1、“.....感谢学院提供的良好的实验环境和学习氛围。感谢我的导师老师，汪老师严谨的治学态度，勤奋的工作精神永远是我学习的榜样。感谢这近四年来曾给予我帮助和教导的老师们，他们的人格魅力和谆谆教诲令我铭记在心。最后，感谢我的室友以及所有帮助过我的同学，正是他们热心的帮助和鼎力的支持才使我获得了不断前进的动力，同时也要感谢那些在我遇到困难时给予我鼓励的亲人和朋友们,数。在使用钩子时可以根据其监视范围的不同将其分为全局钩子和线程钩子两大类，其中线程钩子只能监视个线程，而全局钩子则可对在当前系统下运行的所有线程进行特洛伊木马程序的设计与实现第四章远程控制木马的设计监视。显然，线程钩子可以看作是全局钩子的个子集......”。

2、“.....远程线程插入技术本系统通过使用远程线程将主程序插入到目标进程的地址空间，即利用目标进程中的线程调用函数加载主程序，从而实现目标监控子系统的植入。由于除了自己进程中的线程外，我们无法随意地控制其他进程中的线程，因此需要在目标进程中创建个新线程，对于自己创建的线程我们就能够控制它执行相应的代码。创建远程线程在另个进程中创建我们控制的远程线程需要调用应用程序接口函数参数为指向拥有新创建线程的进程即目标进程的句柄参数指明远程线程进入点函数的内存地址，由于是将该线程插入目标进程地址空问中，因此该地址应该是与目标进程地址空间相关的，而不能位于本地进程的地址空间参数传递远程线程进入点函数的调用参数......”。

3、“.....参数不能使用对的直接引用，因为这会造成将形实替换程序的地址作为远程线程的起始地址来传递，结果会造成访问违规。因此调用之前需要调用函数，获取的准确内存位置，其次，参数也不能直接引用主程序路径名字符串。因为路径名字符串是在本地进程的地址空间中，该字符串的地址作为远程线程函数的参数被赋予远特洛伊木马程序的设计与实现第四章远程控制木马的设计程线程，当取消对内存地址的引用时，路径名字符串将不再存在，此时远程线程就会发生访问违规。因此，必须将主程序的路径名字符串放入目标进程的地址空间，将放置该字符串的相对于目标进程的地址传递给函数。在本地进程中为字符串分配目标进程地址空间中的内存需要使用函数，......”。

4、“.....第三，还需要将该路径名字符串从本地进程的地址空间拷贝到目标进程的地址空间中，使用和函数能够从目标进程的地址空间中读取数据，并将数据写入目标进程的地址空间，，。其中参数为指向目标进程的句柄，参数指明目标进程中读取数据的地址，参数为本地进程中的内存地址，参数是需要传送的字节数，和用于指明实际传送的字节数。当函数返回时，可查看这两个参数的值。远程线程进入点函数这里指函数地址和主程序路径名处理好之后，就可以正式调用函数创建远程线程，从而加载主程序。加载主程序现在考虑如何由远程线程调用函数加载主程序。比较特洛伊木马程序的设计与实现第四章远程控制木马的设计函数与远程线程进入点函数的原型Ⅳ二者原型非常相似，都接受单个参数，都返回个值......”。

5、“.....因此，如果将远程线程函数的地址指定为函数，且将的参数即主程序路径名的地址作为远程线程进入点函数的参数传递，则当创建远程线程时，该线程将立即调用函数，并将主程序的路径名地址传递给它，从而由加载指定的主程序。隐蔽通信技术木马程序运行后，植入目标计算机的服务端会通过不同的方式和客户端进行通信，将在目标计算机上搜集的的数据传递给客户端。木马客户端和服务器端的通信安全性技术隐含两部分通信的隐蔽性及通信的可靠性技术。通信隐藏技术从种意义上来说也是木马隐藏技术的部分。所谓隐蔽通信就是在用户毫无感知的情况下完成木马客户端与服务器端的数据交互。首先明确用户在什么情况下可以察觉与外界的异常数据交流，用户感知到非正常数据流通的征兆无非通过以下几种途径利用查看连接......”。

6、“.....当安装有防火墙时，防火墙有异常连接警报。用网络嗅探器如，分析数据流的时候，有异常数据流通过。早期的木马使用和传输数据的方法。通常是利用与目标主机的指定端口建立起连接，使用和等进行数据的传递，这种方法的缺点是隐蔽性比较差，往往容易被些工具软件查看到，最简单的，比如在命令行状态下使用命令，就可以查看到当前的活动和连接。因此如何隐藏和外界联系的端口对木马来说非常重要。当前端口隐藏主要有种寄生寄生是指木马寄生在个己经打开的正常的端口，如端口，平时只是监听，遇到特殊的指令就进行解释执行。因为此时木马实际上是寄生在已有的系统服务之上的，因此，在扫描查看系统端口的时候是不会发现异常，但用久了会造成系统工作不正常，因而也可能被发现......”。

7、“.....从而可以骗过和其它的端口扫描软件。种比较常见的潜伏手段是使用协议，是互联网控制消息协议，它是协议族的附属协议，它是由内核或进程直接处理而不需要通过端口。个最常见的特洛伊木马程序的设计与实现第四章远程控制木马的设计协议的例子就是，它利用了的回显请求和回显应答报文。个普通的木马会监听报文，当出现特殊的报文时，例如特殊大小的包特殊的报文结构等，它会打开端口等待客户端的连接。本地可以看到状态为的链接如果端口的最大连接数设为，在远程使用方法进行端口扫描没有办法发现。个木马会严格地使用协议来进行数据和控制命令的传递数据放在的报文中，在整个过程中，如果不使用嗅探器软件来分析网络流量，是不可见的。反弹端口技术当前......”。

8、“.....因而可以监视木马和外界的联系。防火墙对于向内的连接往往会进行非常严格的过滤，对于向外的连接却疏于防范。本系统采用反弹端口技术进行信息的安全通信。反弹端口技术是采用服务端被控制端主动向外发送信息主动与客户端控制端进行连接的技术。木马程序定时监测控制端的存在，发现控制端上线立即弹出端口主动连接控制端，为了隐蔽起见，控制端的被动端口般开在。这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似这种情况，用户可能误认为是自己在浏览网页。本系统中采用了利用本地固定坤的第三方存储设备来进行地址的传递。系统的开发工具随着计算机应用的发展，开发工具的种类越来越多，功能也越来越强大。不同的开发工具在开发应用中有不同的优点和侧重点......”。

9、“.....既能更好地实现系统功能，也能大大减轻开发难度，减少开发工作量，加速开发进程。选择开发工具，要根据应用程序的实际开发需求进行选择。应用程序的开发发展到今天，良好的用户界面是个应用程序开发好坏的基础和最直观的条件。网络监控系统的实现不可避免会涉及到用户界面的开发操作，友好的用户界面可以使系统操作简单直观，增加其应用度。现在的程序设计方法已由过去的结构化程序设计发展为面向对象的程序设计。在面向对象的程序设计开发中，可以很轻易方便地实现用户界面的开发，获得良好的用户界面。当前流行的各种开发工具，如等等开发软件都是面向对象的开发工具，都可以很容易完成用户界面开发的工作。从用户界面的开发方面来考虑，可以选择当前常用的面向对象的开发工具中的任何种......”。