1、“.....。美核心编程北京机械工业出版社,。邓吉黑客攻防北京电子工业出版社,。美详解北京机械工业出版社,。文档来源论文网文件名写入空间获取动态链接库函数地址创建远程线程关闭远程线程关闭进程快照打开进程快照获取第个进程猎取进程否图基于远程线程插入的程序流程图使用函数将的路径名复制到远程进程的内存空间计算的入口地址我们通过建立远程线程时的地址实际上就是的入口地址和传递的参数实际上是我们复制过去的木马的全路径文件名在远程进程内启动我们的木马启动远程线程，通过远程线程调用用户的文件下面是本程序实现远程线程插入的核心代码存放待隐藏的文件名进程快照句柄远程进程句柄远程进程中分配给文件名的空间存放句柄存放远程线程句柄打开进程快照获取第个进程!,!,找到宿主进程，以为例获取下个进程取第个进程失败,计算文件名长度申请存放文件名的空间把文件名写入申请的空间服务端建立连接。远程控制木马连接成功后，客户端口和服务端口之间会出现条通道......”。

2、“.....并通过木马程序对服务端进行远程控制，实施破坏行动。木马的危害窃取密码切以明文的形式，或缓存在中的密码都能被木马侦测到。此外，很多木马还提供有击键记录功能，所以，旦有木马入侵,密码将很容易被窃取。文件操作客户端可通过远程控制对服务端上的文件进行删除修改下载等系列操作，基本涵盖了平台上所有的文件操作功能。修改注册表客户端可任意修改服务端注册表，包括删除新建或修改主键子健键值。有了这项功能，客户端就可以将服务端上木马的触发条件设置得更隐蔽。系统操作这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标键盘，监视服务端桌面操作，查看服务端进程等，客户端甚至可以随时给服务端发送信息。常见木马的介绍木马的种类繁多，但是陷于种种原因，真正广泛使用的著名木马只有少数几种，如冰河等。有个相当有用的功能，即隐藏木马进程，旦将这项功能设置为，用查看进程时，的木马进程将不会被发现。在版本较高的中，除常规的触发条件外，还提供有和两种触发方法。选择前者，运行木马后将中的改为......”。

3、“.....选择后者则会在目录下创建个名为的程序，通过这个程序来触发木马，并将的键值改为。也就是说，即使我们把木马删除了，只要运行文件，文件马上又将木马安装上去。对于这种出发条件，我们只要将键值改回原值，并删除即可。冰河冰河的特殊触发条件和极为相似。要注意的是，冰河的木马程序有隐藏属性，需要将显示模式设置为显示所有文件时，才能看到。是个木马和病毒的综合体，它能通过寄生于任意子系统格式的程序触发木马，这样即使被意外清除，在短时间内也可以自动恢复。不可能用手工删除的方法清楚干净，建议使用杀毒软件。年月，和开发了个名叫的木马工具。这个木马工具采用了多种隐藏技术，如匿名技术加密通信编程反弹性端口等，从而使得检测堵截和追踪非常困难，可以说是目前最先进的木马技术之。木马隐藏概述木马程序与普通远程管理程序的个显著区别是它的隐藏性。木马被植入后，通常利用各种手段来隐藏痕迹,以避免被发现和追踪，尽可能延长生存期。其中进程隐藏和通信隐藏是木马隐藏的关键......”。

4、“.....主要包括启动隐藏文件隐藏进程隐藏内核模块隐藏原始分发隐藏等。这些手段可以分为三类将木马隐藏附着捆绑或替换在合法程序中修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。启动隐藏启动隐藏，是指目标机自动加载运行木马程序，而不被用户发现。在系统中,比较典型的木马启动方式有修改系统“启动”项修改注册表的相关键值插入常见默认启动服务修改系统配置文件和等修改“组策略”等。这些启动方式，通常要修改系统的相关文件,容易被检测工具发现。此外，还有些特殊的木马启动方式，如文件关联和寄生启动注入普通进程等。文件隐藏文件隐藏包括两方面，是通过伪装,达到迷惑用户的目的二是隐藏木马文件自身。对于前者，除了修改文件属性为“隐藏”之外,大多通过些类似于系统文件的文件名来隐蔽自己。对于后者，可以修改与文件系统操作有关的程序,以过滤掉木马信息特殊区域存放如对硬盘进行低级操作，将些扇区标志为坏区，将木马文件隐藏在这些位置......”。

5、“.....在中,如果文件系统采用的是，可以用示出系统中所有的进程，也是因为其调用了等进程相关的函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理。如“任务管理器”在接收到结果后就在进程列表中显示出来。而木马由于事先对该函数进行了，所以在“任务管理器”或其他调用了列举进程函数的程序调用函数时此时的函数充当了“内线”的角色，木马便得到了通是个可靠的协议，所以，必须在协议的基础上设计个自己的可靠的报文传递协议。用来通信既然客户端可以通过发个来告诉服务端它的，那为什么不把所有服务端和客户端的通讯都建立在基础上呢服务端向客户端发，客户端向服务端发，然后可以在基础上建立个自己的可靠数据报通讯协议。如果不怕麻烦的话，还可以建立个。由于般的用户这两类包都是设为无警告放行的，这种方法的隐秘性还是很强的。用自定义的协议来通信我们知道头的协议字段指定了这个包承载得数据的协议，比如等等。我们完全可以把这个字段设为我们自己定义的值，定义自己的通讯协议......”。

6、“.....基于嗅探原理的通信服务器端是个和发包器，它将捕获指定特征的数据包。客户端是个发包器和嗅探器，用来发送指定特征的数据包并包括定义的命令以及接收服务器端的数据。当服务器端捕获到该指定特征的数据包时，变成激活状态，通过分析该数据包，获得客户端发送的命令和客户端的地址，然后实现相应的命令，并将执行后的结果发送回客户端，客户端的嗅探部分则接收相应的数据。所有的数据发送都是通过原始套接字进行。其他隐藏通信的办法，如变换数据包顺序也可以实现通信隐藏。对于传输个对象的通信，可以有!种传输顺序,总共可以表示!比特位的信息。但是该方法对网络传输质量要求较高，接收方应能按照数据包发送的顺序接收。这种通信隐藏方式具有不必修改数据包内容的优点。现有木马般不大注意通信流量的隐藏,而用户可以通过检测异常的通信流量变化发现木马，因此还有种“跟着进程动”的办法来实现通信隐藏当存在其它通信流量时,木马程序也启动通信。当不存在任何其它通信流量时，木马程序处于监听状态,等待其它进程通信......”。

7、“.....暂存待发送的数据。通信隐藏技术只是木马隐藏诸技术中得部分，但也是最重要的部分。因为他不但要保护木马，还要保护木马得控制者，所以不管是木马编写者，还是防火墙编写者，都应该对这部分给予足够的重视。隐藏技术的实现隐藏进程上文介绍了几种隐藏进程的方法，在此，笔者采用远程线程插入的方法来实现进程的隐藏。首先，我们通过来打开我们试图嵌入的进程。如果远程进程不允许打开，那么嵌入就无法进行了，这往往是由于权限不足引起的，解决方法是通过种种途径提升本地进程的权限。由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请足够的权限。然后，我们可以建立函数这个线程来启动我们的木马，函数是在中定义的，用来加载文件，它只有个参数，就是文件的绝对路径名，也就是木马的全路径文件名，但是由于木马是在远程进程内调用的......”。

8、“.....在任务管理器里是不会发现木马踪迹的。只有借助能查看进程模块信息的软件才能发现是否存在木马，如优化大师，等。隐藏通信木马功能的实现系统测试功能测试测试环境系统，局域网测试项目在服务器端实现进程的隐藏，把木马作为的个线程运行，并使用端口通信，在客户端实现对服务器端的抓屏测试结果进程的隐藏，如图图进程隐藏客户端设置，如图图客户端设置客户端抓屏效果，如图图客户端抓屏效果测试结果表明，当木马在服务器端运行时，只有查看进程模块才能发现木马踪迹客户端设置完毕连接参数，建立连接后能立刻收到服务器发送的数据并显示出来。达到课题设计要求。性能测试服务器端在木马启动前其桌面进程其内存和使用如下图所示图使用前内存占用图当服务器端木马启动后，其桌面进程其内存和使用如下图所示图使用后内存占用图从上面两个图我们可以看出，在木马运行之前和木马运行之后......”。

9、“.....并不会引起目标主机用户的警觉，达到了很好的隐藏进程的效果。结论文章首先介绍了木马的组成，木马原理，以及几种较为著名的木马。其后又针对本文的任务详细介绍了木马的隐藏。进程隐藏和通信隐藏是防止木马不被用户发现的重要手段，是木马生存的关键，也是木马的核心技术。文中分析了多种进程隐藏的方式，着重研究了远程线程插入的基本原理。通过对本课程设计的实现，系统的了解了木马是如何做到进程隐藏和通信隐藏，熟悉了以前所学的些关于网络，编程及信息安全方面的知识，了解当今网络安全方面的些新技术，锻炼了自己的动手能力，以及在遇到问题时如何寻求个合理的解决途径和解决方案，为以后步入社会参加实际工作做好准备和铺垫。参考文献谢希仁计算机网络北京电子工业出版社,。张仕斌网络安全技术北京清华大学出版社,。张海棠编程指南北京航空工业出版社,。张炯网络编程北京清华大学出版社,。蒋东兴网络程序设从事大型预焙电解技术和铝锭生产。产品在国内国际均有销售。是省计委以湘计号文批准项目，年月正式开工建设......”。