木马攻击与防范Word文件下载.docx
《木马攻击与防范Word文件下载.docx》由会员分享,可在线阅读,更多相关《木马攻击与防范Word文件下载.docx(16页珍藏版)》请在冰豆网上搜索。
2.学会使用工具检测并清除木马
实验原理
一、木马工作原理
1.木马系统构成:
硬件、软件、具体连接
硬件是控制端和服务器端
软件是木马代码
连接一般通过网络(IP、端口)
2.木马配置程序的功能:
伪装和信息反馈
3.传播木马
(1)传播方式有2:
通过e-mail和下载
(2)伪装方式:
a)修改图标(一般存在e-mail中,会将木马服务器端改为HTML、TXT、ZIP图标等)
b)捆绑文件:
将木马捆绑在一个安装(可执行)文件上,当文件执行时,木马运行。
(like网络公牛)
c)出错显示:
一般木马执行时,会像执行程序但却没有任何反应,容易惹人怀疑,所以为了伪装,就显示出错。
d)定制端口:
很多老师木马端口是固定的,只要检查端口可知是否被感染。
现在的木马选择在1024~65535之间任选端口,那就不好判断了。
e)自我销毁:
毁灭犯罪证据(在windows系统文件中无法找到了)
f)木马更名:
也是为了防止被找到
4.运行木马
(1)自启动激活木马:
a)注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下的5个以Run和RunServices主键,有木马键值。
b)WIN.INI→在C:
\WINDOWS目录下有配置文件win.ini,用文本方式打开,在[windows]字段中有启动项命令load=和run=,一般为空,若有内容,可能是木马。
c)SYETEM.INI→在C:
\WINDOWS目录下有配置文件system.ini,用文本方式打开,在[386Enh],[mic],[driver32]中看有无木马命令木马。
d)Autoexec.bat和Config.sys→在c盘根目录下着两个文件也可启用木马。
(需要控制端的同名木马对客户端的这两个文件进行覆盖)
e)*INI(应用程序的启用配置文件):
控制端用同名木马覆盖,服务端不知道,就启用了木马。
f)启用菜单:
在【开始】→【程序】→【启用】,也有木马出发条件。
(2)由触发式激活木马
a)注册表HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看键值。
(冰河就是修改txtfile下的键值)
同伪装方式,就算木马被删除,只要运行与其捆绑的可执行文件,木马也执行,所以要删除被捆绑的关联文件
(3)木马运行过程:
木马被激活后,进入内存,开启预定义端口,与控制端建立连接,返回信息给控制端。
(4)信息泄露:
木马就是控制端拿来窃取其想要的信息的。
(如服务端的硬件信息,包括操作系统及版本,系统目录,系统口令,最终要的是服务端IP,有IP才能建立连接)
(5)建立连接:
有2个条件:
控制端将木马弄到了服务端;
两端都在线。
(一般是C/S结构,也有S/C结构的,灰鸽子就是用反弹主动连接技术要服务端连接控制端)
(6)远程控制:
a)窃取密码:
一切以明文形式,“*”形式或缓存在cache中的密码都能被木马侦测到,很多木马都有击键记录。
b)文件操作:
由远程控制对文件进行删除、新建、修改、上传、下载、运行、更改属性等一系列操作。
(基本涵盖了windows平台的所有文件操作)
c)修改注册表:
任意修改服务端注册表,报告删除、新建、修改主键、子键、键值。
这样可以禁止服务端软驱、光驱的使用。
锁住服务端的注册表,将木马触发条件设置得更加隐秘。
d)系统操作:
对操作系统的关闭重、启,断开网络连接,控制鼠标、键盘、监视桌面,查看进程、控制端还可以随时给服务端发送信息。
3.隐形木马启动方式:
常用启动方式同上。
方式1:
在用户策略组的“在用户登陆时运行这些程序”:
【开始】→【运行】Gpedit.exe命令。
打开【组策略】→【本地计算机策略】→【用户配置】→【管理模块】→【系统】→【登陆】,双击【在用户登陆时运行这些程序】子项进行属性设置,选择【设置】→【应启用】选项并单击【显示】按钮打开【显示内容】窗口,再单击【添加】,在【添加项目】中输入要启动程序的路径,单击【确定】完成。
重启系统后,系统会在登陆时自动添加木马程序。
方式2:
在不熟知的注册表中添加自启动程序:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Run
方式3:
网页木马的寄存方式
a)把木马文件改成BMP文件,利用debug来还原成exe,网上存在该木马20%
b)下载一个TXT文件到你计算机,里面藏着FTP程序,FTP与其他有木马的计算机下载木马。
该木马在网上占50%
c)采用JS脚本,VSB脚本来执行木马文件,盗qq等
d)ARP欺骗:
用ARP欺骗拦截局域网数据,攻击网关。
(安装ARP防火墙)
e)下载一个HTA文件,用网页控件解释器来还原木马,网上占50%
二、木马防治原理
1.加强个人安全意识,降低“中招”概率
a)不要下载、接收、执行任何来历不明的软件。
(防捆绑文件)
b)不要随意打开邮件附件
c)将资源管理器配置成始终显示扩展名。
(一些扩展名为.vbs、.shs、.pif的文件要多注意,疑似木马)
d)尽量少用共享文件夹:
不要共享整个计算机,要共享就组成一个的文件共享
e)运行反木马实时监控程序:
(PC万用精灵、最新的杀毒软件、个人防火墙等)
f)经常升级系统、软件,安装补丁,很多木马是通过系统漏洞设计的。
g)关闭所有磁盘的自动播放功能,避免带毒优盘,移动硬盘的感染
h)经常去相关安全网站了解新出的木马,做到有所预防。
2.修改系统设置
a)把windows\system(32)\mshta.exe文件改名,将windows\command\debug.exe和windows\command\ftp.exe都改名或者删除
b)注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\InternetExplorer\ActiveXCompatibility\下为ActiveSetupcontrols创建一个基于CLISID的新键值{6E44963_11CF_AAFA_00AA00B6015C},然后在新值下创建一个REG_DWORD类型的键值Compatibility{0x00000400}
3.把个人防火墙设置好安全等级,防止位置程序向外传送数据;
选择安全性较高的浏览器和电子邮件客户端软件;
使用IE时,安装卡卡安全助手,防止恶意网站在自己计算机上安装不明软件和浏览器插件,以免被木马侵入。
4.“DLL木马”:
dll文件是不能单独执行的,它需要一个Loder(一般为exe文件),
该木马可以直接注入Loder中。
“DLL木马”防御方法:
用户经常查看系统启动项(Loder)中有无多出莫名的项目,或在进程中找陌生的dll。
(国外的防火墙软件tiny、SSM等对dll文件加载时附加提醒)
实验仪器
安装windows2003sever的两台电脑(虚拟机中完成)
木马程序:
网络公牛、冰河、灰鸽子
实验步骤及实验内容
一、网络公牛
控制端:
1.首先运行peep.exe,打开菜单"
配置服务器"
找到peepserver.exe打开,填写你的IP通知
设置及捆绑运行与否.(与服务器端连接后也可动态设置)
2.运行buildserver.exe,会在本目录下自动产生一个newserver.exe文件(大约213K).
3.将newserver.exe文件e_mail给服务端
服务端IP:
服务器端运行后会自动捆绑以下文件:
notepad.exe;
write.exe,regedit.exe,winmine.exe,winhelp.exe
NT/2000:
(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)
以上文件还会捆绑在开机时自动运行的第三方软件上(如:
realplay.exe等)
与服务端连接上,控制服务端
用往服务端发送信息,
服务端:
删除netbull
1.删除
中的
2.删除注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下的键值:
删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
二、冰河
冰河的服务器端为G_Server.exe,控制端为G_Client.exe
1.G_Server.exe运行后,控制端
添加主机,建立连接:
进行控制:
a)查看被控端文件:
b)新建文件夹:
你好
在被控端找到新建的文件夹:
c)实验冰河信使与被控端聊天
控制对方屏幕:
3.服务器端删除冰河
冰河的kernel程序将cpu占尽:
(1)Kernel32.exe在系统重启后自动加载,Sysexplr.exe和TXT关联文件,即使删除Kernel32.exe,只要打开TXT文件,Sysexplr.exe就会被激活,再次生成Kernel32.exe。
所以删除
和
(2)删除注册表里面的键值
a)
删除
b)
c)
将
改为
(3)重启计算机,看上述有无痕迹。
(4)使用木马检测工具:
Anti-TrojanShield
实验总结
本次的木马实验必须要两边的电脑都能连起网,但是感觉此次实验的木马软件有点不稳定,在控制对方后,会时不时的出现闪退的状况。
冰河木马的控制方法更为多样化。
指导教师意见
签名:
年月日
注:
各学院可根据教学需要对以上栏木进行增减。
表格内容可根据内容扩充。
升级会员 