基于木马控制的网络监控系统设计.docxVIP

基于木马控制的网络监控系统设计 　　摘 要：随着计算机网络技术的高速发展，作为第四媒体的互联网，也正在为网络犯罪提供滋长的土壤。针对这一社会问题，本文设计了一种控制木马病毒的远程监控系统，利用木马的工作原理，通过运用隐蔽技术向目标机植入监控型木马程序，同时为避免目标机的跟踪，采用了在目标机不察觉的情况下收集网络犯罪证据的手段。该设计对提高网络信息安全，具有一定的积极作用。　　关键词：木马程序；计算机网络；监控系统；隐蔽技术　　中图分类号：TP309 文献标志码：A 文章编号：1671-7953(XX)02-0073-04　　　　目前，传统犯罪活动的途径和空间已经自然而然地向互联网这个快捷、简便、庞大的虚拟领域延伸。利用计算机网络实施智能犯罪日益猖獗，这类新型的“计算机犯罪”不仅直接侵入、破坏、非法利用计算机信息系统，而且严重威胁着互联网的信息安全，已成为一个严重的社会问题，针对这一问题，本文介绍一种运用隐蔽技术设计网络监控的方法，对打击网络犯罪和实现网络信息化安全，具有一定参考意义。　　　　1 木马的分类及特征　　　　根据木马程序对计算机的具体动作方式，可以把木马程序［1-2］分为以下几类：　　1）远程控制型:远程控制型木马是现今最广泛的特洛伊木马，这种木马在控制端的控制下可以在被控主机上做任意的事情。　　2）密码发送型：密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。　　3）键盘记录型：这种木马程序随着Windows系统的启动而自动加载，并能感知受害主机在线，且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。　　4）毁坏型：大毁坏型木马以毁坏并且删除文件为己任，它们可以自动删除受控主机上所有的.ini或.exe文件，甚至远程格式化受害者硬盘，使得受控主机上的所有信息都受到破坏。　　5）FTP型：FTP型木马打开被控主机系统的21号端口(FTP服务所使用的默认端口)，使每一个人都可以用一个FTP客户端程序来不要密码连接到受控制主机系统，并且可以进行最高权限的文件上传和下载，窃取受害系统中的机密文件。　　虽然木马程序使用不同的程序语言进行编制，在不同的平台环境下运行，发挥着不同的作用，但是有着许多共同的特征［3-6］。　　1）不会通过感染文件复制自己的方式传播　　经改良过的木马，以伪装成DLL文件的方式，附加在其他系统文件上执行。它们都不会感染其他文件，并进行自我复制传播。　　2）分为客户端与服务器端两部分　　由于木马需要通过网络接收黑客的指令，所以为了能够达成互动通讯，木马需要由两部分组成。其中服务器端安装在被控制的计算机上，用于入侵系统客户端没有入侵或破坏系统的功能，只是用于连接服务器端二并且向服务器端发送命令或通过服务器获得远程计算机的数据，客户端通常安装在黑客的计算机上。　　3）服务器端隐藏执行　　为了不让用户发觉，木马程序的服务器端安装到远程计算机后，在执行时通常没有图形界面，也无法使用命令提示符进行调整。只能以预定的方式启动或执行默认的任务，并且开始等候客户端连接，或主动寻找客户端连接。　　4）打开服务　　在被控制的计算机上打开远程文件管理，屏幕监视等功能，让黑客可以管理并控制远程计算。　　　　2 网络监控系统功能分析　　　　基于功能的要求，系统利用木马的工作原理，通过隐蔽手段向目标机植入监控型木马程序，同时，为避免目标机的跟踪，采用在目标机不察觉的情况下实现网络犯罪的证据收集。系统的主要功能：　　1）目标机上网后自动通知：当已植入目标监控子系统(服务器端程序)的计算机上网后，程序自动通知信息中转系统，信息中转系统通过短信方式通知目标管理子系统(客户端程序)的操作员。　　2）获取目标机的硬盘资料信息：利用本系统可列举被控计算机所有硬盘上的所有目录和文件信息。　　3）复制文件：可将目标机上的指定文件复制到目标管理系统机上，以便检查文件的实际内容，并作为证据保全。也可将目标机上的任意文件复制到目标机本身，以便误导对方。　　4）抓取当前屏幕：通过该功能可以随时抓取目标机的当前屏幕内容。　　5）键盘记录：该功能可记录目标机键盘输入的数据。通过该功能可以获取被怀疑对象的计算机登陆账号和密码，或者是访问邮件服务器、登录某个站点的账号和密码，也可以了解被怀疑对象的计算机行为。　　6）获取目标机的系统信息：包括计算机名、当前用户名、当前运行的软件和计算机安装了那些软件。　　7）获取目标机的上网信息：获取目标机登录过的网站地址或网页名称。　　8）远程更新或销毁已植入的木马控制程序。　　　　3 目标监控系统的实现　　　　目标监控系统能否成功完成远程控制的任务，首先取决于木马控制程序能否成功植入受控主机系统中，