摘 要
随着互联网的迅速普及和应用的不断发展,各种黑客工具和网络攻击手段也层出不穷,网络攻击导致用户利益受到损害,其中木马(Trojan Horse)攻击以其攻击范围广、隐蔽性、危害大等特点成为常见的网络攻击技术之一,对网络安全造成了极大的威胁。系统实现了一个线程插入木马,在Windows XP中,木马被注入EXPLORER进程,然后它打开一个线程在2048端口监听,使其不被发现。木马运行后将自动将自身复制到系统目录下,并且将其命名为一个类似系统文件的名字,使得管理员在众多的系统文件中,不敢轻易删除文件。防止杀毒软件和防火墙报警,并且尽量避免被系统管理员的察觉,减少被发现的概率。论文介绍了木马的定义、原理、分类及其发展趋势。介绍了线程插入,自动运行等技术及其应用。讨论了在WINDOWS系统平台下自动运行的方法,并且给出了部分实现代码。重点描述了一个木马的设计及Visual C++的实现。本文在木马隐藏部分做了研究。
关键词:木马;线程插入;隐藏;后门
Design and implement of thread inject Trojan horsehttp://www.16sheji8.cn/
Abstract
With the rapid popularization of the Internet and the constantly development of its application, various kinds of hacker tools and Internet attack methods have also appeared. These attacks have seriously damaged the interests of the Internet users. Among these attacks, Trojan horse has been a rather popular one because of its extensive range of attack, the disguise for the self-protection and the enormous harmfulness. In Windows XP, the Trojan horse is injected into process Explorer, and then it creates a thread to listen at port 2048, which make it hard to find out. The Trojan horse will be copied to the systematic catalogue automatically after it is operated, and will be named as similar one of the systematic files, which make administrators dare not to delete the file easily among the numerous systematic file .The Trojan horse avoids antivirus software, fire wall’s alarm, the perception of the system manager and decrease probability of being detected Trojan horse. In this thesis, we firstly point out some basic ideas of the Trojan horse which includes its definition, principle, classification and the development trends. We introduce some techniques about its injecting, auto-loading, and its applications. The methods of its auto-running in windows operating system platform are also discussed in this paper, and the crucial fractions of its implement is presented。In this thesis, the author makes a key description on the design of a Trojan horse and implementation with Microsoft Visual C++. This thesis is lucubrated on the part of Trojan horse hiding.
Key words: Trojan horse;Thread inject;Hide; Back door
目 录
论文总页数:25页
1 引言 1http://www.16sheji8.cn/
1.1 计算机安全背景 1
1.2 木马发展现状 1
1.3 研究木马原理的重要性 1
1.4 本课题的设计目的及意义 1
2 相关理论基础 2
2.1 木马的发展过程 2
2.1.1 “木马”名称的由来 2
2.1.2 木马病毒发展史 2
2.1.3 木马未来的发展方向 4
2.2 关键技术 4
2.2.1 远程线程插入 4
2.2.2 动态链接库技术 7
3 需求分析 8
3.1 任务目标概述 8http://www.16sheji8.cn/
3.2 对功能的规定 9
3.3 运行环境规定 9
4 设计与实现 9
4.1 木马程序的总体设计 9
4.1.1 程序设计环境 9
4.1.2 木马结构 10
4.1.3 程序结构 10
4.2 EXCUTEDLLTEST.EXE的实现 12
4.2.1 远程线程插入模块的实现 12
4.2.2 自启动模块 14http://www.16sheji8.cn/
4.2.3 提升权限模块 15
4.2.4 进程名转化为PID 15
4.3 DLLTEST.DLL的实现 17
4.3.1 向客户端提供立一个命令行shell 17
4.3.2 查看当前所有进程 18
4.3.3 杀死进程 19
4.3.4 后门模块 19
4.4 木马的捆绑 21
5 测试 21
结 论 22http://www.16sheji8.cn/
参考文献 23
致 谢 24
声 明 25
1 引言
1.1 计算机安全背景
计算机网络技术的飞速发展和普及应用,使人们充分享受网络带来的种种便利, 与此同时,也对网络与系统安全提出了更高的要求。近年来,随着社会及家庭网络应用的大量普及,计算机信息安全越来越成为人们重视与关心的焦点问题。在用户享受宽带网络带来的便利与快捷的同时,也为各类严重威胁计算机信息安全的病毒提供了方便之门。据有关部门连续三年调查表明,2001年约73%的计算机用户曾感染过病毒,其中,感染三次以上的用户高达59%;到了2002年,受感受的用户上升到近84%;2003年上半年又增加到85%,并呈现出继续上升趋势。 在众多病毒当中,木马病毒由于具备能够隐蔽地随时向外发送指定信息,甚至具备远程交互能力而成为黑客们钟爱的后门工具。臭名昭著的BO , 使人谈“冰”色变的冰河,号称“地狱巴士”的NetBus,“网络间谍” “广外女生”等等都是经典的木马。木马作为黑客的攻击手段之一, 它对系统具有强大的控制功能。一个功能强大的木马一旦被植入您的机器, 攻击者就可以像操作自己的机器一样控制您的机器, 甚至可以远程监控您的所有操作, 其破坏力是不容忽视的。对于用户而言,木马病毒的危害是巨大的,它使用户的计算机随时暴露于黑客的控制监视之下,黑客们可以轻易地窃取自己感兴趣的数据并传输到指定的计算机中,这较之传统病毒只能破坏用户数据的危害又大了许多。http://www.16sheji8.cn/
1.2 木马发展现状
目前大部分的木马都为第四代木马,其特点为:在进程隐藏方面获得了重大突破,采用插入内核的嵌入方式、利用远程插入线程技术、嵌入DLL线程、或挂接PSAPI等,实现木马程序的隐藏,利用反弹端口技术突破防火墙限制,在Windows 2000/xp下取得了良好的隐藏效果。也有相当数量的的五代木马肆虐,其特点为:与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活。随着攻击和防范技术不断的发展,目前已经出现了内核级的WINDOWS木马,如NTrootkit等,采取虚拟设备驱动程序(VXD),更注重底层的通讯编程。相信不久的将来,将有更多的内核级木马出现。http://www.16sheji8.cn/
1.3 研究木马原理的重要性
木马程序使得远端的黑客能够享有系统的控制权,对网络和计算机系统的安全构成了极大的威胁。“知己知彼,百战不殆”,作为专业的网络安全工作者,如果想找出防御木马攻击的有效途径,就必须认真地研究木马攻击的技术。在研究木马攻防的过程中,如果能够理清木马攻击手段的发展脉络,就有可能进一步找出木马发展的趋势,并提早思考应对策略。如传统的木马一般直接利用TCP/IP协议进行控制端和被控制端通信,这种通信可以使用snifer工具监听。分析该通信的特征就可以从中寻找木马的蛛丝马迹。基于网络的木马入侵探测系统的工作原理正是通过对网络上传输的实际分组的内容进行测试、对分组结构进行识别来分析网络中使用的协议并从其中抽取木马相关信息。一旦木马开发者利用诸如隐蔽信道之类的技术使得信道不再具有明显的特征,对此类检测手段将产生致命性的打击。网络安全工作者必须未雨绸缪,对此先行研究以期及早提出应对方案。http://www.16sheji8.cn/
木马攻击与防范是矛盾的两个方面,攻击和防范技术在不断地相互较量中也不断地相互促进,这个过程还将依然持续下去。
1.4 本课题的设计目的及意义
本课题涉及到的是现在不管是政府机构,公司,还是个人都关心的网络安全问题。当前的这个问题对于每个人都是首先要面对的问题。那么我们应当怎么去应对这个问题呢,“知己知彼,百战不殆”,只有知道黑客是怎么样去攻击,怎样实现他们的木马。在熟悉木马的各方面的实现原理、关键技术后,就能基本上对付黑客的攻击,维护自己的利益,保证自己的机密信息不被泄漏,把自己损失降到最低点。本文介绍了一些最基本的网络及个人电脑的安全问题,还设计实现了一个简单木马,并且还介绍了木马程序的高级技巧和未来的趋势。本文介绍木马编程的一般技巧,并不是教人去如何攻击他人,目的只是让大家了解木马的工作原理和简单的编写步骤,以便更好地防范和清除木马,维护我们自己应有的网络安全。http://www.16sheji8.cn/
本次设计侧重于设计实现一个简单木马。该木马是在Windows平台下,利用Visual C++6.0进行编程,大量调用Windows API进程编程,并且使用了DLL技术进行模块化设计。这种设计方法有利于锻炼Windows 程序员模块设计能力,和不同模块的接口问题。这不仅可以使我们学习和理解到网络安全方面的基本知识、木马的基本原理和实现方法,而且有利于对于Windows编程有更深入的理解,拓宽知识面,增强我们对网络安全防范的意识,不管是对于学习、生活还是生产实践都有很大的意义。http://www.16sheji8.cn/
