基于进程和通信隐藏的木马设计与实现论文

XXXXXXXXXXX本科生毕业论文（设计）题目特洛伊木马程序的设计与实现学生姓名指导教师学院信息科学与工程学院专业班级完成时间2010年5月28日摘要随着计算机网络技术的飞速发展，黑客技术也不断更新，它对网络安全构成了极大的威胁。

特洛伊木马作为黑客工具中重要的一员，其技术日新月异，破坏力之大是绝不容忽视的。

因此,对木马技术的研究刻不容缓.本文首先介绍了木马的基本概念，包括木马的结构、行为特征、功能、分类以及木马的发展现状和发展趋势。

然后详细介绍了木马的工作原理和木马系统的关键技术。

木马的关键技术包括木马的伪装方式、木马程序的隐藏技术、木马的自启动以及木马的通信技术等.另外，本文研究了远程控制技术，包括TCP/IP协议的介绍、Socket通信技术和客户端/服务器模型（C/S）。

本文在研究木马技术的基础上设计了一款远程控制木马。

该木马程序能够通过客户端对远程主机进行控制和监视，服务端可以自动连接客户端。

另外该木马程序还包括远程文件操作（文件复制、拷贝、删除、下载、上传等），远程系统控制（关机、重启，鼠标、屏幕锁定,启动项管理），网络连接控制，远程进程管理和文件传输等功能。

最后本文实现了这一款木马程序，并对其进行了测试。

测试结果显示该木马程序实现了所有的功能,能够对远程主机进行控制。

关键词木马, Socket，远程控制ABSTRACTWith the rapid development of network，the dependence between our society，computer system and information network becomes bigger and bigger。

The safety of the internet is especially important。

The hackers create a great network security threats, and the currently most available mean of invasion are the Trojan technology. Therefore, this technique has been studied for the Trojan technology。

毕业论文声明本人郑重声明：1．此毕业论文是本人在指导教师指导下独立进行研究取得的成果。

除了特别加以标注地方外，本文不包含他人或其它机构已经发表或撰写过的研究成果。

对本文研究做出重要贡献的个人与集体均已在文中作了明确标明。

本人完全意识到本声明的法律结果由本人承担。

2．本人完全了解学校、学院有关保留、使用学位论文的规定，同意学校与学院保留并向国家有关部门或机构送交此论文的复印件和电子版，允许此文被查阅和借阅。

本人授权大学学院可以将此文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本文。

3．若在大学学院毕业论文审查小组复审中，发现本文有抄袭，一切后果均由本人承担，与毕业论文指导老师无关。

4.本人所呈交的毕业论文，是在指导老师的指导下独立进行研究所取得的成果。

论文中凡引用他人已经发布或未发表的成果、数据、观点等，均已明确注明出处。

论文中已经注明引用的内容外，不包含任何其他个人或集体已经发表或撰写过的研究成果。

对本文的研究成果做出重要贡献的个人和集体，均已在论文中已明确的方式标明。

学位论文作者（签名）：年月关于毕业论文使用授权的声明本人在指导老师的指导下所完成的论文及相关的资料（包括图纸、实验记录、原始数据、实物照片、图片、录音带、设计手稿等），知识产权归属华北电力大学。

本人完全了解大学有关保存，使用毕业论文的规定。

同意学校保存或向国家有关部门或机构送交论文的纸质版或电子版，允许论文被查阅或借阅。

本人授权大学可以将本毕业论文的全部或部分内容编入有关数据库进行检索，可以采用任何复制手段保存或编汇本毕业论文。

如果发表相关成果，一定征得指导教师同意，且第一署名单位为大学。

本人毕业后使用毕业论文或与该论文直接相关的学术论文或成果时，第一署名单位仍然为大学。

本人完全了解大学关于收集、保存、使用学位论文的规定，同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、扫描、数字化或其它手段保存或汇编本学位论文；学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版，允许论文被查阅和借阅。

关于木马病毒的论文计算机0901班李丹 090521125摘要：木马（Trojan）这个名字来源于古希腊传说。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

以下是关于木马病毒的相关介绍与防治。

关键字：木马病毒的介绍、危害、防御、查找、删除正文：一、木马病毒的介绍：木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。

植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。

运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据。

特洛伊木马有两种，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。

特洛伊木马不经电脑用户准许就可获得电脑的使用权。

程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。

二、木马病毒的危害：1、盗取我们的网游账号，威胁我们的虚拟财产的安全。

木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。

2、盗取我们的网银信息，威胁我们的真实财产的安全。

基于进程和通信隐藏的木马设计与实现摘要近年来，特洛伊木马等恶意代码己经成为网络安全的重要威胁。

很多国家都采取积极的网络安全防御措施,投入大量的人力和物力研究网络信息安全技术。

文章首先分析了传统木马的一般工作原理及其植入、加载、隐藏等关键技术。

随着网络技术的不断更新和发展，木马技术也在不断地更新换代,现代木马的进程隐藏和通信隐藏等等都发生了变化。

进程的隐藏和通信的隐藏一直是木马程序设计者不断探求的重要技术。

攻击者为达到进程隐藏的目的，采用远程线程和动态链接库，将木马作为线程隐藏在其他进程中。

选用一般安全策略都允许的端口通信,如80端口，则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。

本文研究了如何将Windows环境下的动态链接库(DLL)技术与远程线程插入技术结合起来实现特洛伊木马植入的新方案。

在该方案中，提出了特洛伊木马程序DLL模块化,并且创建了独立的特洛伊木马植入应用程序，将木马程序的DLL模块植入宿主进程。

实验结果证明该方案能实现的木马植入，具有很好的隐蔽性和灵活性。

关键词：特洛伊木马；动态连接库；进程插入；远程线程The Design and Implementation of Trojan Horses Base on Process Hiding and Communications HidingAbstractIn recent years,malicious codes including Trojan have threatened network information security, and more and more countries paid attention to take active measures to protect the network, and spent a lot in research to develop network information security technology mentally and materially. This paper firstly analyses the basic principle, entry technology, load technology and hiding technology of traditional Trojan horse. With the development of network technology, Trojan horse technology is upgrading constantly. Modern Trojan horse is changed in process hiding and communication hiding.The process hiding and communications hiding are important technology being explored by Trojan horse programmers all long. Adopting the measure of dynamic link storage, and Remote Thread technology, and hiding Trojan horse behind the other processes as a thread program, it is easy to hide. Choosing the port correspondence which is permitted by almost all the ordinary security policy, likes 80port, may easily penetrate the firewall and avoid the examine of security systems as invasion-checking mechanisms and so on. Thus, it has a very strong covered.This paper is implemented the injection of Trojan horse by combining the technology of DLL (dynamic linking library) and of remote thread injection on the Windows platform. In this paper, modularization of Trojan horse process is proposed to create an independent Trojan horse injection process, thus, to inject Trojan horse DLL module to the host process.Experimental results show that the program could realize the Trojan injected with good covered and flexibility.Key Words：Trojan Horse；DLL；Process Injection；Remote Thread目录论文总页数：23页1 引言 (1)2 特洛伊木马简介 (1)2.1 认识木马 (2)2.2 木马原理 (2)2.3 木马的危害 (3)2.4 常见木马的介绍 (3)3 木马隐藏概述 (4)3.1 本地隐藏 (4)3.2 通信隐藏 (8)4 隐藏技术的实现 (10)4.1 隐藏进程 (10)4.2 隐藏通信 (14)4.3 木马功能的实现 (15)5 系统测试 (19)5．1功能测试 (19)5．2性能测试 (20)结论 (21)参考文献 (21)致谢 (22)声明 (23)1引言近年来，黑客攻击层出不穷，对网络安全构成了极大的威胁。

引言：木马程序是一种恶意软件，它通过在目标系统中植入并隐藏自身，实现对目标系统的控制或信息窃取。

本文是《木马程序设计（二）》的续篇，将继续深入探讨关于木马程序的设计和相关技术。

概述：本文旨在介绍如何设计和开发具有高度隐蔽性和攻击能力的木马程序。

通过深入了解木马程序的原理和开发过程，有助于安全专家和网络管理员更好地了解和对抗木马程序，以保护系统和用户的安全。

正文内容：1.攻击向量和传播方式1.1社交工程1.2漏洞利用1.3传输层安全协议绕过1.4僵尸网络攻击1.5欺骗用户2.木马程序的免疫和检测2.1超早期威胁检测2.2行为监测和模式识别2.3特征码识别和病毒库更新2.4网络流量分析2.5操作系统层面的防御3.植入与控制技术3.1进程注入技术3.2Rootkit技术3.3驱动程序植入3.4远程命令执行3.5定时任务和触发器4.木马通信与隐藏通道4.1隐蔽通信协议4.2随机化通信端口4.3数据加密和解密4.4数据压缩和分段传输4.5反向连接和动态DNS5.对抗与防治策略5.1安全软件与防火墙5.2漏洞修补和补丁管理5.3用户教育与安全意识培训5.4减少攻击面的措施5.5安全审计和日志分析总结：木马程序作为一种隐蔽且具有破坏性的攻击方式，对网络和系统的安全造成了严重威胁。

本文通过深入分析木马程序的设计和相关技术，希望能够帮助读者更好地了解木马程序的工作原理，以便有效对抗和防治木马程序的攻击。

同时，也强调了用户教育、安全软件、漏洞修补等方面的重要性，以建立更加安全和可靠的网络环境。

只有不断学习和加强防护，才能提高网络和系统的安全性。

引言：随着互联网的迅速发展，木马程序成为了网络安全领域中的一个重要话题。

木马程序是一种能够在用户不知情的情况下获取或控制目标系统的恶意软件。

它们能够隐藏在正常的应用程序或文件中，以欺骗用户下载和安装。

本文将深入探讨木马程序设计的背景、原理、类型以及防御方法。

概述：木马程序设计是指创建和开发恶意软件，以实现对目标系统的非法访问和控制。

毕业论文（设计）论文（设计）题目：木马攻击技术彻底剖析学院：理工学院专业（方向）：计算机科学与技术（网络工程）年级、班级：网络1101 学生姓名：指导老师：2015 年 5 月 15 日论文独创性声明本人所呈交的毕业论文（设计）是我个人在指导教师指导下进行的研究工作及取得的成果。

除特别加以标注的地方外，论文中不包含其他人的研究成果。

本论文如有剽窃他人研究成果及相关资料若有不实之处，由本人承担一切相关责任。

本人的毕业论文（设计）中所有研究成果的知识产权属三亚学院所有。

本人保证：发表或使用与本论文相关的成果时署名单位仍然为三亚学院，无论何时何地，未经学院许可，决不转移或扩散与之相关的任何技术或成果。

学院有权保留本人所提交论文的原件或复印件，允许论文被查阅或借阅；学院可以公布本论文的全部或部分内容，可以采用影印、缩印或其他手段复制保存本论文。

加密学位论文解密之前后，以上声明同样适用。

论文作者签名：年月日木马攻击技术彻底剖析摘要如今是大数据的时代，有效的信息能够带来巨大的效益，它作为一种普遍性、共享性、增值型、可处理性和多效用性的资源，使其对于人类具有特别重要的意义。

信息安全的实质就是要保护信息系统或网络信息传输中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

信息安全是一个不容忽视的国家安全战略，任何国家、政府、部门、行业都不可避免的问题。

因此，在计算机信息安全领域，对计算机木马技术的研究已成为一个重点和热点。

本文对计算机木马攻击技术进行了系统的分析和研究，主要工作如下：1．对木马的基本概念进行说明、攻击机制进行剖析。

2．采用“冰河”实例进行剖析说明。

3．在研究了木马隐蔽技术的基础上，提出了一个动静特征相结合的行为木马特征检测技术基本框架。

尽最大能力去检测与防范木马攻击。

【关键词】木马攻击,计算机信息安全,木马检测,木马防范Trojan horse attack technologys ThoroughanalysisAbstractToday is the era of big data, effective information can bring huge benefits, it is a kind of universality, sharing, value-added, processing and multi utility of resources, which is of special significance for human. The essence of information security is to protect the information systems or information transmission network information resources from various types of threats, interference and destruction, which is to ensure the safety of information. Information security is an important national security strategy, any country, government, departments, industries are inevitable problems. Therefore, in the field of computer information security, research on computer Trojan technology has become a key and hot. This paper carried out a systematic analysis and Research on computer technology of the Trojan horse attack, the main work is as follows:1. analyze the attack mechanism of basic concepts of Trojan horse.2. by the analysis of examples to illustrate the "ice age".3.According to the static characteristics of the Trojan based on theweaknesses and Trojan hidden methods, put forward the basic framework of the Trojan detection system of the static characteristics of Trojan detection and dynamic behavior of Trojan detection combined, as much as possible to prevent the Trojan horse attack.[Key words]Trojan attacks, computer information security, Trojan detection, Trojan guard目录1 绪论 (1)1.1木马研究的背景与意义 (1)1.2本课题研究的内容 (2)2 木马攻击机制剖析 (3)2.1概述 (3)2.2木马的定义 (4)2.3木马的攻击模式剖析 (4)2.4木马的攻击特点剖析 (5)2.5木马攻击能力剖析 (6)2.6木马实施攻击的步骤剖析 (7)2.7木马伪装方法剖析 (8)2.7.1 木马启动方式的隐藏技术 (11)2.7.2木马运行形式的隐藏技术 (17)2.7.3 木马通信形式的隐藏技术 (19)2.7.4木马程序在宿主机磁盘上的隐藏 (25)2.8木马的传播途径剖析 (26)3 “冰河”木马实例分析 (27)3.1“冰河”起源与发展 (27)3.2服务端与客户端实现原理 (27)3.3隐藏的实现原理 (28)3.4木马的启动实现 (28)3.5远程控制的实现原理 (29)3.6实现冰河服务器的配置 (30)3.7冰河在目标主机中的隐藏 (31)3.8冰河在目标主机中的控制 (33)3.9冰河木马的查杀 (33)4 动静结合的木马检测防范技术 (34)4.1基于动态行为的木马检测防范技术 (34)4.1.1 行为监控检测防范木马的基本思想 (34)4.1.2 动态检测与防范木马的主要方法 (35)4.2动静结合的木马检测防范体系的分析 (37)4.3动静结合的木马检测防范技术评价 (39)5 结论 (41)参考文献 (42)致谢 (43)1 绪论1.1 木马研究的背景与意义如今计算机科学技术的迅猛发展和广泛应用，使计算机之间的网络通信成为现代社会不可缺少的基本组成部分，具有全球化的互联网技术影响着人类经济、政治、社会的方方面面，对经济可持续发展、国家信息安全、国民教育和现代化管理都起着重要的作用。

木马程序的工作机理的研究11 引言随着计算机和网络技术的迅猛发展和广泛应用，Intemet深入到社会的每个角落，人们充分享受到了其给工作和生活带来的巨大便利，人类社会对计算机系统和信息网络的依赖性也越来越大。

但是从另一方面，由于计算机系统和信息网络系统本身固有的脆弱性。

越来越多的网络安全问题开始困扰着我们，入侵者入侵和病毒蔓延的趋势有增无减，社会、企业和个人也因此蒙受了越来越大的损失。

特别是在此基础上发展起来的“信息战”，通过计算机攻击工具(如计算机病毒、木马等计算机程序)对敌方的计算机系统和网络设施发动袭击，造成敌方的信息通信的中断和指挥控制系统的瘫痪，从而达到“不战而屈人之兵”的目的。

显然，计算机攻击和防御工具也将成为国家之间、企业之间一种重要的攻击和防御手段。

因此，计算机和信息安全问题正日益得到人们的重视，并成为国内外的学者和专家研究的热点。

在早期的计算机安全防御中，由于网络并不流行，反病毒软件发挥着主要的作用，通过对输入设备的监控，有效地阻止了恶意程序对每台独立的计算机的危害。

随着网络的应用，绝大部分计算机连入互连网，威胁变为主要来自网络，网络入侵工具(如蠕虫、木马等)在这时不断涌现。

防火墙在这种情况下应运而生，它通过禁止非法的网络请求来防御来自网络的攻击。

随着计算机攻击技术的发展，病毒、蠕虫和木马等攻击工具在功能上相互吸收和借鉴，攻击方式和手段也层出不穷，促使计算机安全也向着不断细化的方向发展，即针对不同的攻击方式采用不同的对策，从而形成了比较完善的防御体系。

2 木马的功能和特征木马程序的危害是十分大的，它能使远程用户获得本地计算机的最高操作权限，通过网络对本地计算机进行任意的操作，比如删添程序、锁定注册表、获取用户保密信息、远程关机等。

木马使用户的电脑完全暴露在网络环境之中，成为别人操纵的对象。

就目前出现的木马来看，大致具有以下功能：1．自动搜索已中木马的计算机。

2．对对方资源进行管理，复制文件、删除文件、查看文件内容、上传文件、下载文件等。

１引言特洛伊木马（简称木马）是指一类伪装成合法程序或隐藏在合法程序中的恶意代码，这些代码或者执行恶意行为，或者为非授权访问系统的特权功能而提供后门。

木马的首要特征是它的隐蔽性，为了提高自身的生存能力，木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。

ＦｒｅｄＣｏｈｅｎ等人［１，２］对病毒进行了深入研究，他们将木马作为病毒的一种特例，并给出了病毒和木马的数学模型，但未对木马的隐藏特征进行分析。

ＨａｒｏｌｄＴｈｉｍｂｌｅｂｙ等人［３］对病毒和木马模型框架进行了研究，给出了木马的形式化模型，对木马隐藏的特征进行了描述，但未对木马协同隐藏进行描述和分析。

张新宇等人［４］仅对Ｌｉｎｕｘ环境下的木马隐藏（包括协同隐藏）进行了研究，但未涉及Ｗｉｎｄｏｗｓ环境。

笔者在对木马隐藏技术归纳研究的基础上，深入分析研究了协同隐藏，并针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足，提出两种基于该思想的新型木马结构，深化了协同隐藏思想，提高了木马的隐藏能力和生存能力。

２隐藏技术木马程序与普通远程管理程序的一个显著区别是它的隐藏性。

木马被植入后，通常利用各种手段来隐藏痕迹，以避免被发现和追踪，尽可能延长生存期。

隐藏技术是木马的关键技术之一，笔者从本地隐藏、通信隐藏和协同隐藏３个方面对木马隐藏技术进行分析研究。

２．１本地隐藏本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段，主要包括启动隐藏、文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。

这些手段可以分为三类：（１）将木马隐藏（附着、捆绑或替换）在合法程序中；（２）修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理；（３）利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。

２．１．１启动隐藏启动隐藏，是指目标机自动加载运行木马程序，而不被用户发现。

在Ｗｉｎｄｏｗｓ系统中，比较典型的木马启动方式有：修改系统“启动”项；修改注册表的相关键值；插入常见默认启动服务；修改系统配置文件（Ｃｏｎｆｉｇ．ｓｙｓ、Ｗｉｎ．ｉｎｉ和Ｓｙｓｔｅｍ．ｉｎｉ等）；修改“组策略”等。

木马隐藏技术分析郜多投（山东大学山东省济南市250100）摘要:文章首先介绍了木马的原理和特征，然后对木马所实现的功能做了简单的介绍，最后从木马的文件隐藏，进程隐藏和通信隐藏三个方面着重进行了分析。

关键词：木马；木马隐藏；通信隐藏[引言]木马，是一种通过潜入对方电脑进非法操作的计算机成程序，是目前黑客惯用的一种攻击手段，和一般的恶意软件不同，木马不主动进行自我复制和传播，破坏其他程序，然而，木马的潜伏性是超前的，为了看起来和正常程序一样，在进入系统之前，对自身的程序进行了伪装，使被感染的系统看起来一切正常，从而严重威胁计算机网络安全。

1.木马的原理和特征一个完整的木马程序包含两部分内容，服务端和控制端，服务端程序是通过远程计算机网络植入对方电脑，而黑客通过客户端进入运行了服务端的受控电脑，通常运行了服务端的计算机会生成一个类似于系统文件的进程，此时端口被暗中打开，电脑中保存的各类数据会向控制端进行发送，黑客也可以通过这些暗中打开的端口进入目标电脑，此时，电脑中更多的隐私将会遭受更大的泄露。

木马一般具有以下特征：一，隐藏性，隐藏性是木马的最显著特征，比如，改写进程名称使其和系统文件高度相似，隐藏在任务管理器中的进程，减少程序大小，减少暗中打开端口的流量。

二、自动运行性，可以随电脑启动而启动，比如潜入启动配置文件win.ini,winstart。

Bat等，有的也可嵌入正常软件，随软件的运行而启动。

三、欺骗性：木马为了防止被发现，通常伪装成为系统中本身存在的文件，比武将文件名中的“O”改为“0”,“1改为I”等容易混淆是非的字符，或者有的系统中本身的文件名也可被木马直接套用，只不过是保存在不同的系统路径下，另外，有的木马将自己改装成为ZIP压缩文件，当用户解压时，直接运行。

四、自我恢复性。

目前大多数木马程序的功能模块已不是单一的组件构成，而是自动复制到电脑其他路径做备份，在子木马或者主木马被删除时，都可以再自动生成。

2010年第04期，第43卷 通 信 技 术 Vol.43，No.04,2010 总第220期Communications Technology No.220,Totally木马隐藏技术的研究与分析刘 澜①②， 高悦翔①（① 四川师范大学 计算机科学学院，四川 成都 610068；② 四川大学 计算机学院，四川 成都 610065）【摘 要】以WINDOWS系统环境为基础，分析了常见的木马隐藏技术及其特点，并给出了部分技术的实现原理。

首先分析了单一木马程序的常见隐藏技术，然后根据Harold Thimbleby提出的木马模型和木马协同隐藏思想，提出了一种基于动态星型结构的木马协同隐藏模型，该模型展现了基于多木马结构的协同隐藏思想，通过采用代理方式通信，提高了各木马程序的隐蔽性和生存周期,增加了追查木马程序控制端地址的难度。

【关键词】特洛伊木马；木马隐藏；协同隐藏模型【中图分类号】TP393.08【文献标识码】A【文章编号】1002-0802(2010)04-0078-03 Study and Analysis of Concealing Technology for Trojan HorsesLIU Lan①②， GAO Yue-xiang①(① Department of Computer Science, Sichuan Normal University, Chengdu Sichuan 610068, China；② Department of Computer, Sichuan University, Chengdu Sichuan 610065, China)【Abstract】Based the environment of Windows system, this paper analyzes the characteristics and principles of the concealing technology for Trojan Horse and gives the realization principle of some technologies. First, the common concealing technology for single Trojan Horse is discussed, and then, according to the model of Trojan Horse proposed by Harold Thimbleby, a new cooperative concealment model between Trojan Horses based on the cooperative concealment among multiple Trojan horses is presented. This new model increases the difficulty in finding the control side, and improves the concealment of Trojan Horses by using agent method.【Key words】Trojan Horse; Trojan Horse concealing; cooperative concealment model0 引言随着互联网络的快速发展，网络安全问题日益突出。

信息技术学院毕业作业（论文）开题报告学生姓名学号毕业论文题目木马病毒潜析及其防护选题意义：让人们认识到：随着因特网技术的日趋成熟，使用因特网的频率也越来越高，方便了人们的生活，给当今社会带来了意义深远的变化，但木马病毒的日趋猖狂，给人们信息安全带来了一大难题。

通过分析木马病毒的来源、种类、特征，在了解木马病毒的基础上提出应对木马病毒的防御措施，使人们安全享受网络时代带来的方便快捷。

论文写作提纲：1）了解木马病毒在因特网中的定义；2）探究木马病毒的分类；3）了解各类木马病毒的特性；4）了解木马病毒的传播方式；5）解析木马病毒是如何防御以及防御的方法指导教师意见：签字：年月日学院审查意见签字：年月日目录摘要 (3)一什么是木马 (4)二木马的种类 (5)（一）网络游戏木马 (6)（二）网银木马 (6)（三）即时通讯软件木马 (7)1 发送消息型 (7)2 盗号型 (7)3 传播自身型 (7)（四）网页点击类木马 (8)（五）DoS攻击木马 (8)（六）下载类木马 (9)（七）代理类木马 (9)（八）FTP木马 (9)（九）程序杀手木马 (9)三木马病毒的特点 (10)（一）隐蔽性是其首要特征 (10)（二）有效性 (11)（三）顽固性 (11)（四）易植入性 (11)四木马病毒的传播及植入 (11)（一）伪装欺骗 (12)（二）利用系统漏洞 (12)五木马病毒的防御 (12)（一）做好个人防范 (13)（二）使用杀毒软件 (13)（三）设置过滤器 (14)（四）禁用软盘和U盘启动 (14)（五）经常备份数据 (14)（六）用补丁保持软件最新 (14)（七）用防火墙保护网关和远程用户 (15)六结束语 (15)谢辞 (16)参考文献 (18)2木马病毒潜析及其防护摘要因特网技术的日趋成熟给当今社会带来了意义深远的变化，越来越多的移动员工、远程办公人员和分支机构开始利用互联网从远程连接到他们的企业网络，越来越多的家庭、学校、政府等也纷纷连入互联网。

WINDOWS系统下木马程序的设计与实现近年来，黑客攻击层出不穷，对网络安全构成了极大的威胁。

木马是黑客的主要攻击手段之一，它通过渗透进入对方主机系统，从而实现对目标主机的远程操作，破坏力相当之大。

到目前为止，木马的发展已经历了五代：第一代木马只是实现简单的密码窃取、发送等，在隐藏和通信方面均无特别之处。

第二代木马的典型代表是冰河，它以文件关联方式启动，通过电子邮件传送信息，在木马技术发展史上开辟了新的篇章。

第三代木马的信息传输方式有所突破，采用ICMP协议，增加了查杀的难度。

第四代木马在进程隐藏方面获得了重大突破，采用插入内核的嵌入方式、利用远程插入线程技术、嵌入DLL线程、或挂接PSAPI等，实现木马程序的隐藏，利用反弹端口技术突破防火墙限制，在Windows NT/2000下取得了良好的隐藏效果。

第五代木马与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活，例如最近新出现的类似冲击波病毒的木马—噩梦II。

木马的关键技术木马基于C/S模式，服务器端程序运行于被控制的主机上，客户端完成控制功能。

设计木马时，需考虑几个关键因素：首先要具有深度的隐蔽性，保证木马的隐蔽运行和启动，其次要能顺利实现客户端与服务器端的通信，最后还要根据需要实现其他功能。

一、木马的隐藏有两种方法可以隐藏木马：一种是DLL 木马，它让木马消失在进程列表里，但程序的进程仍然存在；另一种方法则是线程注入式木马，它让程序彻底消失，不以进程或服务方式工作。

1、DLL木马只要把木马服务器端的程序注册为一个服务，系统就不会再把它当作进程，程序便会从任务列表中消失，按下Ctrl+Alt+Delete后，也就看不到该程序。

此方法首先要装载Kernel32.dll，然后在该DLL中确定函数RegisterServiceProcess()的地址进行调用，但只适用于Windows9x/Me的系统，Windows NT/2000通过服务管理器依然能够发现在系统中注册过的服务。

对木马隐藏技术的研究计算机病毒、木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。

其中木马的破坏最大，它能在高隐蔽性的状态下窃取网民的隐私信息。

通常，被感染木马的计算机用户并不知道自己的计算机已被感染，这是由于木马程序具有很高的隐蔽性。

木马的隐藏技术主要由以下三种：1、程序隐蔽木马程序隐藏通常指利用各种手段伪装木马程序，让一般用户无法从表面上直接识别出木马程序。

要达到这一目的可以通过程序捆绑的方式实现。

程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件，当运行该exe 文件时，多个程序同时运行。

程序捆绑有多种方式，如将多个exe 文件以资源形式组合到一个exe 文件中或者利用专用的安装打包工具将多个exe 文件进行组合，这也是许多程序捆绑流氓软件的做法。

2、进程隐蔽隐藏木马程序的进程的显示能防止用户通过任务管理器查看到木马程序的进程，从而提高木马程序的隐蔽性。

目前，隐藏木马进程主要有如下两种方式：（1）API拦截API 拦截技术属于进程伪隐藏方式。

它通过利用Hook技术监控并截获系统中某些程序对进程显示的API 函数调用，然后修改函数返回的进程信息，将自己从结果中删除，导致任务管理器等工具无法显示该木马进程。

具体实现过程是，木马程序建立一个后台的系统钩子（Hook），拦截PSAPI的EnumProcessModules 等相关函数的调用，当检测到结果为该木马程序的进程ID（PID）的时候直接跳过，这样进程信息中就不会包含该木马程序的进程，从而达到了隐藏木马进程的目的。

（2）远程线程注入远程线程注入属于进程真隐藏方式。

它主要是利用CreateRemoteThread 函数在某一个目标进程中创建远程线程，共享目标进程的地址空间，并获得目标进程的相关权限，从而修改目标进程内部数据和启动DLL 木马。

通过这种方式启动的DLL 木马占用的是目标进程的地址空间，而且自身是作为目标进程的一个线程，所以它不会出现在进程列表中。

A n h u i Vo c a c t i o n a l& Te c h n i c a l C o l l e g e o f I n d u s t r y&Tr a d e毕业论文第二代木马的研究与实现Research and implementation of second generation Trojan所在系院：计算机技术系专业班级：2013级计算机应用技术1班学生学号：2013290108学生姓名：莫如指导教师：商杰二〇一六年四月二十日第二代木马的研究与实现摘要; 随着信息化时代的到来人类社会生活对因特网的需求日益增长，使得计算机网络技术迅速发展和普及。

因特网使得全世界都联系到了一起。

极大的促进了全球一体化的发展。

但是随着互联网的普及和应用的不断发展，各种黑客工具和网络手段导致网络和用户收到财产损失，其中最严重的就是木马攻击手段。

它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一，对整个互联网照成了极大的危害。

本文分析了木马病毒的基本原理，针对木马病毒的特征、传播途径等分析结果，找出计算机感染病毒的原因。

并且对木马病毒的种类、加载技术及现状进行了详细的研究，提出了完善的防范建议。

关键词：木马病毒；网络安全；自动加载；文件劫持。

ABSTRACTWith the growing demand for information technology era of human social life on the Inte rnet, computer network technology rapid development and popularization. The Internet makes the whole world is linked to together. Greatly contributed to the development of global integra tion. But with the popularity of the Internet and the continuous development of the application, a variety of hacking tools and network means the network and the user receives property dam age, the most serious of which is Trojan attacks. With its wide range of attacks, hazards and ot her characteristics to become one of the common network attack techniques, the entire Internet according to become great harm.Keywords: Trojan; network security; Automatically loaded ；File hijacked目录摘要; ............................................................................................................................................. ABSTRACT . (I)引言 (1)第一章木马病毒的概述及现状 (2)1.1 木马的基本特征 (2)1.2木马的传播途径 (3)1.3木马病毒的危害 (4)第二章木马病毒的现状 (4)2.1 特洛伊木马的发展 (5)2.2木马病毒的种类 (6)第三章木马病毒的发展趋势 (8)第四章木马病毒的基本原理 (11)第五章木马病毒的防范 (17)引言随着信息化时代的到来人类社会生活对因特网的需求日益增长，使得计算机网络技术迅速发展和普及。

网络安全毕业论文—木马功防序言早期的防病毒思想并不盛行，那时候的网民也比较单纯，使用网络防火墙的人也只有少数，所以那时候的入侵者可以算是幸福的，他们只需要一点简单的社会工程学手段就能把木马程序传输给对方执行，这一时期的木马种植手段（如今的普遍称谓为“下马”）基本上不需要牵涉到技术，也许唯一需要的技术就是如何配置和使用一个木马，因为那时候木马也还是个新产物而已。

那时候的网民，只能依靠自己的判断和技术，才能免受或摆脱木马之害。

因此，当木马技术刚在国开始的时候，任意一个IP段都有可能存在超过40%的受害计算机开放着大门等待入侵者进攻，可以毫不夸的说，那时候是木马的第一黄金时期，唯一美中不足的制约条件就是当时的网络速度普遍太慢了。

随着时间的流逝，木马技术发展日益成熟，但网民的安全意识也普遍提高，更出现了初期的病毒防火墙概念，这个时期的入侵者必须掌握更高级的社会工程学手段和初期的入侵技术才能让对方受害了，这时期的木马虽然隐蔽性有了相对提高，但仍然是基于客户端寻找连接服务器端的模式。

由于出现了病毒防火墙，网民判断和查杀木马的效率大大提高，而且大部分人也知道“人心不古”了，不再轻易接收陌生人给的程序，使得木马不再像上时期那样肆无忌弹的横行，但是因为病毒防火墙是个新兴产物，仍然有相对多的人没有安装使用，以至于许多老旧的木马依然可以横行无忌。

再后来，随着网络防火墙技术诞生和病毒防火墙技术的成熟，木马作者被迫紧跟着防病毒厂商的脚步更新他们的作品以避免马儿过早“殉职”，同时由于网络防火墙技术的出现，让计算机与网络之间不再直接，尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核部程序访问网络请求”的策略，导致大部分木马纷纷失效，这时期的木马逐渐分裂成两个派别：一种依然采用客户端连接服务器端的方式，只是改为了其他传输途径，如E-MAIL、FTP等，或者在部除掉网络防火墙，以便自己畅通无阻；另一种则改变了入侵的思维，把“客户端连接服务器端”变为“服务器端连接客户端”，再加上一点社会工程学技术，从而突破了网络防火墙的限制，也因此诞生了一种新的木马技术——“反弹型”木马。

基于VC的一种简单木马的设计摘要目前，Internet已经得到非常广泛的使用，但是同时，各种黑客工具和网络攻击手段也层出不穷。

黑客入侵给人们造成的各种损失也越来越大，其中木马就是被广泛使用的黑客工具之一，它对网络安全造成了极大的威胁。

本毕业设计使用VC++ 6.0为开发平台设计的一个简单的木马程序，主要实现了获取远程被控计算机的基本信息、锁定其鼠标和键盘、注销重启和关闭被控计算机、隐藏并开启其任务栏、向被控计算机发送消息等功能。

本论文从选题背景入手，介绍了与本系统相关的一些理论知识，以及开发工具，随后详细介绍了该木马程序的开发过程，包括服务端/客户端的socket编程，木马服务端和客户端通信的实现，以及实现远程控制的各种具体功能的实现。

最后对系统进行测试，并对所做工作进行总结。

关键词：木马；远程控制；VC；Windows SocketThe Design of the Trojan Horse Based on Visual CAbstractWith the popularization of the Internet and the development of its application, various kinds of Internet-attacking methods are appeared. These Internet-attacking have seriously damaged the machines and the Internet users. The Trojan horse is one of the popular tools used by hacker and influenced the network security more and more.In this design a simple Trojan horse is developed with Visual C++ 6.0. The primary function includes: getting system information of the long-distance computer, locking its mouse and keyboard, rebooting logout and turn off the computer, hiding taskbar, sending message, catching and killing the process and so on.In this paper, the background and the development technology is introduced at first, and then it introduces the design process of the Trojan Horse, includes socket programming of the server and client, communication between the server and client and implementation the function in detail.Key words:Trojan Horse; Long-distance control; VC; Windows Socket目录论文总页数：26页1 引言 (1)2 相关技术介绍 (1)2.1开发环境VC++6.0 (1)2.2套接字S OCKET编程原理 (1)2.3木马基本原理 (3)2.3.1木马定义 (3)2.3.2木马发展 (3)2.3.3木马基本组成 (4)2.3.4C/S客户服务器模式 (4)2.3.5木马入侵过程 (5)3 系统设计 (7)3.1系统总体设计 (7)3.1.1设计目标 (7)3.1.2功能介绍 (8)3.2具体功能实现 (9)3.2.1获取信息功能 (9)3.2.2清除信息 (10)3.2.3锁定鼠标和键盘 (10)3.2.4注销、重启和关机 (11)3.2.5隐藏并开启任务栏 (13)3.2.6发送消息 (16)3.2.7查看进程 (17)3.2.8木马的伪装 (20)4 系统测试 (23)结论 (24)参考文献 (24)致谢 (25)声明 (26)1引言以Internet为代表的全球性信息化浪潮日益高涨，信息网络技术的应用正日益普及，伴随网络的普及，安全问题日益成为影响网络效能的重要问题。

木马论文木马病毒工作原理论文摘要：木马病毒通过某些手段入侵到对方计算机中，并能够长期潜伏下来。

当被控系统启动时，木马病毒能够窃取、篡改、删除文件和数据。

本文从木马病毒的工作原理、预防和查杀三个方面对其进行阐述。

关键词：木马；端口；杀毒working principle and prevention of trojan virus zhang li(shandong vocational college oftechnology,jining272000,china)abstract:trojan can invade a computer by certain ways,and then hide itself for a long time.when the controlled system starts,its files and datas would be stolen,changed and deleted by trojan.this paper will explain the working principle of trojan,how to prevent and kill it.keywords:trojan;port;antivirus随着计算机和网络的普及，我们的日常生活与他们愈加紧密的联系在了一起。

但是木马病毒的出现，使得电脑用户的重要信息遭到破坏或者被盗，造成了无法弥补的损失。

要想从根本上预防木马病毒的入侵，我们必须要深入了解木马病毒的工作原理。

一、什么是木马病毒木马病毒（trojan）这个名字由古希腊传说“木马计”的故事而来。

“木马”与病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件。

它采用各种方法将自身伪装起来，一旦用户下载执行，“木马”即植入成功。

此时，受害主机的门户已经对施种者敞开。

施种者可以“窥视”到受害主机中的所有文件、盗取重要的口令、信息、破坏系统资源，甚至远程操控受害主机。

分析木马客户端与服务端隐蔽通讯现代木马的实现是建立在一种既可靠，又不易被宿主发现的通讯方案上的，本文就是对各种方案的实现方法，可靠性，安全性做了一些理论上的探讨。

充分的理解木马的客户端和服务端是怎么进行隐藏的，不但可以帮助您能深刻的理解网络通信的原理，也可以更有效的做好安全防范。

基于此我们编发了此文，下面我们进入正题。

首先应该明确的是受害者的机器上运行的木马程序我们称之为服务端，控制者机器上运行的我们称之为客户端（其实对于现代的木马，已经很难说谁是客户，谁是服务了，不过我们还是继续用这种叫法）。

另外虽然Windows9x仍然有巨大的用户基础，但是Windows9x向Windows XP迁徙只是早晚问题，所以这里的讨论主要是针对NT/2000/XP平台的。

1.使用TCP协议，服务端侦听，客户端连接。

这是最简单，最早，最广泛使用的一种通讯方案。

使用过冰河或者被冰河客户端扫过的对此一定不会陌生。

这种通讯方案是服务端在宿主机器上开一个TCP 端口，然后等待客户端的连接，在通过对客户端的认证后，客户端就可以控制服务端了。

由于是建立在TCP协议基础上，所以通讯的可靠性是得到保证的。

但是通讯的安全性却很成问题。

首先，使用像fport,tcpview pro这样的工具可以很容易的发现在某一端口上侦听的进程，以及进程对应的可执行文件。

其次，在安装了防火墙的机器上，当客户端连接到服务端时，很容易引起防火墙报警。

2.使用TCP协议。

客户端侦听，服务端连接。

这就是所谓的反向连接技术了。

为了克服服务端在某一端口上侦听易被发现这一缺点，现在服务端不再侦听端口，而是去连接客户端在侦听的某一端口。

这样用一般的port scanner或者fport就发现不了服务端了。

而为了更好的麻痹宿主机，客户端侦听的端口一般是21,80,23这种任何人都要访问的端口。

虽然在安装了防火墙的机器上，服务端去连接客户端还是要引起防火墙报警，但是一个粗心的用户很可能会忽略"应用程序xxxxx试图访问xxx.xxx.xxx.xxx通过端口80"这样的警告。