远程管理程序服务端的隐藏启动设计
1.无需注册登录,支付后按照提示操作即可获取该资料.
2.资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用.
密 惠 保
摘要
近几年来,随着网络的迅速普及,各种黑客工具和网络攻击手段也层出不穷,严重影响了人们正常的上网活动。木马程序被列为威胁网络及系统安全的三大类程序之一。研究木马程序的启动和隐藏方式是帮助我们防范木马程序的重要的部分。
本文介绍了木马程序的隐藏与自启动方式,重点对于处理木马程序使其逃避杀毒软件的查杀方法做了深入的研究,写出了实验方法及结果,并且还实现了一个功能简单的远程控制程序。 [资料来源:THINK58.com]
关键词:远程控制,隐藏,自启动.
[来源:http://www.think58.com]
目录 本文来自think58 [来源:http://www.think58.com]
第一章 绪论 4
1.1 远程控制简介 4
1.2 特洛伊木马(Trojan Horse)简介 4
1.3研究远程控制程序的隐藏启动的意义 5
第二章 Trojan Horse的种类、特性和传播方式 6
2.1 木马的种类 6
2.2 木马的特性 7
2.3 木马的传播方式 8
第三章 远程控制程序的自启动设计 9
3.1 远程控制程序服务端的自启动方式 9
3.1.1 通过启动栏启动 9
3.1.2 通过修改注册表启动 9
3.1.3 通过修改Win.ini或者System.ini文件启动 11
3.1.4 在Autoexec.bat和Config.sys中加载运行 11
3.1.5 通过捆绑文件的方法运行 11
3.2 远程控制程序服务端自启动的程序实现 12
3.2.1 设计步骤 12
3.2.2 代码实现 13
3.2.3 运行效果 14
第四章 远程控制服务端程序的隐藏设计 15
4.1 远程控制程序服务端的隐藏方式 15
4.1.1 Windows 98后门 16
4.1.2 Windows NT下简单的隐藏方法 16
4.1.3 插入DLL 16
4.2 远程控制程序服务端的免杀处理 17
4.2.1 杀毒软件查杀原理 17
4.2.2木马免杀过程 17
4.2.3 远程控制程序服务端免杀实践 20 内容来自think58 [资料来源:http://www.THINK58.com]
4.3 可执行文件的捆绑 25
4.3.1 捆绑方式分类 26
4.3.2 功能式捆绑 26
第五章 远程控制程序其他部分的设计与实现 27
5.1 Windows套接字 27
5.1.1 套接字分类 27
5.1.2 流式套接字编程流程 28
5.2 远程控制程序其他部分的设计与实现 29
5.2.1 ConnectionList 29
5.2.2 Server的树形目录 29
5.2.3 传送文件 30
5.2.4 远程执行程序 31
5.2.5 远程重启电脑 31
第六章 结论 32
参考文献 33
谢辞 34 本文来自think58
第一章 绪论 think58 [版权所有:http://think58.com]
1.1 远程控制简介
远程控制是在网络上由一台电脑(主控端Remote/客户端)远距离去控制另一台电脑(被控端Host/服务器端)的技术,这里的远程一般指通过网络控制远端电脑,不过,大多数时候我们所说的远程控制往往指在局域网中的远程控制。当操作者使用主控端电脑控制被控端电脑时,就如同坐在被控端电脑的屏幕前一样,可以启动被控端电脑的应用程序,可以使用被控端电脑的文件资料,计算机毕业设计,甚至可以利用被控端电脑的外部打印设备(打印机)和通信设备(调制解调器或者专线等)来进行打印和访问互联网,就像你利用遥控器遥控电视的音量、变换频道或者开关电视机一样。不过,主控端电脑只是将键盘和鼠标的指令传送给远程电脑,同时将被控端电脑的屏幕画面通过通信线路回传过来。也就是说,我们控制被控端电脑进行操作似乎是在眼前的电脑上进行的,实质是在远程的电脑中实现的,不论打开文件,还是上网浏览、下载等都是存储在远程的被控端电脑中的。[计算机毕业网-免费计算机毕业设计|计算机毕业论文|计算机硕士论文|计算机网络毕业设计|计算机专业毕业设计|计算机硕士论文|电大毕业论文|开题报告|www.think58.com].85634582012-2-16
远程控制技术能为我们以下几种应用:
1. 远程办公。 think58.com [来源:http://think58.com]
2. 远程技术支持。
3. 远程交流。
4. 远程维护和管理。
目前比较常见的远程控制程序: Symentec公司的pcAnywhere,Microsoft Windows自带的远程桌面等。木马(trojan)程序也属于远程控制程序,国内比较著名的有冰河,灰鸽子等。
1.2 特洛伊木马(Trojan Horse)简介
隐藏和自启动技术多为木马程序这类远程控制程序所使用。
特洛伊木马(Trojan Horse)是希腊诗人荷马在其史诗伊利雅得中,计算机毕业论文,描写一段希腊人攻陷特洛伊城的故事所创造的。在RFC 1244有一段关于Trojan程序的说明,由于RFC的权威性,可以认为这就是Trojan木马程序的定义:特洛伊木马是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是他还有用户所不知道的其它功能,例如在用户不了解的情况下复制文件或窃取密码。
Trojan木马最初诞生于网络还处于以UNIX平台为主的时期,由于UNIX存在开源版本,因此,木马的制造者往往是将一些特殊的代码添加到正常的应用程序代码中来实现一些特殊的功能,当被添加Trojan代码的程序被运行时,内迁在程序中的代码就会秘密执行,在这个时期木马的设计者和使用者都是些技术人员,必须具有丰富的网络知识和编程知识,并对UNIX有相当程度的了解才行。 think58.com [来源:http://think58.com]
随着Windows平台的日益普及,一些基于Windows图形界面的木马程序出现了,由于木马拥有了良好的用户界面,即使是不懂太多专业知识的普通用户也可以熟练操作木马,利用木马入侵的实践也不断的发生。工程硕士论文,随着技术的不断发展,木马的功能越来越强大,隐蔽性不断提高,数量不断扩大[1]。
2.1 木马的种类
网络中的木马有很多类型,从功能上来看,现在有几种经常使用的木马类型。
(1) 密码发送型
木马可以找到隐藏密码并把它们发送到指定的邮箱。一些用户喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还用用户喜欢用Windows系统提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,并把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
有的人认为在文档中加了密码就可以把重要的保密文件存在公用计算机中,其实这样也是不安全的,完全可以用穷举法暴力破译密码。利用Windows API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入框,通过按钮标题查找应该单击的按钮,通过ES_PASSWORD查找需要输入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部计算机同时进行分工穷举,直到找到密码为止。此类程序在黑客网站上唾手可得,精通程序设计的人完全可以自编一个。 think58 [资料来源:www.THINK58.com]
(2) 远程访问型
这种木马只需有人运行了服务端程序,如果客户端知道服务器的IP地址,就可以实现远程控制,即提供FTP服务等功能。当然也有反弹端口型的木马,即服务端主动连接客户端。由于防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。计算机毕业设计定做,木马定时监测控制段的存在,发现控制端上线,立即弹出端口主动连接控制段打开的主动端口;
为了隐蔽起见,控制端的被控端口一般开启在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:xxxx ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,用户就会以为是自己在浏览网页。
(3) 键盘记录木马
这种特洛伊木马是非常简单的。他们只做一件事情,就是记录受害者的键盘敲击并且在Log文件里查找密码。这种特洛伊木马随着Windows系统的启动而启动。它们有在线和离线记录这样的选项,顾名思义,它们分别记录用户在线和离线状态下敲击键盘时的按键情况。通过这些按键很容易就会得到用户的密码等有用信息,甚至是信用卡帐号。当然,对于这种类型的木马,邮件发送功能也是必不可少的。
内容来自think58
[资料来源:http://www.THINK58.com]
(4) 代理木马
攻击者在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的计算机中上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序,从而隐藏自己的踪迹。
(5) DDoS攻击木马
DDoS(Distributed Denial of Service,分布式拒绝服务),DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。黑客通过大量的抓获肉鸡,将肉鸡植入DDoS攻击木马,能够对目标计算机或网络进行DDoS攻击,使得目标系统、服务系统停止相应甚至崩溃。这些被控制的肉鸡被称为僵尸网络。
本文来自think58
[资料来源:http://www.THINK58.com]
[资料来源:http://think58.com]
copyright think58