鄭州廣播電視大學 王民川

特洛伊木馬程序的設計方法研究

鄭州廣播電視大學 王民川

目前在不斷發(fā)生的互聯(lián)網(wǎng)安全事件中，大部分都有木馬的身影。據(jù)中國國家計算機網(wǎng)絡應急處理中心的估計，目前木馬黑色產(chǎn)業(yè)鏈的年產(chǎn)值已超過2.38億元人民幣，造成的損失則超過76億元。

只要了解木馬的工作原理，借助協(xié)議分析工具，就能及時發(fā)現(xiàn)其蛛絲馬跡，降低木馬帶來的危害。只要熟悉木馬的隱藏方法，就能快速找到并徹底清除木馬，甚至找到入侵者。如果能夠預先了解木馬攻擊手段，就可以有針對性地防范木馬的主動入侵或攻擊。

一、木馬技術(shù)基礎

在計算機領域中特洛伊木馬程序是一種未經(jīng)授權(quán)的程序，它包含在一段正常的程序中，這個未經(jīng)授權(quán)的程序提供了一些用戶不知道的功能，其目的是不需要管理員的準許就可獲得系統(tǒng)使用權(quán)。木馬的全稱是“特洛伊木馬”，是一種新型的計算機網(wǎng)絡病毒程序。它利用自身所具有的植入功能，依附其他具有傳播能力的病毒之上， 或者通過入侵后植入等多種途徑，進駐目標機器，搜集其中的各種敏感信息，并通過網(wǎng)絡與外界通信，發(fā)回所搜集到的各種敏感信息，接受植入者指令，完成其他各種操作，如修改指定文件、格式化硬盤等。

二、木馬工作原理及關(guān)鍵技術(shù)

典型的木馬工作原理為：當服務器端在目標計算機上被執(zhí)行后，木馬打開一個默認的端口進行監(jiān)聽，當客戶機向服務端提出連接請求，服務器上的相應程序就會自動運行來應答客戶機的請求，服務器端程序與客戶端建立連接后，由客戶端發(fā)出指令，服務器在計算機中執(zhí)行這些指令，并將數(shù)據(jù)傳送到客戶端，以達到控制主機的目的。

木馬程序的工作過程包含了木馬程序的偽裝、隱藏、啟動、通信以及攻擊等。特洛伊木馬程序的偽裝技術(shù)主要有以下幾種方法：修改圖標、捆綁于正常文件中、顯示出錯信息、自我銷毀、更改文件名。木馬的隱蔽性是木馬能否長期存活的關(guān)鍵，木馬隱藏的主要方式有：在任務欄里隱藏、隱藏端口、在任務管理器里隱藏、隱藏通信、隱藏啟動方式、隱藏傳播方式、最新隱身技術(shù)。特洛伊木馬程序主要有以下幾種啟動方式：隨正常的程序啟動而啟動、隱藏在配置文件中、潛伏在Win.ini中、在System.ini中藏身、偽裝成普通文件、內(nèi)置到注冊表中、隱形于啟動組中、隱蔽在Winstart.bat中、設置在超級鏈接中。

遠程計算機控制指的是基于一定的物理網(wǎng)絡，通過一定的網(wǎng)絡協(xié)議，對分布在網(wǎng)絡上的計算機實現(xiàn)遠程控制并協(xié)同工作。目前的許多木馬檢測軟件正是通過掃描本地和遠程主機系統(tǒng)中打開的已知木馬端口進行木馬檢測的。為此采用新技術(shù)的木馬對其通信形式進行了隱蔽和變通，使其很難被端口掃描發(fā)現(xiàn)。木馬為隱蔽通信形式所采用手段有：端口復用、反彈端口和潛伏技術(shù)。

三、遠程控制木馬的設計

本系統(tǒng)采用基于反彈端口機制的C/S模型進行通信。反彈端口的機制是進行C/S的反向連接，即由服務器向客戶機主動建立連接。當服務端在目標主機上運行后，目標的主機系統(tǒng)會為其動態(tài)分配一個端口，此時，服務端即可向客戶端發(fā)起連接，并且連接的端口指向客戶端的80端口，即使用“netstat-an”命令查看本機的TCP/IP網(wǎng)絡連接狀態(tài)，也將顯示“TCP本機IP地址：端口 遠程IP地址：80ESTABLISHED”類似的數(shù)據(jù)，防火墻也不會阻擋這種非法連接，從而確保了木馬控制程序的安全和通信的隱蔽。

四、遠程控制木馬的實現(xiàn)

本節(jié)將詳細介紹遠程控制木馬的主要實現(xiàn)過程，包括客戶端和服務端的實現(xiàn)，通信模塊的實現(xiàn)，程序的界面和功能的測試等。

1．服務端程序的實現(xiàn)。本模塊通過修改注冊表來實現(xiàn)目標監(jiān)控子系統(tǒng)的自啟動，根據(jù)注冊表的結(jié)構(gòu)和每個鍵值的含義，服務端在注冊表中加載自啟動項及自啟動參數(shù)的位置如下：

Internet SettingsAgenter子鍵下加載系統(tǒng)的自啟動參數(shù)，如在線中轉(zhuǎn)服務器的IP地址、目標管理子系統(tǒng)的IP地址以及程序的配置信息等。

通信模塊的實現(xiàn)。通信模塊的開發(fā)采用Winsock API，建立基于阻塞模式的流式Sockets套接字，數(shù)據(jù)的接收和發(fā)送除了與通用流式套接字編程模型相同外，還增加了對數(shù)據(jù)的處理功能。

服務端管理模塊。管理模塊是服務端的主模塊，它將各個功能模塊融合在一起，實現(xiàn)對目標主機的監(jiān)控和管理。它主要負責接收監(jiān)控系統(tǒng)的命令，對其命令進行識別解釋，并調(diào)用各個功能模塊，執(zhí)行管理器命令。

2．客戶端的實現(xiàn)?？蛻舳耸沁\行在控制端主機上，用來遠程控制被控制端的信息和操作。客戶端運行后，修改中間服務器上的客戶端信息，包括客戶機IP，開放的端口和登錄密碼。修改成功后，等待遠程主機的上線。如果有遠程主機上線，則可以完成的操作有文件控制、系統(tǒng)控制和文件傳輸。

操作遠程主機的文件，完成所需要的目的，包括文件的新建、刪除、上傳和下載。作為木馬的破壞功能，系統(tǒng)控制中包括了遠程關(guān)機、重啟、注銷、鼠標屏幕控制等功能。選擇需要控制的主機，然后點擊相應的按鈕，即可完成操作。

選擇從遠程主機下載文件后，其具體實現(xiàn)就由文件傳輸模塊來實現(xiàn)。選擇需要的任務，然后點擊“正常啟動”，“暫停任務”和“刪除任務”按鈕完成相應操作。傳輸進度顯示當前啟動的任務文件已經(jīng)完成數(shù)據(jù)程度。文件的傳輸采用斷點傳輸模式。

本文，筆者設計實現(xiàn)了一個基于反彈端口連接的遠程控制木馬，該木馬程序較成功地實現(xiàn)服務端的主動上線、客戶端對服務端的良好控制、服務端良好的偽裝和隱藏性以及整個通信過程的秘密性。通過該項目的實施，可對木馬技術(shù)、遠程控制技術(shù)、防火墻技術(shù)、信息系統(tǒng)安全等技術(shù)有了更加深刻的認識。