第6小组黑客木马编程.ppt

第6小组黑客木马编程 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望特洛伊木马的发展历史特洛伊木马的发展历史基本的TCP/IP木马，代表:BO,冰河，采用基本的C/S结构容易被查杀和拦截反向连接木马，代表：网络神偷，灰鸽子，在受害机端主动连接控制端，易于突破防火墙ICMP木马,代表:lionbackdoor，改写传输层协议，隐蔽性强DLL木马，无进程，特征码易于变化，难以被查杀项目目的项目目的通过实际的木马编程，从根本上熟悉和掌握特洛伊木马的原理认真地完成一个完整的软件开发过程，体会其中的难点，增加项目经验编程完毕后准备实现开源，让大众分享我们的研究成果通过项目掌握扩展性网络编程的技术，为将来的一系列项目打下基础设计思想设计思想来自网络的调查使用.Net Framework 1.1 or 1.0 占25%没有安装.Net Framework 占21%不知道什么是.Net Framework 占54%控制端采用.Net Framework开发，强调效率和开发速度;被控端采用Win32+Winsock2等底层方法编写，强调兼容性采用动态远程进程DLL插入技术，无进程，绕开主流防火墙的检查通信采用自己设计的加密方式进行采用插件技术扩展木马功能设计思想设计思想2舍弃MFC,利用Win32API+WinSock2直接编写服务端，最大程度上减小木马程序的大小。小尺寸有助于木马的传播和隐藏采用DLL动态插入技术编写，即使访问网络的进程被防火墙拦截，也很容易被用户允许插件技术是本木马的最大特色，分离木马功能可以使容量进一步减少，并且提高再开发的效率，也助于特征码的修改插件举例插件举例基本端功能:文件传输，插件安装，目录列表，系统参数读取插件功能：键盘记录，代理服务器建立，屏幕控制，音频窃听，硬件控制插件版本统一控制，确保安全性完整SDK发布，向互联网征求更多更好的插件Client发送插件 生成木马通信插件集目标EXE配置文件插件（选项）主DLL插件（选项）ServerDLL主程序功能插件功能插件集DLLsClient搜索受控主机控制Server对应插件集安装新插件加密方式通信小组会议小组会议3-5周组员在互联网上寻找收集有关的木马资料在第五周我们召开了第一次小组会议，主要把大家收集到的有关木马资料做了汇总分析5-8周，陈天翔和鲁晨平讨论并最后确定了这个程序的思想和技术框架第八周第二次小组会议，向大家介绍了项目思想，共享了技术文档并且划分了各人的具体分工8-Now,组员在各自负责的技术领域内做技术研究，攻克各个技术要点技术难点技术难点.Net托管Socket和Winsock2之间的通信DLL插入技术，如何保证程序工作正常以及系统稳定，找到平衡点数据加密，防止通信内容被嗅探监听PE格式研究，文件捆绑技术，EXE自写入自读取技术插件技术，开发完整的插件定义，方便地扩展木马的功能个人工作总结个人工作总结第二周完成了8个小作业，帮助组员解决书上的错误，使大家尽快熟悉网络编程第三周了解到个别组员对于木马不太熟悉，向大家推荐了一些网站让大家熟悉并且收集有关木马资料第五周召开了第一次小组会议，整理了大家的资料并且把精华部分编译为CHM放在网上供大家使用第五周-第八周，与鲁晨平一起完成了一个原形系统，可以执行简单的操作。并在编程的实际基础上精化和修改了我们的项目计划第八周召开第二次小组会议，把我们的项目设计思想向大家作了形象的解释。由于本项目涉及到的难点比较前沿而且冷门，查阅普通书籍显然无法满足要求，因此把各个技术难点分给组员研究，掌握技术要点后，整合自然不是问题第八周以后在safechina，绿色安盟，CSDN，MSDN上提问具体的技术细节，主要集中在插件技术和子类化技术上任务分配任务分配陈天翔：Client端开发，客户插件技术研究鲁晨平：Server端开发，通信语法语义定义，服务插件开发王佳豪：DLL动态插入技术研究顾晓宇：软件开发过程规范化，研究文档撰写及管理规范柯伟：数据加密实现，开发加密技术，实现保密通信冯一梁：主流病毒/网络防火墙工作机理研究,各类防火墙进程和特点总结叶谋润：PE格式研究，文件捆绑技术实现，Server端信息文件定义及读取实现谢谢观赏谢谢观赏下面请其他组员介绍