一个基于程序远程植入及隐藏的监控系统设计与实现

摘要

随着互联网技术的飞速发展，网络安全变得日益重要。远程监控不仅是一个国家对抗敌对政治势力，打击网络犯罪分子的重要手段，而且是未来网络战争中不可或缺的组成部分。程序的远程植入和隐藏技术越来越多地融合到监控技术之中，研究基于程序远程植入及隐藏的监控技术具有重要的意义。
　　 分析了基于漏洞和程序捆绑的程序植入技术，讨论了程序隐藏技术中的文件隐藏、进程隐藏和通信隐藏的各种实现方法，论述了Windows钩子技术和端口反弹技术的基本原理。在此基础上，针对一类特定的应用要求，给出了一个能远程植入并具有隐藏功能的监控系统Wakeman的设计思想以及需要关注的问题。阐述了Wakeman的功能需求，给出了其总体架构以及主要功能模块划分。
　　 基于Wakeman的总体设计，阐述了若干关键功能模块的实现。结合缓冲区溢出漏洞的原理，阐述了如何利用已经公布的MS(Microsoft)06040漏洞编写shellcode，以构造畸形数据包将程序远程植入目标主机的过程。给出了进程隐藏模块的详细设计方法，包括程序的DLL（Dynamic Link Library）模块化、进程操作和远程线程插入等核心技术的实现细节。围绕远程监控的基本需求，给出了目标控制及信息获取中的文件操作、进程操作、屏幕图像监视和按键记录等各功能模块的实现方法。此外，结合端口反弹技术，还讨论了数据包如何有效突破防火墙的问题。
　　 实际运行结果表明，Wakeman能借助漏洞利用程序植入目标主机，完成目标控制及信息获取等一系列监控功能，同时能够有效地隐藏自身信息，躲过部分检测软件的查杀。