试论“特洛伊木马”的攻击与防护

试论“特洛伊木马”的攻击与防护 　　 　　论文关键词：机理；网络安全；特洛伊木马；端口 　　论文摘要：定义了“特洛伊木马”并阐述了其由来，实现了使用VC的Winsock控件编写网络客户/服务模式程序，论述了“特洛伊木马”实现原理和控制原理， 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 了其主要特征，并就手动检测和软件查杀双层防护“特洛伊木马”方法做了探讨，提出要维护用户信息和网络安全就必须重视“特洛伊木马”的危害从而加强防护。 　　The Attack and Protection of TrojanHorse 　　WANG Fu-qiang1, CHEN Yan2, REN Zhi-kao1 　　(1.Qingdao University of Science and Technology, the College of Information Science and Technology, Qingdao 266061, China ;2.The 2nd Vocational Middle School of Baoding City of Hebei Province, Baoding 071000, China) 　　Abstract: Have defined TrojanHorse and have set forth whose reason, have come true using the VC Winsock control to compile and compose the network customer/ serving pattern procedure, the mechanism having discussed the TrojanHorse job, has analysed whose principal character , has moved and detecting and the software while you're at it checking the method weakening bilayer protecting damage must take TrojanHorse seriously as TrojanHorse method having made investigation and discussion , having suggested that need to defend the consumer information and the network safety reinforcing protection thereby. 　　Key words: Mechanism; Network Security; TrojanHorse; Port 　　 　　1 引言 　　 　　“特洛伊木马”也称trojanHorse，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂或网页中，包含了可以控制用户的系统或通过邮件盗取用户信息的恶意程序，可能造成用户系统被破坏、信息丢失甚至系统瘫痪。 　　“特洛伊木马”的本质是一个程序，自动获取计算机相关系统信息和安全信息的程序，随计算机自动启动而启动，附在某一端口侦听目标计算机。其实质只是一个通过端口进行的网络客户/服务程序。 　　 　　2 实现原理与控制原理 　　 　　网络客户/服务模式的原理是一台主机提供服务（服务器），另一台主机接受服务（客户机）。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen)， 如果有客户机向服务器的这一端口提出连接请求(Connect Request)， 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。对于“特洛伊木马”，被控制端是一台服务器，控制端则是一台客户机，G_server.exe是守护进程， G_cliet.exe是客户端应用程序。 　　2.1 实现原理 　　可以VC的Winsock控件来编写网络客户/服务程序， 实现如下： 　　服务器端： G_Server.LocalPort=7626（冰河的默认端口，可修改）；G_Server.Listen（等待连接） 　　客户端： 　　G_Client.RemoteHost=ServerIP（设远端地址为服务器地址） 　　G_Client.RemotePort=7626（设远程端口为冰河的默认端口） 　　（在这里分配一个本地端口给G_Client，也可让计算机自动分配） 　　G_Client.Connect（调用Winsock控件的连接方法） 　　一旦服务端接到客户端的连接请求ConnectionRequest，就接受连接 　　Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) 　　G_Server.Accept requestID 　　End Sub 　　客户端用G_Client.SendData发送命令，而服务器在G_Server_DateArrive事件中接受并执行命令（几乎所有的木马功能都在这个事件处理程序中实现） 　　如果客户断开连接，则关闭连接并重新监听端口 　　Private Sub G_Server_Close() 　　G_Server.Close（关闭连接） 　　G_Server.Listen （再次监听） 　　End Sub 　　客户端上传一个命令，服务端解释并执行命令。 　　2.2 控制原理 　　以用户权限运行的木马程序主要功能进行简单的概述， 主要使用Windows API函数。 　　1）远程监控（控制对方鼠标、键盘，并监视对方屏幕） 　　keybd_event模拟一个键盘动作；mouse_event模拟一次鼠标事件 ；mouse_event(dwFlags，dx，dy，cButtons，dwExtraInfo)dwFlags； MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置 …… 　　2）记录各种口令信息 　　keylog begin：将击键记录在一个文本文件里，同时还记录执行输入的窗口名 　　3）获取系统信息 　　(a) 取得计算机名 GetComputerName ；(b) 更改计算机名 SetComputerName 　　(c) 当前用户 GetUserName ；(d) 系统路径 　　Set FileSystem0bject = CreateObject("Scripting。FileSystemObject")(建立文件系统对象) 　　Set SystemDir = FileSystem0bject。getspecialfolder(1)(取系统 目录 工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录 ) …… 　　4）限制系统功能 　　(a) 远程关机或重启计算机，使用WinAPI中的如下函数可以实现： 　　ExitWindowsEx(UINT uFlags，DWORD dwReserved) 　　当uFlags=EWX_LOGOFF 中止进程，然后注销 　　=EWX_SHUTDOWN 关掉系统但不关电源 　　=EWX_REBOOT 重新引导系统 　　=EWX_FORCE强迫中止没有响应的进程 　　=EWX_POWERDOWN 关掉系统及关闭电源 　　(b) 让对方掉线 RasHangUp 　　(c) 终止进程 ExitProcess 　　5）远程文件操作 ：删除文件(File delete)；拷贝文件(File copy)；共享文件：Export list（列出当前共享的驱动器、目录、权限及共享密码） 　　6）注册 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 操作：