警用木马系统的设计

摘要：该文结合进程注入和端口反弹技术，以隐蔽、深层、高效、自动为设计目标，设计了一套专用的警用木马系统，实现对犯罪可疑者的计算机中的各类信息进行监听、获取，跟踪和分析，能有效地协助公安机关办案人员获得与侦察案件有关的信息，加快查案的速度，提高破案的效率。

关键词：木马；进程注入；端口反弹

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)29-0309-02

Design of Police-use Trojan Horse System

JIANG Ming-liang1, LI Zhi-qing2

(1.Department of Computer Science and Engineering,Zhongkai University of Agriculture and Engineering,Guangzhou 510225,China;2.Guangzhou Party Institute of CCP,Guangzhou 510070,China)

Abstract: Combine with technologies of Trojan injecting and port rebound, the paper designs a police-use Trojan horse system, which can listen, obtain, trace and analyze all king of information from the suspect’s computer, can effectively assist the policemen access to case information, and accelerate the pace of investigation and improve the efficiency of detection.

Key words: trojan horse; process injection; port recall

1 前言

随着计算机网络在我国的大规模普及应用，涉及计算机信息领域的犯罪现象也越来越多，由信息犯罪给国家造成的经济损失也越来越大、政治影响也越来越大，有的甚至已经达到泄露国家机密、威胁国家安全的地步。但计算机网络具备高度开放性、信息海量性、虚拟隐秘性和技术专业性的特点，特别是计算机领域的技术更新换代快，使用者虚拟隐秘，造成对该领域犯罪的侦破特别困难。在有限的警力下，面对目前日愈猖獗的信息犯罪，怎样利用先进的计算机信息安全技术提高信息领域犯罪的破案率，已经成为了当前急需解决的技侦课题。

根据广东省公安厅提出的课题需求，本学院组建了警用木马课题组，并按照有关部门的实际需求出发，采用进程注入和端口反弹等先进技术，构建了一个集木马程序自动投放、异地实时监控和非可控主机远程秘密勘查等功能为一体的专业警用木马系统。

2 系统组成

本系统主要由探头投放器、分析控制器、信息探头三部分组成，如图1所示。探头投放器，是利用系统漏洞、电子邮件植入等技术，将信息探头投入目标主机；分析控制器，负责控制木马程序的运行和分析探头捕获的信息；信息探头，是由一组具备不同功能的专用木马组成，用于捕获目标计算机的系统、进程、网络通信、用户操作、文件系统等信息，并将捕获的信息传送给分析控制器。

探头投放器利用目标主机上的漏洞或者通过电子邮件等方式将信息探头投入目标主机。信息探头根据设置的第三方IP，自动到第三方服务器指定的个人主页上找到分析控制端的IP地址和端口（默认为80），然后通过端口反弹技术穿透目标主机上的安全防护设备，如防火墙等，向分析控制端口发起连接，接受分析控制器的控制。

3 主要模块说明

1) 探头投放模块

本模块负责信息探头的投放，投放方式主要有两种，分别是漏洞投入方式和带探头邮件投入方式。主机操作系统存在各种的安全漏洞[1]，诸如缓冲区溢出漏洞、文件安装漏洞内存、破坏漏洞等等，可以利用这些安全漏洞将探头投入目标主机。

2) 分析控制模块

本模块主要由远程控制子模块和分析解码子模块组成。远程控制子模块运行在控制中心，用于控制远程主机中的探头，接收探头发送的各种数据。在需要时可通过分析解码单元对数据进行分析，提取其中的入侵痕迹或非法的信息，并可根据分析结果控制远程主机的网络访问。分析解码子模块能分析日志、进程等信息，从中分离出入侵痕迹，获取攻击源IP地址和所在区域、攻击源类型、攻击发起时间、攻击效果、攻击类型、危害程度等信息。

3) 信息探头模块

本模块由基本功能模块和完成特定功能的子模块这两部分组成，如图2所示。探头的基本功能精小高效，能直接注入到目标主机上的系统进程内，实现自我隐藏。特定功能模块主要完成文件监控、电子邮件监控和QQ监控等特定的功能，它以动态链接库的方式实现[1]，平时储存在控制端，当需要使用这些功能时，由基本功能模块和控制端软件协作下进行二次载入，这样设计是为了使信息探头具有更好的隐蔽性。

4 系统采用的关键技术

1) 信息探头的自动投放

本系统利用100 多种可注入代码的高危漏洞和溢出漏洞，采用邮件诱骗、进程注入和二次载入等多种方法，将信息探头自动投放到目标主机中。在注入木马程序时，能分析二进制代码内部结构，将探头代码注入到远程目标主机的现有进程中，提高侦查的隐蔽性。同时，为了进一步减少容量、提高隐蔽性，将信息探头拆分成基本探头和功能探头，基本探头投入后，再根据侦查的实际需求二次载入相应的功能探头。

2) 端口反弹技术

大多数的防火墙对连入本机的连接会进行非常严格的检测和过滤，但是对于由本机发出的连接却疏于防范。针对防火墙的这种特点，与一般的木马相反，“端口反弹”型木马[2-4]的服务端(被控制端)使用主动端口，客户端(控制端) 使用被动端口，并把客户端的信息存于有固定IP的第三方FTP服务器上，服务端从 FTP 服务器上取得信息后计算出客户端的IP和端口，然后主动连接客户端。为了更好地穿透防火墙，本系统结合了HTTP隧道技术[5-6]，将要传输的数据利用 HTTP协议进行封装，以伪装成 HTTP数据包，同时把请求的目的端口设置成80，这样防火墙检测时就认为是安全的数据包，从而在信息探头和分析控制器之间利用 HTTP协议封装建立起一条安全传输隧道。

3) 个人主页跳板技术

控件者可以直接控制受木马程序感染的目标主机，也可以通过个人主页做跳板控制目标主机[]。信息探头使用FTP协议将侦察获得到的信息存放到主页空间的一个文件中，服务端定期用HTTP协议读取这个文件的内容，以达到间接监控目标主机。

4) 流量控制技术

本系统能根据目标主机的工作情况、网络的带宽和数据流量来动态地调整木马程序向控制端传输数据的流量，使得不会影响受感染主机的正常使用，以使木马程序具有更好的隐秘性。

5 结论

该文研制的警用木马系统是能对犯罪可疑者的计算机使用情况进行远程侦控、勘察的警用装备，能为公安网络监察部门提供一种快速、准确、可靠的技术侦查手段。本系统的推广使用，对快速追击犯罪源头，打击网络犯罪，维持我国安定团结的稳定政治局面具有积极的意义。

参考文献：

[1] 彭迎春,谭汉松.基于DLL的特洛伊木马隐藏技术研究[J].信息技术,2005(12):41-43.

[2] 阮宁君. 端口反弹型木马通信技术研究及防范措施[J].信息安全与通信保密,2007(12):99-101.

[3] 罗红,慕德俊,戴冠中,等.端口反弹型木马的通信技术研究(英文)[J]. 微电子学与计算机,2006,23(02):192-197.

[4] 王伟兵.现代木马技术的分析与研究[J].网络安全技术与应用,2005(10):22-25.

[5] 刘静,裘国永.基于反向连接、HTTP隧道和共享DNS的防火墙穿透技术[J].郑州轻工业学院学报:自然科学版,2007,22(5):57-59.

[6] 韩风,施寅.Http隧道在穿越NAT/防火墙技术中的应用[J].计算机技术与发展,2006,16(5):163-195.