基于进程和通信隐藏的木马设计与实现
摘  要
    近年来，特洛伊木马等恶意代码己经成为网络安全的重要威胁。很多国家都采取积极的网络安全防御措施,投入大量的人力和物力研究网络信息安全技术。文章首先分析了传统木马的一般工作原理及其植入、加载、隐藏等关键技术。随着网络技术的不断更新和发展，木马技术也在不断地更新换代,现代木马的进程隐藏和通信隐藏等等都发生了变化。
    进程的隐藏和通信的隐藏一直是木马程序设计者不断探求的重要技术。攻击者为达到进程隐藏的目的，采用远程线程和动态链接库，将木马作为线程隐藏在其他进程中。选用一般安全策略都允许的端口通信,如80端口，则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。http://www.16sheji8.cn/
    本文研究了如何将Windows环境下的动态链接库(DLL)技术与远程线程插入技术结合起来实现特洛伊木马植入的新方案。在该方案中，提出了特洛伊木马程序DLL模块化,并且创建了独立的特洛伊木马植入应用程序，将木马程序的DLL模块植入宿主进程。实验结果证明该方案能实现的木马植入，具有很好的隐蔽性和灵活性。

关键词：特洛伊木马；动态连接库；进程插入；远程线程
 
The Design and Implementation of Trojan Horses Base on Process Hiding and Communications Hiding
Abstract
    In recent years, malicious codes including Trojan have threatened network information security, and more and more countries paid attention to take active measures to protect the network, and spent a lot in research to develop network information security technology mentally and materially. This paper firstly analyses the basic principle, entry technology, load technology and hiding technology of traditional Trojan horse. With the development of network technology, Trojan horse technology is upgrading constantly. Modern Trojan horse is changed in process hiding and communication hiding.http://www.16sheji8.cn/
 The process hiding and communications hiding are important technology being explored by Trojan horse programmers all long. Adopting the measure of dynamic link storage, and Remote Thread technology, and hiding Trojan horse behind the other processes as a thread program, it is easy to hide. Choosing the port correspondence which is permitted by almost all the ordinary security policy, likes 80port, may easily penetrate the firewall and avoid the examine of security systems as invasion-checking mechanisms and so on. Thus, it has a very strong covered.
    This paper is implemented the injection of Trojan horse by combining the technology of DLL (dynamic linking library) and of remote thread injection on the Windows platform. In this paper, modularization of Trojan horse process is proposed to create an independent Trojan horse injection process, thus, to inject Trojan horse DLL module to the host process. Experimental results show that the program could realize the Trojan injected with good covered and flexibility.

Key Words：Trojan Horse；DLL；Process Injection；Remote Thread
目  录
论文总页数：23页
1 引言 1
2 特洛伊木马简介 1http://www.16sheji8.cn/
2.1 认识木马 2
2.2 木马原理 2
2.3 木马的危害 3
2.4 常见木马的介绍 3
3 木马隐藏概述 4
3.1 本地隐藏 4
3.2 通信隐藏 8
4 隐藏技术的实现 10
4.1 隐藏进程 10
4.2 隐藏通信 14
4.3 木马功能的实现 15
5 系统测试 19
5．1 功能测试 19
5．2 性能测试 20
结    论 21
参考文献 21
致    谢 22
声    明 23

1 引言
     近年来，黑客攻击层出不穷，对网络安全构成了极大的威胁。2006年底，我国互联网上大规模爆发“熊猫烧香”木马病毒及其变种，该木马病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、ＱＱ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。
木马是黑客的主要攻击手段之一，它通过渗透进入对方主机系统，从而实现对目标主机的远程操作，破坏力相当之大。http://www.16sheji8.cn/
到目前为止，木马的发展已经经历了五代
1．第一代木马只是实现简单的密码窃取、发送等，在隐藏和通信方面均无特别之处。
2．第二代木马以文件关联方式启动，通过电子邮件传送信息。在木马技术发展史上开辟了新的篇章。其典型代表是冰河，
3．第三代木马的信息传输方式有所突破，采用ICMP协议，增加了查杀的难度。
4．第四代木马在进程隐藏方面获得了重大突破，采用插入内核的嵌入方式。利用远程插入线程技术，嵌入DLL线程或挂接PSAPI等，实现木马程序的隐藏。利用反弹端口技术突破防火墙限制。在Windows NT/2000下取得了良好的隐藏效果。
5.第五代木马与病毒紧密结合。利用操作系统漏洞，直接实现感染传播目的，而不必像以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马—噩梦Ⅱ。
    现在的黑客技术已经越来越完善，精通各种攻击技术的人才也越来越多，现在流行的木马都主要是针对网上银行交易、网上证券交易以及各种网络游戏，木马的危害已经越来越大，木马这个课题有着重要的研究意义。
  2 特洛伊木马简介
    特洛伊木马( Trojan Horse)，以下简称木马，取名自希腊神话“特洛伊木马记”，是指一类伪装成合法程序或隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为，或者为非授权访问系统的特权功能而提供后门。木马的首要特征是它的隐蔽性,为了提高自身的生存能力，木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。近年来，随着windows操作系统普及，基于图形操作的木马程序出现，许多不太懂计算机编程的人也能熟练操作木马，大肆危害网络安全木马的发展。
    2.1 认识木马http://www.16sheji8.cn/
一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。
1．硬件部分
建立木马连接所必须的硬件实体。具体包括：
（1）客户端：对服务器端进行远程控制的一方。
（2）服务端：被控制端远程控制的一方。
（3）Internet：控制端对服务端进行远程控制，远程传输的网络载体。
2．软件部分
实现远程控制所必须的软件程序。具体包括：
（1）客户端程序：控制端用以远程控制服务端的程序。
（2）木马程序：潜入服务端内部，获得其操作权限的程序。
（3）木马配置程序：设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏的更隐蔽的程序。
3． 连接部分
    木马进行数据传输的目的地。具体包括：
    客户端端口、木马端口：即客户端、服务端的数据入口，通过这个入口数据可直达控制端程序或木马程序。
  2.2 木马原理
    木马攻击网络原理大致可以分为六个步骤：
    1.配置木马
    一般来说，一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为实现以下两个功能，木马伪装和信息反馈。http://www.16sheji8.cn/
    2.传播木马
    木马的传播方式主要有两种：一种是通过E-mail，客户端将木马程序以附件的形式夹在邮件中发送出去，收件人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载的名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。
    3.运行木马
    服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。当满足触发条件时，木马被激活，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。
    4.信息泄露
    木马成功安装后收集一些服务端的软件硬件信息，并通过E-mail、IRC等方式告知客户端用户。
    5.建立连接
    一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是客户端、服务端都要在线。在此基础上，客户端可以通过木马端口与服务端建立连接。http://www.16sheji8.cn/
    6.远程控制
    木马连接成功后，客户端口和服务端口之间会出现一条通道，客户端上的控制端程序可借此通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实施破坏行动。