了内核级的木马，如等，采取虚拟设备驱动程序，更注重底层的通讯编程。

相信不久的将来，将有更多的内核级木马出现。

研究木马原理的重要性木马程序使得远端的黑客能够享有系统的控制权，对网络和计算机系统的安全构成了极大的威胁。

知己知彼，百战不殆，作为专业的网络安全工作者，如果想找出防御木马攻击的有效途径，就必须认真地研究木马攻击的技术。

在研究木马攻防的过程中，如果能够理清木马攻击手段的发展脉络，就有可能进步找出木马发展的趋势，并提早思考应对策略。

如传统的木马般直接利用协议进行控制端和被控制端通信，这种通信可以使用工具监听。

分析该通信的特征就可以从中寻找木马的蛛丝马迹。

基于网络的木马入侵探测系统的工作原理正是通过对网络上传输的实际分组的内容进行测试对分组结构进行识别来分析网络中使用的协议并从其中抽取木马相关信息。

旦木马开发者利用诸如隐蔽信道之类的技术使得信道不再具有明显的特征，对此类检测手段将产生致命性的打击。

网络安全工作者必须未雨绸缪，对此先行研究以期及早提出应对方案。

木马攻击与防范是矛盾的两个方面，攻击和防范技术在不断地相互较量中也不断地相互促进，这个过程还将依然持续下去。

本课题的设计目的及意义本课题涉及到的是现在不管是政府机构，公司，还是个人都关心的网络安全问题。

当前的这个问题对于每个人都是首先要面对的问题。

那么我们应当怎么去应对这个问题呢，知己知彼，百战不殆，只有知道黑客是怎么样去攻击，怎样实现他们的木马。

在熟悉木马的各方面的实现原理关键技术后，就能基本上对付黑客的攻击，维护自己的利益，保证自己的机密信息不被泄漏，把自己损失降到最低点。

本文介绍了些最基本的网络及个人电脑的安全问题，还设计实现了个简单木马，并且还介绍了木马程序的高级技巧和未来的趋势。

本文介绍木马编程的般技巧，并不是教人去如何攻击他人，目的只是让大家了解木马的工作原理和简单的编写步骤，以便更好地防范和清除木马，维护我们自己应有的网络安全。

本次设计侧重于设计实现个简单木马。

该木马是在平台下，利用进行编程，大量调用进程编程，并且使用了技术进行模块化设计。

这种设计方法有利于锻炼程序员模块设计能力，和不同模块的接口问题。

这不仅可以使我们学习和理解到网络安全方面的基本知识木马的基本原理和实现方法，而且有利于对于编程有更深入的理解，拓宽知识面，增强我们对网络安全防范的意识，不管是对于学习生活还是生产实践都有很大的意义。

相关理论基础木马的发展过程木马名称的由来木马是个计算机的词汇，但是他却是来源于古希腊。

古希腊神话木马屠城记记录有这样的故事，说的是有个美丽而妖艳的女孩嫁给了希腊的王子，但是最终却被特洛伊城的王子吸引并私奔回到了特洛伊城，希腊人于是把发兵把该城围住，但是围了十年都没有攻下，后来希腊人想出了条计策，他们把士兵藏在匹匹木头做的马这就是木马的来历里面，并且引诱特洛伊人把这些木马当成战利品夺回城中，到了半夜，这些木马的士兵跳出来，和城外的希腊士兵里应外合，最终把特洛伊城攻下了。

在计算机领域的有这样类代码，他们很短小精悍，往往只有几十，常常伪装或者隐藏在合法程序中，这些代码或者执行特定的恶意行为，或者为非授权访问系统的特权功能提供后门。

他们的最大的特征是隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现，系统表现也正常，这些代码的行为和木马屠城记中原始的木马的特征相同，所以在计算机领域里面，就用木马来称呼这样的类代码。

木马病毒发展史第代木马伪装型病毒这种病毒通过伪装成个合法性程序诱骗用户上当。

世界上第个计算机木马是出现在年的木马。

它伪装成共享软件的版本事实上，编写的公司从未发行过版本，旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。

此时的第代木马还不具备传染特征。

第二代木马型木马继之后，年出现了木马。

由于当时很少有人使用电子邮件，所以的作者就利用现实生活中的邮件进行散播给其他人寄去封封含有木马程序软盘的邮件。

之所以叫这个名称是因为软盘中包含有和疾病的药品，价格，预防措施等相关信息。

软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。

可以说第二代木马已具备了传播特征尽管通过传统的邮递方式。

第三代木马网络传播性木马随着的普及，这代木马兼备伪装和传播两种特征并结合网络技术四处泛滥。

信息传输方式有所突破，采用协议，增加了查杀的难度。

同时他还有新的特征第添加了后门功能。

所谓后门就是种可以为计算机系统秘密开启访问入口的程序。

旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。

该功能的目的就是收集系统中的重要信息，例如，财务报告口令及信用卡号。

此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。

由于后门是隐藏在系统背后运行的，因此很难被检测到。

它们不像病毒和蠕虫那样通过消耗内存而引起注意。

添加了击键记录功能。

从名称上就可以知道，该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。

恶意用户可以从中找到用户名口令以及信用卡号等用户信息。

这代木马比较有名的有国外的和国内的冰河木马。

它们有如下共同特点基称进程号，在本进程中拍个所有模块的快照遍历快照中记录的模块，杀死进程杀死目标进程，是利用函数，具体代码如下所示，后门模块这是中最重要的个模块，完成了后门功能和大部分的远程控制功能。

此模块作为个单独的线程运行，会在本机端口监听，等待连接。

当连接成功并通过密码验证后等待客户端命令，直到客户端退出。

密码验证代码，部分控制部分代码，将鼠标锁定在固定区域鼠标被锁咯设置锁定区域大小限制鼠标移动区域，将鼠标解锁设置锁定区域大小我这个人就是心太软重启被控端看你不爽，重启下，小马乖不乖啊，嘿嘿，关闭被控端木马的捆绑为了使木马更易被植入，所以将与捆绑成个文件如图，然后再进行植入。

下面用个不容易被查杀的捆绑方法使用捆绑。

利用的自解压和档案运行功能可以实现捆绑机的基本要求。

首先我们选定三个文件，及，点击右键选添加到。

然后双击打开生成的这个档案，点击工具栏上的自解压图标。

在弹出的对话框中选择高级自解压选项。

在解压路径中填入你要解压的路径，表示系统的安装，路径为档案夹。

解压缩之后运行中输入木马的服务端，解压缩之前后运行中输入。

此处有定的欺骗性。

生成后的程式运行时会先调用默认关联的图片查看程式来打开，等关闭这个图片查看程式后才会去运行，可以起到定的迷惑作用，所以顺序定不能颠倒，否则就露馅了。

然后点击高级标签，选择全部隐藏和覆盖所有档案这两个选项。

这两个选项是为了不让解压的时候弹出窗口。

然后点击文字和图标标签，选择你喜欢的图标吧。

点击两下确定返回，在同个下就会生成个与同名的档案，这个就是捆绑后的档案了。

你也可以给档案更名。

优点图捆绑后的木马捆绑的档案是不容易被杀的，不用担心哪天杀毒软体会瞄上你的捆绑机。

等第个正常程序运行结束后再运行服务端，有定的迷惑性。

测试将捆绑好的木马发送给测试机器假设为，欺骗其执行，然后打开命令行模式输入命令连接成功后会出现如下字符，接着输入密码后会出现提示符，此时输入会出现帮助菜单，或者输入控制命令来控制远程主机。

最后输入退出。

经多次测试，此程序能运行正常，基本没有，且能逃过瑞星卡巴斯基等杀毒软件的查杀。

测试结果如表表测试结果表结论黑客技术在当今受到越来越受到关注，但是把利器在英雄手里就是斩妖除魔宝剑，在魔鬼手里就是掀风作乱的工具。

在这里只是对技术进行探讨。

研究木马不是为了学会攻击他人，而是在研究木马的同时，学会怎么保护自己。

本文阐述了木马的基本原理和发展方向。

重点研究了线程插入式木马的实现，本木马实现了将封装成的木马后门插入进程，并且在端口输入操作预期结果测试结果连接服务端显示显示输入密码出现提示符出现提示符帮助显示帮助信息显示帮助信息重启重启服务端主机重启服务端主机关机关闭服务端主机关闭服务端主机显示进程列表显示服务端当前进程列表显示服务端当前进程列表为关闭进程将为的进程关闭将为的进程关闭退出退出服务端，可再次连接退出服务端，可再次连接退出退出服不可再次连接务端退出服不可再次连接务端„„„„„„„„监听。

本文在木马隐藏部分作了些研究，具有较好的隐藏能力。

本次设计在系统下，在环境下进行编程实现了木马的功能。