【畢業(yè)學(xué)位論文】（Word原稿）高隱匿度遠(yuǎn)程控制后門系統(tǒng)的研究和實(shí)現(xiàn)-軟件工程

中圖分類號(hào)： 學(xué)校代碼： 10055 密級(jí)： 碩 士 專 業(yè) 學(xué) 位 論 文 高隱匿度遠(yuǎn)程控制后門系統(tǒng)的研究和實(shí)現(xiàn) f 要 I 摘要 近年來(lái)，后門 技術(shù)在網(wǎng)絡(luò)空間安全 領(lǐng)域得到廣泛關(guān)注， 相關(guān)技術(shù) 涉及到網(wǎng)絡(luò)安全研究的諸多 方面 ，如 數(shù)據(jù)加密、 道 技術(shù) 、代理 技術(shù) 、網(wǎng)絡(luò)嗅探、 漏洞利用等 等 。 研究后門程序的技術(shù)原理， 設(shè) 計(jì)和實(shí)現(xiàn)高隱匿后門系統(tǒng)，是 建立 網(wǎng)絡(luò) 攻防靶場(chǎng)的關(guān)鍵內(nèi)容， 可為 提高網(wǎng)絡(luò)攻擊和防護(hù)水平，應(yīng)對(duì)國(guó)家 網(wǎng)絡(luò)空間 安全的巨大挑戰(zhàn)提供技術(shù)支撐 。 針對(duì)網(wǎng)絡(luò) 攻擊和防御的 實(shí)際需求， 本文設(shè)計(jì)和實(shí)現(xiàn)了一套高隱匿遠(yuǎn)程控制后門系統(tǒng)。 該系統(tǒng)包括高隱匿服務(wù)端、 后門控制端 ，以及隱匿通信通道三個(gè)子系統(tǒng)。 高隱匿服務(wù)端 子系統(tǒng) 部署 在被控主機(jī)節(jié)點(diǎn)上， 不僅 可對(duì) 文件、進(jìn)程、注冊(cè)表、桌面、鍵盤記錄、多媒體設(shè)備等 進(jìn)行遠(yuǎn)程管理 ，而且具有文件、注冊(cè)表、進(jìn)程、服務(wù)、端口、動(dòng)態(tài)鏈接庫(kù)等 操作系統(tǒng)關(guān)鍵屬性的 隱藏功能，以隱藏后門程序的痕跡，提高其在被控系統(tǒng)上的生存能力。 隱 匿通信通道 子系統(tǒng) 利用互聯(lián)網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境和資源， 結(jié)合第三方中轉(zhuǎn)節(jié)點(diǎn)，應(yīng)用信息隱藏和視覺(jué)加密技術(shù)， 構(gòu)建 了 后門服務(wù)端與控制端之間的通信通道，能夠?yàn)槠涮峁╇p向的、可靠的、機(jī)密的、 可穿透內(nèi)網(wǎng)的、抗追蹤溯源的隱匿的通信服務(wù)。 后門控制端 子系統(tǒng) 采用統(tǒng)一描述的命令和協(xié)議， 將用戶的遠(yuǎn)程控制需求變換為相應(yīng)的遠(yuǎn)程控制 協(xié)議或指令，將其發(fā)送給后門服務(wù)端執(zhí)行，并接收顯示相應(yīng)的執(zhí)行結(jié)果 ，從而實(shí)現(xiàn)可擴(kuò)展性較強(qiáng)的人機(jī)交互界面。 綜上所述， 本文 設(shè)計(jì)和實(shí)現(xiàn) 了 高隱匿遠(yuǎn)程控制后門系統(tǒng) ，該系統(tǒng) 功能豐富、擴(kuò)展性強(qiáng)、具有穿透內(nèi)網(wǎng)、抗追蹤溯源能力。相關(guān)研 究 成果可以直接應(yīng)用于網(wǎng)絡(luò)攻防靶場(chǎng)構(gòu)建、紅藍(lán)模擬對(duì)抗等諸多領(lǐng)域，對(duì) 提高網(wǎng)絡(luò)攻擊和防護(hù)水平， 維護(hù)我國(guó)網(wǎng)絡(luò)空間安全具有積極的意義。 關(guān)鍵詞 ： 特洛伊 木馬 ， 后門 ， 惡意代碼 I n in of in as In we of is to of of a is on to S, as of on of to a It is be to to or it to to it I In we be to be to as to of 錄 錄 第一 章 引言 . 1 第一節(jié) 研究背景 . 1 第二節(jié) 隱匿后門的研究現(xiàn)狀 . 2 門典型案例分析 . 2 門分類的分析 . 3 門傳播途徑的分析 . 4 門常用的隱藏方法 . 5 門的自啟動(dòng)方式 . 6 第三節(jié) 論文結(jié)構(gòu) . 8 第 二 章 遠(yuǎn)程控制后門系統(tǒng)的功能設(shè)計(jì) . 10 第一節(jié) 高隱匿后門的需求分析 . 10 程控制功能需求 . 10 藏功能需求 . 12 匿通信功能需求 . 13 第二節(jié) 遠(yuǎn)程控制后門總體框架 . 14 第三節(jié) 本章小結(jié) . 16 第 三 章 高隱匿后門服務(wù)端的設(shè)計(jì)和實(shí)現(xiàn) . 17 第一節(jié) 后門服務(wù)端框架 . 17 第二節(jié) 基礎(chǔ)支撐層的設(shè)計(jì)與實(shí)現(xiàn) . 18 截模塊的設(shè)計(jì)與實(shí)現(xiàn) . 18 程注入模塊的設(shè)計(jì)與實(shí)現(xiàn) . 20 第三節(jié) 隱藏功能層的設(shè)計(jì)與實(shí)現(xiàn) . 22 冊(cè)表隱藏模塊的設(shè)計(jì)實(shí)現(xiàn) . 22 件隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 24 程隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 25 務(wù)隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 26 口隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 28 態(tài)連接庫(kù)隱藏模塊的設(shè)計(jì)與實(shí)現(xiàn) . 29 目錄 四節(jié) 本章小結(jié) . 31 第 四 章 基于視覺(jué)密碼和信息隱藏的隱匿通信通道 . 32 第一節(jié) 系統(tǒng)基本通信框架 . 32 第二節(jié) 視覺(jué)加解密模塊 . 33 覺(jué)加解密方案 . 33 覺(jué)加解密模塊設(shè)計(jì)與實(shí)現(xiàn) . 36 第三節(jié) 信息的隱藏和提取模塊 . 37 于 像的隱藏設(shè)計(jì) . 37 像隱藏方案 . 38 息的隱藏和提取模塊的實(shí)現(xiàn) . 39 第四節(jié) 秘密信息的通信模塊 . 40 第五節(jié) 本章小結(jié) . 42 第 五 章 基于統(tǒng)一描述的可擴(kuò)展控制端 . 44 第一節(jié) 控制命令的統(tǒng)一描述方案 . 44 于統(tǒng)一描述的控制命令設(shè)計(jì) . 44 于統(tǒng)一描述的通信方案設(shè)計(jì) . 46 第二節(jié) 后門控制端的設(shè)計(jì)與實(shí)現(xiàn) . 47 絡(luò)通信模塊的設(shè)計(jì)與實(shí)現(xiàn) . 48 道模塊的設(shè)計(jì)與實(shí)現(xiàn) . 51 第三節(jié) 本章小結(jié) . 52 第 六 章 總結(jié)與展望 . 53 第一節(jié) 主要工作 . 53 第二節(jié) 未來(lái)展望 . 53 參考文獻(xiàn) . 55 致謝 . 57 個(gè)人簡(jiǎn)歷 . 57 第 一 章 引言 1 第一章 引言 近年來(lái)，隨著科學(xué)技術(shù)的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)得到了飛速的發(fā)展。 根據(jù) 2013年 告， 當(dāng)前 中國(guó)網(wǎng)民規(guī)模 達(dá)到 ，其中手機(jī)網(wǎng)民規(guī)模 達(dá)到 絡(luò)購(gòu)物、網(wǎng)絡(luò)支付、網(wǎng)上銀行等電子商務(wù)類應(yīng)用也穩(wěn)步發(fā)展，用戶規(guī)模均超過(guò) 2 億 1。 網(wǎng)絡(luò)的發(fā)展使其形成了一個(gè)與現(xiàn)實(shí)世界相對(duì)獨(dú)立的虛擬空間。在網(wǎng)絡(luò)空間中，由于其具有聯(lián)結(jié)形式多樣性，互聯(lián)性 等特點(diǎn)，加之安全監(jiān)管機(jī)制匱乏，安全意識(shí)不強(qiáng)，使得網(wǎng)絡(luò)空間的安全性受到嚴(yán)重的威脅。在影響網(wǎng)絡(luò)空間安全的因素中，后門程序是一類重要的威脅 2。 第一節(jié) 研究背景 當(dāng)前， 網(wǎng)絡(luò)安全已成為影響互聯(lián)網(wǎng) 快速、健康發(fā)展的關(guān)鍵問(wèn)題之一，而后門程序作為網(wǎng)絡(luò)安全的一類重要威脅，驅(qū)動(dòng)其不斷發(fā)展和應(yīng)用的支撐技術(shù)也在不斷創(chuàng)新，這是網(wǎng)絡(luò)安全研究的一個(gè)前沿領(lǐng)域，涉及到數(shù)據(jù)加密、線程插入 34、67、封包、隧道、通信代理、網(wǎng)絡(luò)嗅探 8 9、文件捆綁 10、 件修改等各種網(wǎng)絡(luò)攻防技術(shù)。研究后門程 序的技術(shù)原理， 設(shè)計(jì)和實(shí)現(xiàn)高隱匿后門系統(tǒng)， 是 建立 網(wǎng)絡(luò) 攻防靶場(chǎng)的關(guān)鍵內(nèi)容，可為 提高網(wǎng)絡(luò)攻擊和防護(hù)水平，應(yīng)對(duì)國(guó)家 網(wǎng)絡(luò)空間安全的巨大挑戰(zhàn)提供技術(shù)支撐 。 后門也叫做陷阱門 ， 是訪問(wèn)程序、在線服務(wù)的一種秘密方式。通過(guò)安裝后門 ， 攻擊者可保持一條秘密的通道 11。 網(wǎng)絡(luò)攻擊者則設(shè)法在受攻擊的目標(biāo)系統(tǒng)上安裝后門，以實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)的入侵和控制。 后門軟件對(duì)于網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重威脅，例如 遠(yuǎn)程控制用戶信息系統(tǒng)，竊取企業(yè)和用戶 銀行賬戶 、網(wǎng)上交易賬戶、游戲賬戶等各類保密信息，實(shí)時(shí)監(jiān)控用戶的上網(wǎng)行為，發(fā)動(dòng)網(wǎng)絡(luò)攻擊等等。 “冰河 ”12、 “13、 “14、 “15等大量知名后門在互聯(lián)網(wǎng)上快速傳播和運(yùn)行，對(duì)各國(guó)網(wǎng)絡(luò)安全及社會(huì)生活各個(gè)領(lǐng)域造成了重大影響。例如， 2012年， 程管理工具 6的中文版被爆出存在后門，該后門會(huì)自動(dòng)竊取管理員所輸入的 戶名與口令，并將其發(fā)送至指定服務(wù)器上。通過(guò)跟蹤分析發(fā)現(xiàn)，中文版 理軟件連接服務(wù)器時(shí)，程序會(huì)自動(dòng)記錄登錄時(shí)的用戶第 一 章 引言 2 名、密碼和服務(wù)器 址等信息，并會(huì)以 方式將這些信息發(fā)送到指定的服務(wù)器上 。 本文針對(duì)互聯(lián)網(wǎng)攻擊和防御的實(shí)際需求，從工程實(shí)踐的角度， 本文 設(shè)計(jì)和實(shí)現(xiàn)了高隱匿遠(yuǎn)程控制后門系統(tǒng)，該系統(tǒng)功能豐富、擴(kuò)展性強(qiáng)、具有穿透內(nèi)網(wǎng)、抗追蹤溯源能力。相關(guān)研究成果可以直接應(yīng)用于網(wǎng)絡(luò)攻防靶場(chǎng)構(gòu)建、紅藍(lán)模擬對(duì)抗等諸多領(lǐng)域， 提高網(wǎng)絡(luò)攻擊和防護(hù)水平 。 同時(shí)，本文的技術(shù)研究成果和項(xiàng)目實(shí)踐經(jīng)驗(yàn)，將為后續(xù)的木馬研發(fā)及其他網(wǎng)絡(luò)安全研究工作提供良好的理論和實(shí)踐基礎(chǔ) ，維護(hù)我國(guó)網(wǎng)絡(luò)空間安全具有積極的意義 。 第二節(jié) 隱匿后門的研究現(xiàn)狀 后門程序是一 種惡意程序，能繞過(guò)系統(tǒng)已有的安全設(shè)置，獲取遠(yuǎn)程訪問(wèn)和控制系統(tǒng)的權(quán)限。后門程序類似于通常所說(shuō)的 木馬 ，它們都隱藏在被攻擊的系統(tǒng)中，對(duì)其具有一定的操作權(quán)限，并由攻擊者通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行操控，以便實(shí)施對(duì)攻擊目標(biāo)的控制。但與木馬相比，后門程序更加追求隱蔽性，功能更加單一化，且體積較小。 由于后門程序是黑客實(shí)施網(wǎng)絡(luò)攻擊的常用工具，其后常常隱藏著 信息安全地下黑色產(chǎn)業(yè) 鏈，后門程序相關(guān)技術(shù)往往僅限于黑 客之間的私下交流，公開(kāi)文獻(xiàn)鮮見(jiàn)。為此，本節(jié)首先分析 在此基礎(chǔ)上分別從后門的分類、傳播途徑、隱藏方法、自啟動(dòng)方式等方面探討和分析后門程序采用的相關(guān)技術(shù)。 門典型案例分析 本節(jié) 分別分析 典型 后門程序 ，討論 和分析其 基本原理、采用的相關(guān)技術(shù)等 。 2008 年，在互聯(lián)網(wǎng)上流傳后門程序“ 17，該后門程序 通過(guò)網(wǎng)絡(luò)傳播，運(yùn)行時(shí)會(huì)首先將自身拷貝到系統(tǒng)目錄下，并設(shè)置成隱藏、系統(tǒng)、只讀屬性。然后 該后門 會(huì)創(chuàng)建系統(tǒng)服務(wù)，實(shí)現(xiàn)隨系統(tǒng)自啟動(dòng)。它還會(huì)新建 程并設(shè)置該進(jìn)程為隱藏，然后將 后門 自身插入該進(jìn)程中。通過(guò)在后臺(tái)記錄用戶鍵盤操作， 該后門 會(huì)偷取用戶信息和本地系統(tǒng)信息等，并將該信第 一 章 引言 3 息發(fā)送給黑客。如此用戶計(jì)算機(jī)將被 遠(yuǎn)程控制，不自主地刪除文件，遠(yuǎn)程下載上傳文件，修改注冊(cè)表等等。 “ 紅娘大盜 ” 的 變種 8是 “ 紅娘大盜 ” 后門家族的成員之一 。該后門采用 采用 編寫(xiě) ，運(yùn)行后 將自身 復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“ % 文件夾里，并重命名為 “ 并 自我注冊(cè)為系統(tǒng)服務(wù)，實(shí)現(xiàn) “ 紅娘大盜 ” 變種 的 開(kāi)機(jī)自動(dòng) 。 該后門可以 破壞某些安全軟件的監(jiān)控，大大降低被感染計(jì)算機(jī)系統(tǒng)的安全性 ，并 在后臺(tái)秘密記錄用戶的鍵盤操作和鼠標(biāo)操作，竊取用戶輸入的 信息，發(fā)送 給 黑客 。 該后門 與 黑客 指定的服務(wù)器建立網(wǎng)絡(luò)連接， 幫助 黑客 遠(yuǎn)程 控制 被感染的計(jì)算機(jī) ，使 黑客 可在被感染的計(jì)算機(jī)上進(jìn)行任意文件操作、進(jìn)程操作 、 注冊(cè)表操作 、 服務(wù)操作 、 屏幕監(jiān)控、攝像頭抓圖、命令操作等。 后門程序 9也是安全威脅較大的一種后門 。 該樣本是使用“ C/C+”編寫(xiě)的后門程序 ，通過(guò)文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是控制用戶系統(tǒng) ，用戶中毒后，會(huì)出現(xiàn)網(wǎng)絡(luò)運(yùn)行緩慢，網(wǎng)絡(luò)端口開(kāi)啟，運(yùn)行未知進(jìn)程等 。 后門程序 0采用 開(kāi)發(fā)， 運(yùn)行后復(fù)制自身到“ % 目錄下，并重命名 生 后門 文件，并刪除自身。 該后門可以 修改注冊(cè)表，添加啟動(dòng)項(xiàng)，以達(dá)到隨機(jī)啟動(dòng)的目的。后門 新建 件，屏蔽相關(guān)網(wǎng)站 ， 嘗試連接到 務(wù)器，等待受控。 后門程序 1是“灰鴿子”在 2005 年的一個(gè)“變種 ”。該后門運(yùn)行后將創(chuàng)建一系列病毒程序，并通過(guò)修改注冊(cè)表項(xiàng)，將自身添加為服務(wù)， 將 入到 系統(tǒng) 的 每個(gè)進(jìn)程中，通過(guò) 統(tǒng)函數(shù)隱藏 自身。 門分類 的 分析 目前，網(wǎng)絡(luò)安全領(lǐng)域的后門程序五花八門，其技術(shù)發(fā)展和應(yīng)用領(lǐng)域的拓展日新月異，相應(yīng)地也存在著多種分類標(biāo)準(zhǔn)。本文從后門使用的技術(shù) 角度對(duì)后門程序分類分析 。 1、網(wǎng)頁(yè)后門 22。此類 后門 程序一般都是 通過(guò) 服務(wù)器上正常的 務(wù)來(lái)構(gòu)造自己的連接方式， 如 本后門等。 這類 后門是一段網(wǎng)頁(yè)代碼，這些第 一 章 引言 4 代碼都 運(yùn)行在服務(wù)器端，攻擊者通過(guò)設(shè)計(jì)代碼，在服務(wù)器端進(jìn)行某些危險(xiǎn)的操作，獲得某些敏感的技術(shù)信息或者通過(guò)滲透獲得服務(wù)器的控制權(quán)。 2、線程插入后門 23。 此類后門 利用系統(tǒng)自身的某個(gè)服務(wù)或者線程，將后門程序插入到其中。這種后門在運(yùn)行時(shí)沒(méi)有進(jìn)程，所有網(wǎng)絡(luò)操作均 寄生 到其他應(yīng)用程序的進(jìn)程中完成。可突破對(duì)方防火墻，其隱蔽性較強(qiáng)，不易被安全軟件查殺，且功能比較強(qiáng)大。 3、 c/s 后門 24。 此類后門采用 和傳統(tǒng)的木馬程序類似的控制方法，采用 “ 客戶端 /服務(wù)端 ” 的控制方式，通過(guò)某種特定的訪問(wèn)方式來(lái)啟動(dòng)后門程序，并向其發(fā)送命 令控制后 門程序，可獲取 被控系統(tǒng)的 信息、文件等。 4、擴(kuò)展后門 25。所謂的 “擴(kuò)展 ”，是指在功能上有擴(kuò)展 ，比普通的單一功能的后門有很強(qiáng)的 實(shí)用 性，這種后門本身就相當(dāng)于一個(gè)小型安全工具包，能實(shí)現(xiàn)多種常見(jiàn)安全功能。 該類后門常常 將 多種黑客常用 功能集成到了后門里， 便于直接控制對(duì)方機(jī)器或者服務(wù)器 ，例如具有 文件上傳 /下載、系統(tǒng)用戶檢測(cè)、 端安裝、端口開(kāi)放、啟動(dòng) /停止服務(wù)等功能。 5、 門 26。 門 主要通過(guò)替換系統(tǒng)文件 使得 其本身 更加隱蔽，使檢測(cè)變得困難。有些 門 可以通過(guò) 替換 件或更改系統(tǒng) 實(shí)施 攻擊 。 不能直接獲得權(quán)限， 需要通過(guò)其他方式獲取 系統(tǒng)根權(quán)限以后 ，才能安裝該類后門并 隱藏 相關(guān) 行跡。 此外， 還可從其他角度對(duì)后門程序進(jìn)行分類。例如， 基于功能任務(wù)的分類，可分為密碼破譯類后門、校驗(yàn)和及時(shí)間戳后門、隱匿進(jìn)程后門、隱匿網(wǎng)絡(luò)通信后門等；基于運(yùn)行載體的分類，可分為利用系統(tǒng)服務(wù)和應(yīng)用服務(wù)建立的后門、利用加密函數(shù)等共享庫(kù)函數(shù)建立的后門、利用內(nèi)核操作機(jī)制建立的后門、 利用文件系統(tǒng)屬性建立的后門等 ； 基于通信連接方式的分類，可分為 端口監(jiān)聽(tīng) 后門 、端口反彈 后門 等 ； 基于應(yīng)用領(lǐng)域的分類 ，可分為網(wǎng)絡(luò)銀行后門、即時(shí)通信后門、網(wǎng)游后門、廣告后門等等。 門傳播途徑 的 分析 本節(jié)從后門的傳播途徑角度分析 后門程序的常見(jiàn) 技術(shù)。 1、通過(guò)嵌入在電子郵件的附件文檔中 傳播 。當(dāng)用戶被具有誘惑性的郵件主題和內(nèi)容所吸引，點(diǎn)擊執(zhí)行附件中的文檔時(shí)，其中嵌入的后門服務(wù)器端程序?qū)⒌?一 章 引言 5 被釋放并得以執(zhí)行。如后門程序 是 通過(guò)郵件進(jìn)行傳播，偽裝成照片， 用戶雙擊后顯示無(wú)法打開(kāi)圖片， 從而完成后門的傳播 。 2、通過(guò)捆綁在正常軟件程序中 傳播 。利用各種 件捆綁工具（如 可以將后門程序與流行的軟件下載網(wǎng)站 上提供的正常軟件捆綁成一個(gè)程序。當(dāng)用戶下載并執(zhí)行這類程序時(shí)， 被 綁定的后門將被釋放并得以執(zhí)行。后門 “冰河 ”就自帶一個(gè)捆綁工具，可以把 后門 代碼嵌入到網(wǎng)頁(yè)文件、 圖片文件、可執(zhí)行文件等多種支持腳本語(yǔ)言或運(yùn)行代碼的文件中。當(dāng)接 收到這些文件時(shí)，幾乎感覺(jué)不到有任何異樣， 即可實(shí)現(xiàn)后門傳播 。 3、通過(guò)操作系統(tǒng)漏洞直接下載運(yùn)行后門。攻擊者可以利用操作系統(tǒng)自身的某些漏洞，執(zhí)行定制的 碼來(lái)下載并執(zhí)行后門。后門程序利用用戶操作系統(tǒng)漏 洞和其它惡意程序進(jìn)行傳播， 自我復(fù)制到系統(tǒng)目錄下 ，完成后門傳播。 4、通過(guò)感染 件的方式進(jìn)行傳播。這類后門相對(duì)數(shù)量較少，但卻使得后門具備了傳染特性。如后門程序 冰河的一個(gè)變種都會(huì)感染件并進(jìn)行傳播。 5、通過(guò)即時(shí)通信類軟件進(jìn)行傳播。隨著 術(shù)和應(yīng)用的快速發(fā)展，一些具有特定功能 的后門能夠利用即時(shí)通信類 軟件進(jìn)行傳播感染，例如基于 件的自動(dòng)發(fā)送廣告消息功能進(jìn)行傳播的 “子（ ”，以及數(shù)以百計(jì)的頻繁變異更新的 “巴 ”、 號(hào)等后門 等 。 6、通過(guò)蠕蟲(chóng)病毒進(jìn)行傳播。一些攻擊者利用蠕蟲(chóng)的高效傳播特性來(lái)散布和執(zhí)行后門，許多病毒在成功感染計(jì)算機(jī)或移動(dòng)終端后會(huì)在其上安裝后門程序，以便保持后門在受攻擊目標(biāo)系統(tǒng)上的長(zhǎng)久存在。如后門程序 用 其他病毒進(jìn)行釋放，并在成功安裝后，記錄電腦的鍵盤操作，獲得用戶的郵箱密碼、銀行賬戶密碼等等。 門常用的隱藏方法 后門在目標(biāo)系統(tǒng)上運(yùn)行時(shí)需保持自身和網(wǎng)絡(luò)通信行為的隱蔽狀態(tài)，以避免被防護(hù)系統(tǒng)檢測(cè)到或者被用戶所警覺(jué)。后門程序常用的隱藏方法，一是利用社會(huì)工程學(xué)的辦法，加強(qiáng)后 門自身程序的欺騙性；二是利用技術(shù)手段藏匿自身的可見(jiàn)性。 第 一 章 引言 6 1、利用社會(huì)工程學(xué)方法提高后門程序的偽裝性。為提高后門程序在外觀上的偽裝性，其文件可選取類似于系統(tǒng)文件名的名稱，例如，數(shù)字 “1”偽裝成字母 “l(fā)”）、 數(shù)字 “0”偽裝成字母 “o”），甚至直接選用某個(gè)系統(tǒng)文件的名稱作為后門文件名（但后門與系統(tǒng)文件保存在不同的存儲(chǔ)路徑之上），以增大用戶辨識(shí)出后門文件的難度。由于后門和正常文件的名稱相近或完全相同，用戶經(jīng)常會(huì)忽略這類攻擊程序，從而有效降低了其被發(fā)現(xiàn) 的可能性。 2、利用技術(shù)方法藏匿后門程序的外部特征。 若后門進(jìn)程在目標(biāo)機(jī)器中能被顯示或查找，無(wú)疑會(huì)暴漏后門程序 。若能夠有效隱藏自己的 外部特征 ， 將大大提高后門的隱蔽性。 目前有以下幾種 隱藏 后門程序 特征的方法 。 1）截獲 特征 查看函數(shù)調(diào)用。操作系統(tǒng)中有很多方法能夠查看到進(jìn)程的存在，例如在 可對(duì)進(jìn)程進(jìn)行查看。可以通過(guò)截獲相應(yīng)的 數(shù)，替換返回的數(shù)據(jù)，實(shí)現(xiàn)對(duì)后門進(jìn)程的隱藏。 2）使用 術(shù)。不使用單獨(dú)的進(jìn)程運(yùn)行后門程序，可以有效隱藏后門程序的運(yùn)行。 件沒(méi)有程序邏輯，不能獨(dú)立運(yùn)行，一般是由進(jìn)程加載并調(diào)用的，不會(huì)出現(xiàn)在進(jìn)程列表中。通過(guò)自己設(shè)計(jì)的 換掉系統(tǒng)已知的 將其嵌入到已知 ，并對(duì)所有的對(duì)該 調(diào)用進(jìn)行過(guò)濾轉(zhuǎn)發(fā)，可實(shí)現(xiàn)后門程序的隱藏。 3） 入技術(shù)。 后門 可以動(dòng)態(tài)潛入到正在運(yùn)行的進(jìn)程中，不建立獨(dú)立的進(jìn)程，很難被發(fā)現(xiàn)，對(duì)監(jiān)控系統(tǒng)起到了隱藏的作用，有效提供高了后門程序的安全性能。 4） 術(shù)隱藏 后門的特征 。 術(shù)的主 要目的就是實(shí)現(xiàn)隱藏，其可對(duì)進(jìn)程、服務(wù)、注冊(cè)表項(xiàng)、鍵值以及端口 等 進(jìn)行隱藏。 使用兩種方法對(duì)后門程序進(jìn)行隱藏。一種是 通過(guò)攔截系統(tǒng) 改調(diào)用函數(shù)的返回值，達(dá)到隱藏的目的；另一種是通過(guò)修改系統(tǒng)內(nèi)核的數(shù)據(jù)結(jié)構(gòu)，返回錯(cuò)誤的信息，從而對(duì)后門程序進(jìn)行隱藏。 門的自啟動(dòng)方式 為了能夠在受入侵系統(tǒng)重新啟動(dòng)后仍對(duì)其保持控制，后門需要具有在系統(tǒng)重啟后的自動(dòng)運(yùn)行能力，即自啟動(dòng)特性 。目前主流的自啟動(dòng)方式包括如下幾類 ： 第 一 章 引言 7 1、以 式啟動(dòng) 后門 ?？梢詫⒑箝T可執(zhí)行程序或其快捷方式置于系統(tǒng)當(dāng)前用戶或所有 用戶的啟動(dòng)文件夾，例如以下文件夾路徑： （ 1） “C:開(kāi)始菜單 程序 啟動(dòng) ” （ 2） “ C:開(kāi)始菜單 程序 啟動(dòng) ” 2、注冊(cè)表自啟動(dòng) 項(xiàng)啟動(dòng) 后門 。 可以將后門可執(zhí)行程序的執(zhí)行路徑置于注冊(cè)表 的自啟動(dòng)項(xiàng)中 ，例如以下注冊(cè)表位置： （ 1 ） “T下的 “ “項(xiàng) （ 2 ） “下的 “和“項(xiàng) 3、以服務(wù)方式啟動(dòng) 后門 。通過(guò)替換或創(chuàng)建服務(wù)的方式來(lái)啟動(dòng)后門，例如，可以修改注冊(cè)表鍵 “目的內(nèi)容，將后門的執(zhí)行路徑加入其中。 4、以 載方式啟動(dòng)后門。例如，可以將后門 的執(zhí)行路徑添加到注冊(cè)表鍵 “的以下子項(xiàng)中： （ 1） 2） 3） 4） 5） 、以 覽器加載方式啟動(dòng)后門?？梢詫⒑箝T執(zhí)行路徑添加到注冊(cè)表鍵“的以下子項(xiàng)中： （ 1） 2） （ 3） 者，將后門執(zhí)行路徑添加到注冊(cè)表鍵 “。 6、以計(jì)劃任務(wù)方式啟動(dòng)后門。例如， 品的 務(wù)。 7、以 式啟動(dòng)后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “T冊(cè)表項(xiàng) 中 。 第 一 章 引言 8 8、以 式啟動(dòng)后門。 可以將后門程序的 可執(zhí)行文件路徑添 加 到 “注冊(cè)表項(xiàng)中 。 9、以 式啟動(dòng)后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “冊(cè)表項(xiàng)中 。 10、以 式啟動(dòng)后門。 可以將后門程序的可執(zhí)行文件路徑添加到“T注冊(cè)表項(xiàng)中 。 9、以驅(qū)動(dòng)程序方式啟動(dòng)后門。 可以將后門程序的可執(zhí)行文件路徑添加到“冊(cè)表項(xiàng)中 。 10、以 式啟動(dòng)后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “注冊(cè)表項(xiàng)中 。 11、以 式啟動(dòng)后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “T冊(cè)表項(xiàng)中 。 12、以 式啟動(dòng)后門。 可以將后門程序的可執(zhí)行文件路徑添加到 “冊(cè)表項(xiàng)中 。 13、以腳本方式啟動(dòng)后門。 利用 系統(tǒng)腳本來(lái)自啟動(dòng)后門。 14、 捆綁啟動(dòng)。通過(guò)文件捆綁、命令關(guān)聯(lián)等方式啟動(dòng)后門 。 第三節(jié) 論文結(jié)構(gòu) 本文針對(duì)互聯(lián)網(wǎng)攻擊和防御的實(shí)際需求，從工程實(shí)踐的角度，綜合分析比較國(guó)內(nèi)外后門發(fā)展的新技術(shù)，設(shè)計(jì)了兼容多個(gè) 作系統(tǒng)、高隱匿的后門方案。 本文的論文組織結(jié)構(gòu)如下 ： 第一章 首先 概述 課題的研究背景， 然后從后門的典型案例、分類、傳播途徑、隱藏方法、自啟動(dòng)方式等方面分析和探討隱匿后門的研究現(xiàn)狀 。 第 一 章 引言 9 第 二 章 首先從遠(yuǎn)程控制后門系統(tǒng)的業(yè)務(wù)功能、隱藏功能、隱匿通 信功能等方面分析系統(tǒng)的需求。在此基礎(chǔ)上， 給出了遠(yuǎn)程控制系統(tǒng)的總體框架 ， 將后門系統(tǒng)劃分為后門服務(wù)端、后門控制端，以及后門服務(wù)端與控制端之間的隱匿通信通道三子系統(tǒng)，并討論了各子系統(tǒng)的功能、設(shè)計(jì)方式和部署要求。 第 三 章討論了 統(tǒng)中后門服務(wù)端的設(shè)計(jì)方案， 首先根據(jù)第二章討論的需求和總體框架，給出了后門服務(wù)端的設(shè)計(jì)架構(gòu)，該架構(gòu)中包括基礎(chǔ)支撐層、隱藏功能層、業(yè)務(wù)功能層、管理配置層， 詳細(xì)闡述了 各層次的模塊組成和功能。然后 分別 對(duì) 后門服務(wù)端子系統(tǒng)的 截模塊、線程注入模塊、注冊(cè)表隱藏模塊、文件隱藏模塊、進(jìn)程隱 藏模塊、服務(wù)隱藏模塊、端口隱藏模塊、動(dòng)態(tài)鏈接庫(kù)隱藏模塊等的設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行了詳細(xì)描述。 第 四 章 討論了隱匿通信通道子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。 首先給出了該子系統(tǒng)的基本通信框架，然后詳細(xì)描述了框架中的視頻加密解密、信息隱藏提取等關(guān)鍵模塊的設(shè)計(jì)與實(shí)現(xiàn)方法。 該子系統(tǒng)利用了 信息隱藏技術(shù)在秘密通信過(guò)程中具有不可感知性的特點(diǎn) ， 基于信息隱藏技術(shù)和視覺(jué)密碼技術(shù) ， 設(shè)計(jì)了通過(guò)第三方的公開(kāi)網(wǎng)絡(luò)平臺(tái)構(gòu)建后門服務(wù)端與控制端進(jìn)行通信方法，實(shí)現(xiàn)對(duì)通信關(guān)系、通信內(nèi)容、通信行為的保護(hù)方案 。該方案通過(guò) 以點(diǎn)到面的數(shù)據(jù)發(fā)送和面到點(diǎn)的數(shù)據(jù)接收模式，使得通信數(shù)據(jù) 混雜于網(wǎng)絡(luò)上的其他正常數(shù)據(jù)中 ， 且通信過(guò)程隱蔽于其 他 正常的網(wǎng)絡(luò)行為中，確保通信行為的隱蔽性 。 第 五 章 討論了后門控制端子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。首先從人機(jī)交互界面、網(wǎng)絡(luò) 道等方面給出了該子系統(tǒng)的總體框架，然后分別針對(duì)控制命令和功能 出其統(tǒng)一描述方案和實(shí)現(xiàn)方法。 第 六 章對(duì)全文進(jìn)行總結(jié)，并展望未來(lái)擬開(kāi)展的工作，提出進(jìn)一步研究的方向。 第 二 章 遠(yuǎn)程控制后門系統(tǒng)的功能設(shè)計(jì) 10 第二章 遠(yuǎn)程控制后門系統(tǒng) 的功能設(shè)計(jì) 遠(yuǎn)程控制 后門是 能夠 繞過(guò) 被攻擊系統(tǒng)的安全性審計(jì) ，在非授權(quán)的情況下 獲取 操作 系統(tǒng) 、軟件服務(wù)控制 權(quán)的程序方法。 遠(yuǎn)程控制后門的功能和 需求各異，有的很簡(jiǎn)單（如，只是建立一個(gè)新的賬號(hào)），有的很復(fù)雜 （如，具有遠(yuǎn)程桌面，可以操作被控系統(tǒng)的文件系統(tǒng)、核心系統(tǒng)數(shù)據(jù)等）。 此外，不同于一般的軟件系統(tǒng)，遠(yuǎn)程控制后門系統(tǒng) 除注重功能外，更關(guān)注隱藏性、可管理性、可擴(kuò)展性等方面的特點(diǎn)。 為此， 本章 首先從遠(yuǎn)程控制后門系統(tǒng)的 業(yè)務(wù) 功能、 隱藏功能 、隱匿通信功能等方面分析系統(tǒng)的需求 。 在此基礎(chǔ)上，將遠(yuǎn)程控制后門系統(tǒng)劃分為后門服務(wù)端、后門控制端，以及后門服務(wù)端與控制端之間的隱匿通信通道三子系統(tǒng)，并討論了各子系統(tǒng)的功能、設(shè)計(jì)方式和部署要求 。 第一節(jié) 高隱匿后門的需求分析 遠(yuǎn)程控制 后門的功能和需求差異很大，往往與實(shí)際的需求、設(shè)計(jì)開(kāi)發(fā)人員的關(guān)注點(diǎn)有 關(guān)。同時(shí)，由于后門系統(tǒng)是在非授權(quán)的情況下 獲取 操作 系統(tǒng) 、軟件服務(wù)控制 權(quán) ，因此 除注重 業(yè)務(wù) 功能外，更關(guān)注隱藏性、可管理性、可擴(kuò)展性等方面的 功能 。 本節(jié)分別從遠(yuǎn)程控制功能、隱藏功能、隱匿通信功能等幾方面分析后門系統(tǒng)的需求。 程控制功能需求 遠(yuǎn)程控制后門設(shè)計(jì)的目的就是為了能夠