計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全目錄（電信本055陳振華05017259）緒論1、網(wǎng)絡(luò)黑客1.1黑客簡史1.2黑客網(wǎng)絡(luò)攻擊的主要類型2、具體實(shí)施網(wǎng)絡(luò)攻擊的方法及其防護(hù)措施2.1網(wǎng)絡(luò)監(jiān)聽2.2拒絕服務(wù)攻擊2.3源lP地址欺騙攻擊2.4源路由欺騙攻擊2.5緩沖區(qū)溢出2.6木馬應(yīng)用3、結(jié)術(shù)語緒論隨著網(wǎng)絡(luò)的迅猛發(fā)展、網(wǎng)絡(luò)安全問題的日趨嚴(yán)重、黑客攻擊活動的日益猖撅，黑客攻防技術(shù)成為當(dāng)今社會關(guān)注的焦點(diǎn)。據(jù)統(tǒng)計(jì)，開發(fā)人員在編寫程序時(shí)，每寫一千行代碼，至少會有一個(gè)漏洞出現(xiàn)，再高明的程序員也不例外，因此黑客技術(shù)的出現(xiàn)和發(fā)展也是不足為奇的事情。黑客利用現(xiàn)有的方法或自己開發(fā)小工具，利用計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的漏洞（包括軟件漏洞、硬件漏洞、網(wǎng)絡(luò)協(xié)議漏洞、管理方面的漏洞和一些人為的錯(cuò)誤）實(shí)施攻擊。關(guān)于通過網(wǎng)絡(luò)攻擊信息系統(tǒng)，造成經(jīng)濟(jì)損失的報(bào)道已有許多，就連防御最嚴(yán)密的美國國防部五角大樓內(nèi)，每年都有成千上萬的非法入侵者侵入其內(nèi)部網(wǎng)絡(luò)系統(tǒng)；我國的ISP、證券公司及銀行也多次被國內(nèi)外黑客攻擊。在Internet上黑客站點(diǎn)隨處可見，黑客工具可以任意下載，對網(wǎng)絡(luò)的安全造成了極大的威脅。所以，在Internet日益滲透到人們工作和生活的今天，提高Internet的防衛(wèi)能力，保證信息安全已經(jīng)成為當(dāng)務(wù)之急。本文將在以下著重剖析幾種常見的黑客攻擊手段。1、網(wǎng)絡(luò)黑客1.1黑客簡史黑客的早期歷史至少可以追溯到20世紀(jì)五六十年代.麻省理工學(xué)院（MIT）率先研制出“分時(shí)系統(tǒng)”，學(xué)生們第一次擁有了自己的電腦終端。不久后，MIT學(xué)生中出現(xiàn)了大批狂熱的電腦迷，他們稱自己為“黑客”（Hacker），即“肢解者”和“搗毀者”，意味著他們要徹底“肢解”和“搗毀”大型主機(jī)的控制。1961年，拉塞爾等三位大學(xué)生，在PDP-1上編制出第一個(gè)游戲程序“空間大戰(zhàn)”。其他學(xué)生也編制出更多更“酷”的玩藝，例如象棋程序、在分時(shí)系統(tǒng)網(wǎng)絡(luò)里給別人留言的軟件等等。MIT的“黑客”屬于第一代，他們開發(fā)了大量有實(shí)用價(jià)值的應(yīng)用程序。60年代中期，起源于MIT的“黑客文化”開始彌散到美國其他校園，逐漸向商業(yè)滲透，黑客們進(jìn)入或建立電腦公司。他們中最著名的有貝爾實(shí)驗(yàn)室的鄧尼斯·里奇和肯·湯姆森，他倆在小型電腦PDP-11/20編寫出UNIX操作系統(tǒng)和C語言，推動了工作站電腦和網(wǎng)絡(luò)的成長.MIT的理查德·斯德爾曼（RichardStallman)后來發(fā)起成立了自由軟件基金會，成為國際自由軟件運(yùn)動的精神領(lǐng)袖。他們都是第二代“黑客”的代表人物。1975年，愛德華·羅伯茨發(fā)明第一臺微型電腦“牛郎星”。美國很快出現(xiàn)了一個(gè)電腦業(yè)余愛好者在汽車庫里組裝微電腦的熱潮，并組織了一個(gè)“家庭釀造電腦俱樂部”，相互交流組裝電腦的經(jīng)驗(yàn)。以“家釀電腦俱樂部”為代表的“黑客”屬于第三代，他們發(fā)動了一場個(gè)人電腦的革命。史蒂夫·喬布斯、比爾·蓋茨等人創(chuàng)辦了蘋果和微軟公司，后來都成了重量級的IT企業(yè)。新一代“黑客”伴隨著“嬉皮士運(yùn)動”出現(xiàn)。艾比·霍夫曼是這代黑客的“始作俑者”?；舴蚵圃炝嗽S多惡作劇，常常以反對越戰(zhàn)和迷幻藥為題。1967年10月，他領(lǐng)導(dǎo)了一次反戰(zhàn)*******，號召黑客們?nèi)ァ疤鹞褰谴髽恰?。他還創(chuàng)辦了一份地下技術(shù)雜志TAP，告訴嬉皮士黑客如何在現(xiàn)存的體制下謀生，并大量介紹電話偷竊技術(shù)。從70年代起，新一代黑客已經(jīng)逐漸走向自己的反面。1970年，約翰·達(dá)帕爾發(fā)現(xiàn)“嘎吱船長”牌麥圈盒里的口哨玩具，吹出的哨音可以開啟電話系統(tǒng)，從而借此進(jìn)行免費(fèi)的長途通話。他在黑客圈子里被叫做“嘎吱船長”，因盜用電話線路而多次被捕。蘋果公司喬布斯和沃茲奈克也制作過一種“藍(lán)盒子”，成功侵入了電話系統(tǒng)。1982年，年僅15歲的凱文·米特尼克（KevinMitnick)闖入了“北美空中防務(wù)指揮系統(tǒng)”，這是首次發(fā)現(xiàn)的從外部侵襲的網(wǎng)絡(luò)事件。他后來連續(xù)進(jìn)入到美國多家大公司的電腦網(wǎng)絡(luò)，把一些重要合同涂改得面目全非。1994年，他向圣迭戈超級計(jì)算機(jī)中心發(fā)動攻擊，將整個(gè)互聯(lián)網(wǎng)置于危險(xiǎn)的境地。米特尼克曾多次入獄，指控他偷竊了數(shù)以千計(jì)的文件以及非法使用2萬多個(gè)信用卡。他是著名的“世界頭號黑客”，80年代初，計(jì)算機(jī)地下組織開始形成，出現(xiàn)了早期的計(jì)算機(jī)竊賊。1984年，德國漢堡出現(xiàn)了一個(gè)名叫“混沌”計(jì)算機(jī)俱樂部（CCC），其成員竟然通過網(wǎng)絡(luò)將10萬美元從漢堡儲蓄銀行轉(zhuǎn)到CCC賬號上。1987年，CCC的成員攻入了美國宇航局的SPAN網(wǎng)絡(luò)。1984年，美國黑客戈德斯坦創(chuàng)辦著名的黑客雜志2600：TheHackerQuarterly；10年后，這份雜志已有可觀的發(fā)行量，1995年達(dá)到了2萬冊。1988年11月2日，美國康奈爾大學(xué)23歲學(xué)生羅伯特·莫里斯（RobertMorris)，向互聯(lián)網(wǎng)絡(luò)釋放了“蠕蟲病毒”，美國軍用和民用電腦系統(tǒng)同時(shí)出現(xiàn)了故障，至少有6200臺受到波及，約占當(dāng)時(shí)互聯(lián)網(wǎng)絡(luò)電腦總數(shù)的10%以上，用戶直接經(jīng)濟(jì)損失接近1億美元，造成了美國高技術(shù)史上空前規(guī)模的災(zāi)難事件。1995年，俄羅斯黑客列文在英國被捕。他被控用筆記本電腦從紐約花旗銀行非法轉(zhuǎn)移至少370萬美元到世界各地由他和他的同黨控制的賬戶。1999年3月，美國黑客戴維·史密斯制造了“梅利莎”病毒，通過因特網(wǎng)在全球傳染數(shù)百萬臺計(jì)算機(jī)和數(shù)萬臺服務(wù)器。2000年2月，全世界黑客們聯(lián)手發(fā)動了一場“黑客戰(zhàn)爭”，把整個(gè)網(wǎng)絡(luò)攪了個(gè)天翻地覆。神通廣大的神秘黑客，接連襲擊了因特網(wǎng)最熱門的八大網(wǎng)站，包括亞馬遜、Yahoo和微軟，造成這些網(wǎng)站癱瘓長達(dá)數(shù)小時(shí)。FBI僅發(fā)現(xiàn)一個(gè)名為“黑手黨男孩”的黑客參與了襲擊事件，對他提出的56項(xiàng)指控只與其中幾個(gè)被“黑”網(wǎng)站有關(guān)，估計(jì)造成了達(dá)17億美元的損失。2000年5月，菲律賓學(xué)生奧內(nèi)爾·古茲曼炮制出“愛蟲”病毒，因電腦癱瘓所造成的損失高達(dá)100億美元。全世界反黑客、反病毒的斗爭呈現(xiàn)出越來越激烈的趨勢1.2黑客網(wǎng)絡(luò)攻擊的主要類型網(wǎng)絡(luò)攻擊其實(shí)質(zhì)就是指利用被攻擊方信息系統(tǒng)自身存在安全漏洞，通過使用網(wǎng)絡(luò)命令和專用軟件進(jìn)入對方網(wǎng)絡(luò)系統(tǒng)的攻擊。目前黑客網(wǎng)絡(luò)攻擊的類型主要有以下幾種：（1）利用監(jiān)聽嗅探技術(shù)獲取對方網(wǎng)絡(luò)上傳輸?shù)挠杏眯畔?；?）利用拒絕服務(wù)攻擊使目的網(wǎng)絡(luò)暫時(shí)或永久性癱瘓；（3）利用網(wǎng)絡(luò)協(xié)議上存在的漏洞進(jìn)行網(wǎng)絡(luò)攻擊；（4）利用系統(tǒng)漏洞，例如緩沖區(qū)溢出或格式化字符串等，以獲得目的主機(jī)的控制權(quán)；（5）利用網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全漏洞，獲取或破壞對方重要數(shù)據(jù)；（6）利用計(jì)算機(jī)病毒傳播快、破壞范圍廣的特性，開發(fā)合適的病毒破壞對方網(wǎng)絡(luò)。 2、具體實(shí)施網(wǎng)絡(luò)攻擊的方法及其防護(hù)措施2．1網(wǎng)絡(luò)監(jiān)聽將網(wǎng)卡設(shè)置為混雜模式，對以太網(wǎng)上流通的所有數(shù)據(jù)包進(jìn)行監(jiān)聽，并將符合一定條件的數(shù)據(jù)包（如包含了字“username”或“password”的數(shù)據(jù)包）記錄到日志文件中去，以獲取敏感信息。常見的網(wǎng)絡(luò)監(jiān)聽工具有：NetRay，Sniffit，Sniffer，Etherfind，Snoop，Tcpdump，Packetman，Interman，Etherman，Loadman，Gobbler等。對于網(wǎng)絡(luò)嗅探攻擊，我們可以采取以下一些措施（1）網(wǎng)絡(luò)分段一個(gè)網(wǎng)絡(luò)段包括一組共享低層設(shè)備和線路的機(jī)器，如交換機(jī)、動態(tài)集線器和網(wǎng)橋等設(shè)備，可以對數(shù)據(jù)流進(jìn)行限制，從而達(dá)到防止嗅探的目的。（2）加密一方面可以對數(shù)據(jù)流中的部分重要信息進(jìn)行加密；另一方面也可只對應(yīng)用層加密，然而后者將使大部分與網(wǎng)絡(luò)和操作系統(tǒng)有關(guān)的敏感信息失去保護(hù)。選擇何種加密方式就取決于信息的安全級別及網(wǎng)絡(luò)的安全程度。（3）一次性口令技術(shù)口令并不在網(wǎng)絡(luò)上傳輸，而是在兩端進(jìn)行字符串匹配，客戶端利用從服務(wù)器上得到的Challenge和自身的口令計(jì)算出一個(gè)新字符串，并將之返回給服務(wù)器。在服務(wù)器上利用比較算法進(jìn)行匹配，如果匹配連接就允許建立，所有的Challenge和字符串都只使用一次。（4）禁用雜錯(cuò)節(jié)點(diǎn)安裝不支持雜錯(cuò)的網(wǎng)卡，通常可以防止IBM兼容機(jī)進(jìn)行嗅探。2．2拒絕服務(wù)攻擊拒絕服務(wù)攻擊（DenialofService，DOS）行為通過發(fā)送一定數(shù)量一定序列的報(bào)文，使網(wǎng)絡(luò)服務(wù)器中充斥了大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓、停止正常的網(wǎng)絡(luò)服務(wù)。常見的DOS工具有：同步洪流（SYNFlood），死亡之PING（PingofDeath），Echl攻擊，F(xiàn)inger炸彈，Land攻擊，Ping洪流，Rwhod，Smurf等。為了防止拒絕服務(wù)攻擊，可以采取以下預(yù)防措施：（1）對于信息淹沒攻擊，應(yīng)關(guān)掉可能產(chǎn)生無限序列的服務(wù)來防止這種攻擊。比如可以在服務(wù)器端拒絕所有的ICMP包，或者在該網(wǎng)段路由器上對ICMP包進(jìn)行帶寬限制，控制其在一定的范圍內(nèi)。（2）要防止SYN數(shù)據(jù)段攻擊，應(yīng)對系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對超時(shí)的SYN請求連接數(shù)據(jù)包復(fù)位，同時(shí)通過縮短超時(shí)常數(shù)和加長等侯隊(duì)列使得系統(tǒng)能迅速處理無效的SYN請求數(shù)據(jù)包。（3）建議在該網(wǎng)段的路由器上做些調(diào)整，這些調(diào)整包括限制SYN半開數(shù)據(jù)包的流量和個(gè)數(shù)。（4）建議在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段，這樣可以有效地保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊。另外，對于一些具體的系統(tǒng)，其本身現(xiàn)已可以防止SYNFlood攻擊，如solaris在其2．6版本以后，系統(tǒng)中存在2條隊(duì)列，一條是已連接的隊(duì)列，另一條是未連接完成的隊(duì)列。SYN攻擊時(shí)只能填充后一條隊(duì)列，而且，一旦隊(duì)列滿，將隨機(jī)丟棄老的SYN包。系統(tǒng)還會監(jiān)控這個(gè)隊(duì)列被短時(shí)間填充的情況，一旦懷疑是SYNFlood，將采取一定的措施?？傊?，要徹底杜絕拒絕服務(wù)攻擊，只有追根溯源去找到正在進(jìn)行攻擊的機(jī)器和攻擊者。要追蹤攻擊者不是一件很容易的事情，一旦其停止了攻擊行為，很難將其發(fā)現(xiàn)。惟一可行的方法就是在其進(jìn)行攻擊的時(shí)候，根據(jù)路由器的信息和攻擊數(shù)據(jù)包的特征，采用一級一級回溯的方法來查找其攻擊源頭。這時(shí)需要各級部門的協(xié)同配合才能很好的完成。2．3源lP地址欺騙攻擊許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的前提。假設(shè)同一網(wǎng)段內(nèi)有2臺主機(jī)A和B，另一網(wǎng)段內(nèi)有主機(jī)X，B授予A某些特權(quán)。X為獲得與A相同的特權(quán)，所做欺騙攻擊如下：首先，X冒充A，向主機(jī)B發(fā)送一個(gè)帶有隨機(jī)序列號的SYN包。主機(jī)B響應(yīng)，回送一個(gè)應(yīng)答包給A，該應(yīng)答號等于原序列號加1。然而，此時(shí)主機(jī)A已被主機(jī)X利用拒絕服務(wù)攻擊“淹沒”了，導(dǎo)致主機(jī)A服務(wù)失效。結(jié)果，主機(jī)A將B發(fā)來的包丟棄。為了完成三次握手，X還需要向B回送一個(gè)應(yīng)答包，其應(yīng)答包等于B向A發(fā)送數(shù)據(jù)包的序列號加1。此時(shí)主機(jī)X并不能檢測到主機(jī)B的數(shù)據(jù)包（因?yàn)椴辉谕痪W(wǎng)段），只有利用TCP順序號估算法來預(yù)測應(yīng)答包的順序號并將其發(fā)送給目標(biāo)機(jī)B。如果猜測正確，B則認(rèn)為收到的ACK是來自內(nèi)部主機(jī)A。此時(shí)，X即獲得了主機(jī)A在主機(jī)B上所享有的特權(quán)，并開始對這些服務(wù)實(shí)施政擊。要防止源IP地址欺騙行為，可以采取以下措施來盡可能地保護(hù)系統(tǒng)免受這類攻擊：（1）拋棄基于地址的信任策略阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎(chǔ)的驗(yàn)證。不允許r類遠(yuǎn)程調(diào)用命令的使用：刪除．rhosts文件：清空／etc／hosts．equiv文件。這將迫使所有用戶使用其他遠(yuǎn)程通信手段，如telnet，ssh，skey等。（2）使用加密方法在包發(fā)送到網(wǎng)絡(luò)上之前，可以對他進(jìn)行加密。雖然加密過程要求適當(dāng)改變目前的網(wǎng)絡(luò)環(huán)境，但他將保證數(shù)據(jù)的完整性和真實(shí)性。（3）進(jìn)行包過濾可以配置路由器使其能夠拒絕網(wǎng)絡(luò)外部與本網(wǎng)內(nèi)具有相同IP地址的連接請求。而且，當(dāng)包的IP地址不在本網(wǎng)內(nèi)時(shí)，路由器不應(yīng)該把本09網(wǎng)主機(jī)的包發(fā)送出去。有一點(diǎn)要注意，路由器雖然可以封鎖試圖到達(dá)內(nèi)部網(wǎng)絡(luò)的特定類型的包。但他們也是通過分析測試源地址來實(shí)現(xiàn)操作的。因此，他們僅能對聲稱是來自于內(nèi)部網(wǎng)絡(luò)的外來包進(jìn)行過濾，若你的網(wǎng)絡(luò)存在外部可信任主機(jī)，那么路由器將無法防止別人冒充這些主機(jī)進(jìn)行IP欺騙。2．4源路由欺騙攻擊在通常情況下，信息包從起點(diǎn)到終點(diǎn)走過的路徑是由位于此2點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過的路徑寫在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對方不可預(yù)料的路徑到達(dá)目的主機(jī)，下面仍以上述源IP欺騙中的例子給出這種攻擊的形式：主機(jī)A享有主機(jī)B的某些特權(quán)，主機(jī)X想冒充主機(jī)A從主機(jī)B（假設(shè)IP為aaa．bbb．ccc．ddd）獲得某些服務(wù)。首先，攻擊者修改距離X最近的路由器，使得到達(dá)此路由器且包含目的地址aaa．bbb．ccc．ddd的數(shù)據(jù)包以主機(jī)X所在的網(wǎng)絡(luò)為目的地；然后，攻擊者X利用IP欺騙向主機(jī)B發(fā)送源路由（指定最近的路由器）數(shù)據(jù)包。當(dāng)B回送數(shù)據(jù)包時(shí)，就傳送到被更改過的路由器。這就使一個(gè)入侵者可以假冒一個(gè)主機(jī)的名義通過一個(gè)特殊的路徑來獲得某些被保護(hù)數(shù)據(jù)。為了防范源路由欺騙攻擊。一般采用下面2種措施：（1）對付這種攻擊最好的辦法是配置好路由器，使他拋棄那些由外部網(wǎng)進(jìn)來的卻聲稱是內(nèi)部主機(jī)的報(bào)文。（2）在路由器上關(guān)閉源路由。用命令noipsource-roue2．5緩沖區(qū)溢出通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，如果這些指令是放在有root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運(yùn)行，黑客就以root權(quán)限控制了系統(tǒng)，達(dá)到入侵的目的；緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行的程序的功能，使攻擊者獲得程序的控制權(quán)。緩沖區(qū)溢出的一般攻擊步驟為：在程序的地址空間里安排適當(dāng)?shù)拇a——通過適當(dāng)?shù)牡刂烦跏蓟拇嫫骱痛鎯ζ?，讓程序跳到黑客安排的地址空間中執(zhí)行。緩沖區(qū)溢出對系統(tǒng)帶來了巨大的危害，要有效地防止這種攻擊，應(yīng)該做到以下幾點(diǎn)：（1）必須及時(shí)發(fā)現(xiàn)緩沖區(qū)溢出這類漏洞在一個(gè)系統(tǒng)中，比如UNIX操作系統(tǒng)，這類漏洞是非常多的，系統(tǒng)管理員應(yīng)經(jīng)常和系統(tǒng)供應(yīng)商聯(lián)系，及時(shí)對系統(tǒng)升級以堵塞緩沖區(qū)溢出漏洞。（2）程序指針完整性檢查在程序指針被引用之前檢測他是否改變。即便一個(gè)攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測到了指針的改變，因此這個(gè)指針將不會被使用。（3）堆棧保護(hù)這是一種提供程序指針完整性檢查的編譯器技術(shù)，通過檢查函數(shù)活動紀(jì)錄中的返回地址來實(shí)現(xiàn)。在堆棧中函數(shù)返回地址后面加了一些附加的字節(jié)，而在函數(shù)返回時(shí)，首先檢查這個(gè)附加的字節(jié)是否被改動過。如果發(fā)生過緩沖區(qū)溢出的攻擊，那么這種攻擊很容易在函數(shù)返回前被檢測到。但是，如果攻擊者預(yù)見到這些附加字節(jié)的存在．并且能在溢出過程中同樣地制造他們，那么他就能成功地跳過堆棧保護(hù)的檢測。（4）數(shù)組邊界檢查所有的對數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對數(shù)組的操作在正確的范圍內(nèi)。最直接的方法是檢查所有的數(shù)組操作，通常可以采用一些優(yōu)化的技術(shù)來減少檢查的次數(shù)。目前主要有以下的幾種檢查方法：CompaqC編譯器、Purify存儲器存取檢查等。2.6木馬應(yīng)用（1）攻擊原理木馬是一個(gè)程序，它駐留在目標(biāo)計(jì)算機(jī)里，可以隨計(jì)算機(jī)自動啟動并在某一端口進(jìn)行偵聽，在對接收的數(shù)據(jù)識別后，對目標(biāo)計(jì)算機(jī)執(zhí)行特定的操作。木馬，其實(shí)質(zhì)只是一個(gè)通過端口進(jìn)行通信的網(wǎng)絡(luò)客戶/服務(wù)程序。1、基本概念:網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺主機(jī)提供服務(wù)(服務(wù)器)，另一臺主機(jī)接受服務(wù)(客戶機(jī))。作為服務(wù)器的主機(jī)一般會打開一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽(Listen),如果有客戶機(jī)向服務(wù)器的這一端口提出連接請求(ConnectRequest),服務(wù)器上的相應(yīng)程序就會自動運(yùn)行，來應(yīng)答客戶機(jī)的請求，這個(gè)程序稱為守護(hù)進(jìn)程(UNIX的術(shù)語,不過已經(jīng)被移植到了MS系統(tǒng)上)。對于特洛伊木馬，被控制端就成為一臺服務(wù)器，控制端則是一臺客戶機(jī)，G_server.exe是守護(hù)進(jìn)程,G_client是客戶端應(yīng)用程序。2、程序?qū)崿F(xiàn):可以使用VB或VC的Winsock控件來編寫網(wǎng)絡(luò)客戶/服務(wù)程序,實(shí)現(xiàn)方法如下:服務(wù)器端:G_Server.LocalPort=7626(冰河的默認(rèn)端口,可以改為別的值)G_Server.Listen(等待連接)客戶端:G_Client.RemoteHost=ServerIP(設(shè)遠(yuǎn)端地址為服務(wù)器地址)G_Client.RemotePort=7626(設(shè)遠(yuǎn)程端口為冰河的默認(rèn)端口)(在這里可以分配一個(gè)本地端口給G_Client,如果不分配,計(jì)算機(jī)將會自動分配一個(gè))G_Client.Connect(調(diào)用Winsock控件的連接方法)一旦服務(wù)端接到客戶端的連接請求ConnectionRequest,就接受連接PrivateSubG_Server_ConnectionRequest(ByValrequestIDAsLong)G_Server.AcceptrequestIDEndSub客戶端用G_Client.SendData發(fā)送命令,而服務(wù)器在G_Server_DateArrive事件中接受并執(zhí)行命令(幾乎所有的木馬功能都在這個(gè)事件處理程序中實(shí)現(xiàn))如果客戶斷開連接,則關(guān)閉連接并重新監(jiān)聽端口PrivateSubG_Server_Close()G_Server.Close(關(guān)閉連接)G_Server.Listen(再次監(jiān)聽)EndSub客戶端上傳一個(gè)命令，服務(wù)端解釋并執(zhí)行命令。3、實(shí)現(xiàn)木馬的控制功能由于Win98開放了所有的權(quán)限給用戶，因此，以用戶權(quán)限運(yùn)行的木馬程序幾乎可以控制一切，下面僅對木馬的主要功能進(jìn)行簡單的概述,主要是使用WindowsAPI函數(shù)。（1）遠(yuǎn)程監(jiān)控(控制對方鼠標(biāo)、鍵盤，并監(jiān)視對方屏幕)keybd_event模擬一個(gè)鍵盤動作。mouse_event模擬一次鼠標(biāo)事件mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE指定鼠標(biāo)坐標(biāo)系統(tǒng)中的一個(gè)絕對位置MOUSEEVENTF_MOVE移動鼠標(biāo)MOUSEEVENTF_LEFTDOWN模擬鼠標(biāo)左鍵按下MOUSEEVENTF_LEFTUP模擬鼠標(biāo)左鍵抬起MOUSEEVENTF_RIGHTDOWN模擬鼠標(biāo)右鍵按下MOUSEEVENTF_RIGHTUP模擬鼠標(biāo)右鍵按下dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠標(biāo)坐標(biāo)（2）記錄各種口令信息keylogbegin：將擊鍵記錄在一個(gè)文本文件里，同時(shí)還記錄執(zhí)行輸入的窗口名（3）獲取系統(tǒng)信息a.取得計(jì)算機(jī)名GetComputerNameb.更改計(jì)算機(jī)名SetComputerNamec.當(dāng)前用戶GetUserNamed.系統(tǒng)路徑SetFileSystem0bject=CreateObject("Scripting.FileSystemObject")(建立文件系統(tǒng)對象)SetSystemDir=FileSystem0bject.getspecialfolder(1)(取系統(tǒng)目錄)SetSystemDir=FileSystem0bject.getspecialfolder(0)(取Windows安裝目錄)e.取得系統(tǒng)版本GetVersionExf.當(dāng)前顯示分辨率Width=screen.Width\screen.TwipsPerPixelXHeight=screen.Height\screen.TwipsPerPixelY（4）限制系統(tǒng)功能a.遠(yuǎn)程關(guān)機(jī)或重啟計(jì)算機(jī),使用WinAPI中的如下函數(shù)可以實(shí)現(xiàn):ExitWindowsEx(UINTuFlags,DWORDdwReserved)當(dāng)uFlags=EWX_LOGOFF中止進(jìn)程，然后注銷=EWX_SHUTDOWN關(guān)掉系統(tǒng)但不關(guān)電源=EWX_REBOOT重新引導(dǎo)系統(tǒng)=EWX_FORCE強(qiáng)迫中止沒有響應(yīng)的進(jìn)程=EWX_POWERDOWN關(guān)掉系統(tǒng)及關(guān)閉電源b.鎖定鼠標(biāo),ClipCursor(lpRectAsRECT)可以將指針限制到指定區(qū)域,或者用ShowCursor(FALSE)把鼠標(biāo)隱藏起來也可以，RECT是定義的一個(gè)矩形。c.讓對方掉線RasHangUpd.終止進(jìn)程ExitProcesse.關(guān)閉窗口利用FindWindow函數(shù)找到窗口并利用SendMessage函數(shù)關(guān)閉窗口（5）遠(yuǎn)程文件操作刪除文件：Filedelete拷貝文件：Filecopy共享文件：Exportlist（列出當(dāng)前共享的驅(qū)動器、目錄、權(quán)限及共享密碼）（6）注冊表操作在VB中只要SetRegEdit=CreateObject（"WScript.Shell")就可以使用以下的注冊表功能:刪除鍵值:RegEdit.RegDeleteR