返回
木马与远程控制技术

木马与远程控制技术

ID:37316495

大小:261.10 KB

页数:32页

时间:2019-05-12

木马与远程控制技术_第1页
木马与远程控制技术_第2页
木马与远程控制技术_第3页
木马与远程控制技术_第4页
木马与远程控制技术_第5页
资源描述:

《木马与远程控制技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第6章木马与远程控制技术计算机病毒分析与防治教程清华大学出版社教学目标教学重点教学过程7/20/20211教学目标木马的网络通信木马的隐藏技术木马的控制技术发现和清除木马的方法7/20/20212教学重点套接字与网络编程远程控制的通信的实现远程控制的控制技术木马技术揭露木马的清除方法7/20/202136.1预备知识7/20/20214套接字API函数socket建立套接字bind将套接字和本地ip地址绑定connect和一个套接字建立连接accept接受一个套接字的连接请求listen服务端套接字侦听连接请求send向一个套接字发送数据recv

2、从一个套接字接收数据setsockopt设置套接字选项7/20/202156.2木马分类介绍从通信方式上分从存在方式上分从破坏方式上分7/20/20216ping的结果7/20/202176.3远程控制的控制技术屏幕的截取键盘操作鼠标操作进程管理系统管理和文件操作7/20/20218屏幕的截取截取屏幕或窗口要用到图形操作函数。API函数有CreateCompatibleDC、StretchBlt等。类CDC封装了这些函数。7/20/20219虚拟鼠标的操作鼠标操作过程是当控制端产生某种鼠标操作如移动鼠标,按左键或右键时,在被控制端产生相应的鼠标操

3、作。控制端鼠标的捕获使用窗口消息和消息函数,主要有WM_LBUTTONDOWN、WM_LBUTTONDBLCLK、WM_RBUTTONDOWN、WM_RBUTTONDBLCLK等消息和它们对应的消息函数。消息函数中还包含了鼠标的位置信息。控制端将鼠标信息发送给被控制端,控制端调用mouse_event或SendInput产生虚拟的鼠标操作。7/20/202110虚拟键盘的操作虚拟键盘的操作是指在控制端的键盘操作,被控制端进行同样的操作。如PCAnywhere和QQ都提供了同样的功能。使用键盘钩子可以捕获控制端的键盘操作,调用SendInput可以

4、在被控制端产生虚拟的键盘操作。7/20/202111钩子是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息等。远程控制实现键盘同步时使用键盘钩子捕获键盘信息,某些木马也用键盘钩子来窃取键盘信息。在Windows中,键盘钩子程序表现为dll文件形式,为主程序调用。主程序使用函数SetWindowsHookEx安装钩子,其中其中,第一个参数

5、是钩子的类型,键盘钩子可以是WH_KEYBOARD,第二个参数是钩子函数的地址,第三个参数是包含钩子函数的模块句柄,第四个参数指定监视的线程。SendInput可以产生虚拟的键盘或鼠标信息,它的第二个参数是一个INPUT结构指针。注意,按下一个按钮和释放一个按钮是两个不同的动作,所以必须创建两个不同的INPUT结构。7/20/202112进程管理列举进程删除进程执行程序控制系统7/20/2021136.4木马技术揭露因为木马是未经授权而使用的远程控制程序,因此,木马还要使用一些正常远程控制程序所不使用的方法,以达到其目的。主要表现在窃取键盘信息、

6、欺骗用户安装、执行和隐藏等。窃取键盘信息所使用的钩子技术已经在上节介绍,本节主要介绍木马安装、执行和隐藏。7/20/202114木马程序的安装利用系统漏洞利用浏览网页冒名欺骗捆绑下载7/20/202115木马的启动集成到程序中隐藏在配置文件中潜伏在Win.ini中伪装在普通文件中内置到注册表中隐形于启动组中捆绑在启动文件中7/20/202116举例:文件关联启动木马通过修改注册表,例如若让扩展名为.txt的文件和木马程序关联,那么木马程序会启动。木马程序再调用记事本再打开被双击的文件,这样木马就悄悄地被启动且用户还难以发觉。7/20/202117

7、木马的隐藏技术分析远线程技术使用注册表插入DLL反向连接技术隐藏在回收站7/20/2021186.5一个完整的远程控制程序7/20/202119控制命令的传送控制命令是控制端向被控制端发出的要求执行的命令。从图6-5界面可看出,命令有“取窗口”、“鼠标操作”、“取进程”、“删进程”、“看文件”、“删文件”、“执行程序”、“上传”、“下载”、“关机”、“重启”、“注销”。控制命令用字符串表示,例如发送“*windows*”表示取窗口,发送“*process*”表示取进程信息。7/20/202120文件与图象的传递文件与图象属于长数据,发送和接收的时

8、间比较长,需要使用多线程来完成。例如,当控制端要求取被控制端桌面,发送控制命令“*windows*”,同时启动一个子线程,在1801端口

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。