vc345基于进程和通信隐藏的木马设计

《vc345基于进程和通信隐藏的木马设计》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、VC345基于进程和通信隐藏的木马设计

3.2 通信隐藏
通信隐藏是指利用授权的通信手段和载体进行在系统安全策略允许之外的非授权的通信活动。通信隐藏主要包括通信内容、流量、信道和端口的隐藏。木马常用的通信隐藏方法是对传输内容加密,这可以采用常见/自定义的加密、解密算法实现，但这只能隐藏通信内容,无法隐藏通信信道。
采用网络隐蔽通道技术不仅可以成功地隐藏通信信道，还可以隐藏通信内容。TCP/IP协议族中,有许多信息冗余可用于建立网络隐蔽通道。木马可以利用这些网络隐蔽通道突破网络安全机制，比较常见的有:ICMP畸形报文传递、HTTP隧道技术,自定义TCP/

2、UDP报文等。采用网络隐蔽通道技术，如果选用一般安全策略都允许的端口通信,如80端口，则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。
通信隐藏常见的办法有以下几种：
（1）使用TCP协议通信
客户端侦听，服务端连接。这就是所谓的反向连接技术了。为了克服服务端在某一端口上侦听易被发现这一缺点，现在服务端不再侦听端口，而是去连接客户端在侦听的某一端口。这样用一般的portscanner或者fport就发现不了服务端了。而为了更好的麻痹宿主机，客户端侦听的端口一般是21，80,23这种任何人都要访问的端口。虽然在安装了防火墙的机器上，服

3、务端去连接客户端还是要引起防火墙报警，但是一个粗心的用户很可能会忽略“应用程序xxxxx试图访问xxx.xxx.xxx.xxx通过端口80”这样的警告。
这种反向连接技术要解决的一个问题是，服务端如何找到客户端。由于一般客户端都是拨号上网的，没有一个固定的IP，所以客户端IP不可能硬编码在服务端程序中。当然由于拨号上网用户的IP一般都是处于一个固定的IP地址范围内，服务端也可以扫描这个范围，然后根据被扫描主机的反馈来确定是否是自己的客户端，但是服务端扫描一个IP地址范围也太烦琐。
其实客户端可以通过一个有固定IP或者固定域名的第三方发布自己的IP，比如通过一个公共的

4、邮箱，通过一个个人主页，或者我们截获其他进程收到的TCP数据或者UDP包，然后分析截获的数据，从中确定是否客户端发来了一个报告其IP的数据片断。对于普通用户来说，由于要上网浏览，这样的ICMP包是很少过滤掉的。所以还有一种方法是使用RAWsocket来收听ECHOREPLY类型的ICMP包，在ICMP数据包的数据去就包含了客户端IP。
（2）使用UDP协议通信
服务端侦听，客户端连接；客户端侦听，服务端连接。方法和安全性与使用TCP协议差不多。需要注意的是UDP不是一个可靠的协议，所以，必须在UDP协议的基础上设计一个自己的可靠的报文传递协议。
（3）用ICM

5、P来通信
既然客户端可以通过发一个ICMP(ECHOREPLY)来告诉服务端它的IP，那为什么不把所有服务端和客户端的通讯都建立在ICMP基础上呢?服务端向客户端发ICMP(ECHOREQUEST)，客户端向服务端发ICMP(ECHOREPLY)，然后可以在ICMP基础上建立一个自己的可靠数据报通讯协议。如果不怕麻烦的话，还可以建立一个TCPoverICMP。由于一般的用户这两类ICMP包都是设为无警告放行的，这种方法的隐秘性还是很强的。
（4）用自定义的协议来通信
我们知道IP头的协议字段指定了这个IP包承载得数据的协议，比如TCP，UDP,ICMP等等。我

6、们完全可以把这个字段设为我们自己定义的值(>80)，定义自己的通讯协议。不过估计这种IP包将会被所有的防火墙过滤掉。
（5）基于嗅探原理的通信
服务器端是一个sniffer和发包器，它将捕获指定特征的数据包。客户端是一个发包器和嗅探器，用来发送指定特征的数据包并包括定义的命令以及接收服务器端的数据。当服务器端捕获到该指定特征的数据包时，变成激活状态，通过分析该数据包，获得客户端发送的命令和客户端的IP地址，然后实现相应的命令，并将执行后的结果发送回客户端，客户端的嗅探部分则接收相应的数据。所有的数据发送都是通过原始套接字进行。
其他隐藏通信的办法，如变换

7、数据包顺序也可以实现通信隐藏。对于传输n个对象的通信，可以有n!种传输顺序,总共可以表示log2(n!)比特位的信息。但是该方法对网络传输质量要求较高，接收方应能按照数据包发送的顺序接收。这

基于进程和通信隐藏的木马设计与实现
摘 要
近年来，特洛伊木马等恶意代码己经成为网络安全的重要威胁。很多国家都采取积极的网络安全防御措施,投入大量的人力和物力研究网络信息安全技术。文章首先分析了传统木马的一般工作原理及其植入、加载、隐藏等关键技术。随着网络技术的不断更新