1、厦门大学软件学院毕业设计(论文)开题报告 学生姓名 班级 学号 指导教师姓 名 职称 所在单位 厦门大学软件学院 毕业设计(论文)题 目 木马攻击与防御技术研究 毕业设计(论文)的 目标: 一整体目标 1. 阐述 木马的 基本概念 和工作原理 2. 分析 木马的 隐藏技术 3. 用代码实现一种典型木马程序 4. 分析 木马的检测技术和防御措施 二 木马 程序设计目标 1具有良好的隐蔽性 2. 木马控制端 可以与 程序 进行交互 3. 实现典型的 木马功能 实现方法: 一 基本环境 开发工具: Visual C+ 6.0 开发语言: c+ 开发平台: Windows XP 其他工具: Netca
2、t 二 总体设计思想 木马程序采用反弹端口技术,在木马被植入并成功运行后,由被控制端主动连接控制端。这样可以省去在 IP 段内扫描被控制端机器的麻烦。同时,这个木马程序是典型的 DLL 木马,通过插入到别的进程中运行,这样可以实现有效的隐藏。 三 结构 划分 这个木马包含控制端和被控制两部分。被控制端是采用 Visual C+ 6.0 进行编写的,需要被植入用户计算机中。而控制端,我们采用的 是网络数据传输的多用途工具 Netcat。被控制端由注入程序,木马主体和地址记录文件三部分组成。其中注入程序包含注入模块和启动模块,而木马主体则包含通讯模块和功能模块,其具体功能如下: 注入模块: 将木马
3、 DLL 文件注入到 iexplorer.exe 进程 。 启动模块 : 在 注册表添加木马的启动项 。 通讯模块: 木马 的被控制端 成功运行 后 ,与控制端程序 建立连接并 进行通讯 。 功能模块: 接受控制端的命令,在被控制端机器上执行相应木马功能 。 结构 图如下: 四 木马程序的架构 木马实现一种典型的木马架构:“小马拉大马”。“小马”指的是只具备特定功能的木马,其主要目的是隐藏和在控制端的控制下,从指定位置下载病毒或木马,并执行。而“大马”指的是一些具有各种功能的木马、病毒和一些能完成特定功能的程序。 通过“小马”打开计算机的大门,这样具有破坏性的各种“大马”就可以随意地进入了。
4、五程序运行流程 木马程序运行后,马上会在用户机器上的系统目录 c:windowssystem32 下释放木马的组件,包括注入程序、木马主体 DLL 文件和控制端地址记录文件。接着,注入文件 会查看木马主体 DLL 文件是否被成功释放。在找到 DLL 文件后,注入程序将其插入到 IE 进程( iexplorer.exe)当中运行。成功运行的 DLL 木马,会马上查看控制端地址记录文件。在找到记录文件后,根据其记录的控制端地址,主动向控制端提出连接请求,并等待其响应。待控制端响应连接请求后,连接正式建立,并开始进行通讯。 具体流程图如下: 木马 控制端 被控制端 注入程序 地址记录 木马主体 注入
5、模块 启动模块 通讯模块 功能模块 六注入模块设计 我们通过“远程线程 ” 技术将这个木马的主体 DLL 文件插入到 IE 进程( iexplorer.exe)当中运行。由于 这个木马没有单独的进程,所以具有较高的隐蔽性。同时,我们 可以 复 用 IE 的 80 端口进行与控制端的通信。 七启动模块设计 这个模块的功能是将木马的程序添加到被控制端机器的注册表启动项当中,这样,木马就可以随着系统启动而自动运行了。 八 通讯模块设计 我们基于 WINSOCK 来编写这个模块。木马的被控制端在被执行后,会通过计算机的 80 端口,不断向 控制端发出连接请求。在接受控制端的应答后,连接正式建立。这样,
6、被控制端就可以与控制端进行通信,并根据接收的命令完成相应功能。这个模块的通信协议我们使用的是 TCP 协议。 九 功能模块设计 功能模块接收来自控制端的命令,来执行相应功能。其 具体功能如下: “小马 ” 部分: ( 1)获取 IP 地址 获取被控制端的 IP 地址, 是入侵的关键信息。 ( 2)获取主机名称 获取被控制端的主机名称, 可以方便黑客的入侵。 ( 3)下载功能 从互联网指定位置下载文件,这里主要用于下载别的木马或病毒。 ( 4)运行程序 运行被控制端上指定的可执行文件,这里主要是用于执行病毒或木马程序。 ( 5)改变连接地址 通过改变连接的地址,命令被控制端连接另一个台主机上的控
7、制端。 “大马 ”功能 ( 1)查看进程 获取被控制端机器上的进程列表。 ( 2)强制结束进程 根据获得的进程列表,强制结束被控制端机器上的指定进程。 ( 3)远程调用 CMD Console 运用匿名管道技术 ,远程调用被控制端机器上的 CMD Console。 时间进度安排: 2008 年 2 月 25 日 -2008 年 3 月 15 日 搜集 资料,对一些技术的可行性进行 分析 ,同时确定开发语言和开发工具 。 2008 年 3 月 16 日 -2008 年 3 月 31 日 征求导师意见后进一步改进, 确认程序的需求和框架。 2008 年 4 月 1 日 -2008 年 4 月 25 日 完成木马 程序 通讯模块的编写。 2008 年 4 月 26 日 -2008 年 5 月 25 日 完成其余模块和整理和总结木马防御技术。 2008 年 5 月 26 日 -2008 年 6 月 11 日 毕业设计报告。 指导教师审核意见: 选题满足要求,进度安排合理,同意开题。 校内指导教师签名: 年 月 日
