警用木馬系統的設計

摘要：該文結合進程注入和端口反彈技術，以隱蔽、深層、高效、自動為設計目標，設計了一套專用的警用木馬系統，實現對犯罪可疑者的計算機中的各類信息進行監聽、獲取，跟蹤和分析，能有效地協助公安機關辦案人員獲得與偵察案件有關的信息，加快查案的速度，提高破案的效率。

關鍵詞：木馬；進程注入；端口反彈

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0309-02

Design of Police-use Trojan Horse System

JIANG Ming-liang1， LI Zhi-qing2

(1.Department of Computer Science and Engineering，Zhongkai University of Agriculture and Engineering，Guangzhou 510225，China;2.Guangzhou Party Institute of CCP，Guangzhou 510070，China)

Abstract: Combine with technologies of Trojan injecting and port rebound， the paper designs a police-use Trojan horse system， which can listen， obtain， trace and analyze all king of information from the suspect’s computer， can effectively assist the policemen access to case information， and accelerate the pace of investigation and improve the efficiency of detection.

Key words: trojan horse; process injection; port recall

1 前言

隨著計算機網絡在我國的大規模普及應用，涉及計算機信息領域的犯罪現象也越來越多，由信息犯罪給國家造成的經濟損失也越來越大、政治影響也越來越大，有的甚至已經達到泄露國家機密、威脅國家安全的地步。但計算機網絡具備高度開放性、信息海量性、虛擬隱秘性和技術專業性的特點，特別是計算機領域的技術更新換代快，使用者虛擬隱秘，造成對該領域犯罪的偵破特別困難。在有限的警力下，面對目前日愈猖獗的信息犯罪，怎樣利用先進的計算機信息安全技術提高信息領域犯罪的破案率，已經成為了當前急需解決的技偵課題。

根據廣東省公安廳提出的課題需求，本學院組建了警用木馬課題組，并按照有關部門的實際需求出發，采用進程注入和端口反彈等先進技術，構建了一個集木馬程序自動投放、異地實時監控和非可控主機遠程秘密勘查等功能為一體的專業警用木馬系統。

2 系統組成

本系統主要由探頭投放器、分析控制器、信息探頭三部分組成，如圖1所示。探頭投放器，是利用系統漏洞、電子郵件植入等技術，將信息探頭投入目標主機；分析控制器，負責控制木馬程序的運行和分析探頭捕獲的信息；信息探頭，是由一組具備不同功能的專用木馬組成，用于捕獲目標計算機的系統、進程、網絡通信、用戶操作、文件系統等信息，并將捕獲的信息傳送給分析控制器。

探頭投放器利用目標主機上的漏洞或者通過電子郵件等方式將信息探頭投入目標主機。信息探頭根據設置的第三方IP，自動到第三方服務器指定的個人主頁上找到分析控制端的IP地址和端口（默認為80），然后通過端口反彈技術穿透目標主機上的安全防護設備，如防火墻等，向分析控制端口發起連接，接受分析控制器的控制。

3 主要模塊說明

1) 探頭投放模塊

本模塊負責信息探頭的投放，投放方式主要有兩種，分別是漏洞投入方式和帶探頭郵件投入方式。主機操作系統存在各種的安全漏洞[1]，諸如緩沖區溢出漏洞、文件安裝漏洞內存、破壞漏洞等等，可以利用這些安全漏洞將探頭投入目標主機。

2) 分析控制模塊

本模塊主要由遠程控制子模塊和分析解碼子模塊組成。遠程控制子模塊運行在控制中心，用于控制遠程主機中的探頭，接收探頭發送的各種數據。在需要時可通過分析解碼單元對數據進行分析，提取其中的入侵痕跡或非法的信息，并可根據分析結果控制遠程主機的網絡訪問。分析解碼子模塊能分析日志、進程等信息，從中分離出入侵痕跡，獲取攻擊源IP地址和所在區域、攻擊源類型、攻擊發起時間、攻擊效果、攻擊類型、危害程度等信息。

3) 信息探頭模塊

本模塊由基本功能模塊和完成特定功能的子模塊這兩部分組成，如圖2所示。探頭的基本功能精小高效，能直接注入到目標主機上的系統進程內，實現自我隱藏。特定功能模塊主要完成文件監控、電子郵件監控和QQ監控等特定的功能，它以動態鏈接庫的方式實現[1]，平時儲存在控制端，當需要使用這些功能時，由基本功能模塊和控制端軟件協作下進行二次載入，這樣設計是為了使信息探頭具有更好的隱蔽性。

4 系統采用的關鍵技術

1) 信息探頭的自動投放

本系統利用100 多種可注入代碼的高危漏洞和溢出漏洞，采用郵件誘騙、進程注入和二次載入等多種方法，將信息探頭自動投放到目標主機中。在注入木馬程序時，能分析二進制代碼內部結構，將探頭代碼注入到遠程目標主機的現有進程中，提高偵查的隱蔽性。同時，為了進一步減少容量、提高隱蔽性，將信息探頭拆分成基本探頭和功能探頭，基本探頭投入后，再根據偵查的實際需求二次載入相應的功能探頭。

2) 端口反彈技術

大多數的防火墻對連入本機的連接會進行非常嚴格的檢測和過濾，但是對于由本機發出的連接卻疏于防范。針對防火墻的這種特點，與一般的木馬相反，“端口反彈”型木馬[2-4]的服務端(被控制端)使用主動端口，客戶端(控制端) 使用被動端口，并把客戶端的信息存于有固定IP的第三方FTP服務器上，服務端從 FTP 服務器上取得信息后計算出客戶端的IP和端口，然后主動連接客戶端。為了更好地穿透防火墻，本系統結合了HTTP隧道技術[5-6]，將要傳輸的數據利用 HTTP協議進行封裝，以偽裝成 HTTP數據包，同時把請求的目的端口設置成80，這樣防火墻檢測時就認為是安全的數據包，從而在信息探頭和分析控制器之間利用 HTTP協議封裝建立起一條安全傳輸隧道。

3) 個人主頁跳板技術

控件者可以直接控制受木馬程序感染的目標主機，也可以通過個人主頁做跳板控制目標主機[]。信息探頭使用FTP協議將偵察獲得到的信息存放到主頁空間的一個文件中，服務端定期用HTTP協議讀取這個文件的內容，以達到間接監控目標主機。

4) 流量控制技術

本系統能根據目標主機的工作情況、網絡的帶寬和數據流量來動態地調整木馬程序向控制端傳輸數據的流量，使得不會影響受感染主機的正常使用，以使木馬程序具有更好的隱秘性。

5 結論

該文研制的警用木馬系統是能對犯罪可疑者的計算機使用情況進行遠程偵控、勘察的警用裝備，能為公安網絡監察部門提供一種快速、準確、可靠的技術偵查手段。本系統的推廣使用，對快速追擊犯罪源頭，打擊網絡犯罪，維持我國安定團結的穩定政治局面具有積極的意義。

參考文獻：

[1] 彭迎春，譚漢松.基于DLL的特洛伊木馬隱藏技術研究[J].信息技術，2005(12):41-43.

[2] 阮寧君. 端口反彈型木馬通信技術研究及防范措施[J].信息安全與通信保密，2007(12):99-101.

[3] 羅紅，慕德俊，戴冠中，等.端口反彈型木馬的通信技術研究(英文)[J]. 微電子學與計算機，2006，23(02):192-197.

[4] 王偉兵.現代木馬技術的分析與研究[J].網絡安全技術與應用，2005(10):22-25.

[5] 劉靜，裘國永.基于反向連接、HTTP隧道和共享DNS的防火墻穿透技術[J].鄭州輕工業學院學報:自然科學版，2007，22(5):57-59.

[6] 韓風，施寅.Http隧道在穿越NAT/防火墻技術中的應用[J].計算機技術與發展，2006，16(5):163-195.