【文章內(nèi)容簡(jiǎn)介】 木馬設(shè)計(jì)的一般原理；使用VC設(shè)計(jì)實(shí)木馬程序設(shè)計(jì)與植入技術(shù) 第一章 緒論 4 現(xiàn)一良性木馬程序，要求木馬植入過(guò)程盡可能避免常見的防火墻及殺毒軟件報(bào)警。要求木馬程序激活后能夠繞過(guò)常見的防火墻及防毒軟件（或結(jié)束此類進(jìn)程）并開始工作； 要求木馬程序每隔一段時(shí)間發(fā)送一次植入機(jī)器記事本程序的鍵盤記錄。本文首先闡述了木馬的產(chǎn)生背景，發(fā)展過(guò)程，以及木馬的未來(lái)的發(fā)展方向。分析了網(wǎng)絡(luò)安全的現(xiàn)狀，和嚴(yán)峻性。之后分析了一個(gè)簡(jiǎn)單木馬的實(shí)現(xiàn)相關(guān)技術(shù)背景，和如何防御木馬的入侵，重點(diǎn)研究了一個(gè)鍵盤記錄類型的木馬的實(shí)現(xiàn)。本文首先要實(shí)現(xiàn)木馬的最基本功能，既信息的盜取，和信息的發(fā)送。信息的盜竊是要實(shí)現(xiàn)在記事本運(yùn)行的過(guò)程中記錄鍵盤的記錄。那么在檢視到記事本已經(jīng)運(yùn)行，鍵盤記錄模塊的功能便能記錄鍵盤的記錄。之后，便是如何將信息發(fā)送出去。發(fā)送部分可以選擇客戶/服務(wù)器類型的，在被植入電腦的服務(wù)器端程序?qū)⑿畔⑼ㄟ^(guò)端口發(fā)送到正在被監(jiān)聽客戶端。發(fā)送EMAIL也是非常通用和有效的方法，設(shè)置好EMAIL地址，服務(wù)器將記錄下的文件以EMAIL的形式發(fā)送到指定的郵箱去。木馬的隱藏與防止殺毒軟件和防火墻的追殺和攔截同樣是木馬的最重要的部分。本文將木馬生成的美麗的誘人的圖標(biāo)，吸引受害者安裝。木馬將自己隱藏在系統(tǒng)目錄下并且迷惑系統(tǒng)管理員；木馬通過(guò)修改注冊(cè)表中的鍵值實(shí)現(xiàn)木馬的自啟動(dòng)。在進(jìn)程進(jìn)程隱藏，在Win9x下通過(guò)注冊(cè)為系統(tǒng)服務(wù)在進(jìn)程中隱藏，在Windows NT下更改進(jìn)程名為Windows 。信息發(fā)送使用EMAIL的形式，通過(guò)嚴(yán)格控制EMAIL的發(fā)送時(shí)間和次數(shù)，并且在發(fā)送郵件前殺死防火墻進(jìn)程的方式避免防火墻的報(bào)警。 本課題的設(shè)計(jì)目的及意義本課題涉及到的是現(xiàn)在不管是政府機(jī)構(gòu)，公司，還是個(gè)人都關(guān)心的網(wǎng)絡(luò)安全問(wèn)題。當(dāng)前的這個(gè)問(wèn)題對(duì)于每個(gè)人都是首先要面對(duì)的問(wèn)題。那么我們應(yīng)當(dāng)怎么去應(yīng)對(duì)這個(gè)問(wèn)題呢，“知己知彼，百戰(zhàn)不殆”,只有知道黑客是怎么樣去攻擊，怎樣實(shí)現(xiàn)他們的木馬。在熟悉木馬的各方面的實(shí)現(xiàn)原理、關(guān)鍵技術(shù)后，就能基本上對(duì)付黑客的攻擊，維護(hù)自己的利益，保證自己的機(jī)密信息不被泄漏，把自己損失降到最低點(diǎn)。本文介紹了一些最基本的網(wǎng)絡(luò)及個(gè)人電腦的安全問(wèn)題，還設(shè)計(jì)實(shí)現(xiàn)了一個(gè)簡(jiǎn)單木馬，并且還介紹了木馬程序的高級(jí)技巧和未來(lái)的趨勢(shì)。本文介紹木馬編程的一般技巧，并不是教人去如何攻擊他人，目的只是讓大家了解木馬的工作原理和簡(jiǎn)單的編寫步驟，以便更好地防范和清除木馬，維護(hù)我們自己應(yīng)有的網(wǎng)絡(luò)安全。本次設(shè)計(jì)側(cè)重于設(shè)計(jì)實(shí)現(xiàn)一個(gè)簡(jiǎn)單木馬。根據(jù)木馬程序目的性，將木馬分為隱藏部分、信息收集部分和信息發(fā)送部分。它基本功能就是鍵盤記錄和發(fā)送記錄木馬程序設(shè)計(jì)與植入技術(shù) 第一章 緒論 5 文件。該木馬是在Windows平臺(tái)下，利用Visual C＋＋，大量調(diào)用Windows API進(jìn)程編程，并且使用了DLL技術(shù)進(jìn)行模塊化設(shè)計(jì)。這種設(shè)計(jì)方法有利于鍛煉Windows 程序員模塊設(shè)計(jì)能力，和不同模塊的接口問(wèn)題。這不僅可以使我們學(xué)習(xí)和理解到網(wǎng)絡(luò)安全方面的基本知識(shí)、木馬的基本原理和實(shí)現(xiàn)方法，而且有利于對(duì)于Windows編程有更深入的理解，拓寬知識(shí)面，增強(qiáng)我們對(duì)網(wǎng)絡(luò)安全防范的意識(shí)，不管是對(duì)于學(xué)習(xí)、生活還是生產(chǎn)實(shí)踐都有很大的意義。 論文的組織全文共分5章，首先講述木馬產(chǎn)生的背景，發(fā)展情況，和未來(lái)木馬技術(shù)以及Windows的安全機(jī)制基本原理。之后重點(diǎn)研究實(shí)現(xiàn)了一個(gè)鍵盤記錄類型的木馬，在研究一個(gè)木馬實(shí)現(xiàn)后，講述怎樣去防范木馬病毒。第一章為緒論，介紹木馬發(fā)展情況，簡(jiǎn)單講述計(jì)算機(jī)的安全機(jī)制，以及該研究的目的及意義。第二章介紹木馬的設(shè)計(jì)思想、總體結(jié)構(gòu)，開發(fā)方案。第三章詳細(xì)介紹本文研究的重點(diǎn)部分——木馬的設(shè)計(jì)與實(shí)現(xiàn)。第四章講述木馬病毒的防范。第五章是總結(jié)。對(duì)本文所做的工作進(jìn)行總結(jié)，并闡述進(jìn)一步的研究工作。 木馬程序設(shè)計(jì)與植入技術(shù) 第一章 緒論 6 第二章 木馬程序的總體設(shè)計(jì)及關(guān)鍵技術(shù)分析這部分主要介紹本木馬的程序設(shè)計(jì)所在的程序設(shè)計(jì)環(huán)境和程序設(shè)計(jì)的相關(guān)關(guān)鍵技術(shù)。根據(jù)本木馬設(shè)計(jì)的基本出發(fā)點(diǎn)：順利注入目標(biāo)機(jī)器，盡量隱藏自身，不被查殺軟件的報(bào)警，避免系統(tǒng)管理員的察覺(jué)，順利的把記事本程序運(yùn)行時(shí)的鍵盤記錄發(fā)送出來(lái)。首先分析了當(dāng)前一些木馬的特點(diǎn)，確定本木馬程序?qū)崿F(xiàn)方案。之后分析了要實(shí)現(xiàn)該方案的關(guān)鍵技術(shù)。 程序設(shè)計(jì)環(huán)境本木馬的程序設(shè)計(jì)的軟硬件環(huán)境如下：硬件環(huán)境：CPU ；內(nèi)存 256DDR。軟件環(huán)境：Windows XP 操作系統(tǒng)，開發(fā)工具采用Visual C＋＋。 。 方案分析及基本思想當(dāng)前木馬的種類繁多，木馬的形式與其功能有著密切的關(guān)系。究竟采用那種形式與木馬設(shè)計(jì)者的目標(biāo)有著直接的關(guān)系，例如要獲得被侵入機(jī)器的控制權(quán)，查閱目標(biāo)機(jī)器中的重要文獻(xiàn)，上傳病毒，下載有用的機(jī)密文件，或者惡性的格式化機(jī)器硬盤。則一般采用網(wǎng)絡(luò)客戶/服務(wù)程序類型。根據(jù)本木馬設(shè)計(jì)的基本目的：隱藏自身，把記事本程序運(yùn)行時(shí)的鍵盤記錄發(fā)送出來(lái)。下面提出了基于Visual C＋＋：　1．[點(diǎn)號(hào)統(tǒng)一，其后標(biāo)題文字監(jiān)空格要加全加]捆綁文件由于本木馬采用模塊化設(shè)計(jì)，將鍵盤記錄和記錄信息發(fā)送功能分別封裝在幾個(gè)DLL（動(dòng)態(tài)鏈接庫(kù)）中，只提供幾個(gè)對(duì)外的函數(shù)接口，于是在程序主體部分，需要實(shí)現(xiàn)這些功能的時(shí)候，只要裝入動(dòng)態(tài)鏈接庫(kù)就行了，調(diào)用要實(shí)現(xiàn)功能的函數(shù)即可。在程序運(yùn)行時(shí)候，DLL必須要跟程序主體的可執(zhí)行文件在同一目錄下。所有的功能才能正常的實(shí)現(xiàn)。所以要將這兩個(gè)DLL文件和一個(gè)EXE文件捆綁起來(lái)變成木馬程序設(shè)計(jì)與植入技術(shù) 第二章 木馬程序的總體設(shè)計(jì)及關(guān)鍵技術(shù)分析 7 一個(gè)可執(zhí)行文件，在當(dāng)然在進(jìn)入目標(biāo)計(jì)算機(jī)時(shí)候，只要該文件被執(zhí)行，三個(gè)文件將釋放到同一系統(tǒng)目錄下，并且執(zhí)行木馬主體的EXE文件。2．偽裝隱藏木馬木馬它是一種基于遠(yuǎn)程控制的黑客工具, 具有隱蔽性和非授權(quán)性的特點(diǎn)。隱蔽性是指為了防止木馬被發(fā)現(xiàn),采用各種手段偽裝隱藏木馬。木馬在工作時(shí)候不能出現(xiàn)主界面，木馬必須在任務(wù)欄中隱藏，木馬要復(fù)制自身到隱蔽的地方。給木馬選一個(gè)好圖標(biāo)和一個(gè)好名字。木馬要盡量在Windows的各種版本中的進(jìn)程中隱藏。3. 自啟動(dòng)木馬木馬的運(yùn)行不會(huì)指望用戶每次啟動(dòng)系統(tǒng)后, 點(diǎn)擊木馬圖標(biāo)來(lái)運(yùn)行木馬服務(wù)端。Windows的自啟動(dòng)方式其實(shí)有許多方式。除了一些常見的啟動(dòng)方式之外，還有一些非常隱蔽的可用來(lái)啟動(dòng)文件的方式。木馬要做的是如何在每次用戶啟動(dòng)時(shí)自動(dòng)裝載服務(wù)端。Window s 支持多種的在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載應(yīng)用程序的方法, 在Windows系統(tǒng)下，木馬可以通過(guò)注冊(cè)表、捆綁替換系統(tǒng)文件、。本文通過(guò)修改注冊(cè)表，實(shí)現(xiàn)了木馬的自啟動(dòng)。鉤子的本質(zhì)是一段用以處理系統(tǒng)消息的程序，通過(guò)系統(tǒng)調(diào)用，將其掛入系統(tǒng)。鉤子的種類有很多，每種鉤子可以截獲并處理相應(yīng)的消息，每當(dāng)特定的消息發(fā)出，在到達(dá)目的窗口之前，鉤子程序先行截獲該消息、得到對(duì)此消息的控制權(quán)。此時(shí)在鉤子函數(shù)中就可以對(duì)截獲的消息進(jìn)行加工處理，甚至可以強(qiáng)制結(jié)束消息的傳遞。鍵盤記錄就是使用鉤子截獲鍵盤消息，鉤子可以實(shí)現(xiàn)下面的功能:把截獲的消息復(fù)制一份自己保留，在把原消息原封不動(dòng)發(fā)出去。把截獲的到的消息扣留。把截獲，為兩步實(shí)現(xiàn):鉤子的制作和鉤子的使用。由于本木馬主要功能就是發(fā)送記事本程序運(yùn)行時(shí)的鍵盤記錄，不用對(duì)被植入機(jī)器的進(jìn)行如打開文件夾，上傳，下載，以及格式化硬盤等等控制。所以EMAIL式本木馬是很好的選擇，它避免了通常的網(wǎng)絡(luò)客戶/服務(wù)程序形式，以及頻繁的開端口進(jìn)行實(shí)時(shí)監(jiān)控。因?yàn)檫@樣很容易被一些防殺軟件查殺，也很容易引起管理員的察覺(jué)。而利用EMAIL就能很好的避免這一缺點(diǎn)。它的原理就是在被植入方中的木馬程序選擇一個(gè)有利時(shí)機(jī)瞬時(shí)發(fā)送記錄鍵盤模塊生成的文件到指定的EMAIL地址上去，并且盡量避免防火墻的警告。木馬程序設(shè)計(jì)與植入技術(shù) 第二章 木馬程序的總體設(shè)計(jì)及關(guān)鍵技術(shù)分析 8 程序總體結(jié)構(gòu)本木馬的主要功能就是記錄鍵盤記錄，發(fā)送鍵盤記錄，并盡量隱藏以避免被察覺(jué)。程序基本工作作圖如圖21所示:[下邊的圖我看到亂，只要打印預(yù)覽正常就行，繪圖對(duì)象位置微調(diào)用CTRL+方向鍵]開始點(diǎn)擊木馬進(jìn)入被植入機(jī)器符合發(fā)送條件殺死防火墻進(jìn)程結(jié)束圖 21 木馬工作總圖記錄鍵盤記錄發(fā)送記錄文件啟動(dòng)木馬YN通過(guò)木馬的工作流程對(duì)其有個(gè)初步認(rèn)識(shí)，那么程序的結(jié)構(gòu)根據(jù)木馬的功能三木馬程序設(shè)計(jì)與植入技術(shù) 第二章 木馬程序的總體設(shè)計(jì)及關(guān)鍵技術(shù)分析 9 個(gè)重要組成部分：鍵盤記錄部分（），郵件發(fā)送部分（），木馬主體部分。木馬的結(jié)構(gòu)圖如下： 發(fā)送EMAIL模塊（）鍵盤記錄模塊（）隱藏判斷發(fā)送條件提高權(quán)限殺死進(jìn)程復(fù)制自身木馬主體裝載 裝載自啟動(dòng) 木馬程序的主體部分程序的主體部分是包括裝載鍵盤記錄和發(fā)送郵件封裝的動(dòng)態(tài)鏈接庫(kù)，以及確定木馬啟動(dòng)方式，和各種隱藏，記錄文件，發(fā)送郵件的功能。木馬主體部分通過(guò)裝載鍵盤記錄的動(dòng)態(tài)鏈接庫(kù)“”，安裝鍵盤記錄的鉤子；還靜態(tài)裝載了。捆綁后的木馬一旦點(diǎn)擊必須復(fù)制自身到系統(tǒng)目錄下，隱藏自己，并且開始運(yùn)行。木馬具有非授權(quán)性，因此要隱藏自己，在隱藏模塊中，它通過(guò)各種方法隱藏程序的顯示窗口，在任務(wù)欄中隱藏，并且使其在Windows98進(jìn)行進(jìn)程隱藏，在Windows 2022和Windows XP等更高的系統(tǒng)中隱藏進(jìn)程。同時(shí)在主體部分的判斷發(fā)送條件模塊，檢查是否符合發(fā)送郵件的條件，可以任意設(shè)置發(fā)送郵件條件，如文件長(zhǎng)度為1k，發(fā)送時(shí)間段為上午11點(diǎn)。如果符合就先殺死天網(wǎng)防火墻的進(jìn)程，并且初始化郵件發(fā)送郵件，并且把發(fā)送后的文件清空，繼續(xù)記錄鍵盤記錄。否則就不發(fā)送記錄文件，繼續(xù)記錄。通過(guò)判斷系統(tǒng)類型，木馬是個(gè)特殊的程序，它需要足夠的權(quán)限來(lái)實(shí)現(xiàn)比較特殊的功能，比如殺死防殺圖 22 木馬的結(jié)構(gòu)總體木馬程序設(shè)計(jì)與植入技術(shù) 第二章 木馬程序的總體設(shè)計(jì)及關(guān)鍵技術(shù)分析 10 軟件的進(jìn)程，就必須提高該木馬程序的權(quán)限，通過(guò)提高權(quán)限模塊提高權(quán)限，該功能在提高權(quán)限模塊中實(shí)現(xiàn)。同時(shí)木馬需要?dú)⑺榔洳幌Ｍ某绦?，在殺死進(jìn)程模塊中就要實(shí)現(xiàn)兩個(gè)功能:通過(guò)進(jìn)程名就能找到該進(jìn)程在系統(tǒng)工作的PID，那么找到PID后，就能夠通過(guò)PID殺死目標(biāo)進(jìn)程，如天網(wǎng)防火墻等等。 WINDOWS 鍵盤事件監(jiān)控原理WINDOWS的消息處理機(jī)制為了能在應(yīng)用程序中監(jiān)控系統(tǒng)的各種事件消息，提供了掛接各種反調(diào)函數(shù)(HOOK)的功能。這種掛鉤函數(shù)(HOOK)類似擴(kuò)充中斷驅(qū)動(dòng)程序，掛鉤上可以掛接多個(gè)反調(diào)函數(shù)構(gòu)成一個(gè)掛接函數(shù)鏈。系統(tǒng)產(chǎn)生的各種消息首先被送到各種掛接函數(shù)，掛接函數(shù)根據(jù)各自的功能對(duì)消息進(jìn)行監(jiān)視、修改和控制等，然后交還控制權(quán)或?qū)⑾鬟f給下一個(gè)掛接函數(shù)以致最終達(dá)到窗口函數(shù)。1. 在WINDOWS鍵盤事件上掛接監(jiān)控函數(shù)的方法WINDOW下可進(jìn)行掛接的過(guò)濾函數(shù)種類WH_CALLWNDPROC窗口函數(shù)的過(guò)濾函數(shù)WH_CBT計(jì)算機(jī)培訓(xùn)過(guò)濾函數(shù)WH_DEBUG調(diào)試過(guò)濾函數(shù)WH_GETMESSAGE獲取消息過(guò)濾函數(shù)WH_HARDWARE硬件消息過(guò)濾函數(shù)WH_JOURNALPLAYBACK消息重放過(guò)濾函數(shù)WH_JOURNALRECORD消息記錄過(guò)濾函數(shù)WH_MOUSE鼠標(biāo)過(guò)濾函數(shù)WH_MSGFILTER消息過(guò)濾函數(shù)WH_SYSMSGFILTER系統(tǒng)消息過(guò)濾函數(shù)WH_KEYBOARD鍵盤過(guò)濾函數(shù)其中鍵盤過(guò)濾函數(shù)是最常用最有用的過(guò)濾函數(shù)類型，不管是哪一種類型的過(guò)濾函數(shù)，其掛接的基本方法都是相同的。WINDOW調(diào)用掛接的反調(diào)函數(shù)時(shí)總是先調(diào)用掛接鏈?zhǔn)椎哪莻€(gè)函數(shù)，因此必須將鍵盤掛鉤函數(shù)利用函數(shù)SetWindowsHookEx()將其掛接在函數(shù)鏈?zhǔn)?。至于消息是否傳遞給函數(shù)鏈的下一個(gè)函數(shù)是由每個(gè)具體函數(shù)功能確定的，如果消息需要傳統(tǒng)給下一個(gè)函數(shù)，可調(diào)用API函數(shù)的CallNextHookEx()來(lái)實(shí)現(xiàn)，如果不傳遞直接返回即可。掛接函數(shù)可以是用來(lái)監(jiān)控所有線程消息的全局性函數(shù)，也可以是單獨(dú)監(jiān)控某一線程的局部性函數(shù)。如果掛接函數(shù)是局部函數(shù)，接庫(kù)中，也可以放在一個(gè)局部模塊中；如果掛接函數(shù)是全局的，那么必須將其放 動(dòng)態(tài)鏈接庫(kù)中。掛接函數(shù)必須嚴(yán)格按照下述格式進(jìn)行聲明，以鍵盤掛鉤函數(shù)為例：int FAR PASCAL KeyboardProc( int nCode,WORD wParam,DWORD lParam) 其中KeyboardProc為定義掛接函數(shù)名，該函數(shù)必須在模塊定義文件中利用EXPORTS命令進(jìn)行說(shuō)明；nCode決定掛接函數(shù)是否對(duì)當(dāng)前消息進(jìn)行處理；wParam和lParam為具體的消息內(nèi)容。木馬程序設(shè)計(jì)與植入技術(shù) 第二章 木馬程序的總體設(shè)計(jì)及關(guān)鍵技術(shù)分析 11 2．鍵盤事件掛接函數(shù)的安裝與下載在程序中可以利用函SetWindowsHookEx()來(lái)掛接過(guò)濾函數(shù)，在掛接函數(shù)時(shí)必須指出該掛接函數(shù)的類型、函數(shù)的入口地址?！　etWindowsHookEx(iType,iProc,hInst,iCode) 其中iType為掛接函數(shù)類型，鍵盤類型為WH_KEYBOARD,