【毕业学位论文】（Word原稿）高隐匿度远程控制后门系统的研究和实现-软件工程

中图分类号： 学校代码： 10055 密级： 硕 士 专 业 学 位 论 文 高隐匿度远程控制后门系统的研究和实现 f 要 I 摘要 近年来，后门 技术在网络空间安全 领域得到广泛关注， 相关技术 涉及到网络安全研究的诸多 方面 ，如 数据加密、 道 技术 、代理 技术 、网络嗅探、 漏洞利用等 等 。 研究后门程序的技术原理， 设 计和实现高隐匿后门系统，是 建立 网络 攻防靶场的关键内容， 可为 提高网络攻击和防护水平，应对国家 网络空间 安全的巨大挑战提供技术支撑 。 针对网络 攻击和防御的 实际需求， 本文设计和实现了一套高隐匿远程控制后门系统。 该系统包括高隐匿服务端、 后门控制端 ，以及隐匿通信通道三个子系统。 高隐匿服务端 子系统 部署 在被控主机节点上， 不仅 可对 文件、进程、注册表、桌面、键盘记录、多媒体设备等 进行远程管理 ，而且具有文件、注册表、进程、服务、端口、动态链接库等 操作系统关键属性的 隐藏功能，以隐藏后门程序的痕迹，提高其在被控系统上的生存能力。 隐 匿通信通道 子系统 利用互联网的基础网络环境和资源， 结合第三方中转节点，应用信息隐藏和视觉加密技术， 构建 了 后门服务端与控制端之间的通信通道，能够为其提供双向的、可靠的、机密的、 可穿透内网的、抗追踪溯源的隐匿的通信服务。 后门控制端 子系统 采用统一描述的命令和协议， 将用户的远程控制需求变换为相应的远程控制 协议或指令，将其发送给后门服务端执行，并接收显示相应的执行结果 ，从而实现可扩展性较强的人机交互界面。 综上所述， 本文 设计和实现 了 高隐匿远程控制后门系统 ，该系统 功能丰富、扩展性强、具有穿透内网、抗追踪溯源能力。相关研 究 成果可以直接应用于网络攻防靶场构建、红蓝模拟对抗等诸多领域，对 提高网络攻击和防护水平， 维护我国网络空间安全具有积极的意义。 关键词 ： 特洛伊 木马 ， 后门 ， 恶意代码 I n in of in as In we of is to of of a is on to S, as of on of to a It is be to to or it to to it I In we be to be to as to of 录 录 第一 章 引言 . 1 第一节 研究背景 . 1 第二节 隐匿后门的研究现状 . 2 门典型案例分析 . 2 门分类的分析 . 3 门传播途径的分析 . 4 门常用的隐藏方法 . 5 门的自启动方式 . 6 第三节 论文结构 . 8 第 二 章 远程控制后门系统的功能设计 . 10 第一节 高隐匿后门的需求分析 . 10 程控制功能需求 . 10 藏功能需求 . 12 匿通信功能需求 . 13 第二节 远程控制后门总体框架 . 14 第三节 本章小结 . 16 第 三 章 高隐匿后门服务端的设计和实现 . 17 第一节 后门服务端框架 . 17 第二节 基础支撑层的设计与实现 . 18 截模块的设计与实现 . 18 程注入模块的设计与实现 . 20 第三节 隐藏功能层的设计与实现 . 22 册表隐藏模块的设计实现 . 22 件隐藏模块的设计与实现 . 24 程隐藏模块的设计与实现 . 25 务隐藏模块的设计与实现 . 26 口隐藏模块的设计与实现 . 28 态连接库隐藏模块的设计与实现 . 29 目录 四节 本章小结 . 31 第 四 章 基于视觉密码和信息隐藏的隐匿通信通道 . 32 第一节 系统基本通信框架 . 32 第二节 视觉加解密模块 . 33 觉加解密方案 . 33 觉加解密模块设计与实现 . 36 第三节 信息的隐藏和提取模块 . 37 于 像的隐藏设计 . 37 像隐藏方案 . 38 息的隐藏和提取模块的实现 . 39 第四节 秘密信息的通信模块 . 40 第五节 本章小结 . 42 第 五 章 基于统一描述的可扩展控制端 . 44 第一节 控制命令的统一描述方案 . 44 于统一描述的控制命令设计 . 44 于统一描述的通信方案设计 . 46 第二节 后门控制端的设计与实现 . 47 络通信模块的设计与实现 . 48 道模块的设计与实现 . 51 第三节 本章小结 . 52 第 六 章 总结与展望 . 53 第一节 主要工作 . 53 第二节 未来展望 . 53 参考文献 . 55 致谢 . 57 个人简历 . 57 第 一 章 引言 1 第一章 引言 近年来，随着科学技术的进步，计算机网络得到了飞速的发展。 根据 2013年 告， 当前 中国网民规模 达到 ，其中手机网民规模 达到 络购物、网络支付、网上银行等电子商务类应用也稳步发展，用户规模均超过 2 亿 1。 网络的发展使其形成了一个与现实世界相对独立的虚拟空间。在网络空间中，由于其具有联结形式多样性，互联性 等特点，加之安全监管机制匮乏，安全意识不强，使得网络空间的安全性受到严重的威胁。在影响网络空间安全的因素中，后门程序是一类重要的威胁 2。 第一节 研究背景 当前， 网络安全已成为影响互联网 快速、健康发展的关键问题之一，而后门程序作为网络安全的一类重要威胁，驱动其不断发展和应用的支撑技术也在不断创新，这是网络安全研究的一个前沿领域，涉及到数据加密、线程插入 34、67、封包、隧道、通信代理、网络嗅探 8 9、文件捆绑 10、 件修改等各种网络攻防技术。研究后门程 序的技术原理， 设计和实现高隐匿后门系统， 是 建立 网络 攻防靶场的关键内容，可为 提高网络攻击和防护水平，应对国家 网络空间安全的巨大挑战提供技术支撑 。 后门也叫做陷阱门 ， 是访问程序、在线服务的一种秘密方式。通过安装后门 ， 攻击者可保持一条秘密的通道 11。 网络攻击者则设法在受攻击的目标系统上安装后门，以实现对计算机系统的入侵和控制。 后门软件对于网络安全带来严重威胁，例如 远程控制用户信息系统，窃取企业和用户 银行账户 、网上交易账户、游戏账户等各类保密信息，实时监控用户的上网行为，发动网络攻击等等。 “冰河 ”12、 “13、 “14、 “15等大量知名后门在互联网上快速传播和运行，对各国网络安全及社会生活各个领域造成了重大影响。例如， 2012年， 程管理工具 6的中文版被爆出存在后门，该后门会自动窃取管理员所输入的 户名与口令，并将其发送至指定服务器上。通过跟踪分析发现，中文版 理软件连接服务器时，程序会自动记录登录时的用户第 一 章 引言 2 名、密码和服务器 址等信息，并会以 方式将这些信息发送到指定的服务器上 。 本文针对互联网攻击和防御的实际需求，从工程实践的角度， 本文 设计和实现了高隐匿远程控制后门系统，该系统功能丰富、扩展性强、具有穿透内网、抗追踪溯源能力。相关研究成果可以直接应用于网络攻防靶场构建、红蓝模拟对抗等诸多领域， 提高网络攻击和防护水平 。 同时，本文的技术研究成果和项目实践经验，将为后续的木马研发及其他网络安全研究工作提供良好的理论和实践基础 ，维护我国网络空间安全具有积极的意义 。 第二节 隐匿后门的研究现状 后门程序是一 种恶意程序，能绕过系统已有的安全设置，获取远程访问和控制系统的权限。后门程序类似于通常所说的 木马 ，它们都隐藏在被攻击的系统中，对其具有一定的操作权限，并由攻击者通过网络远程进行操控，以便实施对攻击目标的控制。但与木马相比，后门程序更加追求隐蔽性，功能更加单一化，且体积较小。 由于后门程序是黑客实施网络攻击的常用工具，其后常常隐藏着 信息安全地下黑色产业 链，后门程序相关技术往往仅限于黑 客之间的私下交流，公开文献鲜见。为此，本节首先分析 在此基础上分别从后门的分类、传播途径、隐藏方法、自启动方式等方面探讨和分析后门程序采用的相关技术。 门典型案例分析 本节 分别分析 典型 后门程序 ，讨论 和分析其 基本原理、采用的相关技术等 。 2008 年，在互联网上流传后门程序“ 17，该后门程序 通过网络传播，运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后 该后门 会创建系统服务，实现随系统自启动。它还会新建 程并设置该进程为隐藏，然后将 后门 自身插入该进程中。通过在后台记录用户键盘操作， 该后门 会偷取用户信息和本地系统信息等，并将该信第 一 章 引言 3 息发送给黑客。如此用户计算机将被 远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等。 “ 红娘大盗 ” 的 变种 8是 “ 红娘大盗 ” 后门家族的成员之一 。该后门采用 采用 编写 ，运行后 将自身 复制到被感染计算机系统的“ % 文件夹里，并重命名为 “ 并 自我注册为系统服务，实现 “ 红娘大盗 ” 变种 的 开机自动 。 该后门可以 破坏某些安全软件的监控，大大降低被感染计算机系统的安全性 ，并 在后台秘密记录用户的键盘操作和鼠标操作，窃取用户输入的 信息，发送 给 黑客 。 该后门 与 黑客 指定的服务器建立网络连接， 帮助 黑客 远程 控制 被感染的计算机 ，使 黑客 可在被感染的计算机上进行任意文件操作、进程操作 、 注册表操作 、 服务操作 、 屏幕监控、摄像头抓图、命令操作等。 后门程序 9也是安全威胁较大的一种后门 。 该样本是使用“ C/C+”编写的后门程序 ，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是控制用户系统 ，用户中毒后，会出现网络运行缓慢，网络端口开启，运行未知进程等 。 后门程序 0采用 开发， 运行后复制自身到“ % 目录下，并重命名 生 后门 文件，并删除自身。 该后门可以 修改注册表，添加启动项，以达到随机启动的目的。后门 新建 件，屏蔽相关网站 ， 尝试连接到 务器，等待受控。 后门程序 1是“灰鸽子”在 2005 年的一个“变种 ”。该后门运行后将创建一系列病毒程序，并通过修改注册表项，将自身添加为服务， 将 入到 系统 的 每个进程中，通过 统函数隐藏 自身。 门分类 的 分析 目前，网络安全领域的后门程序五花八门，其技术发展和应用领域的拓展日新月异，相应地也存在着多种分类标准。本文从后门使用的技术 角度对后门程序分类分析 。 1、网页后门 22。此类 后门 程序一般都是 通过 服务器上正常的 务来构造自己的连接方式， 如 本后门等。 这类 后门是一段网页代码，这些第 一 章 引言 4 代码都 运行在服务器端，攻击者通过设计代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透获得服务器的控制权。 2、线程插入后门 23。 此类后门 利用系统自身的某个服务或者线程，将后门程序插入到其中。这种后门在运行时没有进程，所有网络操作均 寄生 到其他应用程序的进程中完成。可突破对方防火墙，其隐蔽性较强，不易被安全软件查杀，且功能比较强大。 3、 c/s 后门 24。 此类后门采用 和传统的木马程序类似的控制方法，采用 “ 客户端 /服务端 ” 的控制方式，通过某种特定的访问方式来启动后门程序，并向其发送命 令控制后 门程序，可获取 被控系统的 信息、文件等。 4、扩展后门 25。所谓的 “扩展 ”，是指在功能上有扩展 ，比普通的单一功能的后门有很强的 实用 性，这种后门本身就相当于一个小型安全工具包，能实现多种常见安全功能。 该类后门常常 将 多种黑客常用 功能集成到了后门里， 便于直接控制对方机器或者服务器 ，例如具有 文件上传 /下载、系统用户检测、 端安装、端口开放、启动 /停止服务等功能。 5、 门 26。 门 主要通过替换系统文件 使得 其本身 更加隐蔽，使检测变得困难。有些 门 可以通过 替换 件或更改系统 实施 攻击 。 不能直接获得权限， 需要通过其他方式获取 系统根权限以后 ，才能安装该类后门并 隐藏 相关 行迹。 此外， 还可从其他角度对后门程序进行分类。例如， 基于功能任务的分类，可分为密码破译类后门、校验和及时间戳后门、隐匿进程后门、隐匿网络通信后门等；基于运行载体的分类，可分为利用系统服务和应用服务建立的后门、利用加密函数等共享库函数建立的后门、利用内核操作机制建立的后门、 利用文件系统属性建立的后门等 ； 基于通信连接方式的分类，可分为 端口监听 后门 、端口反弹 后门 等 ； 基于应用领域的分类 ，可分为网络银行后门、即时通信后门、网游后门、广告后门等等。 门传播途径 的 分析 本节从后门的传播途径角度分析 后门程序的常见 技术。 1、通过嵌入在电子邮件的附件文档中 传播 。当用户被具有诱惑性的邮件主题和内容所吸引，点击执行附件中的文档时，其中嵌入的后门服务器端程序将第 一 章 引言 5 被释放并得以执行。如后门程序 是 通过邮件进行传播，伪装成照片， 用户双击后显示无法打开图片， 从而完成后门的传播 。 2、通过捆绑在正常软件程序中 传播 。利用各种 件捆绑工具（如 可以将后门程序与流行的软件下载网站 上提供的正常软件捆绑成一个程序。当用户下载并执行这类程序时， 被 绑定的后门将被释放并得以执行。后门 “冰河 ”就自带一个捆绑工具，可以把 后门 代码嵌入到网页文件、 图片文件、可执行文件等多种支持脚本语言或运行代码的文件中。当接 收到这些文件时，几乎感觉不到有任何异样， 即可实现后门传播 。 3、通过操作系统漏洞直接下载运行后门。攻击者可以利用操作系统自身的某些漏洞，执行定制的 码来下载并执行后门。后门程序利用用户操作系统漏 洞和其它恶意程序进行传播， 自我复制到系统目录下 ，完成后门传播。 4、通过感染 件的方式进行传播。这类后门相对数量较少，但却使得后门具备了传染特性。如后门程序 冰河的一个变种都会感染件并进行传播。 5、通过即时通信类软件进行传播。随着 术和应用的快速发展，一些具有特定功能 的后门能够利用即时通信类 软件进行传播感染，例如基于 件的自动发送广告消息功能进行传播的 “子（ ”，以及数以百计的频繁变异更新的 “巴 ”、 号等后门 等 。 6、通过蠕虫病毒进行传播。一些攻击者利用蠕虫的高效传播特性来散布和执行后门，许多病毒在成功感染计算机或移动终端后会在其上安装后门程序，以便保持后门在受攻击目标系统上的长久存在。如后门程序 用 其他病毒进行释放，并在成功安装后，记录电脑的键盘操作，获得用户的邮箱密码、银行账户密码等等。 门常用的隐藏方法 后门在目标系统上运行时需保持自身和网络通信行为的隐蔽状态，以避免被防护系统检测到或者被用户所警觉。后门程序常用的隐藏方法，一是利用社会工程学的办法，加强后 门自身程序的欺骗性；二是利用技术手段藏匿自身的可见性。 第 一 章 引言 6 1、利用社会工程学方法提高后门程序的伪装性。为提高后门程序在外观上的伪装性，其文件可选取类似于系统文件名的名称，例如，数字 “1”伪装成字母 “l”）、 数字 “0”伪装成字母 “o”），甚至直接选用某个系统文件的名称作为后门文件名（但后门与系统文件保存在不同的存储路径之上），以增大用户辨识出后门文件的难度。由于后门和正常文件的名称相近或完全相同，用户经常会忽略这类攻击程序，从而有效降低了其被发现 的可能性。 2、利用技术方法藏匿后门程序的外部特征。 若后门进程在目标机器中能被显示或查找，无疑会暴漏后门程序 。若能够有效隐藏自己的 外部特征 ， 将大大提高后门的隐蔽性。 目前有以下几种 隐藏 后门程序 特征的方法 。 1）截获 特征 查看函数调用。操作系统中有很多方法能够查看到进程的存在，例如在 可对进程进行查看。可以通过截获相应的 数，替换返回的数据，实现对后门进程的隐藏。 2）使用 术。不使用单独的进程运行后门程序，可以有效隐藏后门程序的运行。 件没有程序逻辑，不能独立运行，一般是由进程加载并调用的，不会出现在进程列表中。通过自己设计的 换掉系统已知的 将其嵌入到已知 ，并对所有的对该 调用进行过滤转发，可实现后门程序的隐藏。 3） 入技术。 后门 可以动态潜入到正在运行的进程中，不建立独立的进程，很难被发现，对监控系统起到了隐藏的作用，有效提供高了后门程序的安全性能。 4） 术隐藏 后门的特征 。 术的主 要目的就是实现隐藏，其可对进程、服务、注册表项、键值以及端口 等 进行隐藏。 使用两种方法对后门程序进行隐藏。一种是 通过拦截系统 改调用函数的返回值，达到隐藏的目的；另一种是通过修改系统内核的数据结构，返回错误的信息，从而对后门程序进行隐藏。 门的自启动方式 为了能够在受入侵系统重新启动后仍对其保持控制，后门需要具有在系统重启后的自动运行能力，即自启动特性 。目前主流的自启动方式包括如下几类 ： 第 一 章 引言 7 1、以 式启动 后门 。可以将后门可执行程序或其快捷方式置于系统当前用户或所有 用户的启动文件夹，例如以下文件夹路径： （ 1） “C:开始菜单 程序 启动 ” （ 2） “ C:开始菜单 程序 启动 ” 2、注册表自启动 项启动 后门 。 可以将后门可执行程序的执行路径置于注册表 的自启动项中 ，例如以下注册表位置： （ 1 ） “T下的 “ “项 （ 2 ） “下的 “和“项 3、以服务方式启动 后门 。通过替换或创建服务的方式来启动后门，例如，可以修改注册表键 “目的内容，将后门的执行路径加入其中。 4、以 载方式启动后门。例如，可以将后门 的执行路径添加到注册表键 “的以下子项中： （ 1） 2） 3） 4） 5） 、以 览器加载方式启动后门。可以将后门执行路径添加到注册表键“的以下子项中： （ 1） 2） （ 3） 者，将后门执行路径添加到注册表键 “。 6、以计划任务方式启动后门。例如， 品的 务。 7、以 式启动后门。 可以将后门程序的可执行文件路径添加到 “T册表项 中 。 第 一 章 引言 8 8、以 式启动后门。 可以将后门程序的 可执行文件路径添 加 到 “注册表项中 。 9、以 式启动后门。 可以将后门程序的可执行文件路径添加到 “册表项中 。 10、以 式启动后门。 可以将后门程序的可执行文件路径添加到“T注册表项中 。 9、以驱动程序方式启动后门。 可以将后门程序的可执行文件路径添加到“册表项中 。 10、以 式启动后门。 可以将后门程序的可执行文件路径添加到 “注册表项中 。 11、以 式启动后门。 可以将后门程序的可执行文件路径添加到 “T册表项中 。 12、以 式启动后门。 可以将后门程序的可执行文件路径添加到 “册表项中 。 13、以脚本方式启动后门。 利用 系统脚本来自启动后门。 14、 捆绑启动。通过文件捆绑、命令关联等方式启动后门 。 第三节 论文结构 本文针对互联网攻击和防御的实际需求，从工程实践的角度，综合分析比较国内外后门发展的新技术，设计了兼容多个 作系统、高隐匿的后门方案。 本文的论文组织结构如下 ： 第一章 首先 概述 课题的研究背景， 然后从后门的典型案例、分类、传播途径、隐藏方法、自启动方式等方面分析和探讨隐匿后门的研究现状 。 第 一 章 引言 9 第 二 章 首先从远程控制后门系统的业务功能、隐藏功能、隐匿通 信功能等方面分析系统的需求。在此基础上， 给出了远程控制系统的总体框架 ， 将后门系统划分为后门服务端、后门控制端，以及后门服务端与控制端之间的隐匿通信通道三子系统，并讨论了各子系统的功能、设计方式和部署要求。 第 三 章讨论了 统中后门服务端的设计方案， 首先根据第二章讨论的需求和总体框架，给出了后门服务端的设计架构，该架构中包括基础支撑层、隐藏功能层、业务功能层、管理配置层， 详细阐述了 各层次的模块组成和功能。然后 分别 对 后门服务端子系统的 截模块、线程注入模块、注册表隐藏模块、文件隐藏模块、进程隐 藏模块、服务隐藏模块、端口隐藏模块、动态链接库隐藏模块等的设计和实现进行了详细描述。 第 四 章 讨论了隐匿通信通道子系统的设计与实现。 首先给出了该子系统的基本通信框架，然后详细描述了框架中的视频加密解密、信息隐藏提取等关键模块的设计与实现方法。 该子系统利用了 信息隐藏技术在秘密通信过程中具有不可感知性的特点 ， 基于信息隐藏技术和视觉密码技术 ， 设计了通过第三方的公开网络平台构建后门服务端与控制端进行通信方法，实现对通信关系、通信内容、通信行为的保护方案 。该方案通过 以点到面的数据发送和面到点的数据接收模式，使得通信数据 混杂于网络上的其他正常数据中 ， 且通信过程隐蔽于其 他 正常的网络行为中，确保通信行为的隐蔽性 。 第 五 章 讨论了后门控制端子系统的设计与实现。首先从人机交互界面、网络 道等方面给出了该子系统的总体框架，然后分别针对控制命令和功能 出其统一描述方案和实现方法。 第 六 章对全文进行总结，并展望未来拟开展的工作，提出进一步研究的方向。 第 二 章 远程控制后门系统的功能设计 10 第二章 远程控制后门系统 的功能设计 远程控制 后门是 能够 绕过 被攻击系统的安全性审计 ，在非授权的情况下 获取 操作 系统 、软件服务控制 权的程序方法。 远程控制后门的功能和 需求各异，有的很简单（如，只是建立一个新的账号），有的很复杂 （如，具有远程桌面，可以操作被控系统的文件系统、核心系统数据等）。 此外，不同于一般的软件系统，远程控制后门系统 除注重功能外，更关注隐藏性、可管理性、可扩展性等方面的特点。 为此， 本章 首先从远程控制后门系统的 业务 功能、 隐藏功能 、隐匿通信功能等方面分析系统的需求 。 在此基础上，将远程控制后门系统划分为后门服务端、后门控制端，以及后门服务端与控制端之间的隐匿通信通道三子系统，并讨论了各子系统的功能、设计方式和部署要求 。 第一节 高隐匿后门的需求分析 远程控制 后门的功能和需求差异很大，往往与实际的需求、设计开发人员的关注点有 关。同时，由于后门系统是在非授权的情况下 获取 操作 系统 、软件服务控制 权 ，因此 除注重 业务 功能外，更关注隐藏性、可管理性、可扩展性等方面的 功能 。 本节分别从远程控制功能、隐藏功能、隐匿通信功能等几方面分析后门系统的需求。 程控制功能需求 远程控制后门设计的目的就是为了能够