畢業(yè)設計（論文）特洛伊木馬程序的設計與實現(xiàn)

1、xxxxxxxxxxx本科生畢業(yè)論文（設計）題 目特洛伊木馬程序的設計與實現(xiàn)學生姓名 指導教師 學 院信息科學與工程學院專業(yè)班級 完成時間2010年5月28日摘 要隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展，黑客技術(shù)也不斷更新，它對網(wǎng)絡安全構(gòu)成了極大的威脅。特洛伊木馬作為黑客工具中重要的一員，其技術(shù)日新月異，破壞力之大是絕不容忽視的。因此，對木馬技術(shù)的研究刻不容緩。本文首先介紹了木馬的基本概念，包括木馬的結(jié)構(gòu)、行為特征、功能、分類以及木馬的發(fā)展現(xiàn)狀和發(fā)展趨勢。然后詳細介紹了木馬的工作原理和木馬系統(tǒng)的關(guān)鍵技術(shù)。木馬的關(guān)鍵技術(shù)包括木馬的偽裝方式、木馬程序的隱藏技術(shù)、木馬的自啟動以及木馬的通信技術(shù)等。另外，本文研

2、究了遠程控制技術(shù)，包括tcp/ip協(xié)議的介紹、socket通信技術(shù)和客戶端/服務器模型（c/s）。本文在研究木馬技術(shù)的基礎上設計了一款遠程控制木馬。該木馬程序能夠通過客戶端對遠程主機進行控制和監(jiān)視，服務端可以自動連接客戶端。另外該木馬程序還包括遠程文件操作（文件復制、拷貝、刪除、下載、上傳等），遠程系統(tǒng)控制（關(guān)機、重啟，鼠標、屏幕鎖定，啟動項管理），網(wǎng)絡連接控制，遠程進程管理和文件傳輸?shù)裙δ?。最后本文實現(xiàn)了這一款木馬程序，并對其進行了測試。測試結(jié)果顯示該木馬程序?qū)崿F(xiàn)了所有的功能，能夠?qū)h程主機進行控制。關(guān)鍵詞木馬， socket，遠程控制abstractwith the rapid devel

3、opment of network, the dependence between our society, computer system and information network becomes bigger and bigger. the safety of the internet is especially important. the hackers create a great network security threats, and the currently most available mean of invasion are the trojan technolo

4、gy. therefore, this technique has been studied for the trojan technology.this paper introduces the basic concepts of trojans, including structure, behavior characteristics, function, classification and trojans situation and development trend. then, it also introduces the details of the trojan works

5、and trojan key technology. key technologies include trojan disguised way, stealth technology of trojans, trojans self-running and communication technology. in addition, this paper also studies about the remote control technology, including tcp/ip protocol description, socket communication technology

6、 and client / server model (c / s). there is a remote control trojan based on this paper which is studying the trojan technology. this trojan horse can control and watch the distance host through the client, and the server can connect with the client automatically. in addition, the trojan program al

7、so includes a remote file operations (file copy, copy, delete, download, upload, etc.), remote system control (shutdown, restart, mouse, screen lock, startup item management), network connection control, remote process management, file transfer and other functions. finally, this paper realizes this

8、trojan horse program, and tests it. test results show that the trojan horse program achieves all the functions and it can control the remote host.key wordstrojan, socket, remote control目錄摘 要iabstractii第一章緒論11.1木馬的研究背景11.2木馬發(fā)展的現(xiàn)狀11.3論文研究的意義和目的21.4論文的研究內(nèi)容31.5論文章節(jié)安排3第二章木馬技術(shù)基礎42.1木馬系統(tǒng)結(jié)構(gòu)42.2木馬的基本特征52.3木馬

9、的功能62.4木馬的分類62.5木馬的發(fā)展趨勢7第三章木馬工作原理及關(guān)鍵技術(shù)93.1 木馬的偽裝93.2木馬的隱藏103.3木馬常見的啟動方式123.4遠程控制技術(shù)143.4.1ip協(xié)議143.4.2 tcp協(xié)議153.4.3套接字(sockets)技術(shù)163.5木馬的通信163.5.1端口復用技術(shù)173.5.2反彈端口173.5.3潛伏技術(shù)183.6客戶機/服務器模型18第四章遠程控制木馬的設計204.1功能分析204.2系統(tǒng)總體設計214.2.1使用環(huán)境和拓撲結(jié)構(gòu)214.2.2系統(tǒng)的邏輯模型224.2.3設計思路234.3系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù)244.3.1dll模塊化技術(shù)244.3.2 鉤子

10、技術(shù)264.3.3遠程線程插入技術(shù)274.3.4隱蔽通信技術(shù)294.4系統(tǒng)的開發(fā)工具30第五章遠程控制木馬的實現(xiàn)325.1服務端程序的實現(xiàn)325.1.1服務端的自啟動325.1.2 通信模塊的實現(xiàn)345.1.3服務端管理模塊385.2客戶端的實現(xiàn)395.2.1遠程文件控制395.2.2系統(tǒng)控制405.2.3文件傳輸42第六章結(jié)束語43參考文獻44致 謝46第一章緒論1.1木馬的研究背景隨著網(wǎng)絡的快速發(fā)展，internet深入到社會的每個角落，人們充分享受到了其給工作和生活帶來的巨大便利，人類社會對計算機系統(tǒng)和信息網(wǎng)絡的依賴性也越來越大。工業(yè)和信息化部統(tǒng)計數(shù)據(jù)顯示，2009年中國網(wǎng)民規(guī)模已達3.

11、84億；預計2010中國網(wǎng)民規(guī)模突破4億1。由于計算機系統(tǒng)和信息網(wǎng)絡系統(tǒng)本身固有的脆弱性，網(wǎng)絡入侵工具(如蠕蟲、木馬等)不斷涌現(xiàn)，社會、企業(yè)和個人也因此蒙受了越來越大的損失。木馬由于它的隱蔽性、遠程可植入性和可控制性等技術(shù)特點，已成為黑客攻擊或不法分子入侵網(wǎng)絡的重要工具，目前，不斷發(fā)生的互聯(lián)網(wǎng)安全事故中，大部分都有木馬的身影。2010年1月，國內(nèi)最知名的信息網(wǎng)絡安全廠商金山安全正式發(fā)布2009年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告。報告顯示， 2009年金山毒霸共截獲新增病毒和木馬20684223個，與5年前新增病毒數(shù)量相比，增長了近400倍。在新增病毒中，木馬仍然首當其沖，新增數(shù)量多達15223

12、588個，占所有病毒重量的73.6%。全國共有76409010臺（約7600萬臺）計算機感染病毒，與08年的感染量相比增加了13.8%2。計算機病毒猖獗的背后是巨大的經(jīng)濟利益。據(jù)中國國家計算機網(wǎng)絡應急處理中心估計，目前木馬黑色產(chǎn)業(yè)鏈的年產(chǎn)值己超過2.38億元人民幣，造成的損失則超過76億元。木馬經(jīng)濟產(chǎn)業(yè)化的一個重要表現(xiàn)就是：制造木馬、傳播木馬、盜竊賬戶信息、銷贓、洗錢，分工明確，形成了一個非常完善的流水性作業(yè)程序，這個流水作業(yè)程序就是一條黑色產(chǎn)業(yè)鏈3。木馬程序使得遠程的黑客能夠享有系統(tǒng)的控制權(quán)。“知己知彼，百戰(zhàn)不殆”，如果想找出防御木馬攻擊的有效途徑，就必須認真地研究木馬攻擊的技術(shù)。在研究木馬

13、攻防的過程中，如果能夠理清木馬攻擊手段的發(fā)展脈絡，就有可能進一步找出木馬發(fā)展的趨勢，并提早思考應對策略。1.2木馬發(fā)展的現(xiàn)狀自從世界上出現(xiàn)第一個木馬程序（1986年的pc-write木馬）到今天，木馬的發(fā)展已經(jīng)歷了五代45：第一代木馬出現(xiàn)在網(wǎng)絡發(fā)展的早期，是以竊取網(wǎng)絡密碼為主要任務，即簡單的密碼竊取、發(fā)送等，在隱藏和通信方面均無特別之處。第二代木馬在技術(shù)上有很大的進步，使用標準的c/s架構(gòu)，提供遠程文件管理、屏幕監(jiān)視等功能。但是由于植入木馬的服務端程序會打開連接端口等候客戶端連接，比較容易被發(fā)現(xiàn)。如：“冰河”、“qmitis”。第三代木馬在功能上與第二代木馬沒有太大差異，它的改變主要在網(wǎng)絡連接

14、方式上，它的特征是不打開連接端口進行偵聽，而是使用icmp通信協(xié)議進行通信或使用反向連接技術(shù)讓服務器端主動連接客戶端，以突破防火墻的攔截。在數(shù)據(jù)傳遞技術(shù)上也做了不小的改進，出現(xiàn)了icmp等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺的難度。如：網(wǎng)絡神偷、peep201等。第四代木馬在進程隱藏方面，做了大改動，采用了內(nèi)核插入式的嵌入方式，利用遠程插入線程技術(shù)，嵌入dll線程，或者掛接psapi6，實現(xiàn)木馬的隱藏。前三代木馬，大多都有獨立的木馬，因此用戶可以根據(jù)啟動項目中的描述內(nèi)容，很快找到木馬，并刪除它。但是，第四代木馬選擇注冊表的方式，偽裝成dll文件形式加載到正常的啟動程序上，無法通過“任務

15、管理器”查看到正在執(zhí)行的木馬。不過在連接方式上，依然使用第三代木馬或第二代木馬的連接方式。如：beast木馬。第五代木馬實現(xiàn)了與病毒緊密結(jié)合，利用操作系統(tǒng)漏洞，直接實現(xiàn)感染傳播的目的，而不必象以前的木馬那樣需要欺騙用戶主動激活。例如類似沖擊波病毒的木馬噩夢ii。特洛伊木馬程序發(fā)展到今天已經(jīng)相當完善了，但隨著計算機技術(shù)的發(fā)展，木馬仍會繼續(xù)演變并運用一些新的技術(shù)和方法使其更具有攻擊性和破壞性。從現(xiàn)在的趨勢來看，木馬將在隱藏性、代碼的模塊化設計、及時通知、跨平臺、底層通信以及和蠕蟲病毒技術(shù)融合等方面有所提升和發(fā)展。1.3論文研究的意義和目的由于木馬活動的猖獗和其實現(xiàn)技術(shù)的不斷更新，木馬的防范工作也必

16、須與時俱進。只要了解木馬的工作原理，借助協(xié)議分析工具，就能及時發(fā)現(xiàn)蛛絲馬跡，降低木馬帶來的危害；只要熟悉木馬的隱藏方法，就能快速找到并徹底清除木馬，甚至找到入侵者；如果能夠預先了解木馬攻擊手段，就可以有針對性防范木馬主動入侵或攻擊。論文通過對木馬的原理進行深入分析，總結(jié)一些木馬的一般規(guī)律和最新技術(shù)，對于提高木馬的防范水平以及網(wǎng)絡管理提供了一定的借鑒作用。1.4論文的研究內(nèi)容本文在研究了木馬的關(guān)鍵技術(shù)基礎上設計實現(xiàn)了一款遠程控制木馬程序。主要研究內(nèi)容：一、特洛伊木馬的概念、發(fā)展過程、分類、特征、功能、發(fā)展現(xiàn)狀及趨勢。二、計算機遠程控制技術(shù)的基礎知識及遠程控制的關(guān)鍵技術(shù)。三、在windows平臺下

17、實現(xiàn)一種遠程控制木馬程序，該木馬采用能繞防火墻隱蔽地植入受控計算機，并根據(jù)控制端的指令進行啟動、消亡以及其他各種控制功能。四、系統(tǒng)實時將受控計算機當前屏幕顯示的信息、鍵盤記錄、瀏覽文件等各種信息傳輸至遠程控制端。五、對木馬程序進行測試。1.5論文章節(jié)安排第一章簡要介紹了本文的研究背景和意義，以及論文內(nèi)容的安排。第二章總結(jié)了木馬技術(shù)基礎，包括木馬的分類、特征、功能和發(fā)展趨勢第三章研究了木馬的工作原理以及木馬實現(xiàn)的關(guān)鍵技術(shù)等，包括木馬的偽裝、隱藏和啟動，遠程控制關(guān)鍵技術(shù)及通信技術(shù)等。第四章是遠程控制木馬程序的設計。包括木馬的模型結(jié)構(gòu)及設計思想，關(guān)鍵功能的設計過程。第五章是遠程控制木馬程序的實現(xiàn)，包

18、括了木馬的運行過程和功能測試。 第六章為結(jié)束語，總結(jié)畢業(yè)設計。第二章木馬技術(shù)基礎在計算機領域中特洛伊木馬程序是一種未經(jīng)授權(quán)的程序，它包含在一段正常的程序當中，這個未經(jīng)授權(quán)的程序提供了一些用戶不知道的功能，其目的是不需要管理員的準許就可獲得系統(tǒng)使用權(quán)。它可以控制用戶計算機系統(tǒng)，造成用戶資料的泄漏，甚至造成整個計算機系統(tǒng)崩潰等。特洛伊木馬和病毒的區(qū)別是它不能自行傳播，而要依靠宿主以其它假象出現(xiàn)，冒充一個正常的程序，如bo、happy99、sub7、網(wǎng)絡神偷、冰河等就是典型的特洛伊木馬程序。本章詳細論述了木馬的分類、特征、功能、工作原理和攻擊手段等。木馬的全稱是“特洛伊木馬”，是一種新型的計算機網(wǎng)絡

19、病毒程序。在rfc1244安全手冊中給出的：“特洛伊木馬是這樣一種程序，它提供了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不希望的事，諸如在你不了解的情況下拷貝文件或竊取你的密碼”。它利用自身所具有的植入功能，依附其它具有傳播能力病毒， 或者通過入侵后植入等多種途徑， 進駐目標機器，搜集其中各種敏感信息，并通過網(wǎng)絡與外界通信，發(fā)回所搜集到的各種敏感信息， 接受植入者指令， 完成其它各種操作，如修改指定文件、格式化硬盤等。2.1木馬系統(tǒng)結(jié)構(gòu)一個完整的木馬系統(tǒng)由硬件部分、軟件部分和具體的連接部分組成7。1、 硬件部分，建立木馬連接所必須的硬件實體，分為控制端，服務端和internet。

20、控制端是對服務進行遠程控制的一方；服務端是被控制端遠程控制的一方；internet是控制段對服務端進行遠程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡載體。2、 軟件部分，實現(xiàn)遠程控制所必須的軟件程序?？刂贫顺绦颍刂贫擞靡赃h程控制服務端的程序。木馬程序，潛入服務端內(nèi)部，獲取其操作權(quán)限的程序。木馬配置程序，設置木馬的端口號，觸發(fā)條件，木馬名稱等，并使其在服務端隱藏的更隱蔽的程序。3、 具體連接部分，通過internet在服務端和控制端之間建立一條木馬通道所必須的一條元素?？刂贫薸p和服務端ip，即控制端和服務端的網(wǎng)絡地址，也是木馬進行數(shù)據(jù)傳輸?shù)哪康牡亍？刂贫硕丝诤湍抉R端口，即控制端和服務端的數(shù)據(jù)入口，通過這個端口，數(shù)

21、據(jù)可以直達控制端程序或木馬程序。2.2木馬的基本特征綜合現(xiàn)在流行的木馬程序，它們都具有以下基本特征：1、 隱蔽性木馬必須有能力長期潛伏于目標機器中而不被發(fā)現(xiàn)。一個隱蔽性的木馬往往會很容易暴露自己，進而被殺毒(或殺馬)軟件，甚至用戶手工檢查來，這樣將使得這類木馬變得毫無價值。因此可以說隱蔽性是木馬的生命。2、 自動運行性木馬程序是一個系統(tǒng)啟動即自動運行的程序，所以它可能嵌入在啟動配置文件（如win.ini、system.ini、winstart.bat等）、啟動組或注冊表中。3、 欺騙性木馬程序要達到長期隱藏的母的，就必須借助系統(tǒng)中已有的文件以防被發(fā)現(xiàn)。木馬經(jīng)常類似以常見的文件名或擴展名的名字（

22、如dll、win、sys），或者仿制一些不易被人區(qū)分的文件名（如字母“i”和數(shù)字“1”，字母“o”和數(shù)字“0”），或者偽裝成常見的文件圖標。以騙取用戶的信任。4、 頑固性木馬頑固性就是指有效清除木馬的易程度。若一個木馬在檢查出來之后，仍然無法將其一次性有效清除，那么該馬就具有較強的頑固性。很多木馬程序中的功能模塊已不再是單一的文件組成，而是將文件分別存儲在不同的位置。這些分散的文件可以相互恢復，因此難以清除。5、 易植入性 任何木馬必須首先能夠進入目標機器（植入操作），因此易入性就成為木馬有效性的先決條件。欺騙性是自木馬誕生起最常見的植入手段因此各種好用的小功能軟件就成為木馬常用的棲息地。利用

23、系統(tǒng)漏洞進行木馬入也是木馬入侵的一類重要途徑。目前木馬技術(shù)與蠕蟲技術(shù)的結(jié)合使得木馬具類似蠕蟲的傳播性，這也就極大提高了木馬的易植入性。從上面對木馬特性的分析，可以看到木馬的設計思想除了具有病毒和蠕蟲的設計思想（即主要側(cè)重于其隱蔽性和傳播性的實現(xiàn)），還更多地強調(diào)與木馬控制端通信能力，和反清除與反檢測能力。由于有了控制端的攻擊者的指揮，因此木馬的行為特征就有了很強的智能化，具有很強的偽裝能力和欺騙性。而木馬的反清除能力，也使其極為固地和被寄生的系統(tǒng)糾合在一起。要想徹底清除木馬，系統(tǒng)也得付出慘痛代價。2.3木馬的功能只要在本地計算機上能操作的功能，目前的木馬基本上都能實現(xiàn)。木馬的控制端可以像本地用戶

24、一樣操作遠程計算機。木馬的功能可以概括為以下內(nèi)容8：1、 竊取數(shù)據(jù)以竊取數(shù)據(jù)為目的，本身不破壞計算機的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作，它以系統(tǒng)使用者難以察覺的方式向外傳送數(shù)據(jù)。2、 接受非法授權(quán)操作的指令當網(wǎng)絡中的木馬被激活后，它可以獲取網(wǎng)絡服務器系統(tǒng)管理員的權(quán)限，隨心所欲地竊取密碼和各類數(shù)據(jù)，逃避追蹤，同時不會留下任何痕跡。3、 篡改文件和數(shù)據(jù)對系統(tǒng)文件和數(shù)據(jù)有選擇地進行篡改，使計算機處理的數(shù)據(jù)產(chǎn)生錯誤的結(jié)果，導致作出錯誤的決策。有時也對數(shù)據(jù)進行加密。4、 刪除文件和數(shù)據(jù)將系統(tǒng)中的文件和數(shù)據(jù)有選擇地刪除或者全部刪除。5、 施放病毒將原先埋伏在系統(tǒng)中但出于休眠狀態(tài)的病毒激活，或從外界將病毒導

25、入計算機系統(tǒng)，使其感染并實施破壞。6、 使系統(tǒng)自毀包括改變時鐘頻率、使芯片熱崩潰而損壞、造成系統(tǒng)癱瘓等。2.4木馬的分類木馬的分類多種多樣，根據(jù)不同的分類標準，木馬的種類也有所不同。（一）根據(jù)木馬程序?qū)τ嬎銠C的具體動作方式，可以把現(xiàn)在的木馬程序分為以下幾類：1、 遠程控制型：遠程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬這種木馬起著程監(jiān)控的功能，使用簡單，只要被控制主機聯(lián)入網(wǎng)絡，并與控制端客戶程序建立網(wǎng)絡連接，控制者就能任意訪問被控制的計算機。這種木馬在控制端的控制下可以在被控主機上做任意的事情，比如鍵盤記錄，文件上傳/下載，截取屏幕，遠程執(zhí)行等。這種類型的木馬比較著名的有bo(back orific

26、e)和國產(chǎn)的冰河等。2、 密碼發(fā)送型：密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類木馬程序不會在每次windows系統(tǒng)重啟時都自動加載，它們大多數(shù)使用25端口發(fā)送電子郵件。3、 鍵盤記錄型：鍵盤記錄型木馬非常簡單，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在log文件里進行完整的記錄。這種木馬程序隨著windows系統(tǒng)的啟動而自動加載，并能感知受害主機在線，且記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。4、 毀壞型：大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受

27、控主機上所有的ini或exe文件，甚至遠程格式化受害者硬盤，使得受控主機上的所有信息都受到破壞?？偠灾擃惸抉R目標只有一個就是盡可能的毀壞受感染系統(tǒng)，致使其癱瘓。5、 ftp型：ftp型木馬打開被控主機系統(tǒng)的21號端口使每一個人都可以用一個ftp客戶端程序來不要密碼連接到受控制主機系統(tǒng)，并且可以進行最高權(quán)限的文件上傳和下載，竊取受害系統(tǒng)中的機密文件。（二）根據(jù)木馬的網(wǎng)絡連接方向，可以分為兩類：1、 正向連接型：發(fā)起通信的方向為控制端向被控制端發(fā)起，這種技術(shù)被早期的木馬廣泛采用，其缺點是不能透過防火墻發(fā)起連接。2、 反向連接型：發(fā)起通信的方向為被控制端向控制端發(fā)起，其出現(xiàn)主要是為了解決從內(nèi)向

28、外不能發(fā)起連接的情況的通信要求，已經(jīng)被較新的木馬廣泛采用。（三）根據(jù)木馬使用的架構(gòu)，可以分為四類：1、 c/s架構(gòu)：這種為普通的服務器、客戶端的傳統(tǒng)架構(gòu)，一般我們都是采用客戶端作控制端，服務器端作被控制端。在編程實現(xiàn)的時候，如果采用反向連接的技術(shù)，那么客戶端(也就是控制端)要采用socket編程的服務器端的方法，而服務端(也就是被控制端)采用socket編程的客戶端的方法。2、 b/s架構(gòu)：這種架構(gòu)為普通的網(wǎng)頁木馬所采用的方式。通常在b/s架構(gòu)下，server端被上傳了網(wǎng)頁木馬，控制端可以使用瀏覽器來訪問相應的網(wǎng)頁，達到對server端進行控制的目的。3、 c/p/s架構(gòu)：這里的p是proxy

29、的意思，也就是在這種架構(gòu)中使用了代理。當然，為了實現(xiàn)正常的通信代理也要由木馬作者編程實現(xiàn)，才能夠?qū)崿F(xiàn)一個轉(zhuǎn)換通信。這種架構(gòu)的出現(xiàn)，主要是為了適應一個內(nèi)部網(wǎng)絡對另外一個內(nèi)部網(wǎng)絡的控制。但是，這種架構(gòu)的木馬目前還沒有發(fā)現(xiàn)。4、 b/s/b架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應內(nèi)部網(wǎng)絡對另外的內(nèi)部網(wǎng)絡的控制。當被控制端與控制端都打開瀏覽器瀏覽這個server上的網(wǎng)頁的時候，一端就變成了控制端，而另外一端就變成了被控制端，這種架構(gòu)的木馬已經(jīng)在國外出現(xiàn)了。2.5木馬的發(fā)展趨勢特洛伊木馬程序發(fā)展到今天已經(jīng)相當完善了，但隨著計算機技術(shù)的發(fā)展，木馬仍會繼續(xù)演變并運用一些新的技術(shù)和方法使其更具有攻擊性和破壞性。從現(xiàn)

30、在的趨勢看，木馬在未來大概會向以下方向發(fā)展：1、 木馬將更注重自身的隱藏性傳統(tǒng)的木馬開發(fā)重點多在如何實現(xiàn)遠程控制功能上，隨著對木馬危害認識的加深和木馬查殺工具的普及，木馬程序的開發(fā)者不得不將更多的精力放在如何更好地隱藏自己上?？梢灶A見，木馬會借鑒病毒的開發(fā)技術(shù)，很快將會出現(xiàn)能夠反查殺的變形木馬等一批在惡劣的環(huán)境下更具生存能力的新型木馬。另外，針對依靠監(jiān)聽網(wǎng)絡通訊來發(fā)現(xiàn)木馬蹤跡的工具，木馬也會使用諸如隱蔽信道之類的手段更好地隱藏自身。2、 更注重代碼模塊化的設計目前，程序設計的潮流是模塊化設計，木馬程序現(xiàn)在也具有這種概念。某些木馬程序可以在控制的過程中，通過傳送較復雜的模塊庫到被控端以達到自我升

31、級的目的。3、 即時通知目前，網(wǎng)絡中很多機器使用的是動態(tài)ip，木馬程序要想控制目標就比較麻煩，因此，未來的木馬程序在這方面會進一步完善。會給木馬增添即時通知功能，隨時向黑客匯報木馬受害者的ip地址。4、 可能會出現(xiàn)跨平臺的木馬現(xiàn)今木馬一般都是基于某種硬件平臺或者操作系統(tǒng)開發(fā)的，在各種操作系統(tǒng)之間并不具有通用性，對使用者要求較高。隨著木馬技術(shù)的成熟，木馬的操作將更為簡化，攻擊將更為智能化，甚至可能會出現(xiàn)可跨平臺工作的木馬。5、 木馬與蠕蟲會相互融合蠕蟲和木馬是兩種不同功能的程序。蠕蟲具有自傳播性，所以一般將其歸為病毒。然而最近己經(jīng)開始出現(xiàn)具有蠕蟲特征的木馬程序，這是個危險的信號。我們應該警惕危害

32、更大的此類木馬蠕蟲，這可能是今后一段時問木馬發(fā)展的一個重要趨勢。6、 未來木馬將更注重底層的通訊編程，如針對網(wǎng)卡和modem的通訊編程，這樣可以逃過防火墻的監(jiān)視和過濾91011。第三章木馬工作原理及關(guān)鍵技術(shù)木馬程序一般分為客戶端(client)和服務器端(server)，服務器端程序是控制者傳到目標計算機的部分，騙取用戶執(zhí)行后，便植入計算機，作為響應程序?？蛻舳耸怯脕砜刂颇繕酥鳈C的部分，安裝在控制者的計算機，它的作用是連接木馬服務器端程序，監(jiān)視或控制遠程計算機。典型的木馬工作原理是：當服務器端在目標計算機上被執(zhí)行后，木馬打開一個默認的端口進行監(jiān)聽，當客戶機向服務端提出連接請求，服務器上的相應程

33、序就會自動運行來應答客戶機的請求，服務器端程序與客戶端建立連接后，由客戶端發(fā)出指令，服務器在計算機中執(zhí)行這些指令，并將數(shù)據(jù)傳送到客戶端，以達到控制主機的目的。木馬程序的工作過程包含了木馬程序的偽裝、隱藏、啟動、通信以及攻擊等。3.1 木馬的偽裝特洛伊木馬程序因其功能肯定不被人們所歡迎。因此，它們要想完成其不可告人的“使命”，就必須先將自身隱藏好。就目前我們對已知特洛伊木馬程序的了解，特洛伊木馬程序的偽裝技術(shù)主要有以下幾種方法12：1、 修改圖標特洛伊木馬服務端程序常常故意偽裝成了各種網(wǎng)頁或圖片等圖標。用戶往往誤認為這些程序?qū)ο到y(tǒng)是無害的，因此很容易誘使其打開并將其運行。2、 捆綁于正常文件中這

34、種偽裝手段有些類似于傳統(tǒng)的計算機病毒程序。攻擊者常常將特洛伊木馬程序常捆綁到一個正常程序上。這樣，一旦用戶運行了這個正常程序運行，身藏其中的特洛伊木馬程序就會在用戶毫無察覺的情況下，偷偷地進入了系統(tǒng)運行。被捆綁的文件一般是可執(zhí)行文件，例如，exe、com等類型的文件。3、 顯示出錯信息一些特洛伊木馬程序的設計者意識到，如果用戶打開一個文件而沒有任何反應，用戶很可能認這就是一個特洛伊木馬程序。所以，一些特洛伊木馬程序會故意顯示一些出錯顯示。當被攻擊者打開特洛伊木馬程序時，往往會彈出一個錯誤提示框(當然這是假的，只是在迷惑用戶，使其誤認為這是一個正常、已被損壞的、不能輕易刪除的文件)。錯誤內(nèi)容可自

35、由定義，大多會定制成一些諸如文件已破壞，無法打開!之類的信息，當被害用戶信以為真時，特洛伊木馬程序就悄悄侵入了系統(tǒng)中。4、 自我銷毀當用戶打開含有特洛伊木馬程序的郵件或其它文件后，其中的特洛伊木馬程序就會將自己拷貝到windows的系統(tǒng)文件夾中(即c:windows或c:windowssystem目錄下)。但是，如果特洛伊木馬程序只是如此簡單的拷貝，就會造成源特洛伊木馬程序文件和系統(tǒng)文件夾中的特洛伊木馬程序文件長度的大小是一樣的。那么，中了特洛伊木馬程序的受害者只要檢查一下近來收到的信件和下載的軟件，并從中找到源特洛伊木馬程序文件，然后根據(jù)源特洛伊木馬程序文件的大小去系統(tǒng)文件夾找相同大小的文件

36、，判斷一下哪個是特洛伊木馬程序文件并將其刪除就行了。特洛伊木馬程序的此種偽裝方式恰恰就是在于彌補自身的這種缺陷。因此，具備這種偽裝功能的特洛伊木馬程序會在將自身安裝在被害系統(tǒng)后，將源特洛伊木馬程序文件自動銷毀。這樣，被害用戶就很難找到特洛伊木馬程序的來源了，在沒有查殺特洛伊木馬程序工具幫助下，就很難刪除木馬了。5、 更改文件名特洛伊木馬程序的編寫者一定要在每次傳播時，用一個與以往不同的文件名進行偽裝。不過，大多特洛伊木馬程序會選用一個與正常的系統(tǒng)文件名十分近似的文件名來故意誤導用戶，使用戶誤認為是正常的系統(tǒng)文件。例如，有的特洛伊木馬程序會把名字改為window.exe。3.2木馬的隱藏木馬的隱

37、蔽性是木馬能否長期存活的關(guān)鍵，為了達到隱蔽目的，木馬開發(fā)者總是采用各種先進技術(shù)來實現(xiàn)木馬的隱藏。木馬隱藏的主要方式12：1、 在任務欄里隱藏這是最基本的隱藏方式。要實現(xiàn)在任務欄中隱藏的功能，在編程時是很容易實現(xiàn)的。以vb為例，在vb中，只要把form的visible屬性設置為false，showlntaskbar設為 false，程序就不會出現(xiàn)在任務欄里。2、 隱藏端口一臺機器有65536個端口，不難發(fā)現(xiàn)，大多數(shù)木馬使用的端口在1024以上，而且呈越來越大的趨勢:當然也有占用1024以下端口的木馬，但這些端口是常用端口，占用這些端口可能會造成系統(tǒng)不正常，木馬容易暴露。現(xiàn)在已經(jīng)有一種方法可以實現(xiàn)

38、端口的使用差異比較法對木馬程序進行防殺的技術(shù)探討復用，即一個端口既可以實現(xiàn)正常功能，又可以用于木馬通信，采用這種技術(shù)的木馬特意把自己的端口設成常用端口(如:80、23等端口)，達到更好的隱蔽效果。3、 在任務管理器里隱藏查看正在運行的進程的最簡單方法就是按下 crtl+alt+del時出現(xiàn)的任務管理器。在win98中木馬把自己設為“系統(tǒng)服務”就可以輕松地實現(xiàn)在任務管理里隱藏；在winnt、win2000和winxp中木馬開發(fā)人員采用了一種更好的隱藏方式:即把木馬寫成動態(tài)鏈接庫文件(dll文件)，運行時將自己插入另一個進程(一般是系統(tǒng)進程，如explorer.exe)中，這樣木馬就是以線程形式而

39、不是以進程存在的，從而實現(xiàn)任務管理器里的隱藏，而且，當查看當前使用的端口時，木馬打開的端口對應的進程不是木馬本身，而是被插入的進程，即一個正常的進程，從而也實現(xiàn)了端口隱藏的目的。4、 隱藏通信隱藏通信也是木馬經(jīng)常采用的手段之一。任何木馬運行后都要和攻擊者進行通信連接:或者通過即時連接，如攻擊者通過客戶端直接接入被植入木馬的主機；或者通過間接通信，如通過電子郵件的方式，木馬將目標主機的敏感信息傳給攻擊者。目前大部分木馬都是采用tcp連接方式使攻擊者控制主機的，這些木馬在植入主機后一般會在 1024以上不易發(fā)現(xiàn)的高端口上駐留；也有些木馬采用端口復用技術(shù)，不打開新的通信端口，而選擇一些常用的端口(如

40、80)實現(xiàn)通信，在收到正常的http請求仍然把它交與web服務器處理，只有在收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬?，F(xiàn)在有些木馬采用icmp協(xié)議轉(zhuǎn)輸，通過imcp數(shù)據(jù)包進行通信控制，這樣除非分析數(shù)據(jù)包里面的內(nèi)容，否則很難發(fā)現(xiàn)木馬連接。還有些木馬只有收到特定的數(shù)據(jù)包才開始通信，平時處于休眠狀態(tài)。5、 隱藏啟動方式木馬啟動的方式多種多樣，但殊途同歸，都為了達到一個目的:使木馬的服務端程序自動運行。常見木馬啟動的方式有:加載程序到啟動組；將程序啟動路徑寫到注冊表的hkey_local_ chinesoftwaremicrosoftwindowscurrentversionrun (以及runonce

41、等):修改boot.ini:通過注冊表中的輸入法鍵值真接掛接啟動；修改explorer.exe啟動參數(shù)以及在win.ini和system.ini中的load節(jié)中添加啟動項;在autoexe.bat中添加程序等；或采用了文件關(guān)聯(lián)實現(xiàn)木馬的啟動(如:冰河木馬);也可利用dll木馬替換系統(tǒng)原有的動態(tài)連接庫，使系統(tǒng)在裝載這些連接庫時啟動木馬(如:著名的gina木馬)；還可以采用與其他可執(zhí)行文件捆綁的方式，在運行捆綁文件時在后臺運行。但隨著計算機技術(shù)的發(fā)展，還會有更多、更隱蔽的啟動方式出現(xiàn)。6、 隱藏傳播方式與病毒不同，木馬大多沒有主動傳播的功能。因此，如何將木馬成功植入目標主機是木馬成功運行的關(guān)鍵。目

42、前大多數(shù)木馬采用的傳播途徑仍然電子郵件，但近幾年，隨著木馬的流行，用戶對木馬的認識不斷提高，大多用戶都清楚一些關(guān)于木馬和如何防治的基本知識，這種方法己經(jīng)很難湊效。隨著網(wǎng)站互動化進程的不斷進步，越來越多的東西可以成為木馬的傳播介質(zhì)，javascript、vbscript、activex幾乎每一個新功能都會導致木馬的快速進化。再一個就是，利用系統(tǒng)漏洞進行木馬傳播，隨著技術(shù)的不斷發(fā)展，這種方法將逐步成為木馬植入的主流。如通過在郵件內(nèi)容內(nèi)嵌wsh(windows script host)腳本，用戶無需打開附件，僅僅瀏覽郵件內(nèi)容，附件中的木馬就會被執(zhí)行。即使用戶刪除了wsh功能，攻擊者仍然能通過其他的系

43、統(tǒng)漏洞(如mime漏洞)，在用戶瀏覽郵件時將木馬植入到計算機中運行。目前，郵件木馬已經(jīng)從附件走向了正文，簡單的瀏覽也會中毒，一個guest用戶也可以很容易的通過修改管理員的文件夾設置獲得管理員權(quán)限。7、 最新隱身技術(shù)通過修改虛擬設備驅(qū)動程序 (vxd)或修改動態(tài)鏈接庫(dll)來加載木馬。這種方法基本上擺脫了原有的木馬模式一監(jiān)聽端口，而采用替代系統(tǒng)功能的方法(改寫vxd或dll文件)，木馬將修改后的dll替換系統(tǒng)原來的dll，并對所有的函數(shù)調(diào)用進行過濾。對于常用函數(shù)的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)dll，對于一些事先約定好的特殊情況，木馬會自動執(zhí)行。一般情況下，dll只是進行監(jiān)聽，

44、一旦發(fā)現(xiàn)控制端的請求就激活自身。這種木馬沒有增加新的文件，不需要打開新的端口，沒有新的進程，使用常規(guī)的方法監(jiān)測不到它。在正常運行時，木馬幾乎沒有任何蹤跡，只有在木馬的控制端向被控制端發(fā)出特定的信息后，隱藏的程序才開始運行。3.3木馬常見的啟動方式木馬程序也和其它的計算機軟件或程序一樣，也必須把自己從硬盤或網(wǎng)上下載下來，調(diào)入系統(tǒng)中運行，從而實際其功能?？傮w上說來，特洛伊木馬程序主要有以下幾種啟動方式14：1、 隨正常的程序啟動而啟動一些特洛伊木馬程序為隱藏自己，將自己與其它一些正常應用程序捆綁在一起。一旦用戶運行被捆綁文件，特洛伊木馬程序就會進入系統(tǒng)運行。甚至一些木馬程序?qū)⒆陨砝夁M入系統(tǒng)文件。

45、這樣每次系統(tǒng)啟動，特洛伊木馬程序也會隨著啟動。2、 隱藏在配置文件（autoexec.bat和config.sys）中在windows系統(tǒng)中，config.sys文件主要是設置一些啟動參數(shù)和加載驅(qū)動程序。而autoexec.bat是系統(tǒng)開機自動運行的批處理文件。在特洛伊木馬程序出現(xiàn)的前期，一些狡猾的特洛伊木馬程序知道，一般用戶平時使用的是圖形化界面的操作系統(tǒng)，對于那些重要的系統(tǒng)配置文件幾乎是一竅不通，故而也不曾親身接觸過。這樣，這些系統(tǒng)配置文件恰好成為了這些特洛伊木馬程序一處絕好的藏身之地。而且特洛伊木馬程序還利用配置文件的特殊功能，很容易就能使自己在系統(tǒng)中運行、發(fā)作，從而偷窺、監(jiān)視被害者的秘

46、密或控制被害用戶的計算機系統(tǒng)。3、 潛伏在win.ini中在windows系統(tǒng)中，win.ini文件中提供了win 16程序需要的字體設置、文件關(guān)聯(lián)等信息，主要完成gui（圖形用戶接口）的相應的環(huán)境配置。特洛伊木馬程序要想達到控制或者監(jiān)視計算機的目的，就必須要運行，然而又不指望用戶自運行特洛伊木馬程序。所以，特洛伊木馬程序就必須在系統(tǒng)中找一個既安全能在統(tǒng)啟動時自動運行的地方。而在windows系統(tǒng)中，win.ini文件是特洛伊木馬程又一經(jīng)常隱藏的地方。在win.ini文件的windows字段中，它有兩行啟動命令，一行是“l(fā)oad=”，另一行是“run=”。在一般情況下，這兩個字段的“”后面是空

47、白的。如果它們有后跟程序，比如說，run=c:windowsfiles.exe或load=c:windowsfiles.exe。這個file.exe就很可能是特洛伊木馬程序了。4、 在system.ini中藏身在windows系統(tǒng)中，system.ini是win 16的系統(tǒng)硬件配置文件，win 9x又為其增加了一些新的設置，以保證win 16和win 32相互協(xié)調(diào)，使win 16可以調(diào)用vxd（虛擬設備驅(qū)動程序），這一點在w提供的系統(tǒng)調(diào)試參數(shù)中已充分體現(xiàn)。另外gui（圖形用戶接口）的外殼程序(shell，即界面程序)、鼠標、顯示器等驅(qū)動程序必須通過system.ini設置才能加載使用。這些均決

48、定了system.ini是絕對不能刪除的。這也充分證明了win 9x是一個win 16和win 32的混合系統(tǒng)，也揭示了win 9x系統(tǒng)先天脆弱的根本原因。windows安裝目錄下的system.ini也是特洛伊木馬最喜歡隱蔽的地方之一。在這個文件中，有一個boot字段，這個字段也是特洛伊木馬程序經(jīng)常用來自啟動的地方。另外，在system.ini中，386enh字段中的“driver=路徑程序名”，也有可能被特洛伊木馬程序所利用。再有，在system.ini中的mic、drivers、drivers32三個字段也是起著加載驅(qū)動程序的作用，因此也是增添特洛伊木馬程序的好場所。5、 偽裝成普通文件

49、相對而言，這種偽裝方式出現(xiàn)的比較晚，不過現(xiàn)在卻是十分流行，對于不熟悉操作系統(tǒng)的普通用戶來說，很容易上當。這個偽裝方式的具體方法就是把可執(zhí)行文件偽裝成圖片或文本在程序中把圖標改成windows的默認圖片圖標,再把文件名改為*.bmp.exe。由于windows系統(tǒng)默認設置是不顯示已知的文件后綴名,文件將會顯示為*.bmp。用戶一不注意點了這個圖標，那么特洛伊木馬程序就進入系統(tǒng)運行。6、 內(nèi)置到注冊表中在windows中，注冊表由兩個文件組成：system.dat和user.dat，保存在windows所在的文件夾中。它們都是由二進制數(shù)據(jù)組成。system.dat包含系統(tǒng)硬件和軟件的設置，user

50、.dat保存著與用戶有關(guān)的信息，例如，資源管理器的設置，顏色方案以及網(wǎng)絡口令等等。其中，注冊表中的hkey_local_machinesoftwaremicrosoftwindowscurrentversion下所有以“run”開頭的鍵值；hkey_current_usersoftwaremicrosoftwindowscurrentversion下所有以“run”開頭的鍵值；hkey-users.defaultsoftwaremicrosoftwindowscurrentversion下所有以“run”開頭的鍵值都是特洛伊木馬程序自動運行的好地方。7、 隱形于啟動組中有些特洛伊木馬程序比較特

51、殊，它們并不在乎能否長期隱藏自己，而是只能運行一次就足夠達到其目的了。因此它就將自己簡單的寫入了程序中的啟動項目組中，其對應的文件夾為：c:windowsstartmenuprogramsstartup，在注冊表中的位置：hkey_current_usersoftwaremicrosoftwindowscurrentversionexplorershellfolders startup=c:windowsstartmenuprogramsstartup。8、 隱蔽在winstart.bat中winstart.bat也像autoexec.bat一樣，是一個能自動被windows加載運行的文件。它

52、多數(shù)情況下為應用程序及windows自動生成，在執(zhí)行了w并加載了多數(shù)驅(qū)動程序之后開始執(zhí)行。由于autoexec.bat的功能可以由winstart.bat代替完成，因此特洛伊木馬程序完全可以像在autoexec.bat中那樣被加載運行。9、 設置在超級連接中隨著互聯(lián)網(wǎng)的不斷普及與技術(shù)的不斷發(fā)展，上網(wǎng)人數(shù)不斷增加，各種網(wǎng)站大量的出現(xiàn)。因此，很多特洛伊木馬程序就充分運用了人們喜愛上網(wǎng)的習慣，特洛伊木馬程序的制作者在網(wǎng)頁上放置各種惡意代碼，并使用各種方法引誘用戶點擊，然后在用戶的系統(tǒng)中運行特洛伊木馬程序，達到其侵入的目的。3.4遠程控制技術(shù)遠程計算機控制指的是基于一定的物理網(wǎng)絡(例如internet

53、網(wǎng)或者企業(yè)、校園的局域網(wǎng)絡)，通過一定的網(wǎng)絡協(xié)議(例如tcp/ip協(xié)議)，對分布在網(wǎng)絡上的計算機實現(xiàn)遠程控制、協(xié)同工作。這種控制是通過對基于網(wǎng)絡通訊的標準通訊協(xié)議和對目標機的操作系統(tǒng)響應方式的準確控制來實現(xiàn)的。3.4.1ip協(xié)議ip協(xié)議是tcp/ip協(xié)議族中最為核心的協(xié)議。所有的tcp、udp、icmp、igmp數(shù)據(jù)報都以口數(shù)據(jù)報格式傳輸。ip提供不可靠、無連接的數(shù)據(jù)報傳送服務15。不可靠(unreliable)的意思是它不能保證口數(shù)據(jù)報能夠成功地到達目的地。ip僅提供最好的傳輸服務。如果發(fā)生某種錯誤時，如某個路由器暫時用完了緩沖區(qū)，口有一個簡單的錯誤處理算法：丟棄該數(shù)據(jù)報，然后發(fā)送icmp消

54、息報給信源端。任何要求的可靠性必須由上層來提供(如tcp)。無連接(connectionless)這個術(shù)語的意思是m并不維護任何關(guān)于后續(xù)數(shù)據(jù)報的狀態(tài)信息。每個數(shù)據(jù)報的處理是相互獨立的。這也說明，口數(shù)據(jù)報可以不按發(fā)送順序接收。如果一個信源向相同的信宿發(fā)送兩個連續(xù)的數(shù)據(jù)報(先是a，然后是b)，每個數(shù)據(jù)報都是獨立地進行路由選擇，可能選擇不同的路線，因此b可能在a到達之前先到達。ip協(xié)議對于網(wǎng)絡通信具有非常重要的意義，網(wǎng)絡中的計算機通過安裝ip軟件，使許許多多的局域網(wǎng)構(gòu)成了一個龐大而又嚴密的通信系統(tǒng)，從而使internet看起來好像是真實存在的。實際上，它僅僅是利用ip協(xié)議就把全世界上所有愿意接入in

55、ternet的電腦連接了起來。3.4.2 tcp協(xié)議tcp協(xié)議位于傳輸層，它使用網(wǎng)絡層(口)為用戶提供一種面向連接的、可靠的字節(jié)流服務16。tcp是在rfc793中正式定義的。隨著時間的推移，檢測出了各種各樣的錯誤和不一致，并且在一些領域?qū)cp的要求也有所變化。這些說明和一些錯誤的解決方法詳細地記載在rfcll22中。在rfcl323中給出了對tcp的一些功能擴展。面向連接意味著兩個使用tcp的應用(通常是一個客戶和一個服務器)在彼此交換數(shù)據(jù)之前必須先建立一個tcp連接：這一過程和打電話很相似，先撥號振鈴，等待對方摘機說“喂”，然后才說明是誰。在一個tcp連接中，僅有兩方進行彼此通信。廣播和

56、多播不能用于tcp。tcp通過下列方式來提供可靠性：1、 應用數(shù)據(jù)被分割成tcp認為最適合發(fā)送的數(shù)據(jù)塊。這和udp完全不同。由tcp傳遞給口的信息單位稱為報文段或者段(segment)。2、 當tcp發(fā)出一個段后，它啟動一個定時器，等待目的端確認收到這個報文段。如果不能及時收到一個確認，重發(fā)這個報文段。這涉及tcp協(xié)議中自適應的超時及重傳策略。3、 當tcp收到發(fā)自tcp連接另一端的數(shù)據(jù)，它將發(fā)送確認消息。4、 tcp將保持它首部和數(shù)據(jù)的校驗和。這是一個端到端的檢驗和，目的是檢測數(shù)據(jù)在傳輸過程中的任何變化。如果收到段的檢驗和有差錯，tcp將丟棄這個報文段和不確認收到此報文段(希望發(fā)端超時并重發(fā)

57、)。5、 既然tcp報文段作為口數(shù)據(jù)報來傳輸，而口數(shù)據(jù)報的到達可能會失序，因此tcp報文段的到達也可能會失序。如果必要，tcp將對收到的數(shù)據(jù)進行重新排序，將收到的數(shù)據(jù)以正確的順序交給應用層。6、 既然口數(shù)據(jù)報會發(fā)生重復，tcp的接收端必須丟棄重復的數(shù)據(jù)。7、 tcp還能提供流量控制。tcp連接的每一方都有固定大小的緩沖空間。tcp的接收端只允許另一端發(fā)送接受端緩沖區(qū)所能接納的數(shù)據(jù)。這將防止較快主機致使較慢主機的緩沖區(qū)溢出。另外，tcp對字節(jié)流的內(nèi)容不作任何解釋。tcp不知道傳輸?shù)臄?shù)據(jù)字節(jié)流是二進制數(shù)據(jù)，還是ascii字符、ebcdic字符或者其他類型數(shù)據(jù)。對字節(jié)流的解釋由tcp連接雙方的應用層解釋。要實現(xiàn)tcp協(xié)議的功能，需要完成的機制包括：連接管理(如何建立和關(guān)閉連接)、滑動窗口機制、擁塞控制機制、定時器管理。3.4.3套接字(sockets)技術(shù)套接字是支持tcp/lp協(xié)議的網(wǎng)絡通信的基木操作