【正文】 (3).TCP 終止連接 TCP 用 3 個(gè)分節(jié)建。 SYN。 SYN(同步 )，同時(shí)也發(fā)送一個(gè) SYN 分節(jié)。 。 (2).三次握手 建立一個(gè) TCP 連接，需要經(jīng)過(guò)以下幾個(gè)步驟。 第五 TCP 連接是全雙工的。 第四 TCP 提供流量控制。如果沒(méi)有接收到對(duì)方的確認(rèn)則 TCP 自動(dòng)重傳數(shù)據(jù)。 第二提供可靠的服務(wù)。 (1).TCP 具有以下特點(diǎn) 第一提供面向連接的服務(wù)。如果在某個(gè)時(shí)限內(nèi) TCP 沒(méi)有接收到對(duì)方的確認(rèn)，那么 TCP 將重新發(fā)送數(shù)據(jù)包。該協(xié)議在主機(jī)間建立一個(gè)虛擬連接，以實(shí)現(xiàn)可靠的數(shù)據(jù)通信。 (3).UDP 傳輸數(shù)據(jù)較 TCP 快，占用系統(tǒng)資源少。 (2).不能確保 UDP 數(shù)據(jù)報(bào)最終到達(dá)目的地。客戶端向服務(wù)器發(fā)送數(shù)據(jù)時(shí)不必先建立連接。 UDP 具有以下特點(diǎn)。 (2) 通常應(yīng)用層形成用戶進(jìn)程，而 TCP／ IP 模型中下面 3 層通常作為操作系統(tǒng) 內(nèi)核的一部分。在應(yīng)用層到內(nèi)核之間和從內(nèi)核到應(yīng)用層之間承 15 擔(dān)接口的是套接字，套接字作為應(yīng)用層與傳送層的接口是因?yàn)閼?yīng)用層具有以下幾方面的特點(diǎn)： (1) 應(yīng)用層 處理應(yīng)用程序的細(xì)節(jié)，而不必知道通信細(xì)節(jié)。傳輸層的通信使用的協(xié)議為 TCP，網(wǎng)絡(luò)層使用的協(xié)議是 IP。至于封包以何種方式傳輸，能否正確到達(dá)目的地，則由上層協(xié)議負(fù)責(zé)，也就是由 TCP 或者 UDP 負(fù)責(zé)。 在 TCP/IP 模型中，因特網(wǎng)協(xié)議 (IP)的主要任務(wù)是將數(shù)據(jù)分割成許多較小的封包(Packet)，并且將這些封 包發(fā)送出去。 (4).網(wǎng)絡(luò)層：包括因特網(wǎng)協(xié)議 (IP)、地址解析協(xié)議 (ARP)、反向地址解析協(xié)議 (RARP)和因特網(wǎng)控制消息協(xié)議 (ICMP)等， IP 提供的是一種不可靠的服務(wù)。 TCP/IP 模型 TCP/IP 模型分 4 層結(jié)構(gòu)，具體如下所示： (1).應(yīng)用層：相當(dāng)于 OSI 模型的上面 3 層，包括各種應(yīng)用程序和協(xié)議，協(xié)議有HTTP、 FTP 等 (2).傳輸層：包括傳輸控制協(xié)議 (TCP)和用戶 數(shù)據(jù)報(bào)協(xié)議 (UDP)， TCP 提供一種可靠的傳輸服務(wù)，是一種面向連接的協(xié)議，為應(yīng)用程序提供可靠的全雙工字節(jié)流。 TCP/IP 協(xié)議概述 TCP/IP 協(xié)議從名稱上看包括傳輸控制協(xié)議 (TCP)和因特網(wǎng)協(xié)議 (IP)兩協(xié)協(xié)議。 我們所說(shuō)的 windows 編程方法就是使用 Visual C++2020 提供的所有工具。” Visual C++2020 支持將標(biāo)準(zhǔn)的 C++庫(kù)以及 ATL、 MFC 和 CRT 庫(kù)用作使用 CLR 編譯的混合程序集。正如微軟其他． NET開(kāi)發(fā)產(chǎn)品一樣， .NET 框架也 是 Visual C++2020 的中心概念。 .NET 框架主要由以下幾個(gè)主要部分組成： .NET 支持的語(yǔ)言、公共語(yǔ)言執(zhí)行環(huán)境 (Common Language Runtime)，統(tǒng)一類庫(kù)的分層集合和 。 .NET 編程語(yǔ)言包括 Visual Basic、 Visual C++和新的 Visual C用來(lái)創(chuàng)建運(yùn)行在公共語(yǔ)言運(yùn)行庫(kù) (CLR)上的應(yīng)用程序。 .NET 開(kāi)發(fā)工具包括 Visual 集成開(kāi)發(fā)環(huán)境和． NET 編程語(yǔ)言。 13 第 3 章 木馬開(kāi)發(fā)平臺(tái)與相關(guān)技術(shù) NET開(kāi)發(fā)平臺(tái)包括． NET框架和． NET開(kāi)發(fā)工具等組成部分部分，如圖 。這樣，當(dāng)系統(tǒng)有 Winsock 請(qǐng)求時(shí)，就會(huì)首先加載自定義的服務(wù)提供者，從而使木馬 DLL 得到執(zhí)行。然而，由于服務(wù)提供者的安裝是有順序的， API 函數(shù) WSCInstallProvider的安裝默認(rèn)為最新安裝的在后面，因此植入的木馬在默認(rèn)情況下將永遠(yuǎn)不會(huì)被調(diào)用執(zhí)行。如果綁定到系統(tǒng)文件，那么每一次 Windows 啟動(dòng)均會(huì)啟動(dòng)木 馬。不僅僅是 TXT 文件，其他諸如 HTM、 EXE、ZIP、 COM 等也能使用同種方法。 (6).*.INI 即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，從而達(dá)到啟動(dòng)木馬的目的。 (5).啟動(dòng)組 隱藏在啟動(dòng)組中雖然不隱蔽，但也能自動(dòng)加載運(yùn)行，因此還是有木馬在這里駐留的。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將己添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行，而且采用這種方式不是很隱蔽。這里的 就是木馬服務(wù)端程序：另外，在 中的 (386EnhJ 字段內(nèi)的 ―driver二路徑 \程序名 ‖這里也有可能被木馬所利用；再有，在 中的仁 [mic]、 [drivers]、[drivers32]這 3 個(gè)字段，也是添加木馬的好場(chǎng)所。木馬自加載運(yùn)行的常見(jiàn)方法原 理有： (1).在 win． ini 中啟動(dòng) 在 的 (windows)字段中有啟動(dòng)命令 ―load=’和 ―run=―，在一般情況下， ‖=‖后面是空白的，如果有后跟程序，例如： run=c:\ load=c:\windows\ 這里的 就很可能是木馬。 11 木馬的啟動(dòng)技術(shù) 用戶希望每次啟動(dòng)計(jì)算機(jī)時(shí)都自動(dòng)運(yùn)行木馬。 第一， 一個(gè)木馬綁定到一個(gè)己經(jīng)合法存在的端口上進(jìn)行端口隱藏，它通過(guò)自己特定的包格式判斷是不是自己的包，如果是 ，自己處理，如果不是，則通過(guò) 127． 0． 0． 1 的地址交給真正的服務(wù)器應(yīng)用進(jìn)行處理。這種連接模式還能突破內(nèi)網(wǎng)與外部建立連接。于是，與一般的木馬相反，反彈端口型木馬采用反向連接技術(shù)的編程方法：將服務(wù)器端 (被控制端 )使用主動(dòng)端口，客戶端 (控制端 )使用被動(dòng)端口。當(dāng)采用反向連接技術(shù)編程時(shí)，實(shí)際上就是將服務(wù)器端變成了采用客戶端的編程方法，而將控制端變成了采用服務(wù)器端的編程方法。 (3).反向連接技術(shù) 從本質(zhì)上來(lái)說(shuō)，反向連接和正向連接的區(qū)別并不大。 (2).ICMP 木馬通信原理 ICMP 木馬技術(shù)便是為了擺脫端口的束縛而出現(xiàn)的， ICMP 報(bào)文由系統(tǒng)內(nèi)核或進(jìn)程直接處理而不通過(guò)端口，如果木馬將自己偽裝成一個(gè) Ping 進(jìn)程，系統(tǒng)就會(huì)將(Ping 的回應(yīng)包 )的監(jiān)聽(tīng)、處理權(quán)交給木馬進(jìn)程，一旦事先約定好的ICMPECHOREPLY 包出現(xiàn) (這樣的包經(jīng)過(guò)修 改的 ICMP 包頭，加入了木馬的控制字段 )，木馬就會(huì)接受、分析并從報(bào)文中解析出命令和數(shù)據(jù)。這時(shí)客戶端機(jī)就可以通過(guò)木馬的控制端程序向服務(wù)器端發(fā)出連接信號(hào)，服務(wù)器端中的木馬程序收到信號(hào)后立即作出響應(yīng)，當(dāng)客戶端收到響應(yīng)的信號(hào)后，開(kāi)啟一個(gè)隨機(jī)端口 2020 與服務(wù)器端的木馬端口 2568 建立 10 連接，到這時(shí)一個(gè)木馬連接才算真正建立。另一種獲取 IP 的方法是 IP掃描，通過(guò) IP 掃描才能確定服務(wù)器端的 IP 地址。所謂信息反饋是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過(guò) EMAIL 或 ICQ 的方式告知控制端用戶。 (1) TCP/IP 木馬通信原理 木馬客戶端 木馬服務(wù)器端 (:2020) (:2568) 圖 如上圖所示對(duì)于客戶端來(lái)說(shuō)要與服務(wù)器端建立連接必須知道服務(wù)器端的端口和 IP地址，由于客戶端端口是人事先設(shè)定的，為己知項(xiàng)，所以最重要的是如何獲得服務(wù)器端的 IP 地址。 木馬的通信原理 木馬通信的方法很多，最常見(jiàn)是用 TCP、 UDP 協(xié)議，這種方法的隱蔽性比較差，容易查到，例如，用 stat 命令就可以查看到當(dāng)前活動(dòng)的 TCP、 UDP 連接。這種木馬沒(méi)有增加新的文件，不需要打開(kāi)新的端口，沒(méi)有新的進(jìn)程，使用常 規(guī)的方法監(jiān)測(cè)不到它。對(duì)于常用函數(shù)的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng) DLL，對(duì)于一些事先約定好的特殊情況，木馬會(huì)自動(dòng)執(zhí)行。 9 (7).最新隱身技術(shù) 通過(guò)修改虛擬設(shè)備驅(qū)動(dòng)程序 (VXD)或修改動(dòng)態(tài)鏈接庫(kù) (DLL)來(lái)加載木馬。達(dá)到相互之間的保護(hù)，同時(shí)可以分散傳輸數(shù)據(jù)量，達(dá)到 H 的地址接受數(shù)據(jù)，增大追查源地址的難度?；蚴峭ㄟ^(guò)一個(gè)木馬程序 (稱為 ―主木馬 ‖)，在局域網(wǎng)內(nèi)部繁殖生產(chǎn) ―子木馬 ‖，統(tǒng)一協(xié)調(diào)完成工作。當(dāng)不存在 任何其他通信流量時(shí)，木馬程序處于監(jiān)聽(tīng)狀態(tài)，等待其他進(jìn)程通信。采用網(wǎng)絡(luò)隱蔽通道技術(shù)，如果選用一般安全策略都允許的端口通信，如 80 端口，則可輕易穿透防火墻和避過(guò)入侵檢測(cè)系統(tǒng)等安全機(jī)制的檢測(cè)，從而具有很強(qiáng)的隱蔽性。在 TCP/IP 協(xié)議族中，有許多信息冗余可用于建立網(wǎng)絡(luò)隱蔽通道。木馬常用的通信隱藏方法是對(duì)傳輸內(nèi)容加密，隱藏通信內(nèi)容。相對(duì)其它隱藏手段，原始分發(fā)的隱藏手段更加隱蔽。以后，無(wú)論用戶怎樣修改 login 源程序，使用 D 編譯后的目標(biāo) login 程序都包含木馬。 (2)用干凈的編譯器 C 對(duì) D 進(jìn)行編譯得到被感染的編譯器 D。其主要思想是： (1)修改編譯器的源代碼 A，植入木馬，包括針對(duì)特定程序的木馬 (如 login 程序 )和針對(duì)編譯器的木馬。內(nèi)核模塊隱藏，使木馬程序依附到操作系統(tǒng)部件上，或成為操作系統(tǒng)的 一 部分。在 Windows系統(tǒng)中常見(jiàn)的真隱藏方式有： 注冊(cè)表 DLL 插入、特洛伊 DLL、動(dòng)態(tài)嵌入技術(shù)、CreateProcess 插入和調(diào)試程序插入等。另外一種方法是木馬不以一個(gè)進(jìn)程或者服務(wù)的方式工作。木馬作為原來(lái)的程序被系統(tǒng)啟動(dòng)時(shí)，會(huì) 獲得一個(gè)由系統(tǒng)傳遞來(lái)的運(yùn)行參數(shù)，木馬程序就把這個(gè)參數(shù)傳遞給被改名的程序執(zhí)行。木馬程序會(huì)替換掉原來(lái)的系統(tǒng)文件，并把原來(lái)的系統(tǒng)文件名改成只有它自己知道的一個(gè)偏僻文件名。 4).替換系統(tǒng)文件 木馬病毒就利用系統(tǒng)里那些不會(huì)危害到系統(tǒng)正常運(yùn)行而又經(jīng)常會(huì)被調(diào)用的程序文件，像輸入法指示程序 。這樣的搜尋邏輯就給入侵者提供了一個(gè)機(jī)會(huì)，木馬可以把自己改為系統(tǒng)啟動(dòng)時(shí)必定會(huì)調(diào)用的某個(gè)文件里，并復(fù)制到比原文件要淺一級(jí)的目錄里， WINDOWS 就會(huì)想當(dāng)然 的執(zhí)行這個(gè)木馬程序。再有 中的 [drivers]， [drivers32]， [mci]這 3 個(gè)字段，也是起到加載驅(qū)動(dòng)程序的作用，因此 也是增添木馬程序的好場(chǎng)所。另外，在 中的 [386enh]字段，要注意檢查在此段內(nèi)的 driver=路徑 \程 序名。特別是系統(tǒng)配置文件 , 中的系統(tǒng)啟動(dòng)項(xiàng)， 是眾多木馬的隱藏地。 2).通過(guò)修改系統(tǒng)配置來(lái)實(shí)現(xiàn)木馬的啟動(dòng)隱藏 利用配置文件的特殊作用，木馬很容易就能在大家的計(jì)算機(jī)中運(yùn)行。木馬病毒將可執(zhí)行文件偽裝成圖片或文本一． 在程序中把圖標(biāo)改成 WINDOWS 的默認(rèn)圖片圖標(biāo)，再把文件名改 7 為． ?；蚴菍⑽募拇娣旁诓怀Ｓ没螂y以發(fā)現(xiàn)的系統(tǒng)文件目錄中，或是將木馬存放的區(qū)域設(shè)置為壞扇區(qū)。有利用 ACTIVEX 控件實(shí)現(xiàn)的 網(wǎng)頁(yè)木馬；也有欺騙型網(wǎng)頁(yè)木馬；更多的網(wǎng)頁(yè)木馬是利用 IE 瀏覽器的漏洞來(lái)實(shí)現(xiàn)的。其中網(wǎng)頁(yè)是網(wǎng)頁(yè)木馬的核心部分，特定的網(wǎng)頁(yè)代碼使得網(wǎng)頁(yè)被打開(kāi)時(shí)，木馬能隨之下載和執(zhí)行。 (3).通過(guò)網(wǎng)頁(yè)腳本程序植入。黑客經(jīng)常把特洛伊木馬程 序做在這些軟件中，這種方式用得比較多且成功的概率也大。當(dāng)用戶點(diǎn)擊這些圖標(biāo)的同時(shí)也下載了特洛伊木馬程序。這是用得最廣和最多的方法。如果你不能把服務(wù)器端程序植到目標(biāo)主機(jī)上．那么你的特洛伊木馬程序功能再完善，也沒(méi)有辦法啟動(dòng)木馬的功能。下面分別就相關(guān)技術(shù)原理展開(kāi)論敘。 使用 ICMP 來(lái)傳送封包可讓數(shù)據(jù)直接從木馬客戶端程序送至服務(wù)器端。 木 馬服務(wù)器端與客戶端之間也可以不建立連接?？蛻舳耸怯脕?lái)控制目標(biāo)主機(jī)的部分，安裝在控制者的計(jì)算機(jī)，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。所以木馬的結(jié)構(gòu)是一種典型的客戶端 服 務(wù)器 (Client/Server)簡(jiǎn)稱 c/s)模式。但對(duì)從外部 (假如 Inter 上的某一站點(diǎn) )來(lái)的程序，則一般沒(méi)有對(duì)硬盤(pán)操作的權(quán)利，這個(gè)規(guī)定是現(xiàn)今的這種網(wǎng)絡(luò)結(jié)構(gòu)注定的，這個(gè)規(guī)定給大家?guī)?lái)方便的同時(shí)，也帶來(lái)安全隱患，如果不小心運(yùn)行了一個(gè)可以接收外部指令的惡意程序之后，那么這臺(tái)計(jì)算機(jī)就被別人控制了。例如鍵盤(pán)和鼠標(biāo)操作記錄型木馬。 (5)、 竊取數(shù)據(jù)以竊取數(shù)據(jù)為目的，本身不破壞計(jì)算機(jī)的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作。 (4)、控制遠(yuǎn)程計(jì)算機(jī)通過(guò)命令 或通過(guò)遠(yuǎn)程監(jiān)視窗口，直接控制遠(yuǎn)程計(jì)算機(jī)。如：利用木馬設(shè)定為 FTP 文件服務(wù)器后的計(jì)算機(jī)，可以提供 FTP 文件傳輸服務(wù)；為客戶端打開(kāi)文件共享服務(wù)，這樣可以輕松獲取用戶硬盤(pán)上的信息。 木馬的功能 木馬的 功能木馬的功能可以概括為以下內(nèi)容： (1)、遠(yuǎn)程文件管理功能對(duì)被控主機(jī) 的系統(tǒng)資源進(jìn)行管理，如：復(fù)制文件，刪除文件，查看文件，以及上傳 /下載文件等。 第六種 溢出型木馬。即利用腳本等設(shè)計(jì)的木馬。這種技術(shù)在操作上難度較高。這種木馬本質(zhì)上仍然是 DLL 木馬，但它卻是替換某個(gè)系統(tǒng) DLL 文件并將它改名 第四種 嵌入式 DLL 木馬。此類木馬自身無(wú)法運(yùn)行，它利用系統(tǒng)啟動(dòng)或其他程序運(yùn)行 (如： El 或資源管理器 )一并被載入運(yùn)行，或使用 來(lái)運(yùn)行。這是最常見(jiàn)、最普通形態(tài)的木馬，就是在目標(biāo)電腦中以一般． EXE 文件運(yùn)行的木馬。木馬的隱藏技術(shù)主要包括以下幾類：本地文件隱藏、啟動(dòng)隱藏、進(jìn)程隱藏、通信隱藏和內(nèi)核模塊隱藏和協(xié)同隱藏等。、 (四 )根據(jù)隱藏方式，可以分為幾類隱藏技術(shù)是木馬的關(guān)鍵技術(shù)之一，其直接決定木馬的生存能力。 第四類 B/S/B 架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應(yīng)內(nèi)部網(wǎng)絡(luò)對(duì)另外的內(nèi)部網(wǎng)絡(luò)的控制。這種架構(gòu)的出現(xiàn)，主要是為了適應(yīng)一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)另外一個(gè)內(nèi)部網(wǎng)絡(luò)的控制。 第三類 C/P/S 架構(gòu)：這里的 P 是 Proxy 的意思，也就是在這種架構(gòu)中