畢業(yè)設(shè)計（論文）特洛伊木馬程序的設(shè)計與實現(xiàn)

《畢業(yè)設(shè)計（論文）特洛伊木馬程序的設(shè)計與實現(xiàn)》由會員分享，可在線閱讀，更多相關(guān)《畢業(yè)設(shè)計（論文）特洛伊木馬程序的設(shè)計與實現(xiàn)（51頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 XXXXXXXXXXX 本科生畢業(yè)論文（設(shè)計） 題 目 特洛伊木馬程序的設(shè)計與實現(xiàn) 學(xué)生姓名 指導(dǎo)教師 學(xué) 院 信息科學(xué)與工程學(xué)院 專業(yè)班級 完成時間 2010年5月28日 46 摘 要 隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，黑客技術(shù)也不斷更新，它對網(wǎng)絡(luò)安全構(gòu)成了極大的威脅。特洛伊木馬作為黑客工具中重要的一員，其技術(shù)日新月異，破壞力之大是絕不容忽視的。因此，對木馬技術(shù)的研究刻不容緩。 本文首先介紹了木馬的基本概念，包括木馬的結(jié)構(gòu)、行為特征、功能、分類以及木馬的發(fā)展現(xiàn)狀和發(fā)展趨勢。然后詳細

2、介紹了木馬的工作原理和木馬系統(tǒng)的關(guān)鍵技術(shù)。木馬的關(guān)鍵技術(shù)包括木馬的偽裝方式、木馬程序的隱藏技術(shù)、木馬的自啟動以及木馬的通信技術(shù)等。另外，本文研究了遠程控制技術(shù)，包括TCP/IP協(xié)議的介紹、Socket通信技術(shù)和客戶端/服務(wù)器模型（C/S）。 本文在研究木馬技術(shù)的基礎(chǔ)上設(shè)計了一款遠程控制木馬。該木馬程序能夠通過客戶端對遠程主機進行控制和監(jiān)視，服務(wù)端可以自動連接客戶端。另外該木馬程序還包括遠程文件操作（文件復(fù)制、拷貝、刪除、下載、上傳等），遠程系統(tǒng)控制（關(guān)機、重啟，鼠標、屏幕鎖定，啟動項管理），網(wǎng)絡(luò)連接控制，遠程進程管理和文件傳輸?shù)裙δ?。最后本文實現(xiàn)了這一款木馬程序，并對其進行了測試。測試結(jié)果顯

3、示該木馬程序?qū)崿F(xiàn)了所有的功能，能夠?qū)h程主機進行控制。 關(guān)鍵詞 木馬， Socket，遠程控制 ABSTRACT With the rapid development of network, the dependence between our society, computer system and information network becomes bigger and bigger. The safety of the internet is especially important. The hackers create a great network security th

4、reats, and the currently most available mean of invasion are the Trojan technology. Therefore, this technique has been studied for the Trojan technology. This paper introduces the basic concepts of Trojans, including structure, behavior characteristics, function, classification and Trojans situatio

5、n and development trend. Then, it also introduces the details of the Trojan works and Trojan key technology. Key technologies include Trojan disguised way, stealth technology of Trojans, Trojans’ self-running and communication technology. In addition, this paper also studies about the remote control

6、 technology, including TCP/IP protocol description, Socket communication technology and client / server model (C / S). There is a remote control Trojan based on this paper which is studying the Trojan technology. This Trojan horse can control and watch the distance host through the client, and t

7、he server can connect with the client automatically. In addition, the Trojan program also includes a remote file operations (file copy, copy, delete, download, upload, etc.), remote system control (shutdown, restart, mouse, screen lock, startup item management), network connection control, remote pr

8、ocess management, file transfer and other functions. Finally, this paper realizes this Trojan horse program, and tests it. Test results show that the Trojan horse program achieves all the functions and it can control the remote host. KEY WORDS Trojan, Socket, Remote control 目 錄 摘 要 I ABSTRACT

9、 II 第一章 緒論 1 1.1木馬的研究背景 1 1.2木馬發(fā)展的現(xiàn)狀 1 1.3論文研究的意義和目的 2 1.4論文的研究內(nèi)容 3 1.5論文章節(jié)安排 3 第二章 木馬技術(shù)基礎(chǔ) 4 2.1木馬系統(tǒng)結(jié)構(gòu) 4 2.2木馬的基本特征 5 2.3木馬的功能 6 2.4木馬的分類 6 2.5木馬的發(fā)展趨勢 7 第三章 木馬工作原理及關(guān)鍵技術(shù) 9 3.1 木馬的偽裝 9 3.2木馬的隱藏 10 3.3木馬常見的啟動方式 12 3.4遠程控制技術(shù) 14 3.4.1IP協(xié)議 14 3.4.2 TCP協(xié)議 15 3.4.3套接字(Sockets)技術(shù) 16 3.5木

10、馬的通信 16 3.5.1端口復(fù)用技術(shù) 17 3.5.2反彈端口 17 3.5.3潛伏技術(shù) 18 3.6客戶機/服務(wù)器模型 18 第四章 遠程控制木馬的設(shè)計 20 4.1功能分析 20 4.2系統(tǒng)總體設(shè)計 21 4.2.1使用環(huán)境和拓撲結(jié)構(gòu) 21 4.2.2系統(tǒng)的邏輯模型 22 4.2.3設(shè)計思路 23 4.3系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù) 24 4.3.1DLL模塊化技術(shù) 24 4.3.2 鉤子技術(shù) 26 4.3.3遠程線程插入技術(shù) 27 4.3.4隱蔽通信技術(shù) 29 4.4系統(tǒng)的開發(fā)工具 30 第五章 遠程控制木馬的實現(xiàn) 32 5.1服務(wù)端程序的實現(xiàn) 32 5.1

11、.1服務(wù)端的自啟動 32 5.1.2 通信模塊的實現(xiàn) 34 5.1.3服務(wù)端管理模塊 38 5.2客戶端的實現(xiàn) 39 5.2.1遠程文件控制 39 5.2.2系統(tǒng)控制 40 5.2.3文件傳輸 42 第六章 結(jié)束語 43 參考文獻 44 致 謝 46 特洛伊木馬程序的設(shè)計與實現(xiàn) 第一章 緒論 第一章 緒論 1.1木馬的研究背景 隨著網(wǎng)絡(luò)的快速發(fā)展，Internet深入到社會的每個角落，人們充分享受到了其給工作和生活帶來的巨大便利，人類社會對計算機系統(tǒng)和信息網(wǎng)絡(luò)的依賴性也越來越大。工業(yè)和信息化部統(tǒng)計

12、數(shù)據(jù)顯示，2009年中國網(wǎng)民規(guī)模已達3.84億；預(yù)計2010中國網(wǎng)民規(guī)模突破4億[1]。由于計算機系統(tǒng)和信息網(wǎng)絡(luò)系統(tǒng)本身固有的脆弱性，網(wǎng)絡(luò)入侵工具(如蠕蟲、木馬等)不斷涌現(xiàn)，社會、企業(yè)和個人也因此蒙受了越來越大的損失。木馬由于它的隱蔽性、遠程可植入性和可控制性等技術(shù)特點，已成為黑客攻擊或不法分子入侵網(wǎng)絡(luò)的重要工具，目前，不斷發(fā)生的互聯(lián)網(wǎng)安全事故中，大部分都有木馬的身影。 2010年1月，國內(nèi)最知名的信息網(wǎng)絡(luò)安全廠商金山安全正式發(fā)布《2009年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告》。報告顯示， 2009年金山毒霸共截獲新增病毒和木馬20684223個，與5年前新增病毒數(shù)量相比，增長了近400倍。在

13、新增病毒中，木馬仍然首當(dāng)其沖，新增數(shù)量多達15223588個，占所有病毒重量的73.6%。全國共有76409010臺（約7600萬臺）計算機感染病毒，與08年的感染量相比增加了13.8%[2]。 計算機病毒猖獗的背后是巨大的經(jīng)濟利益。據(jù)中國國家計算機網(wǎng)絡(luò)應(yīng)急處理中心估計，目前木馬黑色產(chǎn)業(yè)鏈的年產(chǎn)值己超過2.38億元人民幣，造成的損失則超過76億元。木馬經(jīng)濟產(chǎn)業(yè)化的一個重要表現(xiàn)就是：制造木馬、傳播木馬、盜竊賬戶信息、銷贓、洗錢，分工明確，形成了一個非常完善的流水性作業(yè)程序，這個流水作業(yè)程序就是一條黑色產(chǎn)業(yè)鏈[3]。 木馬程序使得遠程的黑客能夠享有系統(tǒng)的控制權(quán)?！爸褐?，百戰(zhàn)不殆”，如果想找

14、出防御木馬攻擊的有效途徑，就必須認真地研究木馬攻擊的技術(shù)。在研究木馬攻防的過程中，如果能夠理清木馬攻擊手段的發(fā)展脈絡(luò)，就有可能進一步找出木馬發(fā)展的趨勢，并提早思考應(yīng)對策略。 1.2木馬發(fā)展的現(xiàn)狀 自從世界上出現(xiàn)第一個木馬程序（1986年的PC-Write木馬）到今天，木馬的發(fā)展已經(jīng)歷了五代[4][5]： 第一代木馬出現(xiàn)在網(wǎng)絡(luò)發(fā)展的早期，是以竊取網(wǎng)絡(luò)密碼為主要任務(wù)，即簡單的密碼竊取、發(fā)送等，在隱藏和通信方面均無特別之處。 第二代木馬在技術(shù)上有很大的進步，使用標準的C/S架構(gòu)，提供遠程文件管理、屏幕監(jiān)視等功能。但是由于植入木馬的服務(wù)端程序會打開連接端口等候客戶端連接，比較容易被發(fā)現(xiàn)。如：“

15、冰河”、“Qmitis”。 第三代木馬在功能上與第二代木馬沒有太大差異，它的改變主要在網(wǎng)絡(luò)連接方式上，它的特征是不打開連接端口進行偵聽，而是使用ICMP通信協(xié)議進行通信或使用反向連接技術(shù)讓服務(wù)器端主動連接客戶端，以突破防火墻的攔截。在數(shù)據(jù)傳遞技術(shù)上也做了不小的改進，出現(xiàn)了ICMP等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺的難度。如：網(wǎng)絡(luò)神偷、Peep201等。 第四代木馬在進程隱藏方面，做了大改動，采用了內(nèi)核插入式的嵌入方式，利用遠程插入線程技術(shù)，嵌入DLL線程，或者掛接PSAPI[6]，實現(xiàn)木馬的隱藏。前三代木馬，大多都有獨立的木馬，因此用戶可以根據(jù)啟動項目中的描述內(nèi)容，很快找到木馬

16、，并刪除它。但是，第四代木馬選擇注冊表的方式，偽裝成DLL文件形式加載到正常的啟動程序上，無法通過“任務(wù)管理器”查看到正在執(zhí)行的木馬。不過在連接方式上，依然使用第三代木馬或第二代木馬的連接方式。如：Beast木馬。 第五代木馬實現(xiàn)了與病毒緊密結(jié)合，利用操作系統(tǒng)漏洞，直接實現(xiàn)感染傳播的目的，而不必象以前的木馬那樣需要欺騙用戶主動激活。例如類似沖擊波病毒的木馬——噩夢II。 特洛伊木馬程序發(fā)展到今天已經(jīng)相當(dāng)完善了，但隨著計算機技術(shù)的發(fā)展，木馬仍會繼續(xù)演變并運用一些新的技術(shù)和方法使其更具有攻擊性和破壞性。從現(xiàn)在的趨勢來看，木馬將在隱藏性、代碼的模塊化設(shè)計、及時通知、跨平臺、底層通信以及和蠕蟲病毒

17、技術(shù)融合等方面有所提升和發(fā)展。 1.3論文研究的意義和目的 由于木馬活動的猖獗和其實現(xiàn)技術(shù)的不斷更新，木馬的防范工作也必須與時俱進。只要了解木馬的工作原理，借助協(xié)議分析工具，就能及時發(fā)現(xiàn)蛛絲馬跡，降低木馬帶來的危害；只要熟悉木馬的隱藏方法，就能快速找到并徹底清除木馬，甚至找到入侵者；如果能夠預(yù)先了解木馬攻擊手段，就可以有針對性防范木馬主動入侵或攻擊。 論文通過對木馬的原理進行深入分析，總結(jié)一些木馬的一般規(guī)律和最新技術(shù)，對于提高木馬的防范水平以及網(wǎng)絡(luò)管理提供了一定的借鑒作用。 1.4論文的研究內(nèi)容 本文在研究了木馬的關(guān)鍵技術(shù)基礎(chǔ)上設(shè)計實現(xiàn)了一款遠程控制木馬程序。 主要研究內(nèi)容： 一

18、、特洛伊木馬的概念、發(fā)展過程、分類、特征、功能、發(fā)展現(xiàn)狀及趨勢。 二、計算機遠程控制技術(shù)的基礎(chǔ)知識及遠程控制的關(guān)鍵技術(shù)。 三、在Windows平臺下實現(xiàn)一種遠程控制木馬程序，該木馬采用能繞防火墻隱蔽地植入受控計算機，并根據(jù)控制端的指令進行啟動、消亡以及其他各種控制功能。 四、系統(tǒng)實時將受控計算機當(dāng)前屏幕顯示的信息、鍵盤記錄、瀏覽文件等各種信息傳輸至遠程控制端。 五、對木馬程序進行測試。 1.5論文章節(jié)安排 第一章簡要介紹了本文的研究背景和意義，以及論文內(nèi)容的安排。 第二章總結(jié)了木馬技術(shù)基礎(chǔ)，包括木馬的分類、特征、功能和發(fā)展趨勢 第三章研究了木馬的工作原理以及木馬實現(xiàn)的關(guān)鍵技術(shù)等

19、，包括木馬的偽裝、隱藏和啟動，遠程控制關(guān)鍵技術(shù)及通信技術(shù)等。 第四章是遠程控制木馬程序的設(shè)計。包括木馬的模型結(jié)構(gòu)及設(shè)計思想，關(guān)鍵功能的設(shè)計過程。 第五章是遠程控制木馬程序的實現(xiàn)，包括了木馬的運行過程和功能測試。 第六章為結(jié)束語，總結(jié)畢業(yè)設(shè)計。 特洛伊木馬程序的設(shè)計與實現(xiàn) 第二章 木馬技術(shù)基礎(chǔ) 第二章 木馬技術(shù)基礎(chǔ) 在計算機領(lǐng)域中特洛伊木馬程序是一種未經(jīng)授權(quán)的程序，它包含在一段正常的程序當(dāng)中，這個未經(jīng)授權(quán)的程序提供了一些用戶不知道的功能，其目的是不需要管理員的準許就可獲得系統(tǒng)使用權(quán)。它可以控制用戶計算機系統(tǒng)，造成用戶資料的

20、泄漏，甚至造成整個計算機系統(tǒng)崩潰等。特洛伊木馬和病毒的區(qū)別是它不能自行傳播，而要依靠宿主以其它假象出現(xiàn)，冒充一個正常的程序，如Bo、Happy99、sub7、網(wǎng)絡(luò)神偷、冰河等就是典型的特洛伊木馬程序。本章詳細論述了木馬的分類、特征、功能、工作原理和攻擊手段等。 木馬的全稱是“特洛伊木馬”，是一種新型的計算機網(wǎng)絡(luò)病毒程序。在RFC1244安全手冊中給出的：“特洛伊木馬是這樣一種程序，它提供了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不希望的事，諸如在你不了解的情況下拷貝文件或竊取你的密碼”。它利用自身所具有的植入功能，依附其它具有傳播能力病毒， 或者通過入侵后植入等多種途徑， 進駐

21、目標機器，搜集其中各種敏感信息，并通過網(wǎng)絡(luò)與外界通信，發(fā)回所搜集到的各種敏感信息， 接受植入者指令， 完成其它各種操作，如修改指定文件、格式化硬盤等。 2.1木馬系統(tǒng)結(jié)構(gòu) 一個完整的木馬系統(tǒng)由硬件部分、軟件部分和具體的連接部分組成[7]。 1、 硬件部分，建立木馬連接所必須的硬件實體，分為控制端，服務(wù)端和 Internet。 控制端是對服務(wù)進行遠程控制的一方；服務(wù)端是被控制端遠程控制的一方；Internet是控制段對服務(wù)端進行遠程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。 2、 軟件部分，實現(xiàn)遠程控制所必須的軟件程序。 控制端程序，控制端用以遠程控制服務(wù)端的程序。木馬程序，潛入服務(wù)端內(nèi)部， 獲

22、取其操作權(quán)限的程序。木馬配置程序，設(shè)置木馬的端口號，觸發(fā)條件，木馬名稱等，并使其在服務(wù)端隱藏的更隱蔽的程序。 3、 具體連接部分，通過Internet在服務(wù)端和控制端之間建立一條木馬通道所必 須的一條元素。 控制端IP和服務(wù)端IP，即控制端和服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進行數(shù)據(jù)傳輸?shù)哪康牡??？刂贫硕丝诤湍抉R端口，即控制端和服務(wù)端的數(shù)據(jù)入口，通過這個端口，數(shù)據(jù)可以直達控制端程序或木馬程序。 2.2木馬的基本特征 綜合現(xiàn)在流行的木馬程序，它們都具有以下基本特征： 1、 隱蔽性 木馬必須有能力長期潛伏于目標機器中而不被發(fā)現(xiàn)。一個隱蔽性的木馬往往會很容易暴露自己，進而被殺毒(或殺馬)軟件，

23、甚至用戶手工檢查來，這樣將使得這類木馬變得毫無價值。因此可以說隱蔽性是木馬的生命。 2、 自動運行性 木馬程序是一個系統(tǒng)啟動即自動運行的程序，所以它可能嵌入在啟動配置文件（如win.ini、system.ini、winstart.bat等）、啟動組或注冊表中。 3、 欺騙性 木馬程序要達到長期隱藏的母的，就必須借助系統(tǒng)中已有的文件以防被發(fā)現(xiàn)。木馬經(jīng)常類似以常見的文件名或擴展名的名字（如dll、win、sys），或者仿制一些不易被人區(qū)分的文件名（如字母“i”和數(shù)字“1”，字母“o”和數(shù)字“0”），或者偽裝成常見的文件圖標。以騙取用戶的信任。 4、 頑固性 木馬頑固性就是指有效清除木馬

24、的易程度。若一個木馬在檢查出來之后，仍然無法將其一次性有效清除，那么該馬就具有較強的頑固性。很多木馬程序中的功能模塊已不再是單一的文件組成，而是將文件分別存儲在不同的位置。這些分散的文件可以相互恢復(fù)，因此難以清除。 5、 易植入性 任何木馬必須首先能夠進入目標機器（植入操作），因此易入性就成為木馬有效性的先決條件。欺騙性是自木馬誕生起最常見的植入手段因此各種好用的小功能軟件就成為木馬常用的棲息地。利用系統(tǒng)漏洞進行木馬入也是木馬入侵的一類重要途徑。目前木馬技術(shù)與蠕蟲技術(shù)的結(jié)合使得木馬具類似蠕蟲的傳播性，這也就極大提高了木馬的易植入性。 從上面對木馬特性的分析，可以看到木馬的設(shè)計思想除了具

25、有病毒和蠕蟲的設(shè)計思想（即主要側(cè)重于其隱蔽性和傳播性的實現(xiàn)），還更多地強調(diào)與木馬控制端通信能力，和反清除與反檢測能力。由于有了控制端的攻擊者的指揮，因此木馬的行為特征就有了很強的智能化，具有很強的偽裝能力和欺騙性。而木馬的反清除能力，也使其極為固地和被寄生的系統(tǒng)糾合在一起。要想徹底清除木馬，系統(tǒng)也得付出慘痛代價。 2.3木馬的功能 只要在本地計算機上能操作的功能，目前的木馬基本上都能實現(xiàn)。木馬的控制端可以像本地用戶一樣操作遠程計算機。木馬的功能可以概括為以下內(nèi)容[8]： 1、 竊取數(shù)據(jù) 以竊取數(shù)據(jù)為目的，本身不破壞計算機的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作， 它以系統(tǒng)使用者難以察覺的方

26、式向外傳送數(shù)據(jù)。 2、 接受非法授權(quán)操作的指令 當(dāng)網(wǎng)絡(luò)中的木馬被激活后，它可以獲取網(wǎng)絡(luò)服務(wù)器系統(tǒng)管理員的權(quán)限，隨心所 欲地竊取密碼和各類數(shù)據(jù)，逃避追蹤，同時不會留下任何痕跡。 3、 篡改文件和數(shù)據(jù) 對系統(tǒng)文件和數(shù)據(jù)有選擇地進行篡改，使計算機處理的數(shù)據(jù)產(chǎn)生錯誤的結(jié)果， 導(dǎo)致作出錯誤的決策。有時也對數(shù)據(jù)進行加密。 4、 刪除文件和數(shù)據(jù) 將系統(tǒng)中的文件和數(shù)據(jù)有選擇地刪除或者全部刪除。 5、 施放病毒 將原先埋伏在系統(tǒng)中但出于休眠狀態(tài)的病毒激活，或從外界將病毒導(dǎo)入計算機 系統(tǒng)，使其感染并實施破壞。 6、 使系統(tǒng)自毀 包括改變時鐘頻率、使芯片熱崩潰而損壞、造成系統(tǒng)癱瘓等。 2

27、.4木馬的分類 木馬的分類多種多樣，根據(jù)不同的分類標準，木馬的種類也有所不同。 （一）根據(jù)木馬程序?qū)τ嬎銠C的具體動作方式，可以把現(xiàn)在的木馬程序分為以下幾類： 1、 遠程控制型：遠程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬．這種木馬起著 程監(jiān)控的功能，使用簡單，只要被控制主機聯(lián)入網(wǎng)絡(luò)，并與控制端客戶程序建立網(wǎng)絡(luò)連接，控制者就能任意訪問被控制的計算機。這種木馬在控制端的控制下可以在被控主機上做任意的事情，比如鍵盤記錄，文件上傳/下載，截取屏幕，遠程執(zhí)行等。這種類型的木馬比較著名的有BO(Back Orifice)和國產(chǎn)的冰河等。 2、 密碼發(fā)送型：密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且

28、在受害 者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類木馬程序不會在每次Windows系統(tǒng)重啟時都自動加載，它們大多數(shù)使用25端口發(fā)送電子郵件。 3、 鍵盤記錄型：鍵盤記錄型木馬非常簡單，它們只做一種事情，就是記錄受 害者的鍵盤敲擊，并且在LOG文件里進行完整的記錄。這種木馬程序隨著Windows系統(tǒng)的啟動而自動加載，并能感知受害主機在線，且記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。 4、 毀壞型：大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木 馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受控主機上所有的．ini或．exe文件，甚至遠程格式化受害者硬盤，

29、使得受控主機上的所有信息都受到破壞?？偠灾?，該類木馬目標只有一個就是盡可能的毀壞受感染系統(tǒng)，致使其癱瘓。 5、 FTP型：FTP型木馬打開被控主機系統(tǒng)的21號端口使每一個人都可以用一 個FTP客戶端程序來不要密碼連接到受控制主機系統(tǒng)，并且可以進行最高權(quán)限的文件上傳和下載，竊取受害系統(tǒng)中的機密文件。 （二）根據(jù)木馬的網(wǎng)絡(luò)連接方向，可以分為兩類： 1、 正向連接型：發(fā)起通信的方向為控制端向被控制端發(fā)起，這種技術(shù)被早期 的木馬廣泛采用，其缺點是不能透過防火墻發(fā)起連接。 2、 反向連接型：發(fā)起通信的方向為被控制端向控制端發(fā)起，其出現(xiàn)主要是為 了解決從內(nèi)向外不能發(fā)起連接的情況的通信要求，

30、已經(jīng)被較新的木馬廣泛采用。 （三）根據(jù)木馬使用的架構(gòu)，可以分為四類： 1、 C/S架構(gòu)：這種為普通的服務(wù)器、客戶端的傳統(tǒng)架構(gòu)，一般我們都是采用客 戶端作控制端，服務(wù)器端作被控制端。在編程實現(xiàn)的時候，如果采用反向連接的技術(shù)，那么客戶端(也就是控制端)要采用Socket編程的服務(wù)器端的方法，而服務(wù)端(也就是被控制端)采用Socket編程的客戶端的方法。 2、 B/S架構(gòu)：這種架構(gòu)為普通的網(wǎng)頁木馬所采用的方式。通常在B/S架構(gòu)下， Server端被上傳了網(wǎng)頁木馬，控制端可以使用瀏覽器來訪問相應(yīng)的網(wǎng)頁，達到對Server端進行控制的目的。 3、 C/P/S架構(gòu)：這里的P是Proxy的意思，

31、也就是在這種架構(gòu)中使用了代理。 當(dāng)然，為了實現(xiàn)正常的通信代理也要由木馬作者編程實現(xiàn)，才能夠?qū)崿F(xiàn)一個轉(zhuǎn)換通信。這種架構(gòu)的出現(xiàn)，主要是為了適應(yīng)一個內(nèi)部網(wǎng)絡(luò)對另外一個內(nèi)部網(wǎng)絡(luò)的控制。但是，這種架構(gòu)的木馬目前還沒有發(fā)現(xiàn)。 4、 B/S/B架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應(yīng)內(nèi)部網(wǎng)絡(luò)對另外的內(nèi)部網(wǎng)絡(luò)的 控制。當(dāng)被控制端與控制端都打開瀏覽器瀏覽這個Server上的網(wǎng)頁的時候，一端就變成了控制端，而另外一端就變成了被控制端，這種架構(gòu)的木馬已經(jīng)在國外出現(xiàn)了。 2.5木馬的發(fā)展趨勢 特洛伊木馬程序發(fā)展到今天已經(jīng)相當(dāng)完善了，但隨著計算機技術(shù)的發(fā)展，木馬仍會繼續(xù)演變并運用一些新的技術(shù)和方法使其更具有攻擊性和

32、破壞性。從現(xiàn)在的趨勢看，木馬在未來大概會向以下方向發(fā)展： 1、 木馬將更注重自身的隱藏性 傳統(tǒng)的木馬開發(fā)重點多在如何實現(xiàn)遠程控制功能上，隨著對木馬危害認識的加深和木馬查殺工具的普及，木馬程序的開發(fā)者不得不將更多的精力放在如何更好地隱藏自己上。可以預(yù)見，木馬會借鑒病毒的開發(fā)技術(shù)，很快將會出現(xiàn)能夠反查殺的變形木馬等一批在惡劣的環(huán)境下更具生存能力的新型木馬。另外，針對依靠監(jiān)聽網(wǎng)絡(luò)通訊來發(fā)現(xiàn)木馬蹤跡的工具，木馬也會使用諸如隱蔽信道之類的手段更好地隱藏自身。 2、 更注重代碼模塊化的設(shè)計 目前，程序設(shè)計的潮流是模塊化設(shè)計，木馬程序現(xiàn)在也具有這種概念。某些木馬程序可以在控制的過程中，通過傳送較復(fù)雜

33、的模塊庫到被控端以達到自我升級的目的。 3、 即時通知 目前，網(wǎng)絡(luò)中很多機器使用的是動態(tài)IP，木馬程序要想控制目標就比較麻煩，因此，未來的木馬程序在這方面會進一步完善。會給木馬增添即時通知功能，隨時向黑客匯報木馬受害者的IP地址。 4、 可能會出現(xiàn)跨平臺的木馬 現(xiàn)今木馬一般都是基于某種硬件平臺或者操作系統(tǒng)開發(fā)的，在各種操作系統(tǒng)之間并不具有通用性，對使用者要求較高。隨著木馬技術(shù)的成熟，木馬的操作將更為簡化，攻擊將更為智能化，甚至可能會出現(xiàn)可跨平臺工作的木馬。 5、 木馬與蠕蟲會相互融合 蠕蟲和木馬是兩種不同功能的程序。蠕蟲具有自傳播性，所以一般將其歸為病毒。然而最近己經(jīng)開始出現(xiàn)具有蠕

34、蟲特征的木馬程序，這是個危險的信號。我們應(yīng)該警惕危害更大的此類木馬蠕蟲，這可能是今后一段時問木馬發(fā)展的一個重要趨勢。 6、 未來木馬將更注重底層的通訊編程，如針對網(wǎng)卡和Modem的通訊編程，這 樣可以逃過防火墻的監(jiān)視和過濾[9][10][11]。 特洛伊木馬程序的設(shè)計與實現(xiàn) 第三章 木馬工作原理與關(guān)鍵技術(shù) 第三章 木馬工作原理及關(guān)鍵技術(shù) 木馬程序一般分為客戶端(Client)和服務(wù)器端(Server)，服務(wù)器端程序是控制者傳 到目標計算機的部分，騙取用戶執(zhí)行后，便植入計算機，作為響應(yīng)程序。客戶端是用來控制目標主機的部分，安裝在控制者的計算機，它的作

35、用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠程計算機。 典型的木馬工作原理是：當(dāng)服務(wù)器端在目標計算機上被執(zhí)行后，木馬打開一個 默認的端口進行監(jiān)聽，當(dāng)客戶機向服務(wù)端提出連接請求，服務(wù)器上的相應(yīng)程序就會自動運行來應(yīng)答客戶機的請求，服務(wù)器端程序與客戶端建立連接后，由客戶端發(fā)出指令，服務(wù)器在計算機中執(zhí)行這些指令，并將數(shù)據(jù)傳送到客戶端，以達到控制主機的目的。 木馬程序的工作過程包含了木馬程序的偽裝、隱藏、啟動、通信以及攻擊等。 3.1 木馬的偽裝 特洛伊木馬程序因其功能肯定不被人們所歡迎。因此，它們要想完成其不可告 人的“使命”，就必須先將自身隱藏好。就目前我們對已知特洛伊木馬程序的了解，特洛伊

36、木馬程序的偽裝技術(shù)主要有以下幾種方法[12]： 1、 修改圖標 特洛伊木馬服務(wù)端程序常常故意偽裝成了各種網(wǎng)頁或圖片等圖標。用戶往往 誤認為這些程序?qū)ο到y(tǒng)是無害的，因此很容易誘使其打開并將其運行。 2、 捆綁于正常文件中 這種偽裝手段有些類似于傳統(tǒng)的計算機病毒程序。攻擊者常常將特洛伊木馬程 序常捆綁到一個正常程序上。這樣，一旦用戶運行了這個正常程序運行，身藏其中的特洛伊木馬程序就會在用戶毫無察覺的情況下，偷偷地進入了系統(tǒng)運行。被捆綁的文件一般是可執(zhí)行文件，例如，EXE、COM等類型的文件。 3、 顯示出錯信息 一些特洛伊木馬程序的設(shè)計者意識到，如果用戶打開一個文件而沒有任何反應(yīng)，

37、 用戶很可能認這就是一個特洛伊木馬程序。所以，一些特洛伊木馬程序會故意顯示一些出錯顯示。當(dāng)被攻擊者打開特洛伊木馬程序時，往往會彈出一個錯誤提示框(當(dāng)然這是假的，只是在迷惑用戶，使其誤認為這是一個正常、已被損壞的、不能輕易刪除的文件)。錯誤內(nèi)容可自由定義，大多會定制成一些諸如"文件已破壞，無法打開!"之類的信息，當(dāng)被害用戶信以為真時，特洛伊木馬程序就悄悄侵入了系統(tǒng)中。 4、 自我銷毀 當(dāng)用戶打開含有特洛伊木馬程序的郵件或其它文件后，其中的特洛伊木馬程序 就會將自己拷貝到Windows的系統(tǒng)文件夾中(即C:\windows或C:\windows\system目錄下)。但是，如果特洛伊木馬程

38、序只是如此簡單的拷貝，就會造成源特洛伊木馬程序文件和系統(tǒng)文件夾中的特洛伊木馬程序文件長度的大小是一樣的。那么，中了特洛伊木馬程序的受害者只要檢查一下近來收到的信件和下載的軟件，并從中找到源特洛伊木馬程序文件，然后根據(jù)源特洛伊木馬程序文件的大小去系統(tǒng)文件夾找相同大小的文件，判斷一下哪個是特洛伊木馬程序文件并將其刪除就行了。特洛伊木馬程序的此種偽裝方式恰恰就是在于彌補自身的這種缺陷。因此，具備這種偽裝功能的特洛伊木馬程序會在將自身安裝在被害系統(tǒng)后，將源特洛伊木馬程序文件自動銷毀。這樣，被害用戶就很難找到特洛伊木馬程序的來源了，在沒有查殺特洛伊木馬程序工具幫助下，就很難刪除木馬了。 5、 更改文件

39、名 特洛伊木馬程序的編寫者一定要在每次傳播時，用一個與以往不同的文件名進行偽裝。不過，大多特洛伊木馬程序會選用一個與正常的系統(tǒng)文件名十分近似的文件名來故意誤導(dǎo)用戶，使用戶誤認為是正常的系統(tǒng)文件。例如，有的特洛伊木馬程序會把名字改為window.exe。 3.2木馬的隱藏 木馬的隱蔽性是木馬能否長期存活的關(guān)鍵，為了達到隱蔽目的，木馬開發(fā)者總 是采用各種先進技術(shù)來實現(xiàn)木馬的隱藏。木馬隱藏的主要方式[12]： 1、 在任務(wù)欄里隱藏 這是最基本的隱藏方式。要實現(xiàn)在任務(wù)欄中隱藏的功能，在編程時是很容易實 現(xiàn)的。以VB為例，在VB中，只要把form的Visible屬性設(shè)置為False，Sho

40、wlnTaskBar設(shè)為 False，程序就不會出現(xiàn)在任務(wù)欄里。 2、 隱藏端口 一臺機器有65536個端口，不難發(fā)現(xiàn)，大多數(shù)木馬使用的端口在1024以上，而 且呈越來越大的趨勢:當(dāng)然也有占用1024以下端口的木馬，但這些端口是常用端口，占用這些端口可能會造成系統(tǒng)不正常，木馬容易暴露。現(xiàn)在已經(jīng)有一種方法可以實現(xiàn)端口的使用差異比較法對木馬程序進行防殺的技術(shù)探討復(fù)用，即一個端口既可以實現(xiàn)正常功能，又可以用于木馬通信，采用這種技術(shù)的木馬特意把自己的端口設(shè)成常用端口(如:80、23等端口)，達到更好的隱蔽效果。 3、 在任務(wù)管理器里隱藏 查看正在運行的進程的最簡單方法就是按下 Crtl+Al

41、t+Del時出現(xiàn)的任務(wù)管理 器。在WIN98中木馬把自己設(shè)為“系統(tǒng)服務(wù)”就可以輕松地實現(xiàn)在任務(wù)管理里隱藏；在WINNT、WIN2000和WINXP中木馬開發(fā)人員采用了一種更好的隱藏方式:即把木馬寫成動態(tài)鏈接庫文件(dll文件)，運行時將自己插入另一個進程(一般是系統(tǒng)進程，如explorer.exe)中，這樣木馬就是以線程形式而不是以進程存在的，從而實現(xiàn)任務(wù)管理器里的隱藏，而且，當(dāng)查看當(dāng)前使用的端口時，木馬打開的端口對應(yīng)的進程不是木馬本身，而是被插入的進程，即一個正常的進程，從而也實現(xiàn)了端口隱藏的目的。 4、 隱藏通信 隱藏通信也是木馬經(jīng)常采用的手段之一。任何木馬運行后都要和攻擊者進行

42、通信連接:或者通過即時連接，如攻擊者通過客戶端直接接入被植入木馬的主機；或者通過間接通信，如通過電子郵件的方式，木馬將目標主機的敏感信息傳給攻擊者。目前大部分木馬都是采用TCP連接方式使攻擊者控制主機的，這些木馬在植入主機后一般會在 1024以上不易發(fā)現(xiàn)的高端口上駐留；也有些木馬采用端口復(fù)用技術(shù)，不打開新的通信端口，而選擇一些常用的端口(如80)實現(xiàn)通信，在收到正常的HTTP請求仍然把它交與Web服務(wù)器處理，只有在收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬?，F(xiàn)在有些木馬采用ICMP協(xié)議轉(zhuǎn)輸，通過IMCP數(shù)據(jù)包進行通信控制，這樣除非分析數(shù)據(jù)包里面的內(nèi)容，否則很難發(fā)現(xiàn)木馬連接。還有些木馬只有收到特定的

43、數(shù)據(jù)包才開始通信，平時處于休眠狀態(tài)。 5、 隱藏啟動方式 木馬啟動的方式多種多樣，但殊途同歸，都為了達到一個目的:使木馬的服務(wù) 端程序自動運行。常見木馬啟動的方式有:加載程序到啟動組；將程序啟動路徑寫到注冊表的 [HKEY_LOCAL_ CHINE\Software\Microsoft\Windows\CurrentVersion\Run] (以及Runonce等):修改Boot.ini:通過注冊表中的輸入法鍵值真接掛接啟動；修改Explorer.exe啟動參數(shù)以及在win.ini和System.ini中的load節(jié)中添加啟動項;在Autoexe.bat中添加程序等；或采用了文件關(guān)聯(lián)實

44、現(xiàn)木馬的啟動(如:冰河木馬);也可利用DLL木馬替換系統(tǒng)原有的動態(tài)連接庫，使系統(tǒng)在裝載這些連接庫時啟動木馬(如:著名的GINA木馬)；還可以采用與其他可執(zhí)行文件捆綁的方式，在運行捆綁文件時在后臺運行。但隨著計算機技術(shù)的發(fā)展，還會有更多、更隱蔽的啟動方式出現(xiàn)。 6、 隱藏傳播方式 與病毒不同，木馬大多沒有主動傳播的功能。因此，如何將木馬成功植入目標 主機是木馬成功運行的關(guān)鍵。目前大多數(shù)木馬采用的傳播途徑仍然電子郵件，但近幾年，隨著木馬的流行，用戶對木馬的認識不斷提高，大多用戶都清楚一些關(guān)于木馬和如何防治的基本知識，這種方法己經(jīng)很難湊效。隨著網(wǎng)站互動化進程的不斷進步，越來越多的東西可以成為木

45、馬的傳播介質(zhì)，Javascript、VBScript、ActiveX幾乎每一個新功能都會導(dǎo)致木馬的快速進化。再一個就是，利用系統(tǒng)漏洞進行木馬傳播，隨著技術(shù)的不斷發(fā)展，這種方法將逐步成為木馬植入的主流。如通過在郵件內(nèi)容內(nèi)嵌WSH(Windows Script Host)腳本，用戶無需打開附件，僅僅瀏覽郵件內(nèi)容，附件中的木馬就會被執(zhí)行。即使用戶刪除了WSH功能，攻擊者仍然能通過其他的系統(tǒng)漏洞(如MIME漏洞)，在用戶瀏覽郵件時將木馬植入到計算機中運行。目前，郵件木馬已經(jīng)從附件走向了正文，簡單的瀏覽也會中毒，一個Guest用戶也可以很容易的通過修改管理員的文件夾設(shè)置獲得管理員權(quán)限。 7、 最新隱身

46、技術(shù) 通過修改虛擬設(shè)備驅(qū)動程序 (VXD)或修改動態(tài)鏈接庫(DLL)來加載木馬。這 種方法基本上擺脫了原有的木馬模式一監(jiān)聽端口，而采用替代系統(tǒng)功能的方法(改寫vxd或DLL文件)，木馬將修改后的DLL替換系統(tǒng)原來的DLL，并對所有的函數(shù)調(diào)用進行過濾。對于常用函數(shù)的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL，對于一些事先約定好的特殊情況，木馬會自動執(zhí)行。一般情況下，DLL只是進行監(jiān)聽，一旦發(fā)現(xiàn)控制端的請求就激活自身。這種木馬沒有增加新的文件，不需要打開新的端口，沒有新的進程，使用常規(guī)的方法監(jiān)測不到它。在正常運行時，木馬幾乎沒有任何蹤跡，只有在木馬的控制端向被控制端發(fā)出特定的信息后，隱藏

47、的程序才開始運行。 3.3木馬常見的啟動方式 木馬程序也和其它的計算機軟件或程序一樣，也必須把自己從硬盤或網(wǎng)上下載 下來，調(diào)入系統(tǒng)中運行，從而實際其功能?？傮w上說來，特洛伊木馬程序主要有以下幾種啟動方式[14]： 1、 隨正常的程序啟動而啟動 一些特洛伊木馬程序為隱藏自己，將自己與其它一些正常應(yīng)用程序捆綁在一起。 一旦用戶運行被捆綁文件，特洛伊木馬程序就會進入系統(tǒng)運行。甚至一些木馬程序?qū)⒆陨砝夁M入系統(tǒng)文件。這樣每次系統(tǒng)啟動，特洛伊木馬程序也會隨著啟動。 2、 隱藏在配置文件（Autoexec.bat和Config.sys）中 在Windows系統(tǒng)中，Config.sys文件

48、主要是設(shè)置一些啟動參數(shù)和加載驅(qū)動程序。 而Autoexec.bat是系統(tǒng)開機自動運行的批處理文件。在特洛伊木馬程序出現(xiàn)的前期，一些狡猾的特洛伊木馬程序知道，一般用戶平時使用的是圖形化界面的操作系統(tǒng)，對于那些重要的系統(tǒng)配置文件幾乎是一竅不通，故而也不曾親身接觸過。這樣，這些系統(tǒng)配置文件恰好成為了這些特洛伊木馬程序一處絕好的藏身之地。而且特洛伊木馬程序還利用配置文件的特殊功能，很容易就能使自己在系統(tǒng)中運行、發(fā)作，從而偷窺、監(jiān)視被害者的秘密或控制被害用戶的計算機系統(tǒng)。 3、 潛伏在Win.ini中 在windows系統(tǒng)中，Win.ini文件中提供了WIN 16程序需要的字體設(shè)置、文 件關(guān)聯(lián)等

49、信息，主要完成GUI（圖形用戶接口）的相應(yīng)的環(huán)境配置。特洛伊木馬程序要想達到控制或者監(jiān)視計算機的目的，就必須要運行，然而又不指望用戶自運行特洛伊木馬程序。所以，特洛伊木馬程序就必須在系統(tǒng)中找一個既安全能在統(tǒng)啟動時自動運行的地方。而在Windows系統(tǒng)中，Win.ini文件是特洛伊木馬程又一經(jīng)常隱藏的地方。在Win.ini文件的[windows]字段中，它有兩行啟動命令，一行是“l(fā)oad=”，另一行是“run=”。在一般情況下，這兩個字段的“＝”后面是空白的。如果它們有后跟程序，比如說，run=c:\windows\files.exe或load=c:\windows\files.exe。這個fi

50、le.exe就很可能是特洛伊木馬程序了。 4、 在System.ini中藏身 在windows系統(tǒng)中，System.ini是WIN 16的系統(tǒng)硬件配置文件，WIN 9X又為 其增加了一些新的設(shè)置，以保證WIN 16和WIN 32相互協(xié)調(diào)，使WIN 16可以調(diào)用VXD（虛擬設(shè)備驅(qū)動程序），這一點在W提供的系統(tǒng)調(diào)試參數(shù)中已充分體現(xiàn)。另外GUI（圖形用戶接口）的外殼程序(SHELL，即界面程序)、鼠標、顯示器等驅(qū)動程序必須通過System.ini設(shè)置才能加載使用。這些均決定了SYSTEM.INI是絕對不能刪除的。這也充分證明了WIN 9X是一個WIN 16和WIN 32的混合系統(tǒng)，也揭示了WI

51、N 9X系統(tǒng)先天脆弱的根本原因。Windows安裝目錄下的System.ini也是特洛伊木馬最喜歡隱蔽的地方之一。在這個文件中，有一個[boot]字段，這個字段也是特洛伊木馬程序經(jīng)常用來自啟動的地方。另外，在System.ini中，[386Enh]字段中的“driver=路徑\程序名”，也有可能被特洛伊木馬程序所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]三個字段也是起著加載驅(qū)動程序的作用，因此也是增添特洛伊木馬程序的好場所。 5、 偽裝成普通文件 相對而言，這種偽裝方式出現(xiàn)的比較晚，不過現(xiàn)在卻是十分流行，對于不熟悉 操作系統(tǒng)的普通用戶來說

52、，很容易上當(dāng)。這個偽裝方式的具體方法就是把可執(zhí)行文件偽裝成圖片或文本—在程序中把圖標改成Windows的默認圖片圖標,再把文件名改為*.bmp.exe。由于Windows系統(tǒng)默認設(shè)置是"不顯示已知的文件后綴名",文件將會顯示為*.bmp。用戶一不注意點了這個圖標，那么特洛伊木馬程序就進入系統(tǒng)運行。 6、 內(nèi)置到注冊表中 在Windows中，注冊表由兩個文件組成：System.dat和User.dat，保存在windows所在的文件夾中。它們都是由二進制數(shù)據(jù)組成。System.dat包含系統(tǒng)硬件和軟件的設(shè)置，User.dat保存著與用戶有關(guān)的信息，例如，資源管理器的設(shè)置，顏色方案以及網(wǎng)絡(luò)口令

53、等等。其中，注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值都是特洛伊木馬程序自動運行的好地方。 7、 隱形于啟動組中 有些特洛伊木馬程序比較特殊，它們并不在乎能否長期隱藏自己，而是只能

54、運 行一次就足夠達到其目的了。因此它就將自己簡單的寫入了程序中的啟動項目組中，其對應(yīng)的文件夾為：C:\windows\startmenu\programs\startup，在注冊表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\startmenu\programs\startup"。 8、 隱蔽在Winstart.bat中 Winstart.bat也像Autoexec.bat一樣，是一個能自動被Windows加載運行的 文

55、件。它多數(shù)情況下為應(yīng)用程序及Windows自動生成，在執(zhí)行了W并加載了多數(shù)驅(qū)動程序之后開始執(zhí)行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此特洛伊木馬程序完全可以像在Autoexec.bat中那樣被加載運行。 9、 設(shè)置在超級連接中 隨著互聯(lián)網(wǎng)的不斷普及與技術(shù)的不斷發(fā)展，上網(wǎng)人數(shù)不斷增加，各種網(wǎng)站大量 的出現(xiàn)。因此，很多特洛伊木馬程序就充分運用了人們喜愛上網(wǎng)的習(xí)慣，特洛伊木馬程序的制作者在網(wǎng)頁上放置各種惡意代碼，并使用各種方法引誘用戶點擊，然后在用戶的系統(tǒng)中運行特洛伊木馬程序，達到其侵入的目的。 3.4遠程控制技術(shù) 遠程計算機控制指的是基于一定的物理

56、網(wǎng)絡(luò)(例如INTERNET網(wǎng)或者企業(yè)、校園的局域網(wǎng)絡(luò))，通過一定的網(wǎng)絡(luò)協(xié)議(例如TCP/IP協(xié)議)，對分布在網(wǎng)絡(luò)上的計算機實現(xiàn)遠程控制、協(xié)同工作。這種控制是通過對基于網(wǎng)絡(luò)通訊的標準通訊協(xié)議和對目標機的操作系統(tǒng)響應(yīng)方式的準確控制來實現(xiàn)的。 3.4.1IP協(xié)議 IP協(xié)議是TCP/IP協(xié)議族中最為核心的協(xié)議。所有的TCP、UDP、ICMP、IGMP數(shù)據(jù)報都以口數(shù)據(jù)報格式傳輸。 IP提供不可靠、無連接的數(shù)據(jù)報傳送服務(wù)[15]。 不可靠(unreliable)的意思是它不能保證口數(shù)據(jù)報能夠成功地到達目的地。IP僅提供最好的傳輸服務(wù)。如果發(fā)生某種錯誤時，如某個路由器暫時用完了緩沖區(qū)，口有一個簡單的

57、錯誤處理算法：丟棄該數(shù)據(jù)報，然后發(fā)送ICMP消息報給信源端。任何要求的可靠性必須由上層來提供(如TCP)。 無連接(connectionless)這個術(shù)語的意思是m并不維護任何關(guān)于后續(xù)數(shù)據(jù)報的狀態(tài)信息。 每個數(shù)據(jù)報的處理是相互獨立的。這也說明，口數(shù)據(jù)報可以不按發(fā)送順序接收。如果一個信源向相同的信宿發(fā)送兩個連續(xù)的數(shù)據(jù)報(先是A，然后是B)，每個數(shù)據(jù)報都是獨立地進行路由選擇，可能選擇不同的路線，因此B可能在A到達之前先到達。 IP協(xié)議對于網(wǎng)絡(luò)通信具有非常重要的意義，網(wǎng)絡(luò)中的計算機通過安裝IP軟件，使許許多多的局域網(wǎng)構(gòu)成了一個龐大而又嚴密的通信系統(tǒng)，從而使Internet看起來好像是真實存在的

58、。實際上，它僅僅是利用IP協(xié)議就把全世界上所有愿意接入Internet的電腦連接了起來。 3.4.2 TCP協(xié)議 TCP協(xié)議位于傳輸層，它使用網(wǎng)絡(luò)層(口)為用戶提供一種面向連接的、可靠的字節(jié)流服務(wù)[16]。 TCP是在RFC793中正式定義的。隨著時間的推移，檢測出了各種各樣的錯誤和不一致，并且在一些領(lǐng)域?qū)CP的要求也有所變化。這些說明和一些錯誤的解決方法詳細地記載在RFCll22中。在RFCl323中給出了對TCP的一些功能擴展。 面向連接意味著兩個使用TCP的應(yīng)用(通常是一個客戶和一個服務(wù)器)在彼此交換數(shù)據(jù)之前必須先建立一個TCP連接：這一過程和打電話很相似，先撥號振鈴，等待對方

59、摘機說“喂”，然后才說明是誰。 在一個TCP連接中，僅有兩方進行彼此通信。廣播和多播不能用于TCP。 TCP通過下列方式來提供可靠性： 1、 應(yīng)用數(shù)據(jù)被分割成TCP認為最適合發(fā)送的數(shù)據(jù)塊。這和UDP完全不同。由 TCP傳遞給口的信息單位稱為報文段或者段(segment)。 2、 當(dāng)TCP發(fā)出一個段后，它啟動一個定時器，等待目的端確認收到這個報文段。 如果不能及時收到一個確認，重發(fā)這個報文段。這涉及TCP協(xié)議中自適應(yīng)的超時及重傳策略。 3、 當(dāng)TCP收到發(fā)自TCP連接另一端的數(shù)據(jù)，它將發(fā)送確認消息。 4、 TCP將保持它首部和數(shù)據(jù)的校驗和。這是一個端到端的檢驗和，目的是檢測 數(shù)

60、據(jù)在傳輸過程中的任何變化。如果收到段的檢驗和有差錯，TCP將丟棄這個報文段和不確認收到此報文段(希望發(fā)端超時并重發(fā))。 5、 既然TCP報文段作為口數(shù)據(jù)報來傳輸，而口數(shù)據(jù)報的到達可能會失序，因此 TCP報文段的到達也可能會失序。如果必要，TCP將對收到的數(shù)據(jù)進行重新排序，將收到的數(shù)據(jù)以正確的順序交給應(yīng)用層。 6、 既然口數(shù)據(jù)報會發(fā)生重復(fù)，TCP的接收端必須丟棄重復(fù)的數(shù)據(jù)。 7、 TCP還能提供流量控制。TCP連接的每一方都有固定大小的緩沖空間。TCP 的接收端只允許另一端發(fā)送接受端緩沖區(qū)所能接納的數(shù)據(jù)。這將防止較快主機致使較慢主機的緩沖區(qū)溢出。 另外，TCP對字節(jié)流的內(nèi)容不作任何解

61、釋。TCP不知道傳輸?shù)臄?shù)據(jù)字節(jié)流是二進制數(shù)據(jù)，還是ASCII字符、EBCDIC字符或者其他類型數(shù)據(jù)。對字節(jié)流的解釋由TCP連接雙方的應(yīng)用層解釋。 要實現(xiàn)TCP協(xié)議的功能，需要完成的機制包括：連接管理(如何建立和關(guān)閉連接)、滑動窗口機制、擁塞控制機制、定時器管理。 3.4.3套接字(Sockets)技術(shù) 套接字是支持TCP/lP協(xié)議的網(wǎng)絡(luò)通信的基木操作單元，是網(wǎng)絡(luò)通信的基石；它是不同主機間進行雙向通信的端點，構(gòu)成了單個主機及整個網(wǎng)絡(luò)間的編程界面；很多常用的軟件如FTP，Telnet等都是在Sockets上來完成的。套接字可以根據(jù)通信的類型分類，不同的套接字之間照樣可以通信；一般應(yīng)用于程序的

62、套接字可分為兩類： 1、 流套接字：建立在TCP/IP傳輸層上，提供雙向的無記錄邊界的數(shù)據(jù)流服務(wù)， 其傳輸數(shù)據(jù)有序、無重復(fù)，適用于處理大量數(shù)據(jù)；面向連接，通信雙方進行數(shù)據(jù)交換之前，必須建立一條路徑來確定雙方通信的路由，保證雙方都是活動的、可彼此響應(yīng)的。 2、 數(shù)據(jù)報套接字：數(shù)據(jù)報套接字是無連接的，直接建立在IP層上，可支持雙向 數(shù)據(jù)流動，但不能保證數(shù)據(jù)傳輸?shù)目煽啃?、有序性及無重復(fù)性[17]。 3.5木馬的通信 木馬通常需要利用一定的通信方式與控制端進行信息交流(如接收控制者的指令、向控制端傳遞信息等)。系統(tǒng)和應(yīng)用程序一般采用TCP/UDP通信端口的形式與控制端進行通信。木馬一般也是

63、利用TCP/UDP端口與控制端進行通信。通常情況下，木馬進行通信時直接打開一個或幾個屬于自己的TCP/UDP端口[18]。早期的木馬在系統(tǒng)中運行后都是打開固定的端口，后來的木馬在植入時可隨機設(shè)定通信時打開的端口，具有了一定的隨機性。可是通過端口掃描很容易發(fā)現(xiàn)這些可疑的通信端口。事實上，目前的許多木馬檢測軟件正是通過掃描本地和遠程主機系統(tǒng)中打開的已知木馬端口進行木馬檢測的。木馬通信端口成為暴露木馬形蹤一個很不安全的因素。為此采用新技術(shù)的木馬對其通信形式進行了隱蔽和變通，使其很難被端口掃描發(fā)現(xiàn)。木馬為隱蔽通信形式所采用手段有:端口復(fù)用、反彈端口、潛伏技術(shù)[19]。 3.5.1端口復(fù)用技術(shù) 在w

64、insock的實現(xiàn)中，對于服務(wù)器的綁定是可以多重綁定的，在確定多重綁定 使用誰的時候，根據(jù)一條原則是誰的指定最明確則將包遞交給誰，而且沒有權(quán)限之分，也就是說低級權(quán)限的用戶是可以重綁定在高級權(quán)限如服務(wù)啟動的端口上的，這是非常重大的一個安全隱患[20]。 1、 一個木馬綁定到一個已經(jīng)合法存在的端口上進行端口的隱藏，他通過自己 特定的包格式判斷是不是自己的包，如果是自己處理，如果不是通過127.0.0.1的地址交給真正的服務(wù)器應(yīng)用進行處理。 2、 一個木馬可以在低權(quán)限用戶上綁定高權(quán)限的服務(wù)應(yīng)用的端口，進行該處 理信息的嗅探，本來在一個主機上監(jiān)聽一個Socket的通訊需要具備非常高的權(quán)限要求

65、，但其實利用Socket重綁定，可以輕易的監(jiān)聽具備這種SOCKET編程漏洞的通訊，而無須采用什么掛接，鉤子或低層的驅(qū)動技術(shù)(這些都需要具備管理員權(quán)限才能達到)[21]。 3、 針對一些的特殊應(yīng)用，可以發(fā)起中間人攻擊，從低權(quán)限用戶上獲得信息或 事實欺騙，如在guest權(quán)限下攔截telnet服務(wù)器的23端口，如果是采用NTLM加密認證，使用差異比較法對木馬程序進行防殺的技術(shù)探討雖然你無法通過嗅探直接獲取密碼，但一旦有admin用戶通過你登陸以后，你的應(yīng)用就完全可以發(fā)起中間人攻擊，扮演這個登陸的用戶通過Scoket發(fā)送高權(quán)限的命令，到達入侵的目的[22]。 4、 對于構(gòu)建的WEB服務(wù)器，入侵者

66、只需要獲得低級的權(quán)限，就可以完全達到 更改網(wǎng)頁目的，很簡單，扮演你的服務(wù)器給予連接請求以其他信息的應(yīng)答，甚至是基于電子商務(wù)上的欺騙，獲取非法的數(shù)據(jù)。其實，MS自己的很多服務(wù)的Socket編程都存在這樣的問題，telnet，ftp，http的服務(wù)實現(xiàn)全部都可以利用這種方法進行攻擊，在低權(quán)限用戶上實現(xiàn)對SYSTEM應(yīng)用的截聽。包括WZK+SP3的IIS也都一樣，那么如果你已經(jīng)可以以低權(quán)限用戶入侵或木馬植入的話，而且對方又開啟了這些服務(wù)的話，那就不妨一試。并且估計還有很多第三方的服務(wù)也大多存在這個漏洞[23]。 3.5.2反彈端口 反彈端口就是木馬針對防火墻所采用的技術(shù)[23]。因為防火墻可以監(jiān)視主機的進 出信息，故常常用來監(jiān)視系統(tǒng)和外界的聯(lián)系。防火墻對于向內(nèi)的鏈接往往會進行非常嚴格的過濾，對于向外的連接卻疏于防范。反彈端口木馬就是正是利用了防火墻的這個不足。與一般的木馬相反，反彈端口木馬使用主動端口，控制端使用被動端口。木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線，立即主動連接控制端打開的被動端口。為了隱蔽起見，控制端的被動端口一般開在TCP80。這樣，即使用戶