木马程序设计及植入技术

格式：doc
大小：354.00 KB
文档页数：51

下载文档原格式

木马的植入自启动和隐藏

计算机病毒与防治课程小组
木马自启动途径
3 加入系统启动组
在启动文件夹[Windir]\start menu\programs\startup\中添加程序或快捷方式，也可修改册表的位置：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\Shell Folders Startup]="windows\start menu\programs\startup"
计算机病毒与防治课程小组
木马入侵
通过缓冲区溢出植入木马
上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str 的长度大于16就会造成buffer的溢出，使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat(),sprintf(), vsprintt(), gets(), scanf()，以及在循环内的getc(), fgetc(), getchar()等。当然，随便往缓冲区中填东西造成它溢出一般只会出现Segmentation fault错误，而不能达到攻击的目的。如果在溢出的缓冲区中写入我们想执行的代码，再覆盖函数返回地址的内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。
通过电子邮件传播是一种最简单有效的方法，黑客通常给用户发电子邮件，而这个加在附件中的软件就是木马的服务器端程序。
缓冲区溢出攻击是植入木马最常用的手段。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
计算机病毒与防治课程小组
木入侵
通过缓冲区溢出植入木马
缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序： void function(char *str)｛ char buffer[16]; strcpy(buffer,str); }

计算机病毒与木马技术深度剖析

7
特性
—功能的特殊性通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、
设置口令、扫描目标机器人的IP地址、进行键盘记
录、远程注册表的操作以及锁定鼠标等功能。远程控制软件当然不会有这些功能，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。
Presentation Identifier Goes Here 11
伪装方法
木马更名木马服务端程序的命名也有很大的学问。如果不做任何修改，就使用原来的名字，谁不知道这是
个木马程序呢?所以木马的命名也是千奇百怪，不过
大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马
3
程序

程序就是一组指令执行序列
如：“原材料获取初步加工精细加零配件组装验收合格检验（入库)不合格(销毁)” 不同季度、不同情况时采用不同的执行的程序

程序就是一张计划书，记载着先做什么后做什么，木马其实就是具有破坏后果的程序
如：收集火药买雷管制成炸弹放置到公共场合引爆”

15
4、Ntldr又将系统由原来的16位实模式切换到32位保护模式或64位长模式。它的工作是读取根目录下的Boot.ini文件，显示引导菜单。它首先会加载Ntoskrnl.exe、Hal.dll，接
着读入注册表的SYSTEM键文件，从中找出自动启动的各
类驱动程序。 5、Ntoskrnl.exe（或Ntkrnlpa.exe）是内核程序，xp启动时的LOGO动画，它做的工作实在是太多了，它的最后一步工作就是创建会话管理子系统，也就是由System进程创
14
系统引导过程

3-5-2木马的植入、自启动和隐藏

计算机病毒与防治课程小组
木马自启动途径
程序自动启动的原理
1. 利用INI文件实现相关程序的自动启动 win.ini是系统保存在[Windir]目录下的一个系统初始化文件。系统在起动时会检索该文件中的相关项，以便对系统环境的初始设置。在该文件中的“[windows]”数据段中，有两个数据项 “load=” 和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关的程序。 Win.ini: [windows] load=file.exe run=file.exe System.ini: [boot] Shell=Explorer.exe Shell=Explorer.exe
计算机病毒与防治课程小组
WIN2K中“进程隐藏”的实现
//使用WriteProcessMemory函数将DLL路径名复制到远程进程的内存空间
BOOL lRetun Code= WriteProcessMemory(hRemoteProcess,pszt_lbFlleRemote,( PVOID) pazlbFileName, ICb, NULL);
[HKEY _LOCAL_MACHINE\Software\CLASSES\ShellScrap] @="Scrap object" "NeverShowExt"=" "
NeverShowExt键可以隐藏SHS文件的扩展名.shs。比如将一个文件改名为“abc.jpg.shs“它只会显示”abc.jpg”。如果你的注册表里有很多NeverShowExt键值，应予以删除。
计算机病毒与防治课程小组
木马进程的隐藏
访问令牌进程对象 VAD VAD VAD
对象句柄表项1 对象句柄表项2 „„

木马常用植入方法大曝光

接着把DOC和EXE合并：copy/banyname.doc＋anyname.exeanyname.doc。打开这个DOC文档，隐藏在其中的木马就会自动运行。不过还需要满足一个条件HKEY＿CURRENT＿USER＼Software＼Microsoft＼Office＼9.0＼Word＼Security中的Level值必须是1或者0。
DLL文件的特点决定了这种实现形式的木马的可行性和隐蔽性。首先，由于DLL文件映像可以被映射到调用进程的地址空间中，所以它能够共享宿主进程（调用DLL的进程）的资源，进而根据宿主进程在目标主机中的级别未经授权地访问相应的系统资源。其次，因为DLL没有被分配独立的进程地址空间，也就是说DLL的运行并不需要创建单独的进程，所以从系统的进程列表里看不见DLL的运行踪迹，从而可以避免在目标主机中留下木马进程踪迹，因此满足了隐蔽性的要求。
[AutoRun]//这是AutoRun部分开始，必须输入
Icon＝E：＼sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标
Open＝E：＼sexual.exe//指定要运行程序的路径和名称，在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序，那我们的电脑就危险了。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马，也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程，继续进入休眠状况。

八种硬件木马设计和实现

八种硬件木马设计和实现硬件木马是指通过在计算机硬件上植入恶意代码，实现对目标计算机的操控和攻击的一种恶意软件。

与软件木马相比，硬件木马更加隐蔽，很难被检测和清除。

下面将介绍八种常见的硬件木马设计和实现方法。

1.主板固件植入：通过对计算机主板固件进行修改，将恶意代码写入主板的固件中。

这样在计算机启动时，恶意代码会自动加载并运行，从而实现对目标计算机的控制。

2.硬盘固件植入：恶意代码可以被植入到硬盘的固件中，当计算机启动时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以读取硬盘上的数据，或者在计算机运行中篡改数据。

3.网卡固件植入：恶意代码可以被植入到网卡的固件中，当计算机连接到网络时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以监听和窃取网络通信数据，或者篡改传输数据。

4.显示器固件植入：恶意代码可以被植入到显示器的固件中，当计算机连接到显示器时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以监控和截获显示器的显示内容，包括屏幕上的敏感信息。

5.键盘固件植入：恶意代码可以被植入到键盘的固件中，当用户使用键盘输入时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以记录用户的敏感输入信息，如密码、信用卡号等。

6.鼠标固件植入：恶意代码可以被植入到鼠标的固件中，当用户使用鼠标时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以控制鼠标的移动和点击，实现对目标计算机的操控。

B设备植入：恶意代码可以被植入到USB设备的固件中，当用户将USB设备连接到计算机时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以利用USB设备传输恶意代码，实现对目标计算机的攻击。

8.CPU植入：恶意代码可以被植入到CPU中的控制电路中，当计算机启动时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以直接控制和操控CPU的功能，实现对目标计算机的远程控制。

以上是八种常见的硬件木马设计和实现方法。

由于硬件木马具有隐蔽性高、难以被检测和清除等特点，对于用户来说，保持计算机硬件的安全是至关重要的。

8木马伪装植入的方法

木马伪装植入的方法如果我们要想把自己的木马植入到别人的计算机上，首先就要伪装好自己。

一般来讲，木马主要有两种隐藏手段：①把自己伪装成一般的软件很多用户可能都遇到过这样的情况，在网站上得到一个自称是很好玩或是很有用的小程序，拿下来执行，但系统报告了内部错误，程序退出了。

一般人都会认为是程序没有开发好，不会疑心到运行了木马程序这上面。

等到运行自己的QQ等程序时，被告知密码不对，自己熟得不能再熟的密码怎么也进不去，这时才会想起检查自己的机器是否被人安装了木马这回事情。

提示：这种程序伪装成正常程序，实质是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。

②把自己绑定在正常的程序上面对于那些老到的黑客来说，他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件，然后用户在安装该正版程序时，就神不知鬼不觉地被种上木马了。

伪装之后，木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了，或者是放在网站上供人下载。

黑客还会为它们加上一些动人的话语来诱惑别人，像“最新火辣辣小电影！”、“CuteFTP5.0完全解密版！！！”等。

一点不骗人，在安装了这个CuteFTP之后，你的机器就被“完全解密”了，那些喜欢免费盗版的朋友们也要小心了！下面介绍几种常见的伪装植入木马的方法：修改木马图标将木马服务端程序更改图标，如设为图片图标，并将其扩展名设置为***.jpg.exe格式，直接发给对方，由于Windows的默认设置是隐藏已知文件的扩展名，所以对方收到后就会轻易相信这就是一幅图片。

对方运行后，结果毫无反应（运行木马后的典型表现），对方说：“怎么打不开呀!”，回答：“哎呀，不会程序是坏了吧?”，或者说：“对不起，我发错了!”，然后把正确的东西（正常游戏、图片等）发给对方，他收到后只顾高兴就不想刚才为什么会出现那种情况了。

虽然有些木马制作工具中带有修改图标的功能，但是黑客还常常使用其他辅助工具来修改图标。

木马种植的方法是什么

木马种植的方法是什么相信很多朋友都听说过木马程序，总觉得它很神秘、很高难，但事实上随着木马软件的智能化，很多骇客都能轻松达到攻击的目的。

下面是店铺精心为你整理的木马种植的方法，一起来看看。

木马种植的方法现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。

你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。

为了避免不熟悉木马的用户误运行服务端，现在流行的木马都没有提供单独的服务端程序，而是通过用户自己设置来生成服务端，黑洞2004也是这样。

首先运行黑洞2004，点击“功能/生成服务端”命令，弹出“服务端配置”界面。

由于黑洞2004采用了反弹技术(请参加小知识)，首先单击旁边的“查看”按钮，在弹出的窗口中设置新的域名，输入你事先申请空间的域名和密码，单击“域名注册”，在下面的窗口中会反映出注册的情况。

域名注册成功以后，返回“服务端配置”界面，填入刚刚申请的域名，以及“上线显示名称”、“注册表启动名称”等项目。

为了迷惑他人，可以点“更改服务端图标”按钮为服务端选择一个图标。

所有的设置都完成后，点击“生成EXE型服务端”就生成了一个服务端。

在生成服务端的同时，软件会自动使用UPX为服务端进行压缩，对服务端起到隐藏保护的作用。

服务端生成以后，下一步要做的是将服务端植入别人的电脑?常见的方法有，通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带，把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹，通过P2P软件(比如PP 点点通、百宝等)，让网友在毫无防范中下载并运行服务端程序。

由于本文主要面对普通的网络爱好者，所以就使用较为简单的Email夹带，为大家进行讲解。

我们使用大家经常会看到的Flash动画为例，建立一个文件夹命名为“好看的动画”，在该文件夹里边再建立文件夹“动画.files”，将木马服务端软件放到该文件夹中假设名称为“abc.exe”，再在该文件夹内建立flash文件，在flash文件的第1帧输入文字“您的播放插件不全，单击下边的按钮，再单击打开按钮安装插件”，新建一个按钮组件，将其拖到舞台中，打开动作面板，在里边输入“on (press) {getURL("动画.files/abc.exe");}”，表示当单击该按钮时执行abc这个文件。

深度剖析木马的植入与攻击

深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号：大中小订阅为了学习转的：第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马，也称特伊洛木马，英文名称为Trojan。

其本身就是为了入侵个人电脑而开发的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。

Windows本身没有监视网络的软件，所以不借助其它工具软件，许多时候是很难知道木马的存在和黑客的入侵的。

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该如何清除。

虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现自己是否中“木马”了。

3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法，因此，在本章中将使用较大篇幅来介绍木马的攻防技术。

木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，甚至可以远程监控这台计算机上的所有操作。

尽管资深的黑客是不屑于使用木马的，但在对网络安全事件的分析统计里，却发现有相当部分的网络入侵是通过木马来进行的，包括2002年微软被黑一案，据说就是通过一种普通的蠕虫木马侵入微软的系统，并且窃取了微软部分产品源代码的。

3-1-1 木马是如何侵入系统的小博士，你好！可以给我讲一下木马是如何侵入系统的吗？没问题，一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控制植入木马的计算机，服务器端程序就是通常所说的木马程序。

攻击者要通过木马攻击计算机系统，他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。

木马常见植入方法大曝光

对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。

当受害者打开QQ时，这个有问题的文件即会同时执行。

学习情景5-2木马的植入、自启动和隐藏技术

《计算机病毒与防治》学习情景设计
学习情景三典型病毒防治
教学单元3-5-1
木马的植入、自启动和隐藏技术
课程基本信息
制定人
授课时间
授课班级
计划学时
教
学
目
标
1、让学生掌握木马的植入技术；
2、让学生掌握木马的自启动原理；
3、让学生了解木马的自启动的实现技术；
4、让学生掌握木马的隐藏手段；
5、让学生掌握木马隐藏技术的实现；
1、角色扮演复习法
学生以角色扮演的方式，每个学生扮演一种类型的病毒特征，对该特征进行阐述。
体现学习过程考核。
对知识的学习和运用能力
2、情景引入
在了解了木马病毒的基础知识之上，更深入一部向学生讲解木马病毒涉及到的一些关键技术。包括：植入、自启动、隐藏技术。
1、情景引入法
结合日常生活和兴趣点的情景引入是激发学生对课程兴趣的关键。
教
学
资
源
1、多媒体教室
2、授课教程
3、多媒体课件
3、演示动画
4、任务清单
5、黑板
教学重点
让学生掌握木马相关的关键技术。
教学难点
木马各种关键技术的实现方式。
课程内容
教学情景设计
教学方法建议
能力培养
1、复习
通过角色扮演法法对上次课程中木马病毒的特点进行复习，巩固上次的学习成果。
对学生的掌握情况进行点评。
1、案例教学法
通过引入案例，给学生以生动形象的教学。
8、木马隐藏原理
向学生讲解木马隐藏中的两个主要步骤部分。
1、教师讲解法
9、实列分析
对木马的隐藏进程技术以程序案例的方式进行分析。
1、案例教学法

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

中南大学本科生毕业论文（设计）题目木马程序设计及植入技术学生姓名______________指导教师_______ _________学院__ __专业班级______________完成时间[都是些细节小问题，细心下噻，另正文页码直接用数字就行了]摘要黑客技术是当今最火热的一个领域，近年来，黑客攻击层出不穷，对网络安全构成了极大的威胁。

木马是黑客的主要攻击手段之一，它通过渗透进入对方主机系统，从而实现对目标主机的远处操作, 破坏力相当之大。

本文综合了木马的发展过程，木马的类型，分析了各种木马的特点，揭示了木马的隐藏方法、特点，及木马的通信方式。

本文简要分析了Windows操作系统的安全机制，防火墙，防病毒软件的工作原理和木马防范的方法，重点研究了一个木马的设计及Visual C++的实现。

本文设计的不是通常木马C/S结构，它旨在发送键盘记录的文件，所以它有两个重点部分，本地信息收集部分，以及信息发送部分。

信息收集主要是实现被植入机器的记事本程序的键盘记录，当记事本的程序运行时，程序中的键盘钩子就开始工作，并且记录下键盘上的记录。

在信息发送部分，本文采用了发送email的形式，这样虽然比较原始，但是这种方式可以避免频繁地打开端口。

同时本文在木马隐藏部分也做了不少工作。

在Win9x与Windows NT方面都做的不错。

在Win9x下将木马注册为系统服务，并且使其在进程中消失，在Windows NT 中，将其进程名变为svchost.exe，使得其足够能够迷惑系统管理员。

木马运行后将自动将自身复制到系统目录下，并且将其命名为一个类似系统文件的名字，使得管理员在众多的系统文件中，不敢轻易删除文件。

为了尽量防止杀毒软件和防火墙警报，并且努力避免被系统管理员的察觉，减少被发现的概率，在通信部分，采用严格控制邮件发送的次数和时间发送邮件的办法，并且在发送邮件前杀死防火墙进程，使其逃避防火墙的报警。

关键词[：，小四号加粗宋体，英文同]计算机安全, 木马 , 键盘钩子, Email, 进程隐藏ABSTRACTThe hacker technology nowadays is the angriest field. I n recent years, the hacker’s attacks appear endlessly. it is a great threat to network’s security. The Trojan horse is one of the hacker's main attack means, that illegally gains access to another host computer system and to obtain secret information or monitor special operations .so it is quiet serious.This text comprehensive evolution of Trojan horse and the type of Trojan horse, it also analyses the characteristics of different Trojan horse and announce the method and characteristics of hiding , and the communication way of the Trojan horse.This text has analyzed the security mechanism of Windows operating system and the principle of the fire wall[firewall，后同] and anti-virus software briefly , and make a key research on the design of a Trojan horse and realization with Microsoft Visual C++. This text doesn’t designs the usually structure of C/S, aiming at sending the file that the keylog is written down, so it has two key parts, one of them is part of local information gathering keyboard information , the other part is sending information. Information gathering is mainly to realize the notepad keyboard record of the computer which Trojan horse has been planted into 。

[标点统一英文]when the procedure[进程用process好些，后边相关改下] of the notepad being performed , the keyboard hook in the procedure begins to work, and record the keyboard. In the part of sending information, this text has used the form of sending email, though it seems to be more primitive , it is able to avoid of opening the port frequently.At the same time，this text made much effort on the part of Trojan horse hiding. What has been done in Win9x and Windows NT is very well. Register the hobbyhorse for the service of the system under Win9x, and make it disappeared in process, in Windows NT , turn its process name into SVCHOST. EXE[小写], which is able to confuse the system manager.The Trojan horse will be copied to the systematic catalogue automatically after the hobbyhorse is operated, and will be named as similar one of the systematic files ,whichmake administrators dare not to delete the file easily among the numerous systematic file .To avoid antivirus software and fire wall’s alarm , the perception of the system manager, and to decrease probability of being percepted Trojan horse .[前面的句子有问题，连不上]In communication part, it controls the number of times and time of sending emails strictly .Before sending Emails ,it kills the fire wall process , so that it can escape from the alarm of fire wall .KEYWORDS[：]Computer[ ]Security, Trojan[ ]horse, KeyLog, Email,Process[ ]Hiding[英文单词间都空一格，标点紧跟单词，后空一格较美观，统一一下吧]目录第一章绪论 (1)1.1计算机安全背景 (1)1.2木马的研究背景 (1)1.2.1 木马的产生背景 (1)1.2.2木马的发展过程 (2)1.2.3木马的未来 (2)1.3WINDOWS安全机制 (3)1.4研究内容与本文所做的工作 (3)1.5本课题的设计目的及意义 (4)1.6论文的组织 (5)第二章木马程序的总体设计及关键技术分析 (6)2.1程序设计环境 (6)2.2方案分析及基本思想 (6)2.3程序总体结构 (7)2.3.1 木马程序的主体部分 (9)2.3.2 WINDOWS键盘事件监控原理 (10)2.3.3 电子邮件实现原理 (11)2.4关键技术 (15)2.4.1 MFC (15)2.4.2 动态链接库技术 (18)第三章木马程序的实现 (20)3.1木马的主体部分 (20)3.1.1 自身复制模块 (21)3.1.2 自启动模块 (21)3.1.3 隐藏模块 (22)3.1.4 提升权限模块 (24)3.1.5 杀死目标进程模块 (25)3.1.6 判断发送条件 (27)3.2键盘记录的具体实现 (28)3.2.1 钩子的制作 (29)3.2.2 钩子的使用 (30)3.3发送邮件的实现 (31)3.3.1 SMTP协议的会话流程 (31)3.2.2 邮件的格式化 (31)3.3.3 由Socket套接字为SMTP提供网络通讯基础 (32)3.3.4 SMTP会话应答的实现 (33)3.3.5 base64编码 (35)3.4木马的捆绑 (35)第四章“木马”病毒的防范 (37)4.1木马的入侵 (37)4.2如何发现自己电脑中的木马 (37)4.3删除木马 (38)4.4使用防火墙 (39)4.5使用杀毒软件 (39)4.5.1 杀毒基本原理 (39)4.5.2 经典杀毒引擎介绍 (40)4.6注意事项 (41)第五章结束语 (43)参考文献 (44)致谢 (45)[目录可以考虑单独编页码，使用分节即可实现]第一章绪论1.1 计算机安全背景计算机网络技术的飞速发展和普及应用,使人们充分享受网络带来的种种便利, 与此同时, 也对网络与系统安全提出了更高的要求。