1、厦门大学软件学院毕业设计(论文)开题报告学生姓名 班级 学号 指导教师姓 名 职称 所在单位 厦门大学软件学院毕业设计(论文)题 目 木马攻击与防御技术研究毕业设计(论文)的目标:一整体目标1. 阐述木马的基本概念和工作原理2. 分析木马的隐藏技术3. 用代码实现一种典型木马程序4. 分析木马的检测技术和防御措施二木马程序设计目标1具有良好的隐蔽性2. 木马控制端可以与程序进行交互3. 实现典型的木马功能实现方法:一基本环境开发工具:Visual C+ 6.0开发语言:c+开发平台:Windows XP其他工具:Netcat 二总体设计思想木马程序采用反弹端口技术,在木马被植入并成功运行后,由
2、被控制端主动连接控制端。这样可以省去在 IP 段内扫描被控制端机器的麻烦。同时,这个木马程序是典型的 DLL 木马,通过插入到别的进程中运行,这样可以实现有效的隐藏。三结构划分这个木马包含控制端和被控制两部分。被控制端是采用 Visual C+ 6.0 进行编写的,需要被植入用户计算机中。而控制端,我们采用的是网络数据传输的多用途工具 Netcat。被控制端由注入程序,木马主体和地址记录文件三部分组成。其中注入程序包含注入模块和启动模块,而木马主体则包含通讯模块和功能模块,其具体功能如下:注入模块:将木马 DLL 文件注入到 iexplorer.exe 进程。启动模块:在注册表添加木马的启动项
3、。通讯模块:木马的被控制端成功运行后,与控制端程序建立连接并进行通讯。功能模块:接受控制端的命令,在被控制端机器上执行相应木马功能。结构图如下:木马控制端 被控制端注入程序 地址记录 木马主体注入模块 启动模块 通讯模块 功能模块四木马程序的架构木马实现一种典型的木马架构:“小马拉大马” 。 “小马”指的是只具备特定功能的木马,其主要目的是隐藏和在控制端的控制下,从指定位置下载病毒或木马,并执行。而“大马”指的是一些具有各种功能的木马、病毒和一些能完成特定功能的程序。通过“小马”打开计算机的大门,这样具有破坏性的各种“大马”就可以随意地进入了。五程序运行流程木马程序运行后,马上会在用户机器上的
4、系统目录 c:windowssystem32 下释放木马的组件,包括注入程序、木马主体 DLL 文件和控制端地址记录文件。接着,注入文件会查看木马主体 DLL 文件是否被成功释放。在找到 DLL 文件后,注入程序将其插入到 IE 进程(iexplorer.exe)当中运行。成功运行的 DLL木马,会马上查看控制端地址记录文件。在找到记录文件后,根据其记录的控制端地址,主动向控制端提出连接请求,并等待其响应。待控制端响应连接请求后,连接正式建立,并开始进行通讯。具体流程图如下:六注入模块设计我们通过“远程线程”技术将这个木马的主体 DLL 文件插入到 IE 进程(iexplorer.exe)当中
5、运行。由于这个木马没有单独的进程,所以具有较高的隐蔽性。同时,我们可以复用 IE 的 80 端口进行与控制端的通信。七启动模块设计这个模块的功能是将木马的程序添加到被控制端机器的注册表启动项当中,这样,木马就可以随着系统启动而自动运行了。八通讯模块设计我们基于 WINSOCK 来编写这个模块。木马的被控制端在被执行后,会通过计算机的 80 端口,不断向控制端发出连接请求。在接受控制端的应答后,连接正式建立。这样,被控制端就可以与控制端进行通信,并根据接收的命令完成相应功能。这个模块的通信协议我们使用的是 TCP 协议。九功能模块设计功能模块接收来自控制端的命令,来执行相应功能。其具体功能如下:
6、“小马”部分:(1)获取 IP 地址获取被控制端的 IP 地址,是入侵的关键信息。(2)获取主机名称获取被控制端的主机名称,可以方便黑客的入侵。(3)下载功能从互联网指定位置下载文件,这里主要用于下载别的木马或病毒。(4)运行程序运行被控制端上指定的可执行文件,这里主要是用于执行病毒或木马程序。(5)改变连接地址通过改变连接的地址,命令被控制端连接另一个台主机上的控制端。“大马”功能(1)查看进程获取被控制端机器上的进程列表。(2)强制结束进程根据获得的进程列表,强制结束被控制端机器上的指定进程。(3)远程调用 CMD Console运用匿名管道技术,远程调用被控制端机器上的 CMD Cons
7、ole。时间进度安排:2008 年 2 月 25 日-2008 年 3 月 15 日 搜集资料,对一些技术的可行性进行分析,同时确定开发语言和开发工具。2008 年 3 月 16 日-2008 年 3 月 31 日 征求导师意见后进一步改进,确认程序的需求和框架。2008 年 4 月 1 日-2008 年 4 月 25 日 完成木马程序通讯模块的编写。2008 年 4 月 26 日-2008 年 5 月 25 日 完成其余模块和整理和总结木马防御技术。2008 年 5 月 26 日-2008 年 6 月 11 日毕业设计报告。指导教师审核意见:选题满足要求,进度安排合理,同意开题。校内指导教师签名: 年 月 日
