【正文】 術(shù) 應(yīng)用程序調(diào)用 WSASocket/socket 創(chuàng)建套接字時， 會在服務(wù)提供者數(shù)據(jù)庫中按順序搜索和 WSAStartup/socket 提供的 3 個參數(shù)相匹配的服務(wù)提供者，如果同時有兩個相同類型的服務(wù)提供者存在于服務(wù)提供者數(shù)據(jù)庫中，那么順序在前的那個服務(wù)提供者就會被調(diào)用。其中， Visual 集成 開發(fā)環(huán)境用來開發(fā)和測試應(yīng)用程序。當(dāng)代碼中混有本機(jī)代碼和基于 MSIL 的 _clrcall 的代碼時，這些混合庫允許使用它們所有的現(xiàn)有函數(shù)。 (5).數(shù)據(jù)鏈路層：相當(dāng)于 OSI 模型的下面兩層。 TCP／ IP 中應(yīng)用層下面 的 3 層不必知道應(yīng)用程序的細(xì)節(jié)，但能處理所有的通信細(xì)節(jié)。 UDP 對接收的數(shù)據(jù)報不發(fā)送確認(rèn)，發(fā)送端不知道數(shù)據(jù)是否被 正確接收，也不會重發(fā)數(shù)據(jù)?？蛻舳伺c服務(wù)器通信時，必須首先建立連接。這意味著應(yīng)用程序在任何時候，既可發(fā)送數(shù) 據(jù)也可接收數(shù)據(jù)。由于建立連接時需要交換 3 個分組，所以稱為 TCP的三次握手 (threewayhandshake)。此時客戶端 TCP 發(fā)送一個 SYN 分節(jié)。 第三 TCP 對發(fā)送的數(shù)據(jù)進(jìn)行排序，為每個發(fā)送字節(jié)關(guān)聯(lián)一個序列號，對方根據(jù)接收到的數(shù)據(jù)序列號，對接收數(shù)據(jù)排序，從而保證了數(shù)據(jù)順序。因特網(wǎng)協(xié)議 (IP)不能保證數(shù)據(jù)包準(zhǔn)確發(fā)送給目標(biāo)主機(jī)，而 TCP 不同，發(fā)送數(shù)據(jù)時， TCP要求對方在接收數(shù)據(jù)后返回一個確認(rèn)。 (1).提供無連接服務(wù)。 客戶端與服務(wù)器之間使用 TCP/IP 進(jìn)行通信如圖 所示。實際上TCP/IP 由許多協(xié)議組成，是 Inter 協(xié)議族， TCP 和 IP 是其中兩個最重要的協(xié)議。 .NET 的最終目標(biāo)就是讓用戶在任何地方、任何時間，以及利用任何設(shè)備都能訪問所需的信息、文件和程序。 以上是對木馬運(yùn)行、通信和隱藏原理的分析總結(jié)，目前新的木馬理論也層出不窮，基于木馬的原理分析也在不斷加深，新木馬和變種每天都有出現(xiàn)，我們在研究木馬理論和實踐上任重道遠(yuǎn) 。 (7).修改文件關(guān)聯(lián) 修改文件關(guān)聯(lián)是木馬們常用手段，例如正常情況下 TXT 文件的 打開方式為 文件，但一旦中了文件關(guān)聯(lián)木馬，則 txt 文件打開方式就會被修改為用木馬打開，如著名的國產(chǎn)木馬 ―冰河 ‖就是這樣的。 (2).在 中啟動 位于 Windows 的安裝目錄下，其 [boot]字段的 Shell= 是隱藏加載木馬的常見位置，木馬通常的做法是將該字 段變?yōu)檫@樣： Shell=。被植入反彈木馬服務(wù)器端的計算機(jī)定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連接控制端打開的主動端口。值得一提的要掃描整個 IP 地址段顯然費(fèi)時費(fèi)力，一般來說控制端都是先通過信息反饋獲得服務(wù)端的 IP 地址。為了增加隱藏性，又出現(xiàn)了反彈端口，利用 ICMP 協(xié)議通信，端口復(fù)用等新技術(shù)進(jìn)行通信。而且主木馬和子木馬寄牛于不同主機(jī)并且相瓦聯(lián)系，增強(qiáng)了木馬的抗查殺 的能力。木馬可以利用這些網(wǎng)絡(luò)隱蔽通道突破網(wǎng)絡(luò)安全機(jī)制，比較常見的有： ICMP 畸形報文傳遞、 HTTP 隧道技術(shù)，自定義 TCP/UDP 報文等。(3)刪除 B，保留 D 和 A，將 D 和 A 同時發(fā)布。將木馬核心代碼以線程或 DLL 的方式插入到遠(yuǎn)程進(jìn)程中，由于遠(yuǎn)程進(jìn)程是合法的 8 用戶程序，用戶又很難發(fā)現(xiàn)被插入的線程或 DLL，從而達(dá)到木馬隱藏的目的。要提防這種占用系統(tǒng)啟動項而作到自動運(yùn)行的木馬，用戶必須了解自己機(jī)器里所有正常的啟動項信息，才能知道木馬有沒有混進(jìn)來。像 Autoexec． bat和 。木馬就是普通的木馬文件，被捆綁在網(wǎng)頁里，能夠跟隨網(wǎng)頁自動打開，實現(xiàn)各種木馬功能。控制端將木馬程序以附件或者圖標(biāo)等的形式夾在郵件中發(fā)送出去，倒如漂亮的網(wǎng)頁或電子賀卡等。由于建立連接容易被察覺 ， 因此就要使用 ICMP 來避免建立連接或使用端口 。 5 第 2 章 木馬原理分析 特洛伊木馬程序其實是一種客戶機(jī)服務(wù)器程序，服務(wù)器端 (被攻擊的計算機(jī) )的程序在運(yùn)行之后，黑客可以使用相應(yīng)的客戶端工具直接控制它，在網(wǎng)絡(luò)上，有一個基本的漏洞，就是在本機(jī)直接肩動運(yùn)行的程序擁有與使用者相同的權(quán)限 ，假設(shè)你是以管理員的身份使用機(jī)器，那么你從本地硬盤啟動一個應(yīng)用程序，這個程序就有權(quán)享有機(jī)器的全部資源。 (2)、打開未授權(quán)的服務(wù)為遠(yuǎn)程計算機(jī)安裝常用的網(wǎng)絡(luò)服務(wù)，讓它為黑客或其他非法用戶服務(wù)。這種木馬利用遠(yuǎn)程緩沖區(qū)溢出的入侵方式，從遠(yuǎn)程將木馬 4 寫入目前正在運(yùn)行的某程序的內(nèi)存中，然后利用更改意外處理的方式來運(yùn)行木馬代碼。木馬區(qū)別與遠(yuǎn)程控制程 序的主要不同點(diǎn)就在于它的隱蔽性，木馬的隱蔽性是木馬能否長期存活的關(guān)鍵。通常在 B/S 架構(gòu)下，Server 端被上傳了網(wǎng)頁木馬，控制端可以使用瀏覽器來訪問相應(yīng)的網(wǎng)頁，達(dá)到對 Server端進(jìn)行控制的目的。它們可以自動刪除受控豐機(jī)上所有的． ini 或． exe 文件，甚至遠(yuǎn)程格式化受害者硬盤，使得受控主機(jī)上的所有信息都受到破壞。 木馬的分類 為了更方便地研究木馬，并采取適當(dāng)?shù)姆婪洞胧?，可對木馬進(jìn)行分類，快速了解新出現(xiàn)的木馬，便于制訂有效的防御措施將它拒之門外，或通過一些規(guī)則找到木馬并清除。如 ：網(wǎng)絡(luò)神偷、 Peep201 等。當(dāng)時的木馬程序的功能相對簡單，往往是將一段程序嵌入到 系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，在這個時期木馬的設(shè)計者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識。最后，希臘軍隊撤走了，并在特洛伊城外留下很多巨大的木馬。 世界各國計算機(jī)安全應(yīng)急響應(yīng)小組 (puter emergency response )以及國內(nèi)外各反病毒公司及廠商均對木馬檢測、清除和防范方面做了大量研究。但隨著網(wǎng)絡(luò)應(yīng)用的增加，以計算機(jī)信息系統(tǒng)為犯罪對象和犯罪工具的各類新型犯罪活動不斷出現(xiàn)。 第 16周 完成畢業(yè)答辯資格審查、畢業(yè)答辯準(zhǔn)備 第 17周 畢業(yè)答辯 目 錄 目 錄 ........................................................................................................................................ 1 木馬的原理分析與處理方案 .................................................................................................... 1 Trojan horse principle analysis and treatment scheme ............................................................... 2 前 言 ........................................................................................................................................ 1 第 1 章 緒論 ............................................................................................................................ 1 木馬概述 .................................................................................................................... 1 木馬的分類 ................................................................................................................ 2 木馬的功能 ................................................................................................................ 4 第 2 章 木馬原理分析 ............................................................................................................ 5 木馬的工作原理 ........................................................................................................ 5 木馬的種植原理 ........................................................................................................ 6 木馬的隱藏原理 ........................................................................................................ 6 木馬的通信原理 ........................................................................................................ 9 木馬的啟動技術(shù) ...................................................................................................... 11 第 3 章 木馬開發(fā)平臺與相關(guān)技術(shù) ...................................................................................... 13 平臺開發(fā)的相關(guān)技術(shù) ............................................................................................... 13 TCP/IP 協(xié)議概述 ....................................................................................................... 14 TCP/IP 模型 .................................................................................................... 14 UDP 概述 ........................................................................................................ 15 TCP 概述 ......................................................................................................... 16 端口 ................................................................................................................ 17 工作原理 — Windows Sockets 程序設(shè)計 ................................................................. 17 Socket 的基本概念 ......................................................................................... 17 Windows Socket 程序設(shè)計 ............................................................................. 20 第 4 章 木馬的實例研究 ...................................................................................................... 29 冰河病毒相關(guān)背景 .................................................................................................... 29 功能分析 .................................................................................................................... 29 木