木马攻击与防御技术研究-毕业论文.doc

1、 本科毕业论文 (科研训练、毕业设计 ) 题 目：木马攻击与防御技术研究 姓 名： 学 院：软件学院 系： 专 业：软件工程 年 级： 学 号： 指导教师： 职称： 年 月 摘要 随着信息化时代的来临，网络已经成为了我们生活生产里必不可少的重要元素。当然，在享有它带来的巨大便利的同时，我们也必须应对随之而来的一系列问题，其中一个便是愈演愈烈的非法入侵等黑客行为。而特洛伊木马（简称木马）就是黑客入侵的最常用手法之一。随着木马技术的不断发展与更新，其功能不断强大，变得更加隐蔽，更加难以应付，已经严重地威胁到了我们的网络安全。 本论文的主要工作就隐蔽型特洛伊木马的技术思想及其防御技术进行研究与探讨。

2、论文首先阐述了特洛伊木马的基本概念，包括工作原理和发展历程等；其次，针对木马的隐蔽技术、启动方式、植入方式、通讯方式和抗检测技术进行研究，并使用 Visual C+ 6.0 开发了一个典型的隐蔽型木马程序；最后，基于前面对木马工作原理的分析，论文对比并分析了目前主流的木马检测技术 基于静态特征检测的木马检测技术和基于动态行为的木 马检测技术，并有针对性地提出木马的防御措施和清除方法。 关键词 :木马 黑客 网络安全 木马检测 木马防御 Abstract With the arrival of the era of information, Internet has become a vital

3、 element in our daily life and production. Of course, while enjoying its convenience, we have to deal with a range of issues, one of which is the illegal invasion of hackers in growing number. With the progress and updates of Trojan technology, Trojan Horse has owned more and more powerful features,

4、 and become more subtle and difficult to cope with, seriously threatening our network security. The major works of the thesis are the research on the concealed Trojan Horse technology and its defense technology. Firstly, the thesis introduces the basic concepts of Trojan horse, including its princip

5、les and its development etc. Secondly, we research into its concealment techniques, Start-up methods, implantation, communications and anti-detection technology. Whats more, we develop a typical concealed Trojan program by using the Visual C+ 6.0. Finally, based on the analysis of the Trojan horse p

6、rinciples discussed before, the thesis compares and analyses the current mainstream of Trojan detection technologies-the static detection technology based on the surface characteristic and the dynamic detection technology based on the runtime behavior. Then we put forward the means of defense and re

7、move methods against Trojan horses. Key words: Trojan Horse hacker Network Security Trojan detection Trojan defense 目录 第一章 绪论 .1 1.1 研究背景和研究意义 .1 1.2 研究问题的发展现状 .2 1.3 存在的主要困难 .3 1.4 研究内容 .3 1.5 论文的组织结构 .3 第二章 木马的基本概念及技术原理 .5 2.1 木马基本概念 .5 2.1.1 木马的定义 .5 2.1.2 木马的分类 .5 2.1.3 木马的危害 .5 2.1.4 木马与传统病毒的关系

8、 .6 2.1.5 木马的来源 .7 2.1.6 木马的发展 .7 2.2 木马使用的通信协议 .8 2.3 木马的植入方式 .10 2.4 木马的启动方式 .11 2.5 木马的抗查杀技术 .11 2.5.1 加壳 .12 2.5.2 添加花指令 .13 2.5.3 特征码修改 .13 2.6 木马的隐藏技术 .14 2.6.1 端口新技术 .14 2.6.2 插入进程 .15 2.6.3 反弹端口 .16 2.7 木马的入侵流程 .16 2.8 木马在入侵中的地位 .17 2.9 本章小结 .18 第三章 隐蔽型木马详细设计与实现 .19 3.1 开发目的及设计目标 .19 3.2 木马的

9、组成结构 .19 3.3 木马程序的架构 .20 3.4 木马 程序的总体设计思想 .20 3.5 木马的运行流程 .20 3.6 控制端程序介绍 .22 3.7 被控制端程序详细设计 .23 3.7.1 注入模块详细设计 .23 3.7.2 启动模块详细设计 .25 3.7.3 通讯模块详细设计 .26 3.7.4 功能模块的详细设计 .27 3.8 本章小结 .34 第四章 木马的检测与防御技术 .35 4.1 木马检测技术分析 .35 4.1.1 基于静态特征的木马检测技术 .35 4.1.2 基于动态行为的木马检测技术 .36 4.2 木马的基本防御措施 .39 4.2.1 针对一般性

10、木马的防御措施 .39 4.2.2 针对特定木马的防御措施 .43 4.3 木马的清除 .44 4.4 本章小结 .46 第五章 总结 .47 5.1 本文的工作及特色 .47 5.2 未来研究的展望 .47 致谢 .49 参考文献 .50 Contents Chapter 1 Introduction .1 1.1 Background and significance of research.1 1.2 Research content .2 1.3 Principal problems on the research.3 1.4 Main works .3 1.5 Organizatio

11、nal structure of the thesis .3 Chapter 2 Basic concepts of principles of Trojan technology.5 2.1 Basic concepts of Trojan Horse .5 2.1.1 Definition of Trojan Horse .5 2.1.2 Classification of Trojan Horse .5 2.1.3 Harms of Trojan Horse.5 2.1.4 Relationship between Trojan and Virus .6 2.1.5 Source of

12、Trojan Horse .7 2.1.6 Development of Trojan Horse .7 2.2 Communication protocols used by Trojan Horse .8 2.3 Start-up methods of Trojan Horse .10 2.4 Implantation of Trojan Horse . 11 2.5 Anti-detection technologies . 11 2.5.1 Adding shells .12 2.5.2 Adding thunkcodes .13 2.5.3 Modifying characteris

13、tic code.13 2.6 Concealment techniques of Trojan Horse .14 2.6.1 new port technology.14 2.6.2 inserting process .15 2.6.3 reverse connection .16 2.7 Invasion process.16 2.8 The role of Trojan Horse in the Invasion.17 2.9 Summary .18 Chapter 3 Concealed Trojan Horse design and realization .19 3.1 Dev

14、elopment goals and design objective .19 3.2 Compositions of the Trojan Horse .19 3.3 Architecture of the Trojan Horse.20 3.4 General Design of the Trojan Horse.20 3.5 Procedure of the Trojan Horse .20 3.6 Introduction to Server program .22 3.7 Client Program design .23 3.7.1 Insertion Modular design

15、.23 3.7.2 Start-up Modular design.25 3.7.3 Communication Modular design.26 3.7.4 Function Modular design.27 3.8 Summary .34 Chapter 4 Trojan Horse detection technology and defense technology .35 4.1 Trojan Horse detection technology.35 4.1.1 the static detection technology based on the surface chara

16、cteristic.35 4.1.2 the dynamic detection technology based on the runtime behavior.36 4.2 Trojan Horse defense technology .39 4.2.1 Means of defense against normal Trojan Horse .40 4.2.2 Means of defense against specialized Trojan Horse .43 4.3 Remove Methods against Trojan Horse .45 4.4 Summary .46

17、Chapter 5 Summary .47 5.1 The prospects for future research .47 5.2 Main works and feature of the thesis.47 Acknowledgement .49 References.50 木马攻击与防御技术研究 1 第一章 绪论 1.1 研究背景和研究意义 随着信息时代的到来，网络已经成为了生活的必需品。随着影响的扩大，互联网已经不可避免的进入人们的生活。得益于互联网的便利快捷，人们开始习惯于在网上完成一些日常活动，比如操作自己的银行账户，网上购物，收发 Email 等等。一方面随着电子政务工程的启

18、动，电子商务的开展以及国家关键基础设计的网络化，使得现有的网络安全设置建设显得日益滞后。 由于计算机存储的便利和网络在信息传播方面的优势，许多 的资料信息被制作并保存在计算机中，然后通过网络进行传送。这些海量数据既包含了政府或企业的重要文件，也包含了个人用户的私人资料。对于这种愈演愈烈的信息化趋势，越来越多黑客将目标瞄准了计算机内的数据。而数据的丢失不仅意味着个人隐私的丧失，更为严重的是一些重要数据的丢失和损毁，如公司财务报表，用户银行账户等。可以说，黑客一直是我们生产生活中的一个潜在威胁。 特洛伊木马作为黑客最热衷于使用的入侵工具之一，也自然成为网络安全的一个重大威胁。正如特洛伊木马的由来一

19、样，对于最牢不可破的城池，从内部攻陷往往是最佳途径。特洛 伊木马就像是一个潜伏在用户计算机的间谍一样，随时准备接受黑客的命令，从内部发动进攻。 据金山 公司 发布 的 2007 年上半年安全报告 1显示： 2007 年上半年，木马新增数占总病毒新增数的 68.71，高达 76593 种。 而在其网站上查询最多的十大病毒中，有九个是木马。可以说， 木马已经取代了传统病毒成为当今网络安全的主要威胁。 “经济利益”是木马大量传播的主要原因。木马与传统病毒不同，它是以窃取或破坏有价值的信息为主要目的。这些信息主要包括网络游戏帐户，银行账户和一些敏感的个人资料等。由于利益的驱使，木马拥有为数众 多的开发

20、者和传播者。他们不断地改进木马的技术，并加大传播的范围。而另一方面，这些木马开发者为了能更好地实现木马的功能，一直致力于研究木马的反查杀和网络渗透能力，致使木马攻击事件日益增多和成功率居高不下。 所谓“知次知彼，百战不殆”。我们研究木马，就是为了能更好了解它的运行机制，从而木马攻击与防御技术研究 2 探讨防御它的有效方法。只有研究了木马这个“矛”的特性，才能做出具有针对性的“盾”。通过对一些关键木马技术的分析，我们将知晓其利用的系统安全漏洞和薄弱安全设置。然后，我们可以有针对性地堵上这些安全漏洞，并调整安全设置，来实现有效木马 防御。 我们开发的隐蔽型木马程序将实现部分典型的木马技术，并具有比

21、较高的隐蔽性。通过这些技术的实现和掌握，我们可以更好的探讨木马的防御策略，甚至预测一些新式入侵的可能性，做到防范于未然。 1.2 研究问题的发展现状 针对目前木马泛滥，数据流失严重的情况，网络安全已经被越来越多的人所重视。木马技术和网络安全技术的关系，就像是一对矛和盾。木马技术总是不断的发展和创新，企图“刺穿”网络安全这个盾。而同时网络安全技术也在不断的进步，试图“挡下”所有木马的矛。事实上，它们总是针对对方的特性，来不断改进自己。一旦出现一种 木马技术能有效突破现有的防御技术，网络安全技术就会及时跟上堵上漏洞或是改变安全策略。相反的，一旦有一种防御技术能阻止木马攻击，黑客们就会绞尽脑汁来冲破

22、这道防线。 由于经济利益的驱使，木马的更新和传播速度非常惊人。木马程序已经不再停留于恶作剧阶段，绝大多数的木马都有其特定的目标，比如说银行的帐户， MSN 帐户等等。同时，越来越多的木马具有了跨平台性，它们的目标常常是一些使用 UNIX 或 LINUX 等非 Windows操作系统的网络服务器。当然，最大限度地实现木马的“隐蔽性”一直都是黑客们的目标。事实上，大部分的木马使 用系统或通信协议的漏洞实现“隐蔽性”。绝大多数的木马通过端口复用或潜伏达到端口的隐蔽。为了隐蔽自身与控制端的连接，许多木马已经放弃了传统的 TCP通信协议，而改用 UDP 或 ICMP 进行通信。可以说，“无连接，无端口，

23、无进程”是目前木马技术努力的方向。 另一方面，针对木马的防御技术也有了长足的发展。目前基于静态外部特征的木马检测技术已经趋于成熟。通过比对由已知木马建立和维护的特征库，这种技术能进行有效的木马检测。但是，由于木马的更新和传播速度远远地超过特征库的速度，这种技术无法进行未知木马的检测。基于动态行为的木 马检测技术正是在这种背景下被提出的。这种技术通过检测程序的异常行为来进行木马检测，可以更有效检测未知木马。目前，卡巴斯基的主动防御技术使用的就是这个思想。 木马攻击与防御技术研究 3 1.3 存在的主要困难 基于动态行为的木马检测技术将是目前木马技术面临的主要挑战。木马程序无论如何实现隐蔽，为了获得与控制端通信的权限，都需