【正文】 }(2).監(jiān)聽當(dāng)服務(wù)器端的Socket對象綁定完成之后，服務(wù)器端必須建立一個監(jiān)聽的隊(duì)列來接收客戶端的連接請求。//關(guān)閉套接字WSACleanup0。if(SOCKET_ERROR==retVal){printf(bind failed!/n)。//綁定套接字retVal=bind(sServer,(LPSOCKADDR)amp。=htons(4999)。 //服務(wù)器地址 char buff[BUFF_SIZE]//接收數(shù)據(jù)緩沖區(qū) int retVal。 //服務(wù)器套接字 SOCKET sClient。(1).綁定端口為服務(wù)器端定義的這個監(jiān)聽的Socket指定一個地址及端口(Port)，這樣客戶端才知道待會要連接哪一個地址的哪個端口，為此要調(diào)用bind()函數(shù)，該函數(shù)調(diào)用成功返回0，否則返回SOCKETERROR。每種協(xié)議都有一套不同的尋址方案所以各自的命名方法也不同，這個過程是通過bind函數(shù)調(diào)用來完成的。 面向連接的通信木馬程序所涉及的客戶機(jī)/服務(wù)器模式，表現(xiàn)出來的形式其實(shí)在計(jì)算機(jī)中就是一個進(jìn)程，服務(wù)器需要等待任意數(shù)量的客戶機(jī)與之際建立連接，以便為它們的請求提供服務(wù)。 2).異步數(shù)據(jù)傳輸使用Send()或sendto()函數(shù)來發(fā)送數(shù)據(jù)，recv()或recvfrom()來接收數(shù)據(jù)。應(yīng)用程序調(diào)用它時，由Windows Socket DLL初始化這一操作并返回調(diào)用者，此函數(shù)返回一個異步句柄，用來標(biāo)識這個操作。 1).異步請求服務(wù)Windows Sockets除Berkeley Sockets中的同步請求外，還增加了一類異步請求服務(wù)函數(shù)WSAAsyncGerXByY()。設(shè)計(jì)自己的阻塞處理例程時，除了函數(shù)WSACancelBlocl(ingHook()之外，它不能使用其他的Windows SocketsAPI函數(shù)。在Windows Sockets中，有一個默認(rèn)的阻塞處理例程BlockingHook()簡單地獲取并發(fā)送Windows消息。在循環(huán)中，它發(fā)送任何Windows消息，并檢查這個WindowsSockets調(diào)用是否完成，在必要時，它可以放棄CPU讓其他應(yīng)用程序執(zhí)行。但由于SUN公司下的Berkeley Sockets的套接字默認(rèn)操作是阻塞的，Windows作為移植的Sockets也不可避免對這個操作支持。Windows是非搶先的多任務(wù)環(huán)境，即若一個程序不主動放棄其控制權(quán)，別的程序就不能執(zhí)行。異步選擇函數(shù)為WSAAsyncSelect()，用它來注冊應(yīng)用程序感興趣的網(wǎng)絡(luò)事件，當(dāng)這些事件發(fā)生時，應(yīng)用程序相應(yīng)的窗口函數(shù)將收到一個消息。 運(yùn)行組件：Windows Sockets應(yīng)用程序接口的動態(tài)鏈接庫(WINSOCK．DLL)。 Winsock異步傳輸Windows Sockets由兩部分組成，開發(fā)組件和運(yùn)行組件。amp。對于WinSock函數(shù)來說，返回錯誤是很常見的，但是在有些情況下，這些錯誤是無關(guān)緊要的，通信仍可在那個套接字上進(jìn)行。在Winsock中有兩種基本的通信技術(shù)：面向連接的通信和無連接的通信。//釋放套接字資源； Return 1。if(INVALID_SOCKET==sServer){ printf(socket failed!\n)。其定義類似于文件句柄的定義，在初始化WinSock的動態(tài)鏈接庫后，需要在服務(wù)器端建立一個監(jiān)聽的Socket，為此可能調(diào)用Socket()函數(shù)來建立這個監(jiān)聽Socket，并定義此Socket所使用的通信協(xié)議，此函數(shù)調(diào)用成功則返回Socket對象，失敗則返回INVALID—SOCKET,調(diào)用WSAGetlastError()可得知失敗原因，所有WimSocck的API函數(shù)都可以使用這個函數(shù)來獲取失敗的原因。程序運(yùn)行時可能會多次調(diào)用WSAStartup()函數(shù)，但必須保證每次調(diào)用時的wVersionRequested的值是相同的。｝在使用Winsock接口編寫好應(yīng)用程序之后，應(yīng)該調(diào)用WSACleanup函數(shù)，這個函數(shù)能夠使WinSock釋放所有由WinSock分配的資源。//釋放套接字資源。if(INVALID_SOCKET==sServer){printf(socket failed!\n)。return l。一般WSAStartup()的調(diào)用如下：初始化套結(jié)字動態(tài)庫if(WSAStartup(MAKEWORD(2,2),amp?？赡苡煤闙AKEWORD(X，Y)來方便地得到wVersionRequested的正確值。加載WinSock庫是通過WSAStartup函數(shù)實(shí)現(xiàn)的，這個函數(shù)定義如下：Int WSAStartup(WORD wVersionRequested,LPWSADATA lpWSAData,)。啟動函數(shù)必須是第一個使用的函數(shù)，因?yàn)槊總€WinSock應(yīng)用都必須加載合適的WinSock DLL版本。應(yīng)用程序在網(wǎng)絡(luò)上傳輸，接收的信息實(shí)際都通過這個Socket接口來實(shí)現(xiàn)。在Windows環(huán)境中，這種接口演變成一種真正獨(dú)立于協(xié)議的接口，特別是在WinSock2版本中表現(xiàn)得更突出。使用Winsock編程接口，應(yīng)用程序可通過普通網(wǎng)絡(luò)協(xié)議和TCP/IP(Transmission Control Protocol/Internet，傳輸控制協(xié)議/網(wǎng)際協(xié)議)或IPX(Internet Pocket Exchange,Internet數(shù)據(jù)包交換)協(xié)議建立通信。 Windows Socket程序設(shè)計(jì)Winsock是一種標(biāo)準(zhǔn)API(Application Programming Interface，應(yīng)用程序編程接口)，主要用于網(wǎng)絡(luò)中的數(shù)據(jù)通信，它允許兩個或者多個應(yīng)用程序(或者進(jìn)程)在同一機(jī)器或者通過網(wǎng)絡(luò)相瓦通信。這里的“不可靠”是指發(fā)送一個數(shù)據(jù)包不能獲得擔(dān)保，也不能保證數(shù)據(jù)包按照發(fā)送的順序到達(dá)目的地。 Socket的類型(1).流式套接字(SOCK_STREAM)流式套接字提供了一種可靠的面向連接的數(shù)據(jù)傳輸方法，數(shù)據(jù)無差錯，無重復(fù)地發(fā)送,且按發(fā)送的順序進(jìn)行接收?？蛻?服務(wù)器模式的建立基于以下兩點(diǎn)：首先，建立網(wǎng)絡(luò)的起因是網(wǎng)絡(luò)中軟硬件資源、運(yùn)算能力和信息不均等，需要共享，從而造就擁有眾多資源的豐機(jī)提供服務(wù)，資源較少的客戶請求服務(wù)這一非對等作用。如UDP協(xié)議。無連接服務(wù)是郵政系統(tǒng)的抽象，每個分組都攜帶完整的目的地址，各分組在系統(tǒng)中獨(dú)立傳送。本質(zhì)上，連接是一個管道，收發(fā)數(shù)據(jù)不但順序一致，而且內(nèi)容一致。面向連接服務(wù)是電話系統(tǒng)服務(wù)模式的抽象，即每一次完整的數(shù)據(jù)傳輸都要經(jīng)過建立連接、使用連接、終止連接的過程。在國際標(biāo)準(zhǔn)化組織(ISO)的開放系統(tǒng)互連(OSI)的術(shù)語中，網(wǎng)絡(luò)層及其以下各層又稱通信子網(wǎng)，只提供點(diǎn)到點(diǎn)通信，沒有程序或進(jìn)程的概念。服務(wù)的表現(xiàn)形式是原語，如系統(tǒng)調(diào)用或庫函數(shù)等?！胺?wù)是描述相鄰層之間關(guān)系的抽象概念，即網(wǎng)絡(luò)中各層向緊鄰上層提供的一組操作。網(wǎng)絡(luò)進(jìn)程通信還要解決多重協(xié)議的識別問題。例如，計(jì)算機(jī)A賦予某進(jìn)程號50，在B計(jì)算機(jī)中也可以存在50號進(jìn)程，因此，“50號進(jìn)程”就沒有意義了。為此，首先要解決的是網(wǎng)間進(jìn)程標(biāo)識問題，同一計(jì)算機(jī)上，不同進(jìn)程可以用進(jìn)程號唯一標(biāo)識。由于每個進(jìn)程都在自己的地址范圍內(nèi)運(yùn)行，為了保證兩個相互通信的進(jìn)程之間既互不干擾又能協(xié)調(diào)工作，操作系統(tǒng)為進(jìn)程通信提供了響應(yīng)設(shè)施，如UNIX中的管道、命名管道和軟中斷信號等，但都僅限于本機(jī)進(jìn)程之間通信。在應(yīng)用開發(fā)中就像使用文件句柄一樣，可以對Socket句柄進(jìn)行讀寫操作。一個套接字通常與同一個域中的套接口交換數(shù)據(jù)。實(shí)際上，Socket在計(jì)算機(jī)中提供了一個通信端口，通過這個端口，一臺計(jì)算機(jī)可以與任意一臺具有Socket接口的計(jì)算機(jī)通信，通信的基礎(chǔ)是套接口，一個套接口是通訊的一端，在這一端可以找到與其對應(yīng)的一個名字。這個API就稱為Socket(套接字)接口。首先，進(jìn)行網(wǎng)絡(luò)操作的兩個進(jìn)程在不同的機(jī)器上，其次，有很多種網(wǎng)絡(luò)協(xié)議，如何建立它們之間的聯(lián)系以及建立一種通用機(jī)制以支持多種協(xié)議，這些都是網(wǎng)絡(luò)應(yīng)用編程所要解決的問題。 Socket的基本概念 Socket的引入隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，TCP/IP協(xié)議被集成到操作系統(tǒng)內(nèi)核中時，相當(dāng)于在操作系統(tǒng)中引入了一種新型的輸入/輸出操作。從TCP\IP模型上看，套接字是應(yīng)用層到傳送層的接口，或者說套接字是用戶進(jìn)程與內(nèi)核之間的接口。對網(wǎng)絡(luò)程序開發(fā)人員來說，了解TCP/IP協(xié)議族是非常必要的。開Windows Sockets應(yīng)用程序時，需要在這個端口號范圍內(nèi)選擇端口。(2).已注冊端口號：10244915l。這些端口緊密綁定某些服務(wù)，通常表明了某種服務(wù)的協(xié)議。端口根據(jù)使用的方式，可以分為以下幾類。端口是通過端口號來標(biāo)記的，端口號是整數(shù)，范圍是0~65535。對于客戶端來說，在連接服務(wù)器時，不僅要知道服務(wù)器的IP地址，還要知道它的服務(wù)端口。但是主機(jī)IP地址與網(wǎng)絡(luò)服務(wù)是一對多的關(guān)系。例如Web服務(wù)、FTP服務(wù)等。但也不排除步驟B和步驟C的ACK與FIN合成一個分節(jié)的情況。，它的TCP也返回一個ACK。，執(zhí)行被動關(guān)閉。(3).TCP終止連接TCP用3個分節(jié)建立連接，用4個分節(jié)終止連接，具體如下所示。(同步)，同時也發(fā)送一個SYN分節(jié)。(2).三次握手建立一個TCP連接，需要經(jīng)過以下幾個步驟。第五TCP連接是全雙工的。第四TCP提供流量控制。如果沒有接收到對方的確認(rèn)則TCP自動重傳數(shù)據(jù)。第二提供可靠的服務(wù)。(1).TCP具有以下特點(diǎn)第一提供面向連接的服務(wù)。如果在某個時限內(nèi)TCP沒有接收到對方的確認(rèn)，那么TCP將重新發(fā)送數(shù)據(jù)包。該協(xié)議在主機(jī)間建立一個虛擬連接，以實(shí)現(xiàn)可靠的數(shù)據(jù)通信。(3).UDP傳輸數(shù)據(jù)較TCP快，占用系統(tǒng)資源少。(2).不能確保UDP數(shù)據(jù)報(bào)最終到達(dá)目的地。客戶端向服務(wù)器發(fā)送數(shù)據(jù)時不必先建立連接。UDP具有以下特點(diǎn)。(2) 通常應(yīng)用層形成用戶進(jìn)程，而TCP／IP模型中下面3層通常作為操作系統(tǒng) 內(nèi)核的一部分。在應(yīng)用層到內(nèi)核之間和從內(nèi)核到應(yīng)用層之間承擔(dān)接口的是套接字，套接字作為應(yīng)用層與傳送層的接口是因?yàn)閼?yīng)用層具有以下幾方面的特點(diǎn)：(1) 應(yīng)用層處理應(yīng)用程序的細(xì)節(jié)，而不必知道通信細(xì)節(jié)。傳輸層的通信使用的協(xié)議為TCP，網(wǎng)絡(luò)層使用的協(xié)議是IP。至于封包以何種方式傳輸，能否正確到達(dá)目的地，則由上層協(xié)議負(fù)責(zé)，也就是由TCP或者UDP負(fù)責(zé)。在TCP/IP模型中，因特網(wǎng)協(xié)議(IP)的主要任務(wù)是將數(shù)據(jù)分割成許多較小的封包(Packet)，并且將這些封包發(fā)送出去。(4).網(wǎng)絡(luò)層：包括因特網(wǎng)協(xié)議(IP)、地址解析協(xié)議(ARP)、反向地址解析協(xié)議(RARP)和因特網(wǎng)控制消息協(xié)議(ICMP)等，IP提供的是一種不可靠的服務(wù)。 TCP/IP模型 TCP/IP模型分4層結(jié)構(gòu)，具體如下所示：(1).應(yīng)用層：相當(dāng)于OSI模型的上面3層，包括各種應(yīng)用程序和協(xié)議，協(xié)議有HTTP、FTP等(2).傳輸層：包括傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)，TCP提供一種可靠的傳輸服務(wù)，是一種面向連接的協(xié)議，為應(yīng)用程序提供可靠的全雙工字節(jié)流。 TCP/IP協(xié)議概述TCP/IP協(xié)議從名稱上看包括傳輸控制協(xié)議(TCP)和因特網(wǎng)協(xié)議(IP)兩協(xié)協(xié)議。我們所說的windows編程方法就是使用Visual C++2005提供的所有工具?！盫isual C++2005支持將標(biāo)準(zhǔn)的C++庫以及ATL、MFC和CRT庫用作使用CLR編譯的混合程序集。正如微軟其他．NET開發(fā)產(chǎn)品一樣，.NET框架也是Visual C++2005的中心概念。.NET框架主要由以下幾個主要部分組成：.NET支持的語言、公共語言執(zhí)行環(huán)境(Common Language Runtime)。.NET編程語言包括Visual Basic、Visual C++和新的Visual C用來創(chuàng)建運(yùn)行在公共語言運(yùn)行庫(CLR)上的應(yīng)用程序。.NET開發(fā)工具包括Visual ．NET編程語言。第3章 木馬開發(fā)平臺與相關(guān)技術(shù)NET開發(fā)平臺包括．NET框架和．NET開發(fā)工具等組成部分部分。這樣，當(dāng)系統(tǒng)有Winsock請求時，就會首先加載自定義的服務(wù)提供者，從而使木馬DLL得到執(zhí)行。然而，由于服務(wù)提供者的安裝是有順序的，API函數(shù)WSCInstallProvider的安裝默認(rèn)為最新安裝的在后面，因此植入的木馬在默認(rèn)情況下將永遠(yuǎn)不會被調(diào)用執(zhí)行。如果綁定到系統(tǒng)文件，那么每一次Windows啟動均會啟動木馬。不僅僅是TXT文件，其他諸如HTM、EXE、ZIP、COM等也能使用同種方法。(6).*.INI即應(yīng)用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點(diǎn)，將制作好的帶有木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這同名文件，從而達(dá)到啟動木馬的目的。(5).啟動組隱藏在啟動組中雖然不隱蔽，但也能自動加載運(yùn)行，因此還是有木馬在這里駐留的。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將己添加木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這兩個文件才行，而且采用這種方式不是很隱蔽。：另外，(386EnhJ字段內(nèi)的“driver二路徑\程序名”這里也有可能被木馬所利用；再有，[mic]、[drivers]、[drivers32]這3個字段，也是添加木馬的好場所。木馬自加載運(yùn)行的常見方法原理有：(1).在win．ini中啟動(windows)字段中有啟動命令“l(fā)oad=’和“run=“，在一般情況下，”=”后面是空白的，如果有后跟程序，例如：run=c:\load=c:\windows\。 木馬的啟動技術(shù)用戶希望每次啟動計(jì)算機(jī)時都自動運(yùn)行木馬。第一，一個木馬綁定到一個己經(jīng)合法存在的端口上進(jìn)行端口隱藏，它通過自己特定的包格式判斷是不是自己的包，如果是，自己處理，如果不是，則通過127．0．0．1的地址交給真正的服務(wù)器應(yīng)用進(jìn)行處理。這種連接模式還能突破內(nèi)網(wǎng)與外部建立連接。于是，與一般的木馬相反，反彈端口型木馬采用反向連接技術(shù)的編程方法：將服務(wù)器端(被控制端)