【正文】 計算機(jī)安全, 木馬 , 鍵盤鉤子, Email, 進(jìn)程隱藏ABSTRACTThe hacker technology nowadays is the angriest field. In recent years, the hacker’s attacks appear endlessly. it is a great threat to work’s security. The Trojan horse is one of the hacker39。在用戶享受寬帶網(wǎng)絡(luò)帶來的便利與快捷的同時，也為各類嚴(yán)重威脅計算機(jī)信息安全的病毒提供了方便之門。木馬作為黑客的攻擊手段之一, 它對系統(tǒng)具有強(qiáng)大的控制功能。在敵人將其作為戰(zhàn)利品拖入城內(nèi)后，木馬內(nèi)的士兵爬出來，與城外的部隊里應(yīng)外合而攻下了特洛伊城。木馬對系統(tǒng)具有強(qiáng)大的控制功能，操縱木馬的人可以通過網(wǎng)絡(luò)像使用自己木馬程序設(shè)計與植入技術(shù) 第一章 緒論 2 的機(jī)器一樣遠(yuǎn)程控制木馬所在的目標(biāo)主機(jī)，甚至可以遠(yuǎn)程監(jiān)控受控主機(jī)上的所有操作。(4)第四代木馬在進(jìn)程隱藏方面獲得了重大的突破，采用插入內(nèi)核的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程，或掛接PSAPI等，實現(xiàn)木馬程序的隱藏，利用反彈端口技術(shù)突破放火墻限止，在Windows NT/2022下取得了良好的隱藏效果。(2) 在傳播方式上, 未來木馬會和病毒一樣,采用交叉式迅速大規(guī)模擴(kuò)散, 并且運(yùn)行方式越來越隱蔽。采用這種方式編寫的木馬與一般的木馬不同, 它基本上擺脫了原有的木馬模式, 而采用DLL 動態(tài)嵌入遠(yuǎn)程線程技術(shù)。那么，同樣應(yīng)付他們的攻擊對于我們同樣重要。 NT 在設(shè)計Windows NT結(jié)構(gòu)的時候，微軟把目標(biāo)定位于一個具有各種內(nèi)在安全功能的強(qiáng)大而堅實的網(wǎng)絡(luò)操作系統(tǒng)。由此可見，只有將企業(yè)的安全策略和Windows NT底層的安全機(jī)制有機(jī)地結(jié)合起來，才能充分發(fā)揮Windows NT的各項安全特性。 研究內(nèi)容與本文所做的工作綜述現(xiàn)有流行的木馬技術(shù)，分析和總結(jié)木馬設(shè)計的一般原理；使用VC設(shè)計實木馬程序設(shè)計與植入技術(shù) 第一章 緒論 4 現(xiàn)一良性木馬程序，要求木馬植入過程盡可能避免常見的防火墻及殺毒軟件報警。之后分析了一個簡單木馬的實現(xiàn)相關(guān)技術(shù)背景，和如何防御木馬的入侵，重點(diǎn)研究了一個鍵盤記錄類型的木馬的實現(xiàn)。之后，便是如何將信息發(fā)送出去。本文將木馬生成的美麗的誘人的圖標(biāo)，吸引受害者安裝。 本課題的設(shè)計目的及意義本課題涉及到的是現(xiàn)在不管是政府機(jī)構(gòu)，公司，還是個人都關(guān)心的網(wǎng)絡(luò)安全問題。本文介紹了一些最基本的網(wǎng)絡(luò)及個人電腦的安全問題，還設(shè)計實現(xiàn)了一個簡單木馬，并且還介紹了木馬程序的高級技巧和未來的趨勢。它基本功能就是鍵盤記錄和發(fā)送記錄木馬程序設(shè)計與植入技術(shù) 第一章 緒論 5 文件。 論文的組織全文共分5章，首先講述木馬產(chǎn)生的背景，發(fā)展情況，和未來木馬技術(shù)以及Windows的安全機(jī)制基本原理。第三章詳細(xì)介紹本文研究的重點(diǎn)部分——木馬的設(shè)計與實現(xiàn)。 木馬程序設(shè)計與植入技術(shù) 第一章 緒論 6 第二章 木馬程序的總體設(shè)計及關(guān)鍵技術(shù)分析這部分主要介紹本木馬的程序設(shè)計所在的程序設(shè)計環(huán)境和程序設(shè)計的相關(guān)關(guān)鍵技術(shù)。 程序設(shè)計環(huán)境本木馬的程序設(shè)計的軟硬件環(huán)境如下：硬件環(huán)境：CPU ；內(nèi)存 256DDR。究竟采用那種形式與木馬設(shè)計者的目標(biāo)有著直接的關(guān)系，例如要獲得被侵入機(jī)器的控制權(quán)，查閱目標(biāo)機(jī)器中的重要文獻(xiàn)，上傳病毒，下載有用的機(jī)密文件，或者惡性的格式化機(jī)器硬盤。在程序運(yùn)行時候，DLL必須要跟程序主體的可執(zhí)行文件在同一目錄下。隱蔽性是指為了防止木馬被發(fā)現(xiàn),采用各種手段偽裝隱藏木馬。3. 自啟動木馬木馬的運(yùn)行不會指望用戶每次啟動系統(tǒng)后, 點(diǎn)擊木馬圖標(biāo)來運(yùn)行木馬服務(wù)端。Window s 支持多種的在系統(tǒng)啟動時自動加載應(yīng)用程序的方法, 在Windows系統(tǒng)下，木馬可以通過注冊表、捆綁替換系統(tǒng)文件、。此時在鉤子函數(shù)中就可以對截獲的消息進(jìn)行加工處理，甚至可以強(qiáng)制結(jié)束消息的傳遞。而利用EMAIL就能很好的避免這一缺點(diǎn)。木馬的結(jié)構(gòu)圖如下： 發(fā)送EMAIL模塊（）鍵盤記錄模塊（）隱藏判斷發(fā)送條件提高權(quán)限殺死進(jìn)程復(fù)制自身木馬主體裝載 裝載自啟動 木馬程序的主體部分程序的主體部分是包括裝載鍵盤記錄和發(fā)送郵件封裝的動態(tài)鏈接庫，以及確定木馬啟動方式，和各種隱藏，記錄文件，發(fā)送郵件的功能。同時在主體部分的判斷發(fā)送條件模塊，檢查是否符合發(fā)送郵件的條件，可以任意設(shè)置發(fā)送郵件條件，如文件長度為1k，發(fā)送時間段為上午11點(diǎn)。同時木馬需要?dú)⑺榔洳幌Ｍ某绦?，在殺死進(jìn)程模塊中就要實現(xiàn)兩個功能:通過進(jìn)程名就能找到該進(jìn)程在系統(tǒng)工作的PID，那么找到PID后，就能夠通過PID殺死目標(biāo)進(jìn)程，如天網(wǎng)防火墻等等。1. 在WINDOWS鍵盤事件上掛接監(jiān)控函數(shù)的方法WINDOW下可進(jìn)行掛接的過濾函數(shù)種類WH_CALLWNDPROC窗口函數(shù)的過濾函數(shù)WH_CBT計算機(jī)培訓(xùn)過濾函數(shù)WH_DEBUG調(diào)試過濾函數(shù)WH_GETMESSAGE獲取消息過濾函數(shù)WH_HARDWARE硬件消息過濾函數(shù)WH_JOURNALPLAYBACK消息重放過濾函數(shù)WH_JOURNALRECORD消息記錄過濾函數(shù)WH_MOUSE鼠標(biāo)過濾函數(shù)WH_MSGFILTER消息過濾函數(shù)WH_SYSMSGFILTER系統(tǒng)消息過濾函數(shù)WH_KEYBOARD鍵盤過濾函數(shù)其中鍵盤過濾函數(shù)是最常用最有用的過濾函數(shù)類型，不管是哪一種類型的過濾函數(shù)，其掛接的基本方法都是相同的。如果掛接函數(shù)是局部函數(shù)，接庫中，也可以放在一個局部模塊中；如果掛接函數(shù)是全局的，那么必須將其放 動態(tài)鏈接庫中。如果掛接函數(shù)需要將消息傳遞給下一個過濾函數(shù)，則在該掛接函數(shù)返回前還需要調(diào)用一次CallNextHookEx()函數(shù)，當(dāng)需要下載掛接函數(shù)時，只要調(diào)用一次UnhookWindowsHookEx(iProc)函數(shù)即可實現(xiàn)。3. WINDOWS掛鉤監(jiān)控函數(shù)的實現(xiàn)步驟WINDOWS掛鉤函數(shù)只有放在動態(tài)鏈接庫DLL中才能實現(xiàn)所有事件的監(jiān)控功能。如同其他的網(wǎng)絡(luò)服務(wù)，電子郵件系統(tǒng)也有其使用的傳輸協(xié)議，包括SMTP（Simple Mail Transfer Protocol，簡單郵件傳輸協(xié)議） 、POP（Post Office Protocol，郵局協(xié)議）和IMAP（Inter Message Access Protocal，消息訪問協(xié)議）等，其中SMTP負(fù)責(zé)郵件的發(fā)送, POP3負(fù)責(zé)郵件的接收。SMTP協(xié)議的通信模型并不復(fù)雜，主要工作集中在發(fā)送SMTP和接收SMTP上：首先針對用戶發(fā)出的郵件請求，由發(fā)送SMTP建立一條連接到接收SMTP的雙工通訊鏈路，這里的接收SMTP是相對于發(fā)送SMTP而言的，實際上它既可以是最終的接收者也可以是中間傳送者。雙方如此反復(fù)多次，直至郵件處理完畢。RCPT TO:＜forwardpath＞＜CRLF＞ ＜forwardpath＞標(biāo)識各個郵件接收者的地址DATA ＜CRLF＞ 接收 SMTP 將把其后的行為看作郵件數(shù)據(jù)去處理，以＜CRLF＞.＜CRLF＞標(biāo)識數(shù)據(jù)的結(jié)尾。EXPN ＜string＞ ＜CRLF＞ 驗證給定的郵箱列表是否存在，擴(kuò)充郵箱列表，也常禁止使用。[編號沒對齊，編號與文本之間加空格統(tǒng)一](2)客戶端發(fā)送HELLO命令以標(biāo)志發(fā)送人自己的身份，然后客戶端發(fā)送MAIL命令服務(wù)器希望以O(shè)K作為響應(yīng)，表明準(zhǔn)備接受。(6) 以“.”表示結(jié)束輸入內(nèi)容一起發(fā)送出去。在進(jìn)行程序設(shè)計的時候，如果類庫中的某個對象能完成所需要的功能，這時我們只要簡單地調(diào)用已有對象的方法就可以了?！　FC類庫在提供的對象的各種屬性和方法都是經(jīng)過謹(jǐn)慎的編寫和嚴(yán)格的測試，可靠性很高，這就保證了使用MFC類庫不會影響程序的可靠性和正確性。其中持久性是以流的方式將某個類對象中的持久性數(shù)據(jù)輸出或輸入到外部存儲介質(zhì)如磁盤文件等的過程；運(yùn)行時類信息（Runtime Class Information，RTCI）則可以重新獲取一個對象的類名及其他一些有關(guān)對象在運(yùn)行時的信息。下表列出的是幾個比較重要AFX函數(shù)函數(shù)名 函數(shù)說明AfxAbout 無條件終止一個應(yīng)用程序；通常在發(fā)生無法回復(fù)的錯誤時使用AfxBeginThread 創(chuàng)建一個新的線程并開始執(zhí)行AfxEndThread 終止當(dāng)前正在執(zhí)行的線程AfxMessageBox 顯示一個 Windows 消息窗口AfxGetApp 返回一個指向應(yīng)用程序?qū)ο蟮闹羔楢fxGetAppName 返回應(yīng)用程序名AfxGetMainWnd 返回一個指向應(yīng)用程序主窗口的指針AfxGetInstanceHandle 返回一個標(biāo)識當(dāng)前應(yīng)用程序?qū)嵗木浔鶤fxRegisterWndClass 為一個 MFC 應(yīng)用程序注冊一個用戶自定義的窗口類 MFC 對 API 函數(shù)的封裝　　使用Windows SDK的開發(fā)經(jīng)歷的人一定會對其編程方式和大量的Win32 API函數(shù)調(diào)用感到煩瑣。下面介紹比較重要的CObject類和CWnd類為例對API函數(shù)的封裝情況。其中持久性支持功能由成員函數(shù)IsSerializable（）和Serialize（）提供。成員函數(shù)GetRuntimeClass（）可以獲取到一個指向CruntimeClass類對象的指針，通過該指針可以得到對象的運(yùn)行時類信息?！　Wnd類最重要的一個封裝是對API函數(shù)CreateWindow（）的封裝，該函數(shù)被封裝為CWnd類成員函數(shù)Create（）。在前面的示例代碼中之所以沒有看到WinMain（）函數(shù)是由于該函數(shù)已經(jīng)通過封裝的手木馬程序設(shè)計與植入技術(shù) 第二章 木馬程序的總體設(shè)計及關(guān)鍵技術(shù)分析 18 段隱藏到應(yīng)用程序框架中了。InitInstance（）函數(shù)是在應(yīng)用程序已經(jīng)開始運(yùn)行但窗口尚未創(chuàng)建時被調(diào)用的，若非由InitInstance（）創(chuàng)建了窗口，應(yīng)用程序是無法擁有窗口的，這也就意味著缺少了InitInstance（）函數(shù)的應(yīng)用程序?qū)o法接收、處理消息，對Windows程序而言這也就失去了存在的意義。　　MFC的CWinApp和CFrameWnd等基類是最主要的類，它們能夠?qū)崿F(xiàn)大多數(shù)的功能。 動態(tài)鏈接庫技術(shù)本文的郵件發(fā)送和鍵盤記錄模塊功能的實現(xiàn)分別封裝在兩個動態(tài)鏈接庫中，因為動態(tài)連接庫有其獨(dú)特的優(yōu)勢。,這兩個動態(tài)連接庫就是為了實現(xiàn)郵件發(fā)送和鍵盤記錄兩個分別比較獨(dú)立的功能。DLL經(jīng)過編譯后，被裝入到一個預(yù)定的基地址中，如果沒有與其他DLL 沖突，文件就被映射到進(jìn)程中相同的虛地址上。多個應(yīng)用程序還可以同時共享DLL 在內(nèi)存中的同一份拷貝，這就有效地節(jié)省了應(yīng)用程序所占用的內(nèi)存資源，避免了頻繁的內(nèi)存交換，從而提高了應(yīng)用程序的執(zhí)行效率。木馬程序設(shè)計與植入技術(shù) 第三章 木馬程序的實現(xiàn) 20 第三章 木馬程序的實現(xiàn)木馬程序包括三個大部分：第一部分為木馬主體部分，第二部分為鍵盤記錄部分，第三部分為郵件發(fā)送部分。為了使用 DLL中提供的各種輸出函數(shù)，必須將 DLL的頭文件添加到應(yīng)用程序工程，并在引用了此DLL 模塊的函數(shù),變量，數(shù)據(jù)結(jié)構(gòu)或符合所有源文件中包含對此頭文件的引用，否則輸入的DLL的符合將被認(rèn)為是沒有定義而使編譯器報告錯誤信息。完成前述工作后，在工程對輸入函數(shù)的調(diào)用可以對想對進(jìn)程內(nèi)函數(shù)的調(diào)用一樣來使用。這種鏈接方式是在程序運(yùn)行過程中，由其空間中的線程決定是否調(diào)用DLL中的輸出函數(shù)。 木馬程序設(shè)計與植入技術(shù) 第三章 木馬程序的實現(xiàn) 21 自身復(fù)制模塊木馬第一次進(jìn)入目標(biāo)計算機(jī)，必需要找一個地方把自己隱藏起來。 所示 //獲得進(jìn)程的絕對路徑char sPath[100]。 strcat(TempPath,str)。//定義回調(diào)函數(shù)的地址typedef void (CALLBACK *inshook)()。} 木馬程序設(shè)計與植入技術(shù) 第三章 木馬程序的實現(xiàn) 22 方式。m_strreg=_T(Software\\Microsoft\\Windows\\CurrentVersion\\Run)。::RegSetValueEx(hregkey,testwk1,0,REG_SZ,(BYTE*)sPath,100)圖 33 復(fù)制自身到系統(tǒng)目錄 隱藏模塊由于木馬程序是一種惡意程序，它必須在被攻擊者沒有察覺的情況下悄悄啟動運(yùn)行，否則會立即被用戶察覺而將其關(guān)閉，也就失去了作用，所以它不是像其它程序一樣公開顯示在任務(wù)欄和任務(wù)列表中， 而是想方設(shè)法加以隱藏。進(jìn)程隱藏是其難點(diǎn)。關(guān)鍵代碼。如果一個進(jìn)程注冊為一個服務(wù)進(jìn)程, 那么通過Ctrl+ A lt+ Del 就可以在任務(wù)列表里看見該進(jìn)程的標(biāo)題