VC毕业设计_基于进程和通信隐藏的木马设计与实现
1.无需注册登录,支付后按照提示操作即可获取该资料.
2.资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用.
密 惠 保
近年来,黑客攻击层出不穷,对网络安全构成了极大的威胁。2006年底,我国互联网上大规模爆发“熊猫烧香”木马病毒及其变种,该木马病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。 [资料来源:www.THINK58.com]
木马是黑客的主要攻击手段之一,它通过渗透进入对方主机系统,从而实现对目标主机的远程操作,破坏力相当之大。
think58.com [资料来源:http://think58.com]
[来源:http://think58.com]到目前为止,木马的发展已经经历了五代
think58
[资料来源:www.THINK58.com]
1.第一代木马只是实现简单的密码窃取、发送等,在隐藏和通信方面均无特别之处。 [资料来源:http://think58.com]
2.第二代木马以文件关联方式启动,通过电子邮件传送信息。在木马技术发展史上开辟了新的篇章。其典型代表是冰河, think58好,好think58 [来源:http://think58.com]
3.第三代木马的信息传输方式有所突破,采用ICMP协议,增加了查杀的难度。
内容来自think58
[版权所有:http://think58.com]
[资料来源:http://THINK58.com]
4.第四代木马在进程隐藏方面获得了重大突破,采用插入内核的嵌入方式。利用远程插入线程技术,嵌入DLL线程或挂接PSAPI等,实现木马程序的隐藏。利用反弹端口技术突破防火墙限制。在Windows NT/2000下取得了良好的隐藏效果。 内容来自think58
[来源:http://www.think58.com]
5.第五代木马与病毒紧密结合。利用操作系统漏洞,直接实现感染传播目的,而不必像以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马—噩梦Ⅱ。 think58.com
[资料来源:http://www.THINK58.com]
现在的黑客技术已经越来越完善,精通各种攻击技术的人才也越来越多,现在流行的木马都主要是针对网上银行交易、网上证券交易以及各种网络游戏,木马的危害已经越来越大,木马这个课题有着重要的研究意义。 think58 [来源:http://www.think58.com]
2特洛伊木马简介特洛伊木马( Trojan Horse),以下简称木马,取名自希腊神话“特洛伊木马记”,是指一类伪装成合法程序或隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。木马的首要特征是它的隐蔽性,为了提高自身的生存能力,木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。近年来,随着windows操作系统普及,基于图形操作的木马程序出现,许多不太懂计算机编程的人也能熟练操作木马,大肆危害网络安全木马的发展。
本文来自think58
一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。 think58 [版权所有:http://think58.com]
1.硬件部分
建立木马连接所必须的硬件实体。具体包括: think58.com
[版权所有:http://think58.com]
(1)客户端:对服务器端进行远程控制的一方。
think58好,好think58 [资料来源:THINK58.com]
[资料来源:http://think58.com](2)服务端:被控制端远程控制的一方。 内容来自think58
(3)Internet:控制端对服务端进行远程控制,远程传输的网络载体。 内容来自think58 [资料来源:THINK58.com]
2.软件部分
本文来自think58
[资料来源:http://THINK58.com]
[资料来源:THINK58.com]实现远程控制所必须的软件程序。具体包括: copyright think58
[资料来源:http://www.THINK58.com]
(1)客户端程序:控制端用以远程控制服务端的程序。
think58好,好think58 [资料来源:http://THINK58.com]
(2)木马程序:潜入服务端内部,获得其操作权限的程序。 think58 [来源:http://www.think58.com]
(3)木马配置程序:设置木马程序的端口号、触发条件、木马名称等,使其在服务端藏的更隐蔽的程序。
think58.com [来源:http://www.think58.com]
- 连接部分
木马进行数据传输的目的地。具体包括: copyright think58 [资料来源:http://www.THINK58.com]
客户端端口、木马端口:即客户端、服务端的数据入口,通过这个入口数据可直达控制端程序或木马程序。 [来源:http://think58.com]
2.2木马原理木马攻击网络原理大致可以分为六个步骤: copyright think58
1.配置木马 [来源:http://www.think58.com]
一般来说,一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为实现以下两个功能,木马伪装和信息反馈。 think58好,好think58 [资料来源:www.THINK58.com]
2.传播木马
think58.com [资料来源:THINK58.com]
木马的传播方式主要有两种:一种是通过E-mail,客户端将木马程序以附件的形式夹在邮件中发送出去,收件人只要打开附件就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载的名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
内容来自think58
3.运行木马
think58 [资料来源:http://THINK58.com]
[资料来源:http://THINK58.com]服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。当满足触发条件时,木马被激活,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。
think58 [版权所有:http://think58.com]
[资料来源:http://THINK58.com]4.信息泄露
think58.com [资料来源:http://www.THINK58.com]
木马成功安装后收集一些服务端的软件硬件信息,并通过E-mail、IRC等方式告知客户端用户。 本文来自think58 [资料来源:http://THINK58.com]
5.建立连接 copyright think58 [来源:http://www.think58.com]
一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是客户端、服务端都要在线。在此基础上,客户端可以通过木马端口与服务端建立连接。 think58.com [资料来源:THINK58.com]
6.远程控制 think58好,好think58
[资料来源:http://think58.com]
木马连接成功后,客户端口和服务端口之间会出现一条通道,客户端上的控制端程序可借此通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制,实施破坏行动。 本文来自think58
[资料来源:THINK58.com]
2.3木马的危害1.窃取密码 内容来自think58 [来源:http://www.think58.com]
一切以明文的形式,或缓存在Cache 中的密码都能被木马侦测到。此外,很多木马还提供有击键记录功能,所以,一旦有木马入侵,密码将很容易被窃取。 think58.com
2.文件操作
客户端可通过远程控制对服务端上的文件进行删除、修改、下载等一系列操作,基本涵盖了Windows 平台上所有的文件操作功能。 [来源:http://www.think58.com]
3.修改注册表 think58好,好think58
[资料来源:http://THINK58.com]
客户端可任意修改服务端注册表,包括删除、新建或修改主键、子健、键值。有了这项功能,客户端就可以将服务端上木马的触发条件设置得更隐蔽。 think58.com [资料来源:www.THINK58.com]
4.系统操作
[资料来源:THINK58.com]
这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标、键盘,监视服务端桌面操作,查看服务端进程等,客户端甚至可以随时给服务端发送信息。 think58好,好think58 [资料来源:http://www.THINK58.com]
2.4常见木马的介绍木马的种类繁多,但是陷于种种原因,真正广泛使用的著名木马只有少数几种,如BO2000、Subseven、冰河、YAI、Setiri等。 [资料来源:http://think58.com]
1.BO2000
本文来自think58 [资料来源:http://think58.com]
[资料来源:http://www.THINK58.com]BO2000有一个相当有用的功能,即隐藏木马进程,一旦将这项功能设置为enable,用ATM查看进程时,BO2000的木马进程将不会被发现。 think58 [资料来源:www.THINK58.com]
2.Subseven think58.com
在版本较高的Subseven中,除常规的触发条件外,还提供有less know method和not know method两种触发方法。选择前者,运行木马后将SYSTEM.INI中的Shell改为Shell=explorer.exe msrexe.exe,即用SYSTEM.INI触发木马。选择后者则会在C:\Windows\目录下创建一个名为Windows.exe的程序,通过这个程序来触发木马,并将\HKEY-ROOT\exefile\shell\open\command\的键值“% 1”、“%X”改为“Windows.exe% 1”、“Windows.exe%X”。也就是说,即使我们把木马删除了,只要一运行EXE文件,Windows.exe文件马上又将木马安装上去。对于这种出发条件,我们只要将键值改回原值,并删除Windows.exe即可。 [来源:http://think58.com]
3.冰河
think58.com [资料来源:http://www.THINK58.com]
[资料来源:www.THINK58.com]冰河的特殊触发条件和Subseven极为相似。要注意的是,冰河的木马程序有隐藏属性,需要将显示模式设置为显示所有文件时,才能看到。 think58好,好think58
[资料来源:http://www.THINK58.com]
4.YAI
[资料来源:www.THINK58.com]
YAI是一个木马和病毒的综合体,它能通过寄生于任意GUI子系统、PE格式的Windows程序触发木马,这样即使YAIver被意外清除,在短时间内也可以自动恢复。YAI不可能用手工删除的方法清楚干净,建议使用杀毒软件。
内容来自think58
5.Setiri
think58 [来源:http://www.think58.com]
2002年2月,Roelof Temmingh和Haroon Meer开发了一个名叫Setiri的木马工具。这个木马工具采用了多种隐藏技术,如匿名技术、加密通信、OLE编程、反弹性端口等,从而使得检测、堵截和追踪非常困难,可以说是目前最先进的木马技术之一。 copyright think58
[资料来源:http://www.THINK58.com]