试论“特洛伊木马”的攻击与防护网络毕
2013-08-19 01:12
导读:计算机网络论文论文,试论“特洛伊木马”的攻击与防护网络毕应该怎么写,有什么格式要求,科教论文网提供的这篇文章是一个很好的范例:
关键词:机理;网络安全;特洛伊木马
关键词:机理;网络安全;特洛伊木马;端口
论文摘要:定义了“特洛伊木马”并阐述了其由来,实现了使用VC的Winsock控件编写网络客户/服务模式程序,论述了“特洛伊木马”实现原理和控制原理,分析了其主要特征,并就手动检测和软件查杀双层防护“特洛伊木马”方法做了探讨,提出要维护用户信息和网络安全就必须重视“特洛伊木马”的危害从而加强防护。
The Attack and Protection of TrojanHorse
WANG Fu-qiang1, CHEN Yan2, REN Zhi-kao1
(1.Qingdao University of Science and Technology, the College of Information Science and Technology, Qingdao 266061, China ;2.The 2nd Vocational Middle School of Baoding City of Hebei Province, Baoding 071000, China)
Abstract: Have defined TrojanHorse and have set forth whose reason, have come true using the VC Winsock control to compile and compose the network customer/ serving pattern procedure, the mechanism having discussed the TrojanHorse job, has analysed whose principal character , has moved and detecting and the software while you're at it checking the method weakening bilayer protecting damage must take TrojanHorse seriously as TrojanHorse method having made investigation and discussion , having suggested that need to defend the consumer information and the network safety reinforcing protection thereby.
Key words: Mechanism; Network Security; TrojanHorse; Port
1 引言
“特洛伊木马”也称trojanHorse,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂或网页中,包含了可以控制用户的系统或通过邮件盗取用户信息的恶意程序,可能造成用户系统被破坏、信息丢失甚至系统瘫痪。
(科教范文网 fw.nseac.com编辑发布)
“特洛伊木马”的本质是一个程序,自动获取计算机相关系统信息和安全信息的程序,随计算机自动启动而启动,附在某一端口侦听目标计算机。其实质只是一个通过端口进行的网络客户/服务程序。
2 实现原理与控制原理
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程。对于“特洛伊木马”,被控制端是一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_cliet.exe是客户端应用程序。
2.1 实现原理
可以VC的Winsock控件来编写网络客户/服务程序, 实现如下:
服务器端: G_Server.LocalPort=7626(冰河的默认端口,可修改);G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里分配一个本地端口给G_Client,也可让计算机自动分配)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close(关闭连接)
(科教作文网http://zw.NSEaC.com编辑发布) G_Server.Listen (再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
2.2 控制原理
以用户权限运行的木马程序主要功能进行简单的概述, 主要使用Windows API函数。
1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作;mouse_event模拟一次鼠标事件 ;mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags; MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置 ……
2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
3)获取系统信息
(a) 取得计算机名 GetComputerName ;(b) 更改计算机名 SetComputerName
(c) 当前用户 GetUserName ;(d) 系统路径
Set FileSystem0bject = CreateObject("Scripting。FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject。getspecialfolder(1)(取系统目录) ……
4)限制系统功能
(a) 远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
(b) 让对方掉线 RasHangUp
(c) 终止进程 ExitProcess
5)远程文件操作 :删除文件(File delete);拷贝文件(File copy);共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
6)注册表操作:
