WINDOWS系统下木马程序的设计与实现
2010-1-10
作者:尘封 QQ:763934197
近年来,黑客攻击层出不穷,对网络安全构成了极大的威胁。木马是黑客的主要攻击手段之一,它通过渗透进入对方主机系统,从而实现对目标主机的远程操作,破坏力相当之大。
到目前为止,木马的发展已经历了五代:
第一代木马只是实现简单的密码窃取、发送等,在隐藏和通信方面均无特别之处。
第二代木马的典型代表是冰河,它以文件关联方式启动,通过电子邮件传送信息,在木马技术发展史上开辟了新的篇章。
第三代木马的信息传输方式有所突破,采用ICMP协议,增加了查杀的难度。
第四代木马在进程隐藏方面获得了重大突破,采用插入内核的嵌入方式、利用远程插入线程技术、嵌入DLL线程、或挂接PSAPI等,实现木马程序的隐藏,利用反弹端口技术突破防火墙限制,在Windows NT/2000下取得了良好的隐藏效果。
第五代木马与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活,例如最近新出现的类似冲击波病毒的木马—噩梦II。
木马的关键技术
木马基于C/S模式,服务器端程序运行于被控制的主机上,客户端完成控制功能。设计木马时,需考虑几个关键因素:首先要具有深度的隐蔽性,保证木马的隐蔽运行和启动,其次要能顺利实现客户端与服务器端的通信,最后还要根据需要实现其他功能。
一、木马的隐藏