杀死进程 后门模块 木马的捆绑 测试 结论 参考文献 引言 计算机安全背的实现 远程线程插入模块的实现 自启动模块 提升权 对功能的规定 运行环境规定 设计与实现 木马程序的总体设计 程序设计环境 木马结构 程序结构 程 木马名称的由来 木马病毒发展史 木马未来的发展方向 关 。， 论文总页数页 引言 计算机安全背景 木马发展现状 研究木马原理的重要性 本课题的设计目的及意义 相关理论基础 木马的发展过程 木马，使人谈冰色 变的冰河，号称地狱巴士的，网络间谍广外女生等等都是经 典的木马。木马作为黑客的攻击手段之，它对系统具有强大的控制功能。个 功能强大的木马旦被植入您的机器，攻击者就可以像操作自己的机器样控制 您的机器，甚至可以远程监控您的所有操作，其破坏力是不容忽视的。对于用 户而言，木马病毒的危害是巨大的，它使用户的计算机随时暴露于黑客的控制监 视之下，黑客们可以轻易地窃取自己感兴趣的数据并传输到指定的计算机中，这 较之传统病毒够隐蔽地随时向外发送指定信息，甚至具备 远程交互能力而成为黑客们钟爱的后门工具。臭名昭著的 论文总页数页 引言 计算机安全背景 木马发展现状 研究木马原理的重要性 本课题的设计目的及意义 相关理论基础 木马的发展过 ， 。 ，部分内容简介部分内容简介 ， 。， 论文总页数页 引言 计算机安全背景 木马发展现状 研究木马原理的重要性 本课题的设计目的及意义 相关理论基础 木马的发展过程 木马名称的由来 木马病毒发展史 木马未来的发展方向 关键技术 远程线程插入 动态链接库技术 需求分析 任务目标概述 对功能的规定 运行环境规定 设计与实现 木马程序的总体设计 程序设计环境 木马结构 程序结构 的实现 远程线程插入模块的实现 自启动模块 提升权限模块 进程名转化为 的实现 向客户端提供立个命令行 查看当前所有进程 杀死进程 后门模块 木马的捆绑 测试 结论 参考文献 引言 计算机安全背景 计算机网络技术的飞速发展和普及应用，使人们充分享受网络带来的种种便 利，与此同时，也对网络与系统安全提出了更高的要求。近年来，随着社会及家 庭网络应用的大量普及，计算机信息安全越来越成为人们重视与关心的焦点问题。 在用户享受宽带网络带来的便利与快捷的同时，也为各类严重威胁计算机信息安 全的病毒提供了方便之门。据有关部门连续三年调查表明，年约的计算 机用户曾感染过病毒，其中，感染三次以上的用户高达到了年，受感 受的用户上升到近年上半年又增加到，并呈现出继续上升趋势。在 众多病毒当中，木马病毒由于具备能够隐蔽地随时向外发送指定信息，甚至具备 远程交互能力而成为黑客们钟爱的后门工具。臭名昭著的，使人谈冰色 变的冰河，号称地狱巴士的，网络间谍广外女生等等都是经 典的木马。木马作为黑客的攻击手段之，它对系统具有强大的控制功能。个 功能强大的木马旦被植入您的机器，攻击者就可以像操作自己的机器样控制 您的机器，甚至可以远程监控您的所有操作，其破坏力是不容忽视的。对于用 户而言，木马病毒的危害是巨大的，它使用户的计算机随时暴露于黑客的控制监 视之下，黑客们可以轻易地窃取自己感兴趣的数据并传输到指定的计算机中，这 较之传统病毒只能破坏用户数据的危 这种病毒通过伪装成个合法性程序诱骗用户上当。世界上第个计算机木 马是出现在年的木马。它伪装成共享软件的版本事 实上，编写的公司从未发行过版本，旦用户信以为真 运行该木马程序，那么他的下场就是硬盘被格式化。此时的第代木马还不具备 传染特征。 第二代木马型木马 继之后，年出现了木马。由于当时很少有人使用电子邮 件，所以的作者就利用现实生活中的邮件进行散播给其他人寄去封封含 有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有和疾 病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会 破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二 代木马已具备了传播特征尽管通过传统的邮递方式。 第三代木马网络传播性木马 随着的普及，这代木马兼备伪装和传播两种特征并结合网 络技术四处泛滥。信息传输方式有所突破，采用协议，增加了查杀的难度。 同时他还有新的特征 第添加了后门功能。所谓后门就是种可以为计算机系统秘密开启 访问入口的程序。旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。 该功能的目的就是收集系统中的重要信息，例如，财务报告口令及信用卡号。 此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。由于 后门是隐藏在系统背后运行的，因此很难被检测到。它们不像病毒和蠕虫那样通 过消耗内存而引起注意。 添加了击键记录功能。从名称上就可以知道，该功能主要是记录用户所有的 击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到 用户名口令以及信用卡号等用户信息。这代木马比较有名的有国外的 和国内的冰河木马。它们有如下共同特点基于网络的客户端服 务器应用程序。具有搜集信息执行系统命令重新设置机器重新定向等功 能。当木马程序攻击得手后，计算机就完全在黑客控制的傀儡主机，黑客成了超 级用户，用户的所有计算机操作不但没有任何秘密而言，而且黑客可以远程控制 傀儡主机对别的主机发动攻击，这时候背俘获的傀儡主机成了黑客进行进步攻 击的挡箭牌和跳板。 第四代木马 在进程隐藏方面获得了重大突破，采用插入内核的嵌入方式利用远程插入 线程技术嵌入线程或挂接等，实现木马程序的隐藏，利用反弹端 口技术突破防火墙限制，在下取得了良好的隐藏效果。 第五代木马 与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象 以前的木马那样需要欺骗用户主动激活。 木马未来的发展方向 传统的端对端连接会被抛弃，未来木马要么采用非的 族数据包，如方式，增加了查杀的难度，它们十分隐蔽，如果不对数 据包详细分析，很难查出木马入侵要么采用寄生端口例如我们进行 操作时打开号端口，当我们进行操作时，木马也可同时通过号端口 与服务端进行连接，这样木马传输的数据包和正常的数据包很难区分开来。 在传播方式上，未来木马会和病毒样，采用交叉式迅速大规模扩散，并 且运行方式越来越隐蔽。 将更注重底层的通讯编程，如针对网卡和的通讯编程，这样可 以避开防火墙的监视和过滤。 采取虚拟设备驱动程序及动态链接库技术，伪装隐藏方式 更隐蔽。据悉，目前已有采用此种方式编写的木马。采用这种方式编写的木马与 般的木马不同，它基本上摆脱了原有的木马模式，而采用动态嵌入远程 线程技术。这样做的结果是系统中没有增加新的文件，不需要打开新的端口，没 有新的进程。在正常运行时木马几乎没有任何的症状，而旦木马的控制端向被 控端发出特定的信息后，隐蔽的程序就立即开始动作。 关键技术 远程线程插入 更好的隐藏方式是使木马程序不以进程和服务的方式存在，而是完全溶入系 统内核。因此，在设计时，我们不应把它做成个应用程序，而是做成个可以 注入应用程序地址空间的线程。该应用程序必须确保绝对安全，这样才能达到彻 底隐藏的效果，增加查杀的难度。线程注入式木马采用动态嵌入技术将自己的代 码嵌入正在运行的进程中。中每个进程都有自己的私有内存空间，其他 进程不得对该私有空间进行操作，但实际上，有很多方法可操作私有空间。动态 嵌入技术很多，如窗口挂接远程线程等。 向单线程插入木马的研究 摘要 随着互联网的迅速普及和应用的不断发展，各种黑客工具和网络攻击手段也 层出不穷，网络攻击导致用户利益受到损害，其中木马攻击以其攻 击范围广隐蔽性危害大等特点成为常见的网络攻击技术之，对网络安全造 成了极大的威胁。系统实现了个线程插入木马，在中，木马被注入 进程，然后它打开个线程在端口监听，使其不被发现。木马运 行后将自动将自身复制到系统下，并且将其命名为个类似系统文件的名字， 使得管理员在众多的系统文件中，不敢轻易删除文件。防止杀毒软件和防火墙报 警，并且尽量避免被系统管理员的察觉，减少被发现的概率。论文介绍了木马的 定义原理分类及其发展趋势。介绍了线程插入，自动运行等技术及其应用。 讨论了在系统平台下自动运行的方法，并且给出了部分实现代码。重 点描述了个木马的设计及的实现。本文在木马隐藏部分做了研究。 关键词木马线程插入隐藏后门 ， ， ， ， ， ，