（交通信息工程及控制专业论文）基于局域网的远程监控技术.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 本论文主要阐述了应用于局域网的远程监控筮鲑的开发。这套 远程监控软件以d e j作为开发工具，采用编程模式，分为p h h i 6c s 服务器软件和客户机软件两部分，本地控制端安装客户机软件；安 装在远程受控端的服务器软件利用注册表的启动加载项目而自动运 行，并通过自我拷贝法始终运行在系统目录下以达到隐藏的目的。 为使服务器进程不出现在任务栏和任务管理器中，将其注册为系统 服务：并采用写注册表的方式让服务器程序与t x t 文件关联，使被 监控机上的用户无法将其删除。位于同一局域网内的服务器和客户 机之间采用用户数据报协议( u d p ) 作为运输层通信协议，论文作 者还制定了功能编码，使得服务器能够解释客户机通过网络发送的 命令，并根据命令进行操作；论文以建立在亘囱过筮基础上的抽象 数据类型“流”作为传送数据的载体，通过d e l p h i 提供的n m u d p 控件进行“流”的发送和接收以实现服务器和客户机之间的交互。 论文应用了大量的w i n d o w s 的a p i 匝数实现了控制远程计算机的 鼠标、键盘，限制其系统功能( 如关机、重启等) ；还通过读注册 表获取远程计算机的系统信息，并利用d e l p h i 提供的t r e g i s t r y 类 实现远程操作注册表；设置了日志钩子以记录并回放远程计算机的 键盘操作，l 实现了基于“流”的网上聊天和媒体播放功能：通过复 制屏幕图像并利用“流”传输屏幕图像信息实现了实时监控远程计 算机的屏幕；还制作了文件管理系统，并利用自定义函数实现对非 空目录的操作。厂o f 在论文的第一章概括介绍了远程监控软件的编程模式、重点技 术、实现功能并介绍了开发工具d e l p h i6 ；在第二章详细叙述功能 编码的制定；第三章介绍了服务器自身的一些特点以及通过a p i 函 数实现的部分功能；第四章介绍了抽象的数据类型“流”的属性、 方法以及在程序中的应用：第五章介绍了在d e l p h i 中如何操作及利 用注册表；第六章讲述了钩子函数的基本知识及日志钩子的运用； 第七章介绍了屏幕监控的实现以及文件管理系统的制作。飞 ，f， 关键词：a p i ；溉注册表；钩子；木马广， 西南交通大学硕士研究生学位论文第1 i 页 a b s tr a c t iu s e d d e l p h i 6t o e x p l o i tt h i s r e m o t ec o n t r o ls o f t w a r et h a ti s p r i m a r i l ya p p l i e di nt h el o c a la r e an e t w o r k s ( l a n ) a n dd i v i d e di n t o t w op a r t s ，c l i e n ta n ds e r v e r t h ec l i e n ti si n s t a l l e do nt h em o n i t o r t h e s e r v e ri n s t a l l e do nt h er e m o t e c o m p u t e r w i l l a u t o m a t i c a l l y r u n b y r e g i s t r ya f t e rt h er e m o t ec o m p u t e r i st u r n e do n i ta l w a y sr u n su n d e rt h e s y s t e md i r e c t o r yb yc o p yi t s e l fi no r d e rt oh i d ei t ，t h es e r v e ri sr e l a t e d w i t ht x tf i l ei no r d e rt or e s t o r e ，s ot h a tt h er e m o t eu s e rc a n n o td e l e t ei t t h es e r v e ri s r e g i s t r i e d a s s y s t e m s e r v e rs ot h a tt h es e r v e r p r o c e s s w o u l dn o te m e r g ei nt h et a s k b a ra n dt h et a s km o n i t o r is e l e c t e dt h e u s e r d a t a g r a m p r o t o c o la s t r a n s p o r tp r o t o c o l ，a n d f o r m u l a t e d a p p l i c a t i o np r o t o c o l ，s ot h a tt h es e r v e rc a nr e c e i v et h eo r d e r sf r o mt h e c l i e n ta n dd o a n y t h i n g o r d e r e db yt h ec l i e n t d a t ai s t r a n s p o r t e db y “s t r e a m ”t h a ti so b j e c t - o r i e n t e da b s t r a c td a t ab e t w e e nt h ec l i e n ta n dt h e s e r v e ri nt h el a n ，a n dia l s ou s et u m u d pt ot r a n s m i ta n dr e c e i v e “s t r e a m ”m a n ya p if u n c t i o n sa r eu s e di nm yp a p e ri no r d e rt oc o n t r o l t h ek e y b o a r da n dt h em o u s eo ft h er e m o t ec o m p u t e r ，a n da l s oc o n t r o li t s s y s t e ma b i l i t y ( s u c ha st u r no f fo rr e s e ti t ) t h e m o n i t o rc a nc o n t r o l r e g i s t r y o ft h er e m o t ec o m p u t e rb yt r e g i s t r ya n do b t a i ni t s s y s t e m i n f o r m a t i o n b yr e g i s t r y t h ej o u r n a lh o o ki sa l s os e t t e dt or e c o r d k e y b o a r d si n p u ti n f o r m a t i o n ia l s om a k ec h a ts y s t e ma n dm e d i ap l a y b a s e dd nt h es t r e a m t h es e r v e rc a nc a p t u r es c r e e ni m a g e so fr e m o t e c o m p u t e r a n dt r a n s p o r t e d b y t h es t r e a mt ot h em o n i t o r ，s ow ec a n m o n i t o ri ti nt i m e f i n a l l y ，t h em o n i t o rc a nm a n a g ef i l es y s t e mo ft h e r e m o t ec o m p u t e ra n dn o n e m p t yd i r e c t o r yb yf u c t i o n sm a d eb ym y s e l f i nc h a p 1ii n t r o u d u c e dp r o g r a mm o d eo ft h es o f t w a r e ，t e c h n o l o g y e m p h a s i s ，r e a l i z e df u n c t i o n ，a n dd e l p h i6 t h ea p p l i c a t i o np r o t o c o l i s i n t r o u d u c e di nc h a p 2 s o m ef e a t u r e so ft h es e r v e ra n da p if u n c t i o na r e i n t r o u d u c e di nc h a p 3 ip r e s e n t e dp r o p e r t y ，m e t h o da n da p p l i c a t i o no f s t r e a mi nc h a p 4 r e g i s t r yi si n t r o u d u c e di nc h a p 5 i nc h a p 6 ，h o o ki s p r e s e n t e d s c r e e nm o n i t o ra n df i l es y s t e mi si n t r o u d u c e di nc h a p 7 k e y w or d s ：a p is t r e a m r e g i s t r y h o o k t r o j a n 西南交通大学硕士研究生学位论文第1 页 第1 章绪论 网络产生于二十世纪五十年代，近几十年来发展迅猛，越来越 多的人感受到网络带来的方便，网络正在改变我们的生活，而网络 也将是未来主要的通信方式和工作方式。网络解除了地理位置的束 缚，使用户能够使用千里之外的数据就像使用本地数据一样。而近 年来，利用网络进行远程控制成为十分活跃的技术研究领域。 1 1 概述 a 1 b 、 图1 1 使用u d p 协议的客户机服务器 大部分的远程控制软件都采用客户机服务器编程模式，分为客 户机和服务器两部分，客户机服务器模式用发起通信的方向来区别 一个程序是客户机还是服务器，一般地讲，发起通信的应用程序叫 客户机，客户机应用程序每次执行都要向服务器进行联系、发送申 请以及等待响应。当响应到达时，客户机再继续处理；而服务器是 西南交通大学硕士研究生学位论文第2 页 等待来自客户机的入呼叫通信请求的应用程序，服务器接收某个客 户机的请求，执行所需的操作后将结果返回给客户机( 工作原理见 图1 一1 ) 。通常，服务器软件安装在远程的被控制端，而客户机软件 则安装在本地的控制端。远程机上的服务器程序一般会打开一个指 定的端口并进行监听( l i s t e n ) ，如果本地控制端主机上的客户机程序 向服务器的这一端口提出连接请求( c o n n e c tr e q u e s t ) ，服务器程序 就会自动运行，来应答客户机的请求，并按照客户机发来的命令进 行相应的操作。 客户机向服务器发出的所有命令都是在网络上传递的，需要遵 守t c p i p 协议。对利用网络进行通信的两个主机来说，端到端的 可靠通信最后要靠运输协议来解决，运输协议保证了运输层能够向 应用层提供运输服务。t c p i p 的运输层有两个不同的协议( 图1 2 ) ， 即用户数据报协议u d p ( u s e rd a t a g r a mp r o t o c 0 1 ) 和传输控制协议 t c p ( t r a n s m i s s i o nc o n t r o lp r o t o c 0 1 ) 。 应用层 u d pt c p p 与各种网络的接口 图1 2t c p i p 运输层的t c p 与u d p t c p 和u d p 都使用i p 协议。在发送数据时，其协议数据单元 都作为下面i p 数据报中的数据；在接收数据时，i p 数据报将i p 首 部去掉后，根据上层使用得是什么运输协议，把数据部分交给上层 的t c p 或u d p 。由于t c p 提供面向连接的、可靠的运输服务，因 此t c p 就不可避免地增加了许多的开销，如应答、流量控制、定时 器以及连接管理等。这不仅使协议数据单元的首部增大很多，还要 占用许多的处理机资源，而且t c p 不提供广播或多播服务。而u d p 在传送数据之前不需要先建立连接，远地主机的运输层在收到u d p 数据报后，不需要给出任何应答，因此在局域网环境下( 局域网很 少甚至从不迟延分组、丢失分组或交付失序) ，这是一种最有效的 西南交通大学硕士研究生学位论文第3 页 工作方式，基于以上的考虑，我采用了u d p 作为运输层协议。u d p 和t c p 都使用了与应用层接口处的端口与上层的应用进程进行通 信，应用层的各种进程通过相应的端口才能与运输实体进行交互。 因此每个u d p 报文不仅传送用户数据，还包括发送方和接收方的协 议端口号，这使得接收方的u d p 应用软件能够把报文送到正确的 接收进程，而接收进程也能回送应答报文。使用无连接的u d p ，虽 然在相互通信的两个进程间没有一条虚连接，但每一个方向一定有 发送端口和接收端口。 位于运输层之上的应用层为最终用户提供服务，每个应用层协 议都是为了解决某一类应用问题，而问题的解决又往往是通过位于 不同主机中的多个进程之间的通信和协同工作来完成的，应用层的 具体内容就是规定这些应用进程在通信时所遵循的协议。应用进程 之间通信时所使用的协议有一部分是标准化的应用层协议，在此之 上，还有一些为了满足特定的应用需求而制定的非标准化协议。在 远程控制软件中，为了让服务器接受客户机发来的指令并根据指令 进行操作，我制定了一个应用层协议，将其称为功能编码，即将所 有的命令及回应用数值代替，在客户机和服务器之间传递，客户端 上传一个命令，服务端解释并执行命令以实现特定的功能。 1 2 系统实现功能 近年来出现了很多的网络远程控制软件。“冰河”就是其中有名 的用c + + b u i l d e r 编写的远程管理软件，这些软件出于赢利的目的， 其源代码及技术细节都是对外保密的。我通过查阅大量的资料，并 仔细研究这类软件的技术细节，制作了局域网远程控制软件，利用 本地的计算机对远程计算机实行监控，本软件达到了以下功能： 1 能在本地机上实时地看到远程机的屏幕信息； 2 能控制远程机的操作；诸如关机、重启、黑屏、更换墙纸、 光驱的开启和关闭等： 3 能控制远程机的键盘和鼠标，并能记录和回放键盘的输入； 4 能看到远程机上的各个磁盘分区及文件，可以对远程机上的 文件进行增删、修改，可以查找、披4 览、复制文件，并实现本地机 西南交通大学硕士研究生学位论文第4 页 和远程机之间的文件上传和下载； 5 能管理远程机的窗口和进程，可以查看远程机的配置等系统 信息，读取并修改远程机的屏幕分辨率，对远程机上的注册表进行 读写等操作： 6 制作了聊天系统，能和远程机的用户进行及时的沟通，并向 远程机用户发出指示； 7 制作了媒体播放器，能让远程机看到本地机上播放的影碟； 1 3 技术重点 远程控制软件中的服务器需事先确定一个默认端口，端口一般 都在1 0 0 0 以上，而且呈越来越大的趋势，这是因为1 0 0 0 以下的端口 是常用端口，占用这些端口可能会造成系统不正常，这样秘密安装 在别人机器上服务器就会很容易暴露，而且由于端口扫描是需要时 间的( 一个很快的端口扫描器在远程也需要大约二十分钟才能扫描完 所有的端口) ，故而使用诸如5 4 3 2 l 的端口会让你很难发现它。客户 机用服务器的i p 地址和默认端口号向服务器发出请求并等待响应， 可以分配一个本地端口给客户机，如果不分配，计算机将会自动分 配一个，一般建议让计算机自动分配；服务器在交互开始之前就已 经运行，在应用层中的服务器进程不断地检测分配给它的端口，以 便发现是否客户进程要和它通信，并且通常持续不停地接收请求、 发送响应。服务器通常比客户机更难构造，因为它必须在其运行所 在计算机系统上实施所有访问和操作。在远程控制软件中，通常又 将服务器程序称为木马程序。顾名思义，此类程序一般会把自己隐 藏起来运行，使用户看不到它，这主要是指程序在任务栏中隐藏自 己及在任务管理器中隐形( 就是按下c t r l + a l t + d e l 键时看不见木马 程序的进程) ；在每次用户开机时木马程序要能够自动运行，而且 这种程序具有很强的自我保护功能，使得用户以为已经把它删除掉 了，但重新启动时又会出现，这一般是通过与t x t 或e x e 文件相关 联来达到自我恢复的。木马在硬盘上的位置一般是在c ：w i n d o w s 和 c ：w i n d o w s s y s t e m 中，这是因为w i n d o w s 的一些系统文件在这两个 目录下，如果用户误删了文件，可能造成系统崩溃，不得不重新安 西南交通大学硕士研究生学位论文第5 页 装。另外，系统目录下的文件最多，很难发现木马程序。木马的文 件名也尽量和w i n d o w s 的系统文件接近，比如s u b s e v e n1 7 版本的 服务器文件名是c ：w i n d o w s k e r n e l l 6 d l ，而w i n d o w s 有一个系 统文件是c ：w i n d o w s k e r n e l 3 2 d l l ，它们相差无几，但是如果错 误地删除k e r n e l 3 2 d l l 就会造成系统崩溃。另外，操作系统 w i n d o w s 9 x 几乎开放了所有的权限给用户，但w i n d o w s n t 、w i n d o w s 2 0 0 0 的情况又有所不同。如当远程关机时，如果对方的操作系统是 w i n d o w s 9 x 则可直接关机，但如果对方的操作系统是w i n d o w s n t 或2 0 0 0 则需先截取关机权限，然后再对其关机。 这套局域网远程控制软件的很多功能是通过大量的w i n d o w s a p i 函数来实现的，例如利用a p i 函数实现了控制远程计算机的鼠 标、键盘，并实时监视远程机的屏幕，远程关机，重启计算机，终 止进程，操作窗口，更换墙纸，发送信息，显示或隐藏远程机的任 务栏、桌面及开始按钮，点对点通讯( 即聊天系统) ，改变当前显 示分辨率，控制远程文件的操作，利用注册表获取远程计算机系统 信息，还可利用d e l p h i 的t r e g i s t r y 类对远程计算机的注册表进行 诸如删除键值、增加键值和获取键值等操作，设置日志钩子记录键 盘操作，另外还充分运用了d e l p h i 中的“流”的一些基本函数来处 理文件、动态内存及网络数据等多种数据形式，这些技术细节在后 续章节中还会详细分析。 1 4 开发工具一一d e ip h i 6 d e l p h i 是m i c r o s o f tw i n d o w s 和w i n d o w sn t 下的一个优秀的开 发工具，它综合了可视化开发环境的易用性、3 2 位优化编译技术的 快速和强大等特点。设计应用程序的界面仅仅是d e l p h i 的基本功 能，利用它可进行常规编程，还可以设计多媒体应用程序、图形处 理应用程序、数据库应用程序，以及进行i n t e r n e t 应用程序的开发。 d e l p h i 的最大优点是：用户能很快学会编写w i n d o w s 程序，并逐步 了解更深层次的内容。 我们知道驱动w i n d o w s 应用程序运行的是消息，而d e l p h i 程 序应答的许多事件都是w i n d o w s 消息，例如o n c r e a t e 事件就是应 西南交通大学硕士研究生学位论文第6 页 答w mc r e a t e 消息的，d e l p h i 通过使用事件使消息处理简化，使 用户能在更高层次上处理消息。d e l p h i 的可视化组件库( v c l ，v i s u a l c o m p o n e n tl i b r a r y ) 包含一些可用来读写数据流的类，t s t r e a m 、 t f i l e s t r e a m 、t m e m o r y s t r e a m 和t r e s o u r c e s t r e a m 类都可以读写数 据流，t s t r e a m 是所有数据流类的基类，当处理盘上文件时就会用 到t f i l e s t r e a m 类，在内存中处理数据时就要用到t m e m o r y s t r e a m 类，从e x e s 和d l l s 中加载二进制资源时要用t r e s o u r c e s t r e a m 类， 在后面的章节中还会详细介绍流的应用。d e l p h i 还提供了t r e g i s t r y 类，它包含注册表的操作，该类提供了一切需要从注册表读写的东 西。 d e l p h i 本身自带的f a s t n e t 公司的t n m u d p 控件就是使用 u d p ( 用户数据报协议) 在网络上传输数据，客户端和服务端各有 一个t n m u d p 控件，这个控件有几个重要的属性：r e m o t e h o s t 表 示远程电脑的i p 地址；l o c a l p o r t 是本地端口，主要监听有没有数 据传入；而r e m o t e p o r t 是远程端口，发送数据时通过这个端口把数 据发送出去。当t n m u d p 有数据接收时，触发它的d a t a r e c e i v e d 事件，木马程序在这个事件处理程序中接受命令，并按照命令执行 相应的动作。另外在d e l p h i 中引用a p i 函数，同使用d e l p h i 本身 的函数、过程几乎没有区别，d e l p h i 中定义了相应单元，给出了所 有w i n 3 2a p i 函数的接口，d e l p h i 调用a p i 函数只需将使用的单元 名放在u s e s 子句中就可以，其它的工作全部由系统定义的单元完 成。只是要注意，标准a p i 函数都是以c 或c + + 为标准进行数据 结构定义的，而d e l p h i 使用的是o b j e c tp a s c a l 语言，因此在引用时 应特别注意参数和函数本身的数据类型。如一个a p i 函数若为布尔 值，则在d e l p h i 中就应以t r u e 、f a l s e 而不能用o 、非0 来对返回 值进行判断。最后，d e l p h i 的t m e d i a p l a y e r 控件可提供多媒体操作， 如播放、停止、快进、暂停等，它具有可视控制栏，也可以通过代 码来控制，在我的程序中就是这样做的，并且将它的v i s i b l e 属性设 为f a l s e ，这样在运行阶段就见不到控制栏。 西南交通大学硕士研究生学位论文第7 页 第2 章功能编码 用户数据报协议u d p 提供客户机程序与服务器程序之间传送数 据报的基本机制，但要使服务器程序根据客户机程序的指示作出相 应的操作，即让应用进程使用网络提供的通信服务，那就需要在两 个程序之间制定具体的应用层协议，我将其称为功能编码。首先介 绍编码的格式( 如图2 1 ) 图2 1 命令编码格式 这里的命令长度与数据段的长度是密切相关的，数据是由一个 或者若干个参数组成，其长度根据不同的命令有不同的变化。本系 统中应用到的命令有两类，一类是由客户机程序发给服务器程序 的，另一类则是由服务器程序发给客户机程序。 2 1 客户机程序发往服务器程序的命令 ( 1 ) 命令代码：1 ；功能：搜索局域网内的计算机；数据段：空； ( 2 ) 命令代码：2 ；功能：获取计算机系统信息：数据段：空： ( 3 ) 命令代码：8 ：功能：记录键盘的输入：数据段：空； ( 4 ) 命令代码：9 ；功能：停止记录键盘的输入；数据段：空； ( 5 ) 命令代码：1 0 ：功能：查看键盘的输入记录i 数据段：空； ( 6 ) 命令代码：1 1 ；功能：清空键盘的输入记录：数据段：空； ( 7 ) 命令代码：1 2 ；功能：查看屏幕；数据段：如图2 2 ( 是否 全屏：0 代表全屏，1 表示只监看屏幕区域；用“左：上：右：下” 来指定区域) ； 图2 - 2 命令代码1 2 的数据段内容 ( 8 ) 命令代码：l3 ：功能：查看屏幕的同时控制鼠标；数据段 西南交通大学硕士研究生学位论文第8 页 如图2 3 ( 鼠标动作：0 代表鼠标移动，l 代表鼠标左键c l i c k 事件， 2 代表鼠标右键c l i c k 事件，3 代表鼠标中键c l i c k 事件；单击或 双击：1 代表单击，2 代表双击；x ，y 分别代表鼠标在屏幕上的坐标) ； 图2 3 命令代码13 的数据段内容 ( 9 ) 命令代码：1 4 ；功能：显示发送信息窗口；数据段：如图 2 - 4 ( 窗口的按钮类型的取值决定了在窗口上显示的按钮个数和种 类，其对应关系见表2 1 ；设置窗口标题长度与信息长度是为了便 于从数据流中准确获取信息) ： 图2 - 4 命令代码1 4 的数据段内容 表2 1 窗口按钮类型的取值与对应的按钮 窗口按钮类型的取值对应的按钮 m ba b o r t r e t r y i g n o r e a b o r t ，r e t r y ，a n di g n o r e m b0 ko k m bo k c a n c e l0 ka n dc a n c e l m br e t r y c a n c e l r e t r ya n dc a n c e l m by e s n oy e sa n dn 0 m by e s n o c a n c e l y e s ，n o ，a n dc a n c e l 命令代码： 命令代码： 命令代码： 命令代码： 命令代码： 命令代码： 命令代码： 命令代码： 命令代码： 命令代码： l5 ；功能： 1 6 ；功能： 1 7 ；功能： 18 ：功能： 19 ：功能： 2 0 ；功能： 2 1 ；功能： 2 2 ；功能： 2 3 ；功能： 2 4 ；功能： 查看进程：数据段：空； 终止进程：数据段：进程名： 查看窗口；数据段：空； 使窗口最大化：数据段：窗口名 激活窗口：数据段：窗口名： 关闭窗口：数据段：窗口名； 查询子窗口：数据段：父窗口名 使窗口最小化：数据段：窗口名 隐藏窗口：数据段：窗口名： 暴力关闭窗口；数据段：窗口名 ”q” !il l l l( 西南交通大学硕士研究生学位论文第9 页 ( 2 0 ) 命令代码：2 5 ；功能：远程重启计算机；数据段：空； ( 2 1 ) 命令代码：2 6 ；功能：远程关闭计算机；数据段：空； ( 2 2 ) 命令代码：2 7 ：功能：重新加载服务程序( 升级) ；数据 段：空( 这只是发起下载服务程序的命令，然后应由服务端向客户 机继续发出准备接收新的服务程序的信号) ： ( 2 3 ) 命令代码：2 8 ；功能：远程卸载服务程序；数据段：空： ( 2 4 ) 命令代码：2 9 ；功能：锁定鼠标；数据段：鼠标锁定在矩 形区域的坐标( 格式：左，上，右，下) ； ( 2 5 ) 命令代码：3 0 ；功能：鼠标解锁；数据段：空； ( 2 6 ) 命令代码：3 l ：功能：禁止自动拨号：数据段：空； ( 2 7 ) 命令代码：3 2 ；功能：启用自动拨号；数据段：空： ( 2 8 ) 命令代码：3 3 ：功能：隐藏桌面；数据段：空： ( 2 9 ) 命令代码：3 4 ；功能：恢复桌面；数据段：空； ( 3 0 ) 命令代码：3 5 ：功能：屏蔽w i n d o w s 系统功能键；数据 段：空； ( 3 1 ) 命令代码：3 6 ；功能：恢复w i n d o w s 系统功能键；数据 段：空： ( 3 2 ) 命令代码：3 7 ；功能：禁止操作注册表；数据段：空： ( 3 3 ) 命令代码：3 8 ；功能：允许操作注册表；数据段：空； ( 3 4 ) 命令代码：3 9 ：功能：创建共享；数据段：如图2 5 ： 图2 - 5 命令代码3 9 的数据段内容 ( 3 5 ) 命令代码： ( 3 6 ) 命令代码： ( 3 7 ) 命令代码： 名( 包含完整路径) ( 3 8 ) 命令代码： 4 0 ：功能：删除共享；数据段：共享名： 4 1 ；功能：查看共享：数据段：共享名； 4 3 ；功能：快速查看文本文件；数据段：文件 4 4 ；功能：文件查找；数据段：如图2 6 图2 - 6 命令代码4 4 的数据段内容 西南交通大学硕士研究生学位论文第1 0 页 ( 3 9 ) 命令代码：4 7 ；功能：文件复制；数据段：如图2 7 ； 图2 7 命令代码4 7 的数据段内容 ( 4 0 ) 命令代码：4 8 ；功能：文件移动；数据段：如图2 - 8 ； 图2 - 8 命令代码4 8 的数据段内容 ( 4 1 ) 命令代码：4 9 ； 是发起文件上传的命令 传文件信息流的信号) ； ( 4 2 ) 命令代码：5 0 是发起文件下载的命令 载文件信息流的信号) ； ( 4 3 ) 命令代码：5 l ( 4 4 ) 命令代码：5 2 方式的取值见表2 2 ) ； 功能：文件上传；数据段：目的文件名( 这 然后则由服务端向客户机发出准备接收上 功能：文件下载；数据段：源文件名( 这 然后则由服务端向客户机发出准备发送下 功能：删除文件；数据段：文件名； 功能：运行文件；数据段：图2 - 9 ( 运行 图2 - 9 命令代码5 2 的数据段内容 表2 2 运行方式的取值及含义 参数含义 s wh i d e 隐藏窗口 s ws h o w 正常显示 s w m a x i m i z e最大化窗口 s w m i n i m i z e最小化窗口 ( 4 5 ) 命令代码：5 3 ；功能：创建目录；数据段：目录名； ( 4 6 ) 命令代码：5 4 ；功能：删除目录；数据段：目录名； ( 4 7 ) 命令代码：5 5 ：功能：目录复制；数据段：图2 1 0 ； 西南交通大学硕士研究生学位论文第1 1 页 图2 1 0 命令代码5 5 的数据段内容 ( 4 8 ) 命令代码：5 6 ：功能：读取注册表键值；数据段：图2 1 1 图2 1 1 命令代码5 6 的数据段内容 ( 4 9 ) 命令代码：5 7 ：功能：删除注册表键值：数据段：图2 1 2 图2 1 2 命令代码5 7 的数据段内容 ( 50 ) 命令代码：5 8 ；功能：注册表键值写入：数据段：图2 一l 3 图2 13 命令代码5 8 的数据段内容 ( 5 1 ) 命令代码：5 9 ：功能：注册表键重命名；数据段：图2 1 4 ； 图2 1 4 命令代码5 9 的数据段内容 ( 5 2 ) ( 5 3 ) 主键名： ( 5 4 ) 主键名； 命令代码：6 0 ；功能：浏览主键下的子键；数据段：键名 命令代码：6 1 ；功能：新建指定主键下的子键；数据段： 命令代码：6 2 ：功能：删除指定主键下的子键：数据段： ( 5 5 ) 命令代码：6 3 ；功能：复制主键；数据段：图2 15 ； 图2 1 5 命令代码6 3 的数据段内容 ( 5 6 ) 命令代码：6 4 ；功能：主键重命名；数据段：图2 - 1 6 西南交通大学硕士研究生学位论文第1 2 页 图2 16 命令代码6 4 的数据段内容 ( 5 7 ) 命令代码：6 5 ；功能：更换墙纸；数据段：墙纸文件名； ( 5 8 ) 命令代码：6 6 ；功能：更改计算机名；数据段：计算机名； ( 5 9 ) 命令代码：6 9 ；功能：读取屏幕分辨率；数据段：空； ( 6 0 ) 命令代码：7 0 ；功能：修改屏幕分辨率：数据段：分辨率 代码( 代码与实际分辨率的关系见表2 3 ) ； 表2 3 分辨率代码与实际分辨率的对应 分辨率代码屏幕分辨率 06 4 0 x4 8 0 1 7 2 0x4 8 0 2 8 0 0x6 0 0 3 1 0 2 4x7 6 8 4 1 2 8 0x1 0 2 4 5 1 6 0 0x1 2 0 0 ( 6 1 ) 命令代码：7 3 ；功能： ( 6 2 ) 命令代码：7 4 ：功能： ( 6 3 ) 命令代码：7 5 ；功能： ( 6 4 ) 命令代码：7 6 ；功能： ( 6 5 ) 命令代码：7 7 ；功能： ( 6 6 ) 命令代码：7 8 ；功能： ( 6 7 ) 命令代码：7 9 ：功能： ( 6 8 ) 命令代码：8 0 ；功能： ( 6 9 ) 命令代码：8 1 ；功能： 作系统有效) ；数据段：空； ( 7 0 ) 命令代码：8 2 ：功能： ( 7 1 ) 命令代码：8 8 ：功能： ( 7 2 ) 命令代码：8 9 ；功能： ( 7 3 ) 命令代码：9 0 ；功能： ( 7 4 ) 命令代码：9 l ；功能： 弹出光驱：数据段：空； 关闭光驱；数据段：空； 隐藏任务条；数据段：空； 显示任务条：数据段：空； 启动屏幕保护；数据段：空； 使计算机睡眠；数据段：空； 使显示器黑屏；数据段：空： 恢复显示器；数据段：空； 远程死机( 目前只对w i n d o w s9 x 操 清空回收站：数据段：空； 阻止键盘输入：数据段：空 恢复键盘输入；数据段：空 隐藏开始按钮；数据段：空 显示开始按钮；数据段：空 西南交通大学硕士研究生学位论文第1 3 页 ( 7 5 ) 命令代码：9 2 ； ( 7 6 ) 命令代码：9 3 ： ( 7 7 ) 命令代码：9 4 ； ( 7 8 ) 命令代码：9 5 ； ( 7 9 ) 命令代码：9 6 ； 功能：发送聊天信息；数据段：文字流； 功能：上传文件：数据段：文件流； 功能：下载文件：数据段：文件流； 功能：打开视频文件；数据段：文件名； 功能：远程播放视频文件；数据段：自定 义代码( 与具体动作的对应见表2 - 4 ) 表2 - 4 自定义代码与具体动作的对应 代码 对应的动作 l 关闭视频文件 2 播放视频文件 3 快进 4 快退 5 暂停播放 6 显示远程窗口 7 远程全屏播放 ( 8 0 ) 命令代码：9 7 ：功能： 键状态代码( 1 代表该键按下， 路径名 控制键盘；数据段：虚拟键名及按 否则该键弹起) ； 9 8 ；功能：加载服务程序；数据段：文件流； 9 9 ；功能：卸载服务程序；数据段：空； 1 0 1 ；功能：获取磁盘阵列；数据段：空； 1 0 2 ；功能：获取磁盘文件列表信息；数据段 2 2 服务器程序发往客户机程序的命令 ( 1 ) 命令代码：2 0 0 ；功能：回馈安装信息；数据段：空； ( 2 ) 命令代码：2 0 1 ；功能：反馈一般命令的执行信息( 是否成 功) ；数据段：命令码和成功标志( 一般命令是指客户机程序发给服 务器程序的简单任务处理命令，服务器程序收到这个命令后，作出 相应的操作，并且向客户机反馈该操作是否成功。数据段中的“命 令码”是指需要反馈执行信息的一般命令的代码，见表2 - 5 ；成功 码码码码代代代代令令令令命命命命 ”动 q 西南交通大学硕士研究生学位论文第1 4 页 标志= 1 表示该命令成功执行，成功标志= o 表示执行失败) 表2 5 需要反馈执行信息的一般命令代码 命令代码具体含义命令代码具体含义 2 5 重启计算机 5 1 文件删除 2 6 关闭计算机 5 2文件运行 3 1 禁止自动拨号 5 3创建目录 3 2 启用自动拨号 5 4 删除目录 3 5 锁定系统功能键 5 5 复制目录 3 6 系统功能键解锁 6 5 更换壁纸 3 7 注册表锁定 7 0 修改分辨率 3 8 注册表解锁 7 3 弹出光驱 3 9 创建共享目录 7 4 关闭光驱 4 0 删除共享目录 7 5 隐藏任务条 4 7 文件复制 7 6 显示任务条 4 8 文件移动 8 2 清空回收站 4 9 文件上传 8 8 锁定键盘输入 5 0 文件下载 8 9 键盘输入解锁 ( 3 ) 命令代码：2 0 2 ；功能：回送服务端计算机系统信息；数据 段：文字信息流( 在本地机上以列表的方式显示服务端计算机的具 体信息，诸如操作系统的版本、注册用户、安装密码等等) ； ( 4 ) 命令代码：2 0 7 ：功能：请求继续加载新的服务程序：数据 段：空； ( 5 ) 命令代码：2 1 0 ；功能：回送服务端键盘的记录信息；数据 段：键盘的记录信息流； ( 6 ) 命令代码：2 1 2 ；功能：回送服务端的屏幕信息；数据段： 屏幕图像信息流； ( 7 ) 命令代码：2 1 3 ：功能：请求继续上传文件；数据段：空； ( 8 ) 命令代码：2 1 4 ；功能：下载文件；数据段：文件流； ( 9 ) 命令代码：2 15 ；功能：回送服务端的进程信息；数据段： 进程信息流； ( 1 0 ) 命令代码：2 1 7 ：功能：回送服务端的窗口信息；数据段： 窗口信息流： ( 1 1 ) 命令代码：2 2 0 ；功能：回送服务端的磁盘阵列信息：数 据段：磁盘阵列信息流： 西南交通大学硕士研究生学位论文第1 5 页 ( 1 2 ) 命令代码：2 2 1 数据段：文件列表信息流 ( 13 ) 命令代码：2 4 1 共享信息流； 功能：回送指定磁盘上的文件列表信息 功能：回送服务端的共享信息；数据段 ( 1 4 ) 命令代码：2 4 3 ；功能：回送指定文本文件的内容信息； 数据段：文件流； ( 15 ) 命令代码：2 4 4 ；功能：回送查找文件的信息；数据段： 文件流； ( 1 6 ) 命令代码：2 5 6 ；功能：回送服务端的注册表信息；数据 段：注册表信息流； ( 17 ) 命令代码：2 4 9 ；功能：删除服务程序；数据段：空； ( 18 ) 命令代码：2 9 2 ：功能：回送服务端的聊天信息；数据段： 文字信息流； ( 1 9 ) 命令代码：3 0 0 ；功能：回送服务端屏幕分辨率；数据段： 分辨率信息流； ( 2 0 ) 命令代码：3 0 l ：功能：回送文件上传失败的信息；数据 段：文字信息流； ( 2 1 ) 命令代码：3 0 2 ：功能：回送文件上传完毕的信息；数据 段：文字信息流： ( 2 2 ) 命令代码：3 0 3 ；功能：回送文件下载失败的信息：数据 段：文字信息流； ( 2 3 ) 命令代码：3 0 4 ：功能：回送文件下载完毕的信息；数据 段：文字信息流； 以上两部分是整个监控系统的内部编码协议，这个编码是整个 系统的骨架，所有的程序都是围绕着这个编码协议来完成的。 西南交通大学硕士研究生学位论文第1 6 页 第3 章服务器程序 在远程控制软件中，最难构造的是服务器程序，服务器潜伏在 远程计算机上，一开机后便自动运行，在指定端口上监听，接受客 户机的连接请求并按照客户机的指令进行相应的操作，如：控制被 监控机的键盘、鼠标，监视它的屏幕，获取系统信息，限制系统功 能，操作文件和注册表，等等。可以说系统的主要功能都是由服务 器实现的。 3 1 服务器程序的特性 服务器程序是作为木马程序隐藏起来运行的，木马程序首先要 具有隐蔽性，让被控制的用户无法发现：其次木马程序的潜伏能力 也相当重要，如果木马程序潜伏在被控主机的某个位置，当暴露的 木马程序被删除以后，备用的木马程序能自动启动并继续打开端 口，接受客户机发来的指令，那么，木马的生存能力将提高许多倍。 在我的软件中是这样实现的：服务端会在c ：w i n d o w s s y s t e m 下生成 两个文件，一个是w i n k e r n e l 3 2 e x e ，这个文件挂在注册表的启动组 中，在开机时立刻运行并打开默认端口，这是表面上的木马；另一 个是w y s e r v e r e x e ，它是与文本文件( t x t ) 相关联的，这是在注册表 的h k e yc l a s s e sr o o t t x t f i l e s h e l l o p e n c o m m a n d 下，键值名： ( 默认) ，它原来的键值应该是c ：w i n d o w s n o t e p a d e x e l ， 现在将其改为c ：w i n d o w s s y s t e m w y s e r v e r e x e 1 ，这样当 你点击文本文件的时候，它就启动了，它会检查w i n k e r n e l 3 2 e x e 是不是存在，如果存在的话，什么事情也不做；当表面上的木马 w i n k e r n e l 3 2 e x e 被发现并被删除以后，目标电脑的主人可能会觉得 自己已经删除木马了，应该是安全的了。但他如果点击了文本文件， 就启动了w y s e r v e r e x e ，w y s e r v e r ，e x e 会发现表面上的木马 w i n k e r n e l 3 2 e x e 已经被删除，就会再生成一个w i n k e r n e l 3 2 e x e ， 于是木马又被装上了。 服务器程序是一个当系统启动时即自动运行的程序，所以 西南交通大学硕士研究生学位论文第1 7 页 w i n d o w s 系统启动时自动加载应用程序的方法，服务器程序即木马 都会用上，如：w i n i n i 、s y s t e m i n i 、注册表等等都是木马藏身的好 地方。在w i n i n i 文件中的【w i n d w o s 段中有如下加载项：r u n = ， l o a d = ，一般此两项为空，这两项分别是用来当系统启动时自动运 行和加载程序的，如果木马程序加载到这两个子项中之后，那么当 你的系统启动后，木马程序即可