本科毕业设计论文--木马病毒分析计算机科学技术.doc

xx学院本科毕业设计（论文）题　　目：　　　　　　木马病毒分析　　　 　学生姓名：　　　　xxx　 学号： 110315101 系（部）： 数学与计算机科学系 专业：计算机科学技术入学时间：　 　　　2011　　年　　　6　　　 　月导师姓名：　　 xxx　　 职称/学位： 讲师/硕士 导师所在单位：　　　　　　xxx学院　　　 　　　 毕业设计（论文）提交时间：二O一三年　 五 月木马病毒分析 摘 要随着计算机网络技术的高速发展，Internet已伸向了世界的每一个角落，正在对人们的生活方式和工作方式产生着前所未有的影响互联网在给人民群众的生活带来便利的同时，也给犯罪分子利用计算机网络从事犯罪活动提供了便利今天，利用计算机网络实施的智能犯罪日益猖撅，对社会造成的危害也越来越大，网络犯罪的发展对新时期信息时代的安全工作提出了新的挑战在某些特定的时间、地点，公安民警通过诸如木马程序对利用互联网实施犯罪、逃避打击的犯罪嫌疑人的目标计算机进行远程监控，掌握犯罪嫌疑人的活动情况及犯罪证据，从而更好的打击犯罪，维护国家安全和保障人民群众安居乐业，这就是本文研究的出发点。

本论文对目前较为流行的木马技术的实现方式、工作原理及远程控制的关键技术进行系统的研究，重点对木马程序的进程实现、受控端与控制端通信进行剖析在研究Windows平台下特洛伊木马关键技术的基础上，给出一种木马对远程计算机进行有效实时监控的系统设计与实现 关键词：木马技术；木马危害；远程控制Trojan horse analysis AbstractWith the rapidly growing of computer network technology，the reach of Internet has extended to every comer in the world，and it has all unprecedented influence on people’s life styles and the work ways．The internet gives the public convenience；meanwhile，it provides criminals chances to engage in criminal activities through using the network．Today，the intelligent crimes，by means of the computer network become frantic day by day，which caused more and more harms to the society，so the increase of network crimes proposed new challenges to network security in the information age．In a certain time and place，police should carry out remote control on suspect’s target computer through which the criminals commit crimes via the internet and get rid of attacks．They should master the suspect’s activities and crime evidence in order to crack down on crimes to protect the nation and people’s security．All of these are the starting point of this essay．This essay takes research on realizing ways of popular Trojan horse technology，the principle of working and the remote-control system controlling technology．The important aspects lie in the explanation of Trojan’s process realizing，the communication between controlling port and controlled port．This essay is under the platform of Window studies，on the basis of the Trojan essential technological foundation，produces one kind of system design and realization of an effective real-time monitoring on remote computers，which is unified the performance Trojan horse．Keywords: Trojan horse principle；Trojan horse’s harm；Remote control目　　录第一章 引　 言 11.1 木马概述 21.2 木马的分类 31.3 木马的攻击特点 4第二章 木马原理分析 62.1 木马的工作原理 62.2 木马的种植原理 62.3 木马的隐藏原理 72.4 木马的通信原理 92.5 木马的启动技术 11第三章 木马平台开发与相关技术 133.1 平台开发相关技术 133.2 TCP/IP协议概述 133.2.1 TCP/IP模型 133.2.2 UDP概述 143.2.3 TCP概述 143.2.4 端口 153.3 工作原理—Windows Sockets程序设计 163.3.1 Socket的基本概念 163.3.2 工作原理—Windows Sockets程序设计 163.3.2.1 初始化及Socket的建立 173.3.2.2 错误检查和处理 183.3.2.3 Winsock异步传输 193.3.2.4 面向连接的通信 203.3.2.5 客户端Socket(套接字) 23第四章 针对木马实例的研究 244.1 木马病毒相关背景 244.2 功能分析 244.3 木马系统总体分析 244.4 木马系统实现的关键技术 254.5 远程控制木马的实现过程 254.5.1 木马系统的组成 254.5.2 服务端与客户端 25第五章 木马的处理方案 305.1 对木马处理方案的研究的必要性分析 305.2 针对冰河的处理方案 305.3 一般木马处理方案 315.3.1 冰河木马远程控制的实现 315.3.2 常用的清除木马的方法 325.3.3 几种对付木马的处理方法 335.3.4 日常中应注意事项 33主要参考文献 34附录A 35致　　谢 42木马的原理分析与处理方案第一章 引　 言随着信息技术的飞速发展，计算机和计算机通信网络己经成为当今社会不可缺少的基本组成部分，依托瓦联网技术的全球信息化浪潮冲击和深刻影响着人类政治、经济、社会的方方面面，对经济发展、国家安全、国民教育和现代管理都起着重要的作用。

随着网络技术和信息化应用范围的不断扩大，网络信息应用领域开始从传统的、小型业务系统逐渐向大型、关键业务系统扩展，如政府部门业务系统、金融业务系统、教育科研系统等等但随着网络应用的增加，以计算机信息系统为犯罪对象和犯罪工具的各类新型犯罪活动不断出现网络安全风险也不断暴露出来，网络信息安全问题已经成为制约各类网络信息系统实用化和进一步发展的不可忽视因素，对一些关系国民经济的重要信息系统和关系国家安全的网络信息系统，己经到了非解决不可的地步其中，利用木马技术入侵、控制和破坏网络信息系统，是造成网络信息安全问题的典型表现之一木马是一种基于C/S模式的远程控制技术，能在被监控对象毫无察觉的情况下渗透到对方系统并隐藏在合法程序中的计算机程序一旦植入和触发成功，控制端与被控制端之间就能遵照TCP/IP协议进行数据通信，从而使得控制者获取被控制者的相关信息它们通常以欺骗为手段，在用户不知情的情况下进行安装，并暗中把所获的机密信息发送给第三者，威胁用户电脑中的数据安全并侵犯个人隐私，严重影响了人们正常工作和生活2008年1月至l0月，瑞星公司共截获新病毒样本930余万个，其中绝大部分(776万)是盗号木马、后门程序，专门窃取网游帐号、网银帐号等虚拟财产，具有极其明显的经济利益特征。

因此，社会上己经掀起一个木马研究的热潮，成为全社会探讨的热门话题，这也是本论文研究的出发点[1]世界各国计算机安全应急响应小组(computer emergency response team.CERT)以及国内外各反病毒公司及厂商均对木马检测、清除和防范方面做了大量研究美国New Haven大学的Fred cohen博士等人首先对病毒进行了深入研究，他们将木马作为计算机病毒的一种特例，并给出了病毒和木马的数学模型，英国Middlesex大学的Harold Thim bleby等人对病毒和木马的模型框架进行了研究国内有中国科学院信息安全技术工程研究中心对木马技术进行了理论研究和原型开发，西北工业大学对木马在信息战的应用进行了研究，西安电子科技大学从人工免疫的角度对木马的检测与防御进行了研究，中国人民解放军信息工程大学对Windows NT平台下的木马启动与反跟踪技术进行了研究未来，木马将更注重底层的通讯，以便有效对抗相关查杀工具如防火墙的监视和过滤；将广泛采用非TCP／UDP的IP包和寄生TCP端口方式作为信息传递的手段，从而达到更加隐的目的因此，研究和分析各种木马的工作原理和功能、木马种植的技巧和思路、木马自启动以及隐藏的方法，进而针对一些典型的木马攻击提出了相应的解决方法，建立相对完善的防御体，是我们-丰动防范木马入侵或攻击的有方法之一。

[2]本论文就是对木马的原理进行深入地分析，从中总结一些木马的一般规律和最新技术，让人们更深入的了解木马，提高自我防范意识1.1 木马概述木马全称特洛伊木马，其名称源于古希腊神话中的特洛伊木马记在公元前12世纪，希腊向特洛伊城宣战，交战了十年也没有取得胜利最后，希腊军队撤走了，并在特洛伊城外留下很多巨大的木马这些木马是空心的，里面藏了希腊最好的战士特城人把木马搬进了城当晚，希腊战士从木马中钻出来与城外的希腊军队合力夺下了特洛伊城，这就是特洛伊木马名称的由来因此，特洛伊木马一般伪装成合法程序植人系统中，对系统安全构成威胁完整的木马程序一般由两个部份组成一个是服务器被控制端程序，一个是客户端控制端程序黑客主要利用控制端连接到服务器端来实现控制目标主机服务器端所在主机的目的，从而执行用户不知道或不期望的行为最初网络还处于以UNIX平台为主的时期，木马就产生了当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟。