木马的原理分析与处理方案毕业设计.doc

《木马的原理分析与处理方案毕业设计.doc》由会员分享，可在线阅读，更多相关《木马的原理分析与处理方案毕业设计.doc（79页珍藏版）》请在三一办公上搜索。

1、 毕 业 设 计题 目： 木马的原理分析与处理方案 毕业设计（论文）原创性声明和使用授权说明原创性声明本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。作 者 签 名： 日 期： 指导教师签名： 日期： 使用授权说明本人完全了解 大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和

2、电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。作者签名： 日 期： 学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名： 日期： 年 月 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学

3、位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名：日期： 年 月 日导师签名： 日期： 年 月 日指导教师评阅书指导教师评价：一、撰写（设计）过程1、学生在论文（设计）过程中的治学态度、工作精神 优 良 中 及格 不及格2、学生掌握专业知识、技能的扎实程度 优 良 中 及格 不及格3、学生综合运用所学知识和专业技能分析和解决问题的能力 优 良 中 及格 不及格4、研究方法的科学性；技术线路的

4、可行性；设计方案的合理性 优 良 中 及格 不及格5、完成毕业论文（设计）期间的出勤情况 优 良 中 及格 不及格二、论文（设计）质量1、论文（设计）的整体结构是否符合撰写规范？ 优 良 中 及格 不及格2、是否完成指定的论文（设计）任务（包括装订及附件）？ 优 良 中 及格 不及格三、论文（设计）水平1、论文（设计）的理论意义或对解决实际问题的指导意义 优 良 中 及格 不及格2、论文的观念是否有新意？设计是否有创意？ 优 良 中 及格 不及格3、论文（设计说明书）所体现的整体水平 优 良 中 及格 不及格建议成绩： 优 良 中 及格 不及格（在所选等级前的内画“”）指导教师： （签名） 单

5、位： （盖章）年 月 日评阅教师评阅书评阅教师评价：一、论文（设计）质量1、论文（设计）的整体结构是否符合撰写规范？ 优 良 中 及格 不及格2、是否完成指定的论文（设计）任务（包括装订及附件）？ 优 良 中 及格 不及格二、论文（设计）水平1、论文（设计）的理论意义或对解决实际问题的指导意义 优 良 中 及格 不及格2、论文的观念是否有新意？设计是否有创意？ 优 良 中 及格 不及格3、论文（设计说明书）所体现的整体水平 优 良 中 及格 不及格建议成绩： 优 良 中 及格 不及格（在所选等级前的内画“”）评阅教师： （签名） 单位： （盖章）年 月 日教研室（或答辩小组）及教学系意见教研室

6、（或答辩小组）评价：一、答辩过程1、毕业论文（设计）的基本要点和见解的叙述情况 优 良 中 及格 不及格2、对答辩问题的反应、理解、表达情况 优 良 中 及格 不及格3、学生答辩过程中的精神状态 优 良 中 及格 不及格二、论文（设计）质量1、论文（设计）的整体结构是否符合撰写规范？ 优 良 中 及格 不及格2、是否完成指定的论文（设计）任务（包括装订及附件）？ 优 良 中 及格 不及格三、论文（设计）水平1、论文（设计）的理论意义或对解决实际问题的指导意义 优 良 中 及格 不及格2、论文的观念是否有新意？设计是否有创意？ 优 良 中 及格 不及格3、论文（设计说明书）所体现的整体水平 优

7、良 中 及格 不及格评定成绩： 优 良 中 及格 不及格（在所选等级前的内画“”）教研室主任（或答辩小组组长）： （签名）年 月 日教学系意见：系主任： （签名）年 月 日诚 信 声 明本人声明：1、本人所呈交的毕业设计（论文）是在老师指导下进行的研究工作及取得的研究成果；2、据查证，除了文中特别加以标注和致谢的地方外，毕业设计（论文）中不包含其他人已经公开发表过的研究成果，也不包含为获得其他教育机构的学位而使用过的材料；3、我承诺，本人提交的毕业设计（论文）中的所有内容均真实、可信。作者签名： 日期： 年 日毕业设计（论文）任务书 题目：木马的原理分析与处理方案 姓名 周晓平 系 计算机与通

8、信学院 专业 计算机科学与技术 班级 计算机0802 学号 200803010216 指导老师 刘铁武 职称 副教授 教研室主任 刘洞波 一、 基本任务及要求：木马（特洛伊木马的简称）实质上是一种在远程计算机之间建立连接，使远程计算机能通过网络控制本地计算机的程序。一般地，木马程序由服务器端与客户端程序构成，其server端安装在被控制对象的计算机上，client端由控制者使用，一旦server与 client实现了连接，这种控制与被控制的关系就已形成。课题的基本任务是通过查阅大量资料以获得木马的原理、特征、危害等方面相对系统的知识；在此基础上，追踪木马实例进行验证和研究，提出预防，检测、清除

9、方案或策略。基本要求：具备相关基础知识（如计算机网络）的前提下，进行深入的理论学习与研究；在此基础上，综述木马的相关理论，自成系统；面向实例说明处理策略和方案。二 进度安排及完成时间：第1周 老师集中指导，分析并明确课题任务与要求，学习资料收集检索方法，并搜索收集所需中英文资料。第23周 阅读资料、书籍，学习所需知识，撰写文献综述。第45周 毕业实习、完成毕业实习报告撰写。第6周 建立毕业设计实验环境；初步拟订设计方案；完成开题报告。第7周 完成总体设计。第813周 具体设计、调试、修改、实现。第1415周 撰写毕业论文（说明书）。第16周 完成毕业答辩资格审查、毕业答辩准备第17周 毕业答辩

10、目 录目 录1木马的原理分析与处理方案1Trojan horse principle analysis and treatment scheme2前 言1第1章 绪论11.1 木马概述11.2 木马的分类21.4 木马的功能4第2章 木马原理分析52.1 木马的工作原理52.2 木马的种植原理62.3 木马的隐藏原理62.4 木马的通信原理92.5 木马的启动技术10第3章 木马开发平台与相关技术133.1平台开发的相关技术133.2 TCP/IP协议概述143.2.1 TCP/IP模型143.2.2 UDP概述153.2.3 TCP概述163.2.4 端口173.3 工作原理Windows

11、Sockets程序设计173.3.1 Socket的基本概念173.3.2 Windows Socket程序设计20第4章 木马的实例研究294.1冰河病毒相关背景294.2功能分析294.3木马系统总体分析304.4木马系统实现的关键技术304.5远程控制木马的实现过程314.5.1木马系统的组成314.5.2服务端与客户端324.5.3冰河木马远程控制的实现37第5章 木马的处理方案405.1 对木马处理方案的研究的必要性分析405.2 针对冰河的处理方案415.3 一般木马处理方案425.3.1中木马后出现的状况425.3.2常用的清除木马的方法425.3.3几种对付木马的处理方法435

12、.3.4 日常中应注意事项44结束语45参考文献46致 谢47附录：48木马的原理分析与处理方案摘要：随着计算机网络技术的高速发展，Internet已伸向了世界的每一个角落，正在对人们的生活方式和工作方式产生着前所未有的影响。互联网在给人民群众的生活带来便利的同时，也给犯罪分子利用计算机网络从事犯罪活动提供了便利。今天，利用计算机网络实施的智能犯罪日益猖撅，对社会造成的危害也越来越大，网络犯罪的发展对新时期信息时代的安全工作提出了新的挑战。在某些特定的时间、地点，公安民警通过诸如木马程序对利用互联网实施犯罪、逃避打击的犯罪嫌疑人的目标计算机进行远程监控，掌握犯罪嫌疑人的活动情况及犯罪证据，从而

13、更好的打击犯罪，维护国家安全和保障人民群众安居乐业，这就是本文研究的出发点。本论文对目前较为流行的木马技术的实现方式、工作原理及远程控制的关键技术进行系统的研究，重点对木马程序的进程实现、受控端与控制端通信进行剖析。在研究Windows平台下特洛伊木马关键技术的基础上，给出一种木马对远程计算机进行有效实时监控的系统设计与实现。关键词：木马技术，木马原理，远程控制 Trojan horse principle analysis and treatment schemeAbstract：With the rapidly growing of computer network technology，

14、the reach of Internet has extended to every comer in the world，and it has all unprecedented influence on peoples life styles and the work waysThe internet gives the public convenience；meanwhile，it provides criminals chances to engage in criminal activities through using the network Today，the intelli

15、gent crimes，by means of the computer network become frantic day by day，which caused more and more harms to the society，so the increase of network crimes proposed new challenges to network security in the information ageIn a certain time and place，police should carry out remote control on suspects ta

16、rget computer through which the criminals commit crimes via the internet and get rid of attacksThey should master the suspects activities and crime evidence in order to crack down on crimes to protect the nation and peoples securityAll of these are the starting point of this essay This essay takes r

17、esearch on realizing ways of popular Trojan horse technology，the principle of working and the remote-control system controlling technologyThe important aspects lie in the explanation of Trojans process realizing，the communication between controlling port and controlled portThis essay is under the pl

18、atform of Window studies，on the basis of the Trojan essential technological foundation，produces one kind of system design and realization of an effective real-time monitoring on remote computers，which is unified the performance Trojan horseKeywords：Trojan horse principle.Trojan horse technology.Remo

19、te control前 言随着信息技术的飞速发展，计算机和计算机通信网络己经成为当今社会不可缺少的基本组成部分，依托瓦联网技术的全球信息化浪潮冲击和深刻影响着人类政治、经济、社会的方方面面，对经济发展、国家安全、国民教育和现代管理都起着重要的作用。随着网络技术和信息化应用范围的不断扩大，网络信息应用领域开始从传统的、小型业务系统逐渐向大型、关键业务系统扩展，如政府部门业务系统、金融业务系统、教育科研系统等等。但随着网络应用的增加，以计算机信息系统为犯罪对象和犯罪工具的各类新型犯罪活动不断出现。网络安全风险也不断暴露出来，网络信息安全问题已经成为制约各类网络信息系统实用化和进一步发展的不可忽视因

20、素，对一些关系国民经济的重要信息系统和关系国家安全的网络信息系统，己经到了非解决不可的地步。其中，利用木马技术入侵、控制和破坏网络信息系统，是造成网络信息安全问题的典型表现之一。木马是一种基于C/S模式的远程控制技术，能在被监控对象毫无察觉的情况下渗透到对方系统并隐藏在合法程序中的计算机程序。一旦植入和触发成功，控制端与被控制端之间就能遵照TCP/IP协议进行数据通信，从而使得控制者获取被控制者的相关信息。它们通常以欺骗为手段，在用户不知情的情况下进行安装，并暗中把所获的机密信息发送给第三者，威胁用户电脑中的数据安全并侵犯个人隐私，严重影响了人们正常工作和生活。2008年1月至l0月，瑞星公司

21、共截获新病毒样本930余万个，其中绝大部分(776万)是盗号木马、后门程序，专门窃取网游帐号、网银帐号等虚拟财产，具有极其明显的经济利益特征。因此，社会上己经掀起一个木马研究的热潮，成为全社会探讨的热门话题，这也是本论文研究的出发点。世界各国计算机安全应急响应小组(computer emergency response team.CERT)以及国内外各反病毒公司及厂商均对木马检测、清除和防范方面做了大量研究。美国New Haven大学的Fred cohen博士等人首先对病毒进行了深入研究，他们将木马作为计算机病毒的一种特例，并给出了病毒和木马的数学模型，英国Middlesex大学的Harold

22、 Thim bleby等人对病毒和木马的模型框架进行了研究。国内有中国科学院信息安全技术工程研究中心对木马技术进行了理论研究和原型开发，西北工业大学对木马在信息战的应用进行了研究，西安电子科技大学从人工免疫的角度对木马的检测与防御进行了研究，中国人民解放军信息工程大学对Windows NT平台下的木马启动与反跟踪技术进行了研究。未来，木马将更注重底层的通讯，以便有效对抗相关查杀工具如防火墙的监视和过滤；将广泛采用非TCPUDP的IP包和寄生TCP端口方式作为信息传递的手段，从而达到更加隐的目的。因此，研究和分析各种木马的工作原理和功能、木马种植的技巧和思路、木马自启动以及隐藏的方法，进而针对一

23、些典型的木马攻击提出了相应的解决方法，建立相对完善的防御体，是我们-丰动防范木马入侵或攻击的有方法之一。本论文就是对木马的原理进行深入地分析，从中总结一些木马的一般规律和最新技术，让人们更深入的了解木马，提高自我防范意识。第1章 绪论1.1 木马概述木马全称特洛伊木马，其名称源于古希腊神话中的特洛伊木马记。在公元前12世纪，希腊向特洛伊城宣战，交战了十年也没有取得胜利。最后，希腊军队撤走了，并在特洛伊城外留下很多巨大的木马。这些木马是空心的，里面藏了希腊最好的战士。特城人把木马搬进了城。当晚，希腊战士从木马中钻出来与城外的希腊军队合力夺下了特洛伊城，这就是特洛伊木马名称的由来。因此，特洛伊木马

24、一般伪装成合法程序植人系统中，对系统安全构成威胁。完整的木马程序一般由两个部份组成一个是服务器被控制端程序，一个是客户端控制端程序。黑客主要利用控制端连接到服务器端来实现控制目标主机服务器端所在主机的目的，从而执行用户不知道或不期望的行为。最初网络还处于以UNIX平台为主的时期，木马就产生了。当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作

25、木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。从木马的发展技术来看，总共可以分为四代：第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即简单的密码窃取、发送等，在隐藏和通信方面均无特别之处。第二代木马在技术上有很大的进步，使用标准的C/S架构，提供远程文件管理、屏幕监视等功能。但是由于植入木马的服务端程序会打开连接端口等候客户端连接，比较容易被发现。如：“冰河”、“Qmitis”。第三代木马在功能上与第二代木马没有太大差异，它的改变主要在网络连接方式上，它的特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用反

26、向连接技术让服务器端主动连接客户端，以突破防火墙的拦截。在数据传递技术上也做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度。如：网络神偷、Peep201等。第四代木马在进程隐藏方面，做了大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程，或者挂接PSAPI6，实现木马的隐藏。前三代木马，大多都有独立的木马，因此用户可以根据启动项目中的描述内容，很快找到木马，并删除它。但是，第四代木马选择注册表的方式，伪装成DLL文件形式加载到正常的启动程序上，无法通过“任务管理器”查看到正在执行的木马。不过在连接方式上，依然使用第三代木马或第二代木马的连

27、接方式。如：Beast木马。 第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马噩梦II。1.2 木马的分类为了更方便地研究木马，并采取适当的防范措施，可对木马进行分类，快速了解新出现的木马，便于制订有效的防御措施将它拒之门外，或通过一些规则找到木马并清除。(一)根据木马程序对计算机的具体动作方式，可以把现在的木马程序分为以下几类：第一类远程控制型：远程控制型木马是现今最广泛的特洛伊木马，这种木马起着远程监控的功能，使用简单，只要被控制主机联入网络，并与控制端客户程序建立网络连接，控制者就能任意访问被控

28、制的计算机。这种木马在控制端的控制下可以在被控主机上做任意的事情，比如键盘一记录，文件上传/下载，截取屏幕，远程执行等。第二类密码发送型：密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次windows系统重启时都自动加载，它们大多数使用25端口发送电子邮件。第三类键盘记录型：键盘记录型木马非常简单，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里进行完整的记录。这种木马程序随着Windows系统的启动而自动加载，并能感知受害主机在线，且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。第四类毁坏型：大部

29、分木马程序只是窃取信息，不做破坏性的事件，但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控丰机上所有的ini或exe文件，甚至远程格式化受害者硬盘，使得受控主机上的所有信息都受到破坏。总而言之，该类木马目标只有一个就是尽可能的毁坏受感染系统，致使其瘫痪。第五类FTP型：FTP型木马打开被控主机系统的2l号端121(FTP服务所使用的默认端口)，使每一个人都可以用一个FTP客户端程序来不要密码连接到受控制主机系统，并且可以进行最高权限的文件上传和下载，窃取受害系统中的机密文件。(二)根据木马的网络连接方向，可以分为两类：第一类正向连接型：发起通信的方向为控制端向被控制端发起，这种技术

30、被早期的木马广泛采用，其缺点是不能透过防火墙发起连接。第二类反向连接型：发起通信的方向为被控制端向控制端发起，其出现丰要是为了解决从内向外不能发起连接的情况的通信要求，已经被较新的木马广泛采用。(三)根据木马使用的架构，可以分为四类：第一类C/S架构：这种为普通的服务器、客户端的传统架构，一般我们都是采用客户端作控制端，服务器端作被控制端。在编程实现的时候，如果采用反向连接的技术，那么客户端(也就是控制端)要采用Socket编程的服务器端的方法，而服务端(也就是被控制端)采用Socket编程的客户端的方法。第二类B/S架构：这种架构为普通的网页木马所采用的方式。通常在B/S架构下，Server

31、端被上传了网页木马，控制端可以使用浏览器来访问相应的网页，达到对Server端进行控制的目的。第三类C/P/S架构：这里的P是Proxy的意思，也就是在这种架构中使用了代理。当然，为了实现正常的通信，代理也要由木马作者编程实现，才能够实现一个转换通信。这种架构的出现，主要是为了适应一个内部网络对另外一个内部网络的控制。但是，这种架构的木马目前还没有发现。第四类B/S/B架构：这种架构的出现，也是为了适应内部网络对另外的内部网络的控制。当被控制端与控制端都打开浏览器浏览这个Server上的网页的时候，一端就变成了控制端，而另外一端就变成了被控制端，这种架构的木马己经在国外出现了。、(四)根据隐藏

32、方式，可以分为几类隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。木马区别与远程控制程序的主要不同点就在于它的隐蔽性，木马的隐蔽性是木马能否长期存活的关键。木马的隐藏技术主要包括以下几类：本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。(五)根据木马存在的形态不同，可将木马分为以下几种：第一种传统EXE程序文件木马。这是最常见、最普通形态的木马，就是在目标电脑中以一般EXE文件运行的木马。第二种传统DLL/VXD木马。此类木马自身无法运行，它利用系统启动或其他程序运行(如：El或资源管理器)一并被载入运行，或使用Rundl123.exe来运行。第三种替换关联式DL

33、L木马。这种木马本质上仍然是DLL木马，但它却是替换某个系统DLL文件并将它改名第四种嵌入式DLL木马。这种木马利用远程缓冲区溢出的入侵方式，从远程将木马写入目前正在运行的某程序的内存中，然后利用更改意外处理的方式来运行木马代码。这种技术在操作上难度较高。第五种网页木马。即利用脚本等设计的木马。这种木马利用IE等漏洞植入到目标主机，传播范围广。第六种溢出型木马。溢出型木马既是将缓冲区溢出攻击和木马相结合的木马实现手段，其实现方式有很多特点和优势，属于一种较新的木马类型。1.4 木马的功能木马的功能木马的功能可以概括为以下内容：(1)、远程文件管理功能对被控主机的系统资源进行管理，如：复制文件，

34、删除文件，查看文件，以及上传/下载文件等。(2)、打开未授权的服务为远程计算机安装常用的网络服务，让它为黑客或其他非法用户服务。如：利用木马设定为FTP文件服务器后的计算机，可以提供FTP文件传输服务；为客户端打开文件共享服务，这样可以轻松获取用户硬盘上的信息。(3)、远程屏幕监视功能实时截取屏幕图象，可以将截取到的图象另存为图文件；实时监视远程用户目前正在进行的操作。(4)、控制远程计算机通过命令或通过远程监视窗口，直接控制远程计算机。例如在远程计算机执行程序、打开文件或向其他计算机进行攻击等。(5)、窃取数据以窃取数据为目的，本身不破坏计算机的文件和数据，不妨碍系统的正常工作。它以系统使用

35、者很难察觉的方式向外传送数据。例如键盘和鼠标操作记录型木马。第2章 木马原理分析特洛伊木马程序其实是一种客户机服务器程序，服务器端(被攻击的计算机)的程序在运行之后，黑客可以使用相应的客户端工具直接控制它，在网络上，有一个基本的漏洞，就是在本机直接肩动运行的程序拥有与使用者相同的权限，假设你是以管理员的身份使用机器，那么你从本地硬盘启动一个应用程序，这个程序就有权享有机器的全部资源。但对从外部(假如Internet上的某一站点)来的程序，则一般没有对硬盘操作的权利，这个规定是现今的这种网络结构注定的，这个规定给大家带来方便的同时，也带来安全隐患，如果不小心运行了一个可以接收外部指令的恶意程序之

36、后，那么这台计算机就被别人控制了。2.1 木马的工作原理木马是一类特殊的计算机程序，其作用是在一台计算机上监控被植入木马的计算机的情况。所以木马的结构是一种典型的客户端服务器(Client/Server)简称c/s)模式。木马程序一般分为客户端(Clinet)和服务器端(Server)，服务器端程序是控制者传到目标计算机的部分，骗取用户执行后，便植入计算机，作为响应程序。客户端是用来控制目标主机的部分，安装在控制者的计算机，它的作用是连接木马服务器端程序，监视或控制远程计算机。典型的木马工作原理是：当服务器端在目标计算机上被执行后，木马打开一个默认的端口进行监听，当客户机向服务器端提出连接请求

37、，服务器上的相应程序就会自动运行来应答客户机的请求，服务器端程序与客户端建立连接后，由客户端发出指令，服务器在计算机中执行这些指令，并将数据传送到客户端，以达到控制主机的目的。木马服务器端与客户端之间也可以不建立连接。由于建立连接容易被察觉，因此就要使用ICMP来避免建立连接或使用端口。使用ICMP来传送封包可让数据直接从木马客户端程序送至服务器端。如图2.1 指令结果 木马服务器端 木马客户端图2.1 客户端与服务端的交互这是木马程序的基本工作原理，其中还包括了木马的种植，隐藏，通信等等。下面分别就相关技术原理展开论叙。2.2 木马的种植原理特洛伊木马大都采用客户机服务器模式：客户端程序是在

38、你自己的PC机上运行服务器端程序是安装在目标丰机上。如果你不能把服务器端程序植到目标主机上那么你的特洛伊木马程序功能再完善，也没有办法启动木马的功能。通常特洛伊木马的植入技术有以下几种：(1).通过电了邮件附件件夹带的方式。这是用得最广和最多的方法。控制端将木马程序以附件或者图标等的形式夹在邮件中发送出去，倒如漂亮的网页或电子贺卡等。当用户点击这些图标的同时也下载了特洛伊木马程序。(2).夹带在一些共享软件中。黑客经常把特洛伊木马程序做在这些软件中，这种方式用得比较多且成功的概率也大。比如，他们常常称之为某个共享软件的升级版或者是系统补丁等，大多数人都希望自己用的是最新的版本，这样当用户下载时

39、相应的也把木马程序下载到自己的机器上了。(3).通过网页脚本程序植入。木马和网页捆绑在一起，当用户浏览到该网页，就会在不知不觉中下载其捆绑的木马并执行。其中网页是网页木马的核心部分，特定的网页代码使得网页被打开时，木马能随之下载和执行。木马就是普通的木马文件，被捆绑在网页里，能够跟随网页自动打开，实现各种木马功能。有利用ACTIVEX控件实现的网页木马；也有欺骗型网页木马；更多的网页木马是利用IE浏览器的漏洞来实现的。2.3 木马的隐藏原理 (1).本地文件伪装隐藏：木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏，或是通过将木马文件命名为和系统文件的文件名相似的文件名，从

40、而使用户误认为系统文件而忽略。或是将文件的存放在不常用或难以发现的系统文件目录中，或是将木马存放的区域设置为坏扇区。(2).木马的启动隐藏方式： 1).本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。木马病毒将可执行文件伪装成图片或文本一在程序中把图标改成WINDOWS的默认图片图标，再把文件名改为JPG.EXE。由于WINDOWS默认设置是不显示已知的文件后缀名，文件将会显示为JPG，不注意的人一点击这个图标就在无意间启动了木马程序。 2).通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行。像Autoexecbat和Config.sys。

41、特别是系统配置文件MSCONFIG.SYS,MSCONFIG.SYS中的系统启动项-system.ini，window.ini是众多木马的隐藏地。Windows安装目录下的system.ini的boot字段中，正常情况下为boot=“Explorer.exe”，如果后面有其他的程序，如这样的内容，boot=“Explorer.exefile.exe”，这里的file.exe，可能就是木马服务端程序。另外，在System.ini中的386enh字段，要注意检查在此段内的driver=路径程序名。这里也有可能被木马所利用。再有System.ini中的drivers，drivers32，mci这3个

42、字段，也是起到加载驱动程序的作用，因此也是增添木马程序的好场所。 3).利用系统路径遍历优先级欺骗Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里的规则，它会由系统所在的盘符的根目录开始向系统目录深处递进查找，而不是精确定位；这就意味着，如果有两个同样名称的文件分别放在“C:和“C:WINDOWS”下，WINDOWS会执行C:下的程序，而不是C:WINDOWS下的。这样的搜寻逻辑就给入侵者提供了一个机会，木马可以把自己改为系统启动时必定会调用的某个文件里，并复制到比原文件要浅一级的目录里，WINDOWS就会想当然的执行这个木马程序。要提防这种占用系统启动项而作到自动运行的木马，

43、用户必须了解自己机器里所有正常的启动项信息，才能知道木马有没有混进来。 4).替换系统文件木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件，像输入法指示程序INTERNAT.EXE。让动态链接库可以像程序一样运行的RUNDLL32.EXE等。木马程序会替换掉原来的系统文件，并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。只要系统调用那个被替换的程序，木马就能继续驻留内存了。木马作为原来的程序被系统启动时，会获得一个由系统传递来的运行参数，木马程序就把这个参数传递给被改名的程序执行。(3).进程隐藏进程隐藏有两种情况，一种隐藏是木马程序的进程仍然存在，只是不在进程列表里；采用APIHOOK技术拦截有关系统函数的调用实现运行时的隐藏，替换系统服务等方法导致无法发现木马的运行痕迹。另外一种方法是木马不以一个