隐藏型后门程序设计与实现.pdf

隐藏型***程序设计与实现摘要本文首先简要介绍了木马技术的现状,以及本课题研究的方向、内容和结构。论文着重叙述了本人负责的隐藏型***的设计和实现工作,重点讨论了在用户和内核两种模式下实现各种隐藏的关键技术。在用户模式下,主要是研究了函数导入表和函数导出表拦截的原理,也实践了多种拦截方法;在内核模式下,主要是介绍了系统服务描述符表拦截技术原理和实现;本文中也讨论了多种挂接的实现方法,并总结了一些开发过程中的经验教训。最后就未来木马发展中的一些问题,谈了谈自己的一点看法。关键词:网络安全,恶意代码,木马,***,����珹���,��录目
越�����������������琒����������������,���������,��������.������琓�����,��������������瓹�������,�:������.����,��,��北京邮电大学硕士学位论文英文摘要������,�
本人签名:聋童壅�本人签名:鲞坌蕉�日期:妒莎立..��独创性�虼葱滦�声明本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切相关责任。关于论文使用授权的说明学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许学位论文被查阅和借阅;学校可以公布学位论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。�C艿难�宦畚脑诮饷芎笞袷卮斯娑�保密论文注释:。非保密论文注释:本学位论文不属于保密范围,适用本授权书。导师签名:日期:北京邮电大学硕士学位论文摘要
第一章绪论��特洛伊木马现状特洛伊木马是一种恶意程序,在宿主机器上运行,在用户全然不知的情况下,攻击者获得了远程访问和控制系统的权限,简称为木马。木马的实质是一个通过端口进行通信的网络客户/服务程序。��粗澳芊掷�根据木马分工不同,可以分为植入型木马、远程控制型木马和***型木马。植入木马主要是针对主机突破任务,所以植入的功能至少要实现一个����能够下载执行文件,程序体积越小越好;而控守木马则要求功能比较完善,操作简单方便,要求能够稳定监控;后��磈�嘈头倍啵�懈ㄖ�厥啬韭硪�氐模�卸�立实现木马功能的,独特的思路和很强的隐蔽性是其突出特点。��戳�臃绞椒掷�木马按连接方式可以分为端口监听型木马、端口反弹型木马。.��壳爸饕A餍械哪韭�当前流行的木马种类有网游木马、广告木马、即时通信木马、网络银行木马及各类***程序。提起木马,首先会想到的是“冰河”、“�”、“��币约啊癝��钡缺冉现���远程控制型木马。目前,这些木马程序在传播上大多可以分为三类:��ü�缱佑始�苯臃⑺�邮件主题具有一定的诱惑性,诱惑用户自己点击执行附件中的木马程序服务器端。��ü�略赝�纠Π笤谡�5某绦蛑�这段时期,网上出现了大量的��Π蠊ぞ������,这种工具可以把一个木马程序和一个正常的软件捆绑在一起。���貌僮飨低陈┒粗苯酉略卦诵�利用操作系统漏洞,.可以执行������胂略啬韭碇葱小���.�韭淼亩ㄒ���.�韭淼奶氐�一、木马的分类特点二、木马的传播特点北京邮电大学硕士学位论文
腥綞�文件方式传播这类木马由于在技术上存在一定限制,数量很少,但却改变了木马不具备传染特性的概念,比如�����和冰河的一个变种。��词蓖ㄐ糯ú�随着��姆⒄挂渤鱿至艘恍┚哂刑囟üδ艿哪韭恚�热缋�眉词蓖ㄐ湃砑�自动发送广告消息传播的木马��.��瓼���殖啤癕�骗子”��褂心切�频频更新、变种的数以百计的“�尾巴”木马和�盗号木马。��ü�涑娲ú�通过蠕虫释放木马,这是国外一些病毒作者的惯用手法,许多国外的病毒在成功感染计算机后都会在受害的计算机上留有***程序。这种方法目前也已经逐渐被国内的病毒作者所采用。��捎煤拖低澄募�嘟�奈募���形弊�比如采用���.��用数字�弊俺勺帜������.��用数字�弊�字母�作为生成文件的名字,更有一些木马干脆采用和系统文件相同的名字,但木马文件存储路径与正常文件不同,这样用户就很难注意到它的存在了。由于木马采用了和正常文件近似或相同的文件名,用户经常会对这类文件麻痹大意,就让木马有了可乘之机。��捎眉际跏侄问迪帜韭硖卣饕��采用各种各样的技术手段实现木马的隐藏隐蔽功能。比如:采