木马的原理及其防范|计算机毕业论文|计算机毕业设计|免费范文下载网站

中文摘要

特洛伊木马发展至今其技术有了突破性的发展，功能也越来越强大。为了能有效地在服务器端隐藏自己，木马逐渐向系统内核渗透；为了能抢在用户之前控制系统，木马不惜破坏系统相关功能；为了能绕开防火墙及防入侵软件的阻拦，木马放弃了原有的通讯技术而采用反弹式通讯技术等。本文从木马的隐藏技术、加载技术、通讯技术等几个层面深入分析木马的技术原理，并以冰河木马为例介绍相关技术的具体应用，文中最后给出了防范和清除木马的几个方法和建议并通过Windows编程实现系统进程的获取和终止。

关键词木马隐藏技术加载技术通讯技术木马防范

TitleTrojanHorsePrinciplesandPrevention

Abstract

Trojanhorsehaswitnesseditsbreakthroughtechnologyandevermorepowerfulfunctionsinceitsdevelopment.Tohideeffectivelyintheserver,Trojangraduallymovesclosertothekernel;Tobeabletoanticipateandcontrolsystembeforetheuser,Trojanisattheexpenseofsystem-relatedfunctions;Tobeabletobypassblocksofthefirewallsandanti-intrusionsoftware,Trojanabandonstheoriginaluseofcommunicationsandusesrebound-communicationtechnology.Thispaper,fromTrojan’shidingtechnology,loadingtechnology,communicationtechnologyandseverallevels,analyzesTrojan’stechnologicalprinciples,andtakesTrojanglaciersasanexampletointroducethepracticalapplicationoftherelatedtechnology.ItprovidesseveralmethodsandproposalsofthepreventionandremovaloftheTrojanandrealizestheaccessandterminationofthesystemprocessbyWindowsprograms.

KeywordsTrojanHidingtechnologyLoadingTechnologyCommunicationstechnologyTrojanprevention

目次
1引言1
2木马的隐藏技术2
2.1伪装2
2.2进程隐藏3
2.3DLL技术4
3木马的加载技术6
3.1常见的木马加载技术7
3.2特殊的木马加载技术13
4木马程序的通讯技术14
4.1一般木马的通讯技术14
4.2反弹式木马的通讯技术15
4.3利用ICMP协议进行通讯16
5冰河木马实例分析17
5.1冰河的隐藏技术18
5.2冰河的加载技术21
5.3冰河木马的通讯技术23
6木马的防范措施26
6.1木马的症状26
6.2木马的清除28
6.3用Windows编程实现系统进程的获取和终止30
结论34
致谢35
参考文献36

2.1伪装

从技术层面讲，伪装是一种比较简单有效的隐藏方式。木马会想方设法将自己伪装成“不起眼”的文件。木马的伪装主要分为文件伪装和进程伪装。文件伪装除了将文件属性改为“隐藏”之外，大多通过采用一些比较类似于系统文件的文件名来隐藏自己，并且一般藏身于“C:\WINDOWS”或“C:\WINDOWS\system32”文件夹中。如前段时间比较流行的木马“winl0gon.exe”即伪装成系统文件“winlogon.exe”，藏匿于“C:\WINDOWS\system32”文件夹。进程伪装则是将木马启动后运行的进程名改为与系统进程类似以达到隐藏的目的。除了对文件名进行伪装外，木马通常还会对自己的图标进行修改。有些时候，用户在接受的E-MAIL的附件中看到图标时，通常会认为这是个文本文档而轻易地打开它。但是事实上这也有可能是个木马程序。现在，木马程序可以通过工具软件，很简单的就将其服务器端的程序图标改成HTML、TXT、ZIP、等各种文件格式的图标，这就使其具有很大的迷惑性。现在还有一种新的伪装方式：木马将服务器端的文件夹属性改为隐藏，而将自己的名字改为文件夹的名字如图2.1所示。

参考文献

[1]彭迎春，谭汉松.基于DLL的特洛伊木马隐藏技术研究[J].信息技术，2005，（12）：41-43.

[2]张聪，张慧.特洛伊木马程序隐藏技术分析[J].武汉工业学院学报，2005，24（2）：19-21.

[3]康治平，向洪.特洛伊木马隐藏技术研究及实践[J].计算机工程与应用，2006，（9）：103-105.

[4]张新宇，张楠.特洛伊木马隐藏技术研究[J].通信学报，2004，25（7）：153-157.

[5]刘奇.隐藏木马的启动方法[J].黑客防线，2006，（4）：81-83.

[6]刘强，邓亚平.隐藏木马检测技术的研究[J].计算机工程，2006，32（1）：180-182.

[7]秘密客.黑客攻防对策之木马篇[M].北京：清华大学出版社.2002.11-5

[8]宋红，吴建军.计算机安全技术[M].北京：中国铁路出版社.2004.10-1.

[9]王建锋，钟玮.计算机分析与防范大全[M].北京：电子工业出版社.2006.8-15.

[10]郭威兵，刘晓英.浅析木马病毒及其防范措施[J].科技情报开发与经济，2006，16（2）：236-237.

[11]刘兵，孟凡华.特洛伊木马程序攻击机理分析[J].娄底师专学报，2004（2）：34-36.

[12]扬希来，扬大全.木马编程技术分析[J].微处理机，2004（4）：36-38.

[13]黑蛋.另类隐藏方法启动木马[J].红客路线，2006（5）：43.

[14]BlackBeast.让你的木马隐藏得更深[J].黑客防线，2006（3）：89-91.

[15]单长虹，张焕国.一种启发式木马查杀模式的设计与分析[J].计算机工程与应用，2004（20）：130-132.

[16]LennyZeltser.ReverseEngineeringMalware[EB/OL].