(yùn)行，一般是由進(jìn)程加載并調(diào)用的，不會出現(xiàn)在進(jìn)程列表中。通過自己設(shè)計(jì)的 換掉系統(tǒng)已知的 將其嵌入到已知 ，并對所有的對該 調(diào)用進(jìn)行過濾轉(zhuǎn)發(fā)，可實(shí)現(xiàn)后門程序的隱藏。 3） 入技術(shù)。 后門 可以動態(tài)潛入到正在運(yùn)行的進(jìn)程中，不建立獨(dú)立的進(jìn)程，很難被發(fā)現(xiàn)，對監(jiān)控系統(tǒng)起到了隱藏的作用，有效提供高了后門程序的安全性能。 4） 術(shù)隱藏 后門的特征 。 術(shù)的主 要目的就是實(shí)現(xiàn)隱藏，其可對進(jìn)程、服務(wù)、注冊表項(xiàng)、鍵值以及端口 等 進(jìn)行隱藏。 使用兩種方法對后門程序進(jìn)行隱藏。一種是 通過攔截系統(tǒng) 改調(diào)用函數(shù)的返回值，達(dá)到隱藏的目的；另一種是通過修改系統(tǒng)內(nèi)核的數(shù)據(jù)結(jié)構(gòu)，返回錯(cuò)誤的信息，從而對后門程序進(jìn)行隱藏。 門的自啟動方式 為了能夠在受入侵系統(tǒng)重新啟動后仍對其保持控制，后門需要具有在系統(tǒng)重啟后的自動運(yùn)行能力，即自啟動特性 。目前主流的自啟動方式包括如下幾類 ： 第 一 章 引言 7 1、以 式啟動 后門 ?？梢詫⒑箝T可執(zhí)行程序或其快捷方式置于系統(tǒng)當(dāng)前用戶或所有 用戶的啟動文件夾，例如以下文件夾路徑： （ 1） “C:開始菜單 程序 啟動 ” （ 2） “ C:開始菜單 程序 啟動 ” 2、注冊表自啟動 項(xiàng)啟動 后門 。 可以將后門可執(zhí)行程序的執(zhí)行路徑置于注冊表 的自啟動項(xiàng)中 ，例如以下注冊表位置： （ 1 ） “T下的 “ “項(xiàng) （ 2 ） “下的 “和“項(xiàng) 3、以服務(wù)方式啟動 后門 。通過替換或創(chuàng)建服務(wù)的方式來啟動后門，例如，可以修改注冊表鍵 “目的內(nèi)容，將后門的執(zhí)行路徑加入其中。 4、以 載方式啟動后門。例如，可以將后門 的執(zhí)行路徑添加到注冊表鍵 “的以下子項(xiàng)中： （ 1） 2） 3） 4） 5） 、以 覽器加載方式啟動后門。可以將后門執(zhí)行路徑添加到注冊表鍵“的以下子項(xiàng)中： （ 1） 2） （ 3） 者，將后門執(zhí)行路徑添加到注冊表鍵 “。 6、以計(jì)劃任務(wù)方式啟動后門。例如， 品的 務(wù)。 7、以 式啟動后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “T冊表項(xiàng) 中 。 第 一 章 引言 8 8、以 式啟動后門。 可以將后門程序的 可執(zhí)行文件路徑添 加 到 “注冊表項(xiàng)中 。 9、以 式啟動后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “冊表項(xiàng)中 。 10、以 式啟動后門。 可以將后門程序的可執(zhí)行文件路徑添加到“T注冊表項(xiàng)中 。 9、以驅(qū)動程序方式啟動后門。 可以將后門程序的可執(zhí)行文件路徑添加到“冊表項(xiàng)中 。 10、以 式啟動后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “注冊表項(xiàng)中 。 11、以 式啟動后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “T冊表項(xiàng)中 。 12、以 式啟動后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “冊表項(xiàng)中 。 13、以腳本方式啟動后門。 利用 系統(tǒng)腳本來自啟動后門。 14、 捆綁啟動。通過文件捆綁、命令關(guān)聯(lián)等方式啟動后門 。 第三節(jié) 論文結(jié)構(gòu) 本文針對互聯(lián)網(wǎng)攻擊和防御的實(shí)際需求，從工程實(shí)踐的角度，綜合分析比較國內(nèi)外后門發(fā)展的新技術(shù)，設(shè)計(jì)了兼容多個(gè) 作系統(tǒng)、高隱匿的后門方案。 本文的論文組織結(jié)構(gòu)如下 ： 第一章 首先 概述 課題的研究背景， 然后從后門的典型案例、分類、傳播途徑、隱藏方法、自啟動方式等方面分析和探討隱匿后門的研究現(xiàn)狀 。 第 一 章 引言 9 第 二 章 首先從遠(yuǎn)程控制后門系統(tǒng)的業(yè)務(wù)功能、隱藏功能、隱匿通 信功能等方面分析系統(tǒng)的需求。在此基礎(chǔ)上， 給出了遠(yuǎn)程控制系統(tǒng)的總體框架 ， 將后門系統(tǒng)劃分為后門服務(wù)端、后門控制端，以及后門服務(wù)端與控制端之間的隱匿通信通道三子系統(tǒng)，并討論了各子系統(tǒng)的功能、設(shè)計(jì)方式和部署要求。 第 三 章討論了 統(tǒng)中后門服務(wù)端的設(shè)計(jì)方案， 首先根據(jù)第二章討論的需求和總體框架，給出了后門服務(wù)端的設(shè)計(jì)架構(gòu)，該架構(gòu)中包括基礎(chǔ)支撐層、隱藏功能層、業(yè)務(wù)功能層、管理配置層， 詳細(xì)闡述了 各層次的模塊組成和功能。然后 分別 對 后門服務(wù)端子系統(tǒng)的 截模塊、線程注入模塊、注冊表隱藏模塊、文件隱藏模塊、進(jìn)程隱 藏模塊、服務(wù)隱藏模塊、端口隱藏模塊、動態(tài)鏈接庫隱藏模塊等的設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行了詳細(xì)描述。 第 四 章 討論了隱匿通信通道子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。 首先給出了該子系統(tǒng)的基本通信框架，然后詳細(xì)描述了框架中的視頻加密解密、信息隱藏提取等關(guān)鍵模塊的設(shè)計(jì)與實(shí)現(xiàn)方法。 該子系統(tǒng)利用了 信息隱藏技術(shù)在秘密通信過程中具有不可感知性的特點(diǎn) ， 基于信息隱藏技術(shù)和視覺密碼技術(shù) ， 設(shè)計(jì)了通過第三方的公開網(wǎng)絡(luò)平臺構(gòu)建后門服務(wù)端與控制端進(jìn)行通信方法，實(shí)現(xiàn)對通信關(guān)系、通信內(nèi)容、通信行為的保護(hù)方案 。該方案通過 以點(diǎn)到面的數(shù)據(jù)發(fā)送和面到點(diǎn)的數(shù)據(jù)接收模式，使得通信數(shù)據(jù) 混雜于網(wǎng)絡(luò)上的其他正常數(shù)據(jù)中 ， 且通信過程隱蔽于其 他 正常的網(wǎng)絡(luò)行為中，確保通信行為的隱蔽性 。 第 五 章 討論了后門控制端子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。首先從人機(jī)交互界面、網(wǎng)絡(luò) 道等方面給出了該子系統(tǒng)的總體框架，然后分別針對控制命令和功能 出其統(tǒng)一描述方案和實(shí)現(xiàn)方法。 第 六 章對全文進(jìn)行總結(jié)，并展望未來擬開展的工作，提出進(jìn)一步研究的方向。 第 二 章 遠(yuǎn)程控制后門系統(tǒng)的功能設(shè)計(jì) 10 第二章 遠(yuǎn)程控制后門系統(tǒng) 的功能設(shè)計(jì) 遠(yuǎn)程控制 后門是 能夠 繞過 被攻擊系統(tǒng)的安全性審計(jì) ，在非授權(quán)的情況下 獲取 操作 系統(tǒng) 、軟件服務(wù)控制 權(quán)的程序方法。 遠(yuǎn)程控制后門的功能和 需求各異，有的很簡單（如，只是建立一個(gè)新的賬號），有的很復(fù)雜 （如，具有遠(yuǎn)程桌面，可以操作被控系統(tǒng)的文件系統(tǒng)、核心系統(tǒng)數(shù)據(jù)等）。 此外，不同于一般的軟件系統(tǒng)，遠(yuǎn)程控制后門系統(tǒng) 除注重功能外，更關(guān)注隱藏性、可管理性、可擴(kuò)展性等方面的特點(diǎn)。 為此， 本章 首先從遠(yuǎn)程控制后門系統(tǒng)的 業(yè)務(wù) 功能、 隱藏功能 、隱匿通信功能等方面分析系統(tǒng)的需求 。 在此基礎(chǔ)上，將遠(yuǎn)程控制后門系統(tǒng)劃分為后門服務(wù)端、后門控制端，以及后門服務(wù)端與控制端之間的隱匿通信通道三子系統(tǒng)，并討論了各子系統(tǒng)的功能、設(shè)計(jì)方式和部署要求 。 第一節(jié) 高隱匿后門的需求分析 遠(yuǎn)程控制 后門的功能和需求差異很大，往往與實(shí)際的需求、設(shè)計(jì)開發(fā)人員的關(guān)注點(diǎn)有 關(guān)。同時(shí)，由于后門系統(tǒng)是在非授權(quán)的情況下 獲取 操作 系統(tǒng) 、軟件服務(wù)控制 權(quán) ，因此 除注重 業(yè)務(wù) 功能外，更關(guān)注隱藏性、可管理性、可擴(kuò)展性等方面的 功能 。 本節(jié)分別從遠(yuǎn)程控制功能、隱藏功能、隱匿通信功能等幾方面分析后門系統(tǒng)的需求。 程控制功能需求 遠(yuǎn)程控制后門設(shè)計(jì)的目的就是為了能夠