实验一木马攻击与防范全解Word文件下载.docx

1、破坏型木马，主要功能是破坏并删除文件；密码发送型木马，它可以找到密码并发送到指定的邮箱中；服务型木马，它通过启动 FTP服务或者建立共享目录，使黑客可以连接并下载文件；DoS攻击型木马，它将作为被黑客控制的肉鸡实施 DoS 攻击；代理型木马，可使被入侵的计算机做为黑客发起攻击的跳板；远程控制型木马，可以使 攻击者利用客户端软件进行完全控制。4木马的工作原理 下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。（1） 木马的传统连接技术 一般木马都采用C/S运行模式，因此它分为两部分，即客户端和服务器端木马程序。其原理是，当服务器端程序在目标计算机上被执行后，一般会打开一个默 认的端

2、口进行监听，当客户端向服务器端主动提出连接请求，服务器端的木马程序就会自动运 行，来应答客户端的请求，从而建立连接。 C/S木马原理如图1-1所示。第1代和第2代木马都采用的是C/S（客户机，服务器）连接方式，这都属于客户端主动连接 方式。服务器端的远程主机开放监听端目等待外部的连接，当入侵者需要与远程主机连接时， 便主动发出连接请求，从而建立连接。（2） 木马的反弹端口技术 随着防火墙技术的发展，它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接，第3代和第4 代“反弹式”木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某

3、些方 式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求，而客户端是被 动的连接。根据客户端IP地址是静态的还是动态的，反弹端口连接可以有两种方式，如图 1-2和图1-3所示。图1-1 C/S木马原理图1-2反弹端口连接方式一ft理服等器（保存客禰|打图1-3反弹端口连接方式二IP地址和待连接端反弹端口连接方式一要求入侵者在设置服务器端的时候，指明客户端的 口，也就是远程被入侵的主机预先知道客户端的 IP地址和连接端口。所以这种方式只适用于客 户端IP地址是静态的情况。反弹端口连接方式二在连接建立过程中，入侵者利用了一个“代理服务器”保存客户端的 IP地址和待连接的端口，在客

4、户端的IP地址是动态的情况下，只要入侵者更新“代理服务器” 中存放的IP地址与端口号，远程被入侵主机就可通过先连接到“代理服务器” ，查询最新木马客户端信息，再和入侵者（客户端）进行连接。因此，这种连接方式适用于客户端和服务器端都 是动态IP地址的情况，并且还以穿透更加严密的防火墙。表1-1总结了反弹端口连接方式一和反弹端口连接方式二的使用范围。表1-1反弹端口连接方式及其使用范围反弹端口连接方式使用范围方式一1.客户端和服务器端都是独立 IP;2.客户端独立IP，服务器端在局域网内；3.客户端和服务器都在局域网内方式二1.客户端和服务器端都是独立 IP2.客户端独立IP，服务器端在局域网内（

5、3）线程插入技术 我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程， 同时，每个进程分别对应了一个不同的进程标识符 （Process ID， PID）。系统会分配一个虚拟的 内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。一个进程 可以对应一个或多个线程，线程之间可以同步执行。一般情况下，线程之间是相互独立的，当 一个线程发生错误的时候，并不一定会导致整个进程的崩溃。 “线程插入”技术就是利用了线程之间运行的相对独立性，使木马完全地融进了系统的内核。 这种技术把木马程序作为一个线程， 把自身插入其它应用程序的地址空间。而这个被插入的应用程序对于系统来说，是

6、一个正常的 程序，这样，就达到了彻底隐藏的效果。系统运行时会有许多的进程，而每个进程又有许多的 线程，这就导致了查杀利用“线程插入”技术木马程序的难度。综上所述，由于采用技术的差异，造成木马的攻击性和隐蔽性有所不同。第 2代木马，如“冰河”，因为采用的是主动连接方式，在系统进程中非常容易被发现，所以从攻击性和隐蔽性来说都不是很强。第3代木马，如“灰鸽子”，则采用了反弹端口连接方式，这对于绕过防火墙是非常有效的。第4代木马，如“广外男生”，在采用反弹端口连接技术的同时，还采用了“线程插入”技术，这样木马的攻击性和隐蔽性就大大增强了，可以说第 4代木马代表了当今木马的发展趋势。三、 实验环境两台运

7、行 Windows 2000/XP的计算机，通过网络连接。使用“冰河”和“广外男生”木马 作为练习工具。四、 实验内容和任务任务一冰河”木马的使用1 “冰河”介绍“冰河”是国内一款非常有名的木马，功能非常强大。“冰河”一般是由两个文件组成： G_Client和G_Server，其中G_Server是木马的服务器端，就是用来植入目标主机的程序， G_Client是木马的客户端，就是木马的控制端，我们打开控制端 G_Client，弹出“冰河”的主界面，如图1-4所示。图1-4 “冰河”主界面快捷工具栏简介（从左至右）：（1）添加主机：将被监控端IP地址添加至主机列表，同时设置好访问口令及端口，设置

8、将 保存在Operateni文件中，以后不必重输。如果需要修改设置，可以重新添加该主机，或在 主界面工具栏内重新输入访问口令及端口并保存设置。（2）删除主机：将被监控端IP地址从主机列表中删除（相关设置也将同时被清除）。（3）自动搜索：搜索指定子网内安装有冰河的计算机。（4）查看屏幕：查看被监控端屏幕。（5）屏幕控制：远程模拟鼠标及键盘输入。（6）“冰河”信使：点对点聊天室。（7）升级1. 2版本：通过“冰河”来升级远程1. 2版本的服务器程序。（8）修改远程配置：在线修改访问口令、监听端口等服务器程序设置，不需要重新上传整个 文件，修改后立即生效。（9）配置本地服务器程序：在安装前对 G_S

9、erver.exe进行配置（例如是否将动态IP发送到 指定信箱、改变监听端口、设置访问口令等）。2使用“冰河”对远程计算机进行控制我们在一台目标主机上植入木马，在此主机上运行 G_Server，作为服务器端；在另一台主机上运行G_Client，作为控制端。打开控制端程序，单击快捷工具栏中的“添加主机”按钮，弹出如图 1-5所示对对话框。图1-5添加计算机“显示名称”：填入显示在主界面的名称。“主机地址”：填入服务器端主机的IP地址。“访问口令”：填入每次访问主机的密码，“空”即可。“监听端口” ： “冰河”默认的监听端口是 7626,控制端可以修改它以绕过防火墙 单击“确定”按钮，即可以看到主

10、机面上添加了 test的主机，如图1-6所示。图1-6添加test主机这时单击test主机名，如果连接成功，则会显示服务器端主机上的盘符。图1-6显示了 test 主机内的盘符，表示连接成功。这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开 C:WINNTsystem32co nfig目录可以找到对方主机上保存用户口令的 SAM文件。“冰河”的大部分功能都是在这里实现的，单击“命令控制台”的标签，弹出命令控制台 界面，如图1-7所示。IrtF卿目 iftfltS ft軻艷型H H lr廡图1-7命令控制台界面可以看到，命令控制台分为“口令类命令”、“控制类命令”、“网络类命令”、“

11、文件 类命令”、“注册表读写”、“设置类命令”。3删除“冰河”木马删除“冰河”木马主要有以下几种方法：（1）客户端的自动卸载功能在“控制类命令”中的“系统控制”里面就有自动卸载功能，执 行这个功能，远程主机上的木马就自动卸载了。手动卸载这是我们主要介绍的方法，因为在实际情况中木马客户端不可能为木马服务器 端自动卸载木马，我们在发现计算机有异常情况时 （如经常自动重启、密码信息泄漏、桌面不正常时）就应该怀疑是否已经中了木马，这时我们应该查看注册表，在“开始”的“运行”里面输 入regedit，打开Windows注册表编辑器。依次打开子键目录 HKEY_LOCAL_MACHINESOFTWAREM

12、 icrosoftWi ndowsCurre ntVersio nRun 。在目录中发现了一个默认的键值 C:WINNTSystem32kernel32.exe，这就是“冰河”木马在注册表中加入的键值，将它删除。然后再依次打 开子键 目 录 HKEY_LOCAL_MACHINESOFTWAREMicrOspW/i ndows CurrentVersionRunservices ，如图 1-13 所示。在目录中也发现了一个默认的键值 C:WINNTSystem32kernel32.exe，这也是“冰河”木 马在注册表中加入的键值，将它删除。上面两个注册表的子键目录 Run和Runservices

13、中存放的键值是系统启动时自动启动的程序，一般病毒程序、木马程序、后门程序等都放在这些子键 目录下，所以要经常检查这些子键目录下的程序，如果有不明程序，要着重进行分析。然后再进入C:WINNTSystem32目录，找到“冰河”木马的两个可执行文件 Kernel32.exe和Sysexplr.exe文件，将它们删除。修改文件关联也是木马常 用的手段，“冰河”木马将txt文件的缺省打开万式由 notepad.exe改为木马的启动程序，除此之外，html、exe、zip、com等也都是木马的目标。所 以，在最后需要恢复注册表中的txt 文件关联功能，只要将注册表的 HKEY_CLASSES_ROOTt

14、xtfileshellope ncomma nd 下的默认值， 由中木马后的 C:WindowsSystemSysexplr.exe%1 改为正常情况下的 C:Windowsnotepad.exe%1 即可。再重新启动计算机即可，这样我们就把“冰河”木马彻底删除了。（3）杀毒软件查杀大部分杀毒软件都有查杀木马的功能，可以通过这个功能对主机进行全面 扫描来去除木马。任务二 广外男生”木马的使用“广外男生”是广外程序员网络小组精心制作的远程控制以及网络监控工具。 它采用了 “端口反弹”和“线程插入”技术，可以有效逃避防火墙对木马程序的拦截。1“广外男生”的客户端和服务器端的配置及连接（1）打开“广

15、外男生”的主程序，主界面如图 1-10所示。图1-10 “广外男生”主界面（2）进行客户端设置。依次单击“设置” “客户端设置”，弹出客户端设置界面，如图1-11所示。在窗口中我们可以看到它采用“反弹端口 +线程插入技术的提示。图1-11客户端设置在“客户端最大连接数”中填入允许多少台客户端主机来控制服务器端，注意不要填入太 大的数字，否则容易造成服务器端主机死机。在“客户端使用端口”填入服务器端连接到客户 端的那个端口，这是迷惑远程服务器端主机管理员和防火墙的关键，填入一些常用的端口，会 使远程主机管理员和防火墙误以为连接的是个合法的程序。比如使用端口 80，就会使管理员以为自己连接在远程的

16、 Web服务器上。选择“只允许以上地址连接”选项，使客户端主机 IP地址处于默认的合法控制IP地址池中。（3）单击“下一步”按钮，设置木马的连接类型，弹出如图 1-12所示的对话框。图1-12设置连接类型如果使用反弹端口方式二，则选择“使用 HTTP网页IP通知”，如果使用反弹端口方式一， 则选择“客户端处于静态IP（固定IP地址）”，在此选择第2项。单击“下一步”按钮，显示出完成设置的对话框，单击“完成”按钮就结束了客户端的设 置。（4）进行服务器端设置。依次单击“设置” “生成服务器端”，这时，会弹出“广外男生”服务器端生成向导，直接单击“下一步”按钮，弹出常规设置界面，如图 1-13所示

17、。图1-13常规设置选项在“EXE文件名”和“ DLL文件名”中填入加载到远程主机系统目录下的可执行文件和动态 连接库文件，在“注册表项目”中填入加载到远程主机注册表中的 Run目录下的键值名。这些文件名都是相当重要的，因为这是迷惑远程主机管理员的关键所在，如果文件名起的非常有隐 蔽性，如sysremote.exe， sysremote.dll ，那么就算管理员发现了这些文件，也不知道这些文 件就是木马文件而轻易删除它们。注意：把“服务器端运行时显示运行标识并允许对方退出”前面的对勾去掉，否则服务器 端主机的管理员就可以轻易发现自己被控制了。（5）单击“下一步”按钮，弹出网络设置对话框，如图

18、1-14所示。广外男生胆务銘生瓏向导L KHP网页瑋式I滩知HTIT阿页地址Q1BL）氏薛态IP Q宣用于客户诵位于固走IF客户鐫IF地址（说阿監1備山】 客户诵用请口 HOTT）闰上=步00 下=步S） 取轴图1-14网络设置由于我们选择的是反弹端口连接方式一，所以选择“静态 IP ”选项，在“客户端IP地址”中填入入侵者的静态IP地址，“客户端用端口”填入在客户端设置中选择的连接端口。 再单击“下一步”按钮，弹出生成文件的界面，如图 1-15所示。 _!亠弓*1EDDruF口 HMLSa2 17 r -Krp-r -GUJB口Lj 己 Cllim9Uirr*aEiAA&术生或文件 广外舅生

19、服务桃番信JB：EIE文件：評boy. 亡ULLtr件：nbovdU dll 超探或要口忘雜男空启动项 飙务S；显：r：运tr猱识便用蓉尸洱尸示r? is; iae n l90目抹文件：pg巩T |的览 |图1-15生成文件位置选择在“目标文件”中填入所生成服务器端程序的存放位置，如 D:hacktest.exe 这个文件就是需要植入远程主机的木马文件。单击“完成”按钮即可完成服务器端程序的设置，这时就生 成了一个文件名为hacktest.exe的可执行文件。 （7）在目标主机上执行木马程序hacktest.exe ，当然在实际情况中，在远程主机中植入木马 程序是很复杂的事情，这涉及到社会工程

20、学、文件伪装等技术。由于采用了反弹端口技术，在 服务器端主机上执行木马程序后，需要在客户端主机上等待服务器端主机主动连接过来，过了 一段时间后，客户端主机“广外男生”显示界面如 1-16所示，表示连接成功。这时，就可以和使用了第二代木马“冰河”一样控制远程主机，主要的控制选项有“文件 共享”、“远程注册表”、“进程与服务”、“远程桌面”等。2“广外男生”的检测（1）由于使用了 “线程插入”技术，所以在 Windows系统中采用任务管理器查看线程是发现不了木马的踪迹的，只能看到一些正常的线程在运行，所以我们要使用两个强大的工具 fport和tlist o fport是第三方提供的一个工具，可以查

21、看某个具体的端口被哪个进程所占用，并能 查看PID。tlist是Windows资源工具箱中提供的工具，功能非常强，我们利用它查看进程中有 哪些动态链接库正在运行，这对于检测插入在某个正常的进程中的线程是非常有用的。（2）在服务器端主机上依次单击“开始” “运行”，输入cmd进入命令行提示符，在这里输入netstat -an ，查看网络端口占用状态，如图1-17所示。在显示的结果，反亮的部分我们发现了一个可疑的 IP地址（就是客户端的IP地址）与本机建立了连接，这是需要我们注意的地方，记住本机用于连接的端口号 1404, 1405, 1406,1407。图1-17查看网络状态（3）接着在提示符下

22、输入fport（注意，要在有fport.exe 的目录中运行fport），显示结果 如图1-18所示。图1-18查看进程占用端口情况在显示结果中，找到端口号1404, 1405, 1406, 1407,发现木马插入的进程是 Explorer . EXE 记住此进程的PID号848o在提示符下输入tlist 848,查看在Explorer.EXE中运行的动态链接库，显示结果如图1-19所示。在众多的动态链接库文件中，我们发现木马的 dll文件gwboydll.dll ，在实际情况中，这个文件名是可以改变的，所以一定要仔细检查，看是否有可疑文件，查看时可以找一台正常的 主机进行对比。MtocilK

23、initS- And 11 In ys ftdm io iff t rator. H I V AHSHI t I itt -n ybflnyl 11 .dll 非斗H txplararEXE PrunirdiH ttaniayfi-r4ubedl ,dll - 24増 et ffwn gphv图1-19查看动态链接库（5）在命令行提示符下输入tlist -m gwboydll.dll 查看木马是否还插入其它的进程，显示结果如图1-20所示。图1-20查看插入的进程在显示结果中，我们发现木马插入了两个进程， Explorer.EXE、ctfmon.exe，这是木马的高级之处，如果一个进程被杀，另

24、一个进程还会运行并且立即再在其它进程中插入木马文件。3手动删除“广外男生”木马“广外男生”木马除了可以采用防病毒软件查杀之外，还可以通过手动方法删除，具体手 动删除步骤如下：（1）依次单击“开始” “运行”，输入regedit 进入注册表，依次展开到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurre ntVersio nRyn在里面找到木马自 启动文件进行删除，如图1-21所示。图1-21删除注册表中木马文件a- LJ mMlMhw . PfcMMXEjrnUtJCO hMCAdw：. _j Ml * 二| pdclKQ FiaMMy* JR5口

25、 Runomx-l RunOnaE xJ RnSwykw CjSwedDLLif -* Shd E4vwn5； 溟SbelCarpatfaft） 邯 J ShtdScrv5heC#vic 空 Mjnag# 任:J Sytwigr 卍 LJ Tetephcriy 屁：1J Urwwt * ._ 1 I Pl d图1-22删除注册表中木马文件在实际情况中，这个文件名是可以改变的，应该在 Run目录下仔细检查是否有可疑文件，对可疑文件进行删除，注意删除之前先做好注册表的备份。进入C:WINNTSystem32,按文件大小进行排列，搜索木马文件,将文件删除。（3）在注册表中，依次单击“编辑” “查找”

26、，查找文件名为gwboydll.dll 的文件，找到后将相关的注册表项全部删除。 重新启动主机，按F8进入带命令行提示的安全模式，再进入 C:WINNTSystem32中， 输入del gwboydll.dll 删除木马的动态链接库文件，这就彻底把木马文件清除了。任务三木马的防范木马的危害性是显而易见的，通过以上实验知道了木马的攻击原理和隐身方法，我们就可 以采取措施进行防御了，主要方法有以下几种：（1）提高防范意识，不要打开陌生人传过来的可疑邮件和附件，即使是熟人传过来的，也要 确认来信的源地址是否合法。 如果网速变的很慢，这是因为入侵者使用的木马抢占带宽。这时可以双击任务栏右下角的连接图标

27、，仔细观察一下“已发送字节“项，如果数字比较大的话，比如 lkb/s3kb/s，几乎可以确认有人在下载你的硬盘文件，除非你正在使用 FTP等协议进行文件传输。（3）查看本机的连接，在本机上通过netstat -an（或第三方程序）查看所有的TCP/UDP连接, 当有某些IP地址的连接使用不常见的端口 （一般大于1024）与主机通信时，这一连接就需要进一步进行分析。（4）木马可以通过注册表启动，所以可以通过检查注册表来发现木马在注册表里留下的痕 迹。（5）使用杀毒软件和防火墙。许多杀毒软件有清除木马的工程，可以不定期在脱机的情况下 进行检查和清除。另外，有的杀毒软件还提供网络实时监控功能，这一功能可以在攻击者远程 执行用户主机上的文件时，提供报警或让执行失败，使攻击者向用户主机上传可执行文件后无 法正确执行，从而避免了进一步的损失。 防火墙则可以运行 IP 规则编辑器关闭某些端口的通信， 只要利用防火墙关闭木马常用的一些端口，就可以阻止一些木马的入侵。当然，木