【正文】 使用主動(dòng)端口，客戶端(控制端)使用被動(dòng)端口。當(dāng)采用反向連接技術(shù)編程時(shí)，實(shí)際上就是將服務(wù)器端變成了采用客戶端的編程方法，而將控制端變成了采用服務(wù)器端的編程方法。(3).反向連接技術(shù)從本質(zhì)上來說，反向連接和正向連接的區(qū)別并不大。值得一提的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力，一般來說控制端都是先通過信息反饋獲得服務(wù)端的IP地址。因?yàn)榉?wù)器端裝有木馬程序，所以它的木馬端口7626是處于開放狀態(tài)的，所以現(xiàn)在客戶端只要掃描IP地址段中2568端口開放的主機(jī)就行了，這個(gè)IP就會(huì)被添加到列表中。從這封郵件中可以知道服務(wù)端的IP等。獲得服務(wù)器端的IP地址的方法主要有兩種：信息反饋和IP掃描。為了增加隱藏性，又出現(xiàn)了反彈端口，利用ICMP協(xié)議通信，端口復(fù)用等新技術(shù)進(jìn)行通信。在正常運(yùn)行時(shí)，木馬幾乎沒有任何蹤跡，只有在木馬的控制端向被控制端發(fā)出特定的信息后，隱藏的程序才開始運(yùn)行。一般情況下，DLL只是進(jìn)行監(jiān)聽，一旦發(fā)現(xiàn)控制端的請(qǐng)求就激活自身。這種方法基本上擺脫了原有的木馬模式一監(jiān)聽端口，而采用替代系統(tǒng)功能的方法(改寫VXD或DLL文件)，木馬將修改后的DLL替換系統(tǒng)原來的DLL，并對(duì)所有的函數(shù)調(diào)用進(jìn)行過濾。而且主木馬和子木馬寄牛于不同主機(jī)并且相瓦聯(lián)系，增強(qiáng)了木馬的抗查殺的能力。各子木馬根據(jù)主木馬分派的任務(wù)，各自負(fù)責(zé)一獨(dú)立任務(wù)。有些木馬為了能更好地實(shí)現(xiàn)隱藏，達(dá)到長期潛伏的目的，通常融合多種隱藏技術(shù)，如采用多線程方式，線程間相互實(shí)時(shí)保護(hù)，一旦一方被刪除，另一方可以通過備份恢復(fù)并遠(yuǎn)程啟動(dòng)。通信流量的隱藏，當(dāng)存在其他通信流量時(shí)，木馬程序也啟動(dòng)通信。木馬可以利用這些網(wǎng)絡(luò)隱蔽通道突破網(wǎng)絡(luò)安全機(jī)制，比較常見的有：ICMP畸形報(bào)文傳遞、HTTP隧道技術(shù)，自定義TCP/UDP報(bào)文等。采用網(wǎng)絡(luò)隱蔽通道技術(shù)隱藏通信信道。(6).通信隱藏主要包括通信內(nèi)容、流量、信道和端口的隱藏。而更嚴(yán)重的是用戶無法查出原因，因?yàn)楸恍薷牡木幾g器源碼B已被刪除，發(fā)布的是A，用戶無法從源程序A中看出破綻，即使用戶使用D對(duì)A重新進(jìn)行編譯，也無法清除隱藏在編譯器二進(jìn)制中的木馬。(3)刪除B，保留D和A，將D和A同時(shí)發(fā)布。經(jīng)修改后的編譯器源碼稱為B。(5).原始分發(fā)隱藏軟件開發(fā)商可以在軟件的原始分發(fā)中植入木馬。(4).內(nèi)核模塊隱藏有些木馬在運(yùn)行時(shí)能夠刪除自身啟動(dòng)運(yùn)行及存在的痕跡，當(dāng)檢測(cè)到操作系統(tǒng)重新啟動(dòng)再重新在系統(tǒng)中設(shè)置需要肩動(dòng)自身的參數(shù)，這類木馬存在的問題：當(dāng)系統(tǒng)失效時(shí)(如斷電、死機(jī)時(shí))無法再次恢復(fù)運(yùn)行。將木馬核心代碼以線程或DLL的方式插入到遠(yuǎn)程進(jìn)程中，由于遠(yuǎn)程進(jìn)程是合法的用戶程序，用戶又很難發(fā)現(xiàn)被插入的線程或DLL，從而達(dá)到木馬隱藏的目的。(3).進(jìn)程隱藏進(jìn)程隱藏有兩種情況，一種隱藏是木馬程序的進(jìn)程仍然存在，只是不在進(jìn)程列表里；采用APIHOOK技術(shù)攔截有關(guān)系統(tǒng)函數(shù)的調(diào)用實(shí)現(xiàn)運(yùn)行時(shí)的隱藏，替換系統(tǒng)服務(wù)等方法導(dǎo)致無法發(fā)現(xiàn)木馬的運(yùn)行痕跡。只要系統(tǒng)調(diào)用那個(gè)被替換的程序，木馬就能繼續(xù)駐留內(nèi)存了。 4).替換系統(tǒng)文件木馬病毒就利用系統(tǒng)里那些不會(huì)危害到系統(tǒng)正常運(yùn)行而又經(jīng)常會(huì)被調(diào)用的程序文件。這樣的搜尋邏輯就給入侵者提供了一個(gè)機(jī)會(huì)，木馬可以把自己改為系統(tǒng)啟動(dòng)時(shí)必定會(huì)調(diào)用的某個(gè)文件里，并復(fù)制到比原文件要淺一級(jí)的目錄里，WINDOWS就會(huì)想當(dāng)然的執(zhí)行這個(gè)木馬程序。[drivers]，[drivers32]，[mci]這3個(gè)字段，也是起到加載驅(qū)動(dòng)程序的作用，因此也是增添木馬程序的好場(chǎng)所。另外，[386enh]字段，要注意檢查在此段內(nèi)的driver=路徑\程序名。,。 2).通過修改系統(tǒng)配置來實(shí)現(xiàn)木馬的啟動(dòng)隱藏利用配置文件的特殊作用，木馬很容易就能在大家的計(jì)算機(jī)中運(yùn)行。木馬病毒將可執(zhí)行文件偽裝成圖片或文本一．在程序中把圖標(biāo)改成WINDOWS的默認(rèn)圖片圖標(biāo)，再把文件名改為．?；蚴菍⑽募拇娣旁诓怀Ｓ没螂y以發(fā)現(xiàn)的系統(tǒng)文件目錄中，或是將木馬存放的區(qū)域設(shè)置為壞扇區(qū)。有利用ACTIVEX控件實(shí)現(xiàn)的網(wǎng)頁木馬；也有欺騙型網(wǎng)頁木馬；更多的網(wǎng)頁木馬是利用IE瀏覽器的漏洞來實(shí)現(xiàn)的。其中網(wǎng)頁是網(wǎng)頁木馬的核心部分，特定的網(wǎng)頁代碼使得網(wǎng)頁被打開時(shí)，木馬能隨之下載和執(zhí)行。(3).通過網(wǎng)頁腳本程序植入。黑客經(jīng)常把特洛伊木馬程序做在這些軟件中，這種方式用得比較多且成功的概率也大。當(dāng)用戶點(diǎn)擊這些圖標(biāo)的同時(shí)也下載了特洛伊木馬程序。這是用得最廣和最多的方法。如果你不能把服務(wù)器端程序植到目標(biāo)主機(jī)上．那么你的特洛伊木馬程序功能再完善，也沒有辦法啟動(dòng)木馬的功能。下面分別就相關(guān)技術(shù)原理展開論敘。使用ICMP來傳送封包可讓數(shù)據(jù)直接從木馬客戶端程序送至服務(wù)器端。木馬服務(wù)器端與客戶端之間也可以不建立連接?？蛻舳耸怯脕砜刂颇繕?biāo)主機(jī)的部分，安裝在控制者的計(jì)算機(jī)，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。所以木馬的結(jié)構(gòu)是一種典型的客戶端服務(wù)器(Client/Server)簡稱c/s)模式。但對(duì)從外部(假如Internet上的某一站點(diǎn))來的程序，則一般沒有對(duì)硬盤操作的權(quán)利，這個(gè)規(guī)定是現(xiàn)今的這種網(wǎng)絡(luò)結(jié)構(gòu)注定的，這個(gè)規(guī)定給大家?guī)矸奖愕耐瑫r(shí)，也帶來安全隱患，如果不小心運(yùn)行了一個(gè)可以接收外部指令的惡意程序之后，那么這臺(tái)計(jì)算機(jī)就被別人控制了。例如鍵盤和鼠標(biāo)操作記錄型木馬。(5)、竊取數(shù)據(jù)以竊取數(shù)據(jù)為目的，本身不破壞計(jì)算機(jī)的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作。(4)、控制遠(yuǎn)程計(jì)算機(jī)通過命令或通過遠(yuǎn)程監(jiān)視窗口，直接控制遠(yuǎn)程計(jì)算機(jī)。如：利用木馬設(shè)定為FTP文件服務(wù)器后的計(jì)算機(jī)，可以提供FTP文件傳輸服務(wù)；為客戶端打開文件共享服務(wù)，這樣可以輕松獲取用戶硬盤上的信息。 木馬的功能木馬的功能木馬的功能可以概括為以下內(nèi)容：(1)、遠(yuǎn)程文件管理功能對(duì)被控主機(jī)的系統(tǒng)資源進(jìn)行管理，如：復(fù)制文件，刪除文件，查看文件，以及上傳/下載文件等。第六種溢出型木馬。即利用腳本等設(shè)計(jì)的木馬。這種技術(shù)在操作上難度較高。這種木馬本質(zhì)上仍然是DLL木馬，但它卻是替換某個(gè)系統(tǒng)DLL文件并將它改名第四種嵌入式DLL木馬。此類木馬自身無法運(yùn)行，它利用系統(tǒng)啟動(dòng)或其他程序運(yùn)行(如：El或資源管理器)一并被載入運(yùn)行。這是最常見、最普通形態(tài)的木馬，就是在目標(biāo)電腦中以一般．EXE文件運(yùn)行的木馬。木馬的隱藏技術(shù)主要包括以下幾類：本地文件隱藏、啟動(dòng)隱藏、進(jìn)程隱藏、通信隱藏和內(nèi)核模塊隱藏和協(xié)同隱藏等。、(四)根據(jù)隱藏方式，可以分為幾類隱藏技術(shù)是木馬的關(guān)鍵技術(shù)之一，其直接決定木馬的生存能力。第四類B/S/B架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應(yīng)內(nèi)部網(wǎng)絡(luò)對(duì)另外的內(nèi)部網(wǎng)絡(luò)的控制。這種架構(gòu)的出現(xiàn)，主要是為了適應(yīng)一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)另外一個(gè)內(nèi)部網(wǎng)絡(luò)的控制。第三類C/P/S架構(gòu)：這里的P是Proxy的意思，也就是在這種架構(gòu)中使用了代理。第二類B/S架構(gòu)：這種架構(gòu)為普通的網(wǎng)頁木馬所采用的方式。(三)根據(jù)木馬使用的架構(gòu)，可以分為四類：第一類C/S架構(gòu)：這種為普通的服務(wù)器、客戶端的傳統(tǒng)架構(gòu)，一般我們都是采用客戶端作控制端，服務(wù)器端作被控制端。(二)根據(jù)木馬的網(wǎng)絡(luò)連接方向，可以分為兩類：第一類正向連接型：發(fā)起通信的方向?yàn)榭刂贫讼虮豢刂贫税l(fā)起，這種技術(shù)被早期的木馬廣泛采用，其缺點(diǎn)是不能透過防火墻發(fā)起連接。總而言之，該類木馬目標(biāo)只有一個(gè)就是盡可能的毀壞受感染系統(tǒng)，致使其癱瘓。第四類毀壞型：大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。第三類鍵盤記錄型：鍵盤記錄型木馬非常簡單，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里進(jìn)行完整的記錄。第二類密碼發(fā)送型：密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。(一)根據(jù)木馬程序?qū)τ?jì)算機(jī)的具體動(dòng)作方式，可以把現(xiàn)在的木馬程序分為以下幾類：第一類遠(yuǎn)程控制型：遠(yuǎn)程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬起著遠(yuǎn)程監(jiān)控的功能，使用簡單，只要被控制主機(jī)聯(lián)入網(wǎng)絡(luò)，并與控制端客戶程序建立網(wǎng)絡(luò)連接，控制者就能任意訪問被控制的計(jì)算機(jī)。例如類似沖擊波病毒的木馬——噩夢(mèng)II。如：Beast木馬。但是，第四代木馬選擇注冊(cè)表的方式，偽裝成DLL文件形式加載到正常的啟動(dòng)程序上，無法通過“任務(wù)管理器”查看到正在執(zhí)行的木馬。第四代木馬在進(jìn)程隱藏方面，做了大改動(dòng)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程，或者掛接PSAPI[6]，實(shí)現(xiàn)木馬的隱藏。在數(shù)據(jù)傳遞技術(shù)上也做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度。如：“冰河”、“Qmitis”。第二代木馬在技術(shù)上有很大的進(jìn)步，使用標(biāo)準(zhǔn)的C/S架構(gòu)，提供遠(yuǎn)程文件管理、屏幕監(jiān)視等功能。而后隨著WINDOWS平臺(tái)的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬，相對(duì)的木馬入侵事件也頻繁出現(xiàn)，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對(duì)服務(wù)端的破壞也更大了。最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期，木馬就產(chǎn)生了。完整的木馬程序一般由兩個(gè)部份組成一個(gè)是服務(wù)器被控制端程序，一個(gè)是客戶端控制端程序。當(dāng)晚，希臘戰(zhàn)士從木馬中鉆出來與城外的希臘軍隊(duì)合力奪下了特洛伊城，這就是特洛伊木馬名稱的由來。這些木馬是空心的，里面藏了希臘最好的戰(zhàn)士。在公元前12世紀(jì)，希臘向特洛伊城宣戰(zhàn)，交戰(zhàn)了十年也沒有取得勝利。本論文就是對(duì)木馬的原理進(jìn)行深入地分析，從中總結(jié)一些木馬的一般規(guī)律和最新技術(shù)，讓人們更深入的了解木馬，提高自我防范意識(shí)。未來，木馬將更注重底層的通訊，以便有效對(duì)抗相關(guān)查殺工具如防火墻的監(jiān)視和過濾；將廣泛采用非TCP／UDP的IP包和寄生TCP端口方式作為信息傳遞的手段，從而達(dá)到更加隱的目的。美國New Haven大學(xué)的Fred cohen博士等人首先對(duì)病毒進(jìn)行了深入研究，他們將木馬作為計(jì)算機(jī)病毒的一種特例，并給出了病毒和木馬的數(shù)學(xué)模型，英國Middlesex大學(xué)的Harold Thim bleby等人對(duì)病毒和木馬的模型框架進(jìn)行了研究。因此，社會(huì)上己經(jīng)掀起一個(gè)木馬研究的熱潮，成為全社會(huì)探討的熱門話題，這也是本論文研究的出發(fā)點(diǎn)。它們通常以欺騙為手段，在用戶不知情的情況下進(jìn)行安裝，并暗中把所獲的機(jī)密信息發(fā)送給第三者，威脅用戶電腦中的數(shù)據(jù)安全并侵犯?jìng)€(gè)人隱私，嚴(yán)重影響了人們正常工作和生活。木馬是一種基于C/S模式的遠(yuǎn)程控制技術(shù)，能在被監(jiān)控對(duì)象毫無察覺的情況下滲透到對(duì)方系統(tǒng)并隱藏在合法程序中的計(jì)算機(jī)程序。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不斷暴露出來，網(wǎng)絡(luò)信息安全問題已經(jīng)成為制約各類網(wǎng)絡(luò)信息系統(tǒng)實(shí)用化和進(jìn)一步發(fā)展的不可忽視因素，對(duì)一些關(guān)系國民經(jīng)濟(jì)的重要信息系統(tǒng)和關(guān)系國家安全的網(wǎng)絡(luò)信息系統(tǒng)，己經(jīng)到了非解決不可的地步。隨著網(wǎng)絡(luò)技術(shù)和信息化應(yīng)用范圍的不斷擴(kuò)大，網(wǎng)絡(luò)信息應(yīng)用領(lǐng)域開始從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，如政府部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、教育科研系統(tǒng)等等。在研究Windows平臺(tái)下特洛伊木馬關(guān)鍵技術(shù)的基礎(chǔ)上，給出一種木馬對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行有效實(shí)時(shí)監(jiān)控的系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)。在某些特定的時(shí)間、地點(diǎn)，公安民警通過諸如木馬程序?qū)没ヂ?lián)網(wǎng)實(shí)施犯罪、逃避打擊的犯罪嫌疑人的目標(biāo)計(jì)算機(jī)進(jìn)行遠(yuǎn)程監(jiān)控，掌握犯罪嫌疑人的活動(dòng)情況及犯罪證據(jù)，從而更好的打擊犯罪，維護(hù)國家安全和保障人民群眾安居樂業(yè)，這就是本文研究的出發(fā)點(diǎn)?；ヂ?lián)網(wǎng)在給人民群眾的生活帶來便利的同時(shí)，也給犯罪分子利用計(jì)算機(jī)網(wǎng)絡(luò)從事犯罪活動(dòng)提供了便利。第14～15周 撰寫畢業(yè)論文（說明書）。第7周 完成總體設(shè)計(jì)。第4～5周 畢業(yè)實(shí)習(xí)、完成畢業(yè)實(shí)習(xí)報(bào)告撰寫。二 進(jìn)度安排及完成時(shí)間：第1周 老師集中指導(dǎo)，分析并明確課題任務(wù)與要求，學(xué)習(xí)資料收集檢索方法，并搜索收集所需中英文資料。課題的基本任務(wù)是通過查閱大量資料以獲得木馬的原理、特征、危害等方面相對(duì)系統(tǒng)的知識(shí)；在此基礎(chǔ)上，追蹤木馬實(shí)例進(jìn)行驗(yàn)證和研究，提出預(yù)防，檢測(cè)、清除方案或策略。作者簽名： 日期： 年 日畢業(yè)設(shè)計(jì)（論文）任務(wù)書 題目：木馬的原理分析與處理方案 姓名 周曉平 系 計(jì)算機(jī)與通信學(xué)院 專業(yè) 計(jì)算機(jī)科學(xué)與技術(shù) 班級(jí) 計(jì)算機(jī)0802 學(xué)號(hào) 200803010216 指導(dǎo)老師 劉鐵武 職稱 副教授 教研室主任 劉洞波 一、 基本任務(wù)及要求：木馬（特洛伊木馬的簡稱）實(shí)質(zhì)上是一種在遠(yuǎn)程計(jì)算機(jī)之間建立連接，使遠(yuǎn)程計(jì)算機(jī)能通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序。涉密論文按學(xué)校規(guī)定處理。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。作者簽名：　　 　 　　 日　 期：　　 　 　　 學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。對(duì)本研究提供過幫助和做出過貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說明并表示了謝意。湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 畢 業(yè) 設(shè) 計(jì)題 目： 木馬的原理分析與處理方案 畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。作 者 簽 名：