码的出现的,在这个时间差内,新的恶意代码可能就会泛滥,造成重大损失,特征码技术的这种局限性就决定了其滞后性。
1.2本文研究的内容及组织结构
在现有理论和技术的基础上,参考现有的一些木马查杀工具的功能特性,通过对系统所制造的木马注入、隐藏方式的了解,构造一个基于钩子技术传播的QQ木马的查杀工具。
成型的系统针对基于钩子技术传播的这类特殊木马进行查杀。该系统应达到如下目标:
1.杀毒功能:用户可以查杀系统中由钩子技术传播的这类特殊类型的木马。
(1)用户可以在查杀结果那栏里看到查杀病毒的过程及结果。
(2)从系统的内存开始,依次从系统目录、
注册表及硬盘中一一查找木马。
(3)用户可以手动选择在杀毒过程中是否允许QQ程序运行,如果发现系统中存在木马,也可以通过手动选择是否要杀木马。
(4)用户在杀毒过程中,在查杀路径中可以看到自己所选择的路径,而且可以通过查杀进度条观察到所选的查杀路径的查杀进度如何。
2.浏览功能:用户可以自由选择查杀路径。
(1)用户可以手动选择需要进行木马查杀的磁盘;
(2)用户选定磁盘后可以根据需要继续选择路径(选择该磁盘中的文件)。
3.进程管理功能:使用户比较直观的观察进程及进程中木马程序中的运行情况。
(1)用户通过"自动刷新"选择框的手动选择,可以选定是否要对进程执行自动刷新的功能;
(2)用户点击"刷新进程"按钮就可刷新进程;
(3)对用户手动选择的一个进程执行结束进程的操作;
(4)用户可以将进程对话框里的所有进程信息复制到文本
文档;
(5)以上进程管理的一些功能使用户实际操作更加方便、直观。
4.退出功能:用户可以在未进行查杀或查杀中止的情况下退出系统。
5.关于功能:使用户了解该系统的一些情况。
6.停止功能:系统进行木马查杀时,可以中止杀毒。
成形的系统是一个小型的木马查杀系统,运行平台是:1.5GHz以上/512M以上,Windows 98/2000/XP/NT/2003,前端开发工具(DELPHI)。
本文按以下结构组织:第一章对
工作流程的介绍,提出本课题的研究目的和意义以及简单的技术介绍;第二章从普通木马的介绍到所研究的木马的介绍;;第三章是本论文的核心,他详细介绍系统功能的实现。第四章是系统界面的介绍。第五章是本人的总结与展望。
1.3技术介绍
1.3.1钩子技术介绍
钩子的本质是一段用以处理系统消息的程序,通过系统调用,将其挂入系统。钩子的种类有很多,每种钩子可以截获并处理相应的消息,每当特定的消息发出,在到达目的窗口之前,钩子程序先行截获该消息、得到对此消息的控制权。此时在钩子函数中就可以对截获的消息进行加工处理,甚至可以强制结束消息的传递。
当用户创建一个钩子时,Windows系统会创建一个数据结构,该结构包含了用户所创建的钩子的信息,安装钩子则是把该结构体插入到系统钩子
列表中去。当指定的钩子事件被触发后,局部钩子只需要调用进程中的钩子函数来预处理事件,全局钩子则需要把处理插入到其他地址空间,要做到这一点,就需要有一个动态连接库,把钩子函数放到库中。
钩子是一个形象的词,它就像一个"钩",通过它就可以把操作系统里的消息给钩下来,经过处理后再发送出去。具体如图1.1: (图中A表示操作系统,B表示用户)安装钩子前,系统直接把消息发送给用户;安装钩子后,系统所发送的消息被钩子捕获,经过钩子函数处理之后再发送给用户。
安装钩子前
安装钩子后
图1. 1 木马安装前后示意图
相关热词:delphi 木马 程序 设计 实现 delphi