實驗報告在word中插入木馬

1、實驗報告 課題：在word中插入木馬系院：計算機科學(xué)技術(shù)系專業(yè)：計算機網(wǎng)絡(luò)技術(shù)班級：10網(wǎng)1學(xué)號：1023110518姓名：婁雪指導(dǎo)老師：王蒙蒙目 錄引言3第一章 什么是木馬31.1木馬簡介31.1.1木馬攻擊原理31.1.2木馬的功能31.2木馬植入方式41.2.1利用共享和Autorun文件41.2.2把木馬轉(zhuǎn)換為BMP格式51.2.3利用錯誤的MIME頭漏洞51.2.4在word中加入木馬文件61.2.5通過Script、Active及ASP、CGI交互腳本的方式植入61.3木馬常見的四大偽裝欺騙行為61.3.1以Zfile偽裝加密程序61.3.2將木馬包裝為圖片文件71.3.3合并程序

2、欺騙71.3.4偽裝成應(yīng)用程序擴展組件8第二章 利用office系列掛馬工具全套在word中插入木馬82.1office系列掛馬工具全套的工作原理82.2在word中插入木馬的過程92.3帶有木馬的word的危害15第三章 木馬的防范措施162.1如何防御木馬病毒····························

3、·····················163.2如何刪除木馬病毒···························

4、;······················16結(jié)論17參考文獻(xiàn)18謝辭18附錄引言：伴隨著Windows操作系統(tǒng)核心技術(shù)的日益成熟，“木馬植入技術(shù)”也得到發(fā)展，使得潛入到系統(tǒng)的木馬越來越隱蔽，對網(wǎng)絡(luò)安全的危害性將越來越大。所以，全面了解木馬植入的方法和技術(shù)，有助于采取有力的應(yīng)對措施，同時也有助于促進信息對抗技術(shù)的發(fā)展。本實驗來了解木馬和木馬植入技術(shù)，學(xué)習(xí)幾種在Winndow

5、s下向office中植入木馬的技術(shù)。第一章 什么是木馬1.1木馬簡介木馬（Trojan）這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)。1.1.1 木馬攻擊原理木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。所謂隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定具體位置，往往只能望“馬”興嘆。所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分不能操作權(quán)限，包括修改文件，修改注冊表，控制鼠標(biāo)、鍵盤等等，而這些權(quán)利并不是服務(wù)端賦予的，

6、而是通過木馬程序竊取的。 從木馬的發(fā)展來看，基本上可以分為兩個階段：最初網(wǎng)絡(luò)還處于一UNIX平臺為主的時期，木馬就產(chǎn)生了，當(dāng)時的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統(tǒng)文件中用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，在這個時期木馬的設(shè)計者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識。 而后隨著Windows平臺的日益普及，一些基于操作的木馬程序就出現(xiàn)了，用戶界面的改善，使使用者不用動太多的專業(yè)知識就可以熟練地操作木馬，相對的木馬入侵事件也頻繁出現(xiàn)，而且由于這個時期木馬的功能已日趨完善，因此對服務(wù)端的破壞也更大了。1.1.2 木馬的功能 木馬和病毒都是一種人為的程序，都屬于電腦病毒，但

7、他們也有區(qū)別，木馬的作用是赤裸裸的偷偷監(jiān)視別人和盜竊別人密碼、數(shù)據(jù)等，如盜竊管理員密碼、子網(wǎng)密碼搞破壞，或者偷竊上網(wǎng)密碼用于他用，游戲賬號、股票賬號，甚至網(wǎng)上銀行賬戶等。達(dá)到偷窺別人隱私和得到經(jīng)濟利益的目的。所以木馬的作用比早期的電腦病毒更加有用，能夠直接到達(dá)使用者的目的。導(dǎo)致許多別有用心的程序開發(fā)者大量的編寫這類帶有偷竊和監(jiān)視別人電腦的侵入性程序，這就是目前網(wǎng)上大量木馬泛濫成災(zāi)的原因。鑒于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣，所以木馬雖然屬于病毒中的一類，但是要單獨的從病毒類型中間剝離出來。獨立的稱之為“木馬”程序?！澳抉R”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會

8、自我繁殖，也并不“刻意”的去感染其他文件，他通過將自身偽裝吸引用戶下載，使施種者可以任意毀壞、竊取被施種者的文件，甚至遠(yuǎn)程操控被施種者的電腦。一個完整的“木馬”程序包含了兩部分：“服務(wù)器”和“控制器”。植入被施種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進入了“服務(wù)器”的電腦。運行了木馬程序的“服務(wù)器”以后，被種者的電腦就會有一個或幾個的端口被打開，是黑客可以利用這些打開的端口進入電腦系統(tǒng)，安全和個人隱私也就全無保障了。1.2木馬植入方式木馬是大家網(wǎng)上安全的一大隱患，說是大家心中永遠(yuǎn)的痛也不為過。對于木馬采用敬而遠(yuǎn)之的態(tài)度并不是最好的方法，我們必須更多地了解其“習(xí)性”和特點，

9、只有這樣才能做到“知己知彼，百戰(zhàn)不殆”！隨著時間的推移，木馬的植入方式也悄悄地發(fā)生了一定的變化，較之以往更加的隱蔽，對大家的威脅也更大，以下是筆者總結(jié)的五種最新的木馬植入方式，以便大家及時防范。 1.1.1 利用共享和Autorun文件為了學(xué)習(xí)和工作方便，有許多學(xué)?；蚬镜木钟蚓W(wǎng)中會將硬盤共享出來。更有甚者，竟將某些硬盤共享設(shè)為可寫！這樣非常危險，別人可以借此給您下木馬！利用木馬程序結(jié)合Autorun.inf文件就可以了。方法是把Autorun.inf和配置好的木馬服務(wù)端一起復(fù)制到對方D盤的根目錄下，這樣不需對方運行木馬服務(wù)端程序，只需他雙擊共享的磁盤圖標(biāo)就會使木馬運行！這樣作對下木馬的人來說

10、的好處顯而易見，那就是大大增加了木馬運行的主動性！許多人在別人給他發(fā)來可執(zhí)行文件時會非常警惕，不熟悉的文件他們輕易不會運行，而這種方法就很難防范了。下面就簡單說一下原理。大家知道，將光盤插入光驅(qū)會自動運行，這是因為在光盤根目錄下有個Autorun.inf文件，該文件可以決定是否自動運行其中的程序。同樣，如果硬盤的根目錄下存在該文件，硬盤也就具有了AutoRun功能，即自動運行Autorun.inf文件中的內(nèi)容。把木馬文件.exe文件以及Autorun.inf放在磁盤根目錄（這里假設(shè)對方的D盤共享出來且可寫），對于給您下木馬的人來說，他還會修改Autorun.inf文件的屬性，將該文件隱藏起來。

11、這樣，當(dāng)有人雙擊這個盤符，程序就運行了。這一招對于經(jīng)常雙擊盤符進入“我的電腦”的人威脅最大。更進一步，利用一個.REG文件和Autorun.inf結(jié)合，還可以讓你所有的硬盤都共享出去！1.2.2 把木馬文件轉(zhuǎn)換為BMP格式這是一種相對比較新穎的方式，把EXE轉(zhuǎn)化成為BMP來欺騙大家。其原理是：BMP文件的文件頭有54個字節(jié)，包括長度、位數(shù)、文件大小、數(shù)據(jù)區(qū)長度。只要在EXE的文件頭上加上這54個字節(jié)，IE就會把該EXE文件當(dāng)成BMP圖片下載下來。由于這樣做出的圖片是花的，為防止我們看出來，下木馬者會在其網(wǎng)頁中加入如下代碼：，把這樣的標(biāo)簽加到網(wǎng)頁里，就看不見圖片了，因此我們就無法發(fā)現(xiàn)這個“圖片”

12、不對勁。在用IE瀏覽后，IE會把圖片自動下載到IE臨時目錄中，而下木馬者只需用一個JavaScript文件在我們的硬盤中寫一個VBS文件，并在注冊表添加啟動項，利用那個VBS找到BMP，調(diào)用debug來還原EXE，最后，運行程序完成木馬植入，無聲無息非常隱蔽。1.2.3 利用錯誤的MIME頭漏洞其實，這一招并不神秘，危害卻很大。錯誤的MIME頭漏洞是個老漏洞了，但對于沒有打補丁的用戶威脅非常大！去年流行的許多病毒都是利用了該漏洞，如尼姆達(dá)病毒和笑哈哈病毒都是如此。這類病毒一旦和錯誤MIME頭漏洞結(jié)合起來，根本不需要您執(zhí)行，只要您收了含有病毒的郵件并預(yù)覽了它，就會中招。同樣的道理，攻擊者通過創(chuàng)建

13、一封HTML格式的E-mail也可以使未打補丁的用戶中木馬！Internet Explorer 5.0、5.01、5.5均存在該漏洞，我們常用的微軟郵件客戶端軟件Outlook Express 5.5 SP1以下版本也存在此漏洞。給您下木馬的人，會制作一封特定格式的E-mail，其附件為可執(zhí)行文件（就是木馬服務(wù)端程序），通過修改MIME頭，使IE不能正確處理這個MIME所指定的可執(zhí)行文件附件。由于IE和OE存在的這個漏洞，當(dāng)攻擊者更改MIME類型后，IE會不提示用戶而直接運行該附件！從而導(dǎo)致木馬程序直接被執(zhí)行！對于這種植入方式，只要給系統(tǒng)打上補丁就可以防范有人利用這種方式來攻擊。微軟公司為該漏

14、洞提供了一個補丁，下載地址：1.2.4 在Word文檔中加入木馬文件這是最近才流行起來的一種方法，比較奇特。這種植入木馬的方法就是新建一個DOC文件，然后利用VBA寫一段特定的代碼，把文檔保存為newdoc.doc，然后把木馬程序與這個DOC文件放在同一個目錄下，運行如下命令：copy/b xxxx.doc+xxxxx.exe newdoc.doc把這兩個文件合并在一起（在Word文檔末尾加入木馬文件），只要別人點擊這個所謂的Word文件就會中木馬！不過，以上方法能得以實現(xiàn)的前提是你的Word 2000安全度為最低的時候才行，即HKEY_CURRENT_USER SoftwareMicroso

15、ftOffice9.0WordSecurity中的Level值必須是1或者0。大家知道，當(dāng)Level值為3的時候（代表安全度為高），Word不會運行任何宏；Level值為2時(安全度中)，Word會詢問是否運行宏；Level值為1的時候(安全度低)，Word就會自動運行所有的宏！聰明的您一定想到如果這個值為0的時候會怎么樣？哈，如果設(shè)為0的話，Word就會顯示安全度為高，但卻能自動運行任何的宏！是不是很恐怖?。恳氚裌ord的安全度在注冊表中的值改為0，方法非常多，利用網(wǎng)頁惡意代碼修改瀏覽者的注冊表就可以。我想這方面大家都有很多經(jīng)驗，就不多說了。對于這種欺騙方式，最重要的是小心防范，陌生人的附

16、件千萬不要收看！網(wǎng)上的鏈接也不要隨意點擊，如要點擊請確認(rèn)是否為.DOC文件，如是則一定不要直接點擊查看！1.2.5通過Script、ActiveX及ASP、CGI交互腳本的方式植入由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞，攻擊者可以利用這些漏洞傳播病毒和木馬，甚至直接對瀏覽者電腦進行文件操作等控制，前不久就出現(xiàn)一個利用微軟Scripts腳本漏洞對瀏覽者硬盤進行格式化的HTML頁面。如果攻擊者有辦法把木馬執(zhí)行文件上載到攻擊主機的一個可執(zhí)行WWW目錄夾里面，他可以通過編制CGI程序在攻擊主機上執(zhí)行木馬。1.3木馬的常見四大偽裝欺騙行為1.3.1 以Z-file 偽裝加密程序Z-file

17、 偽裝加密軟件經(jīng)過將文件壓縮加密之后，再以 bmp圖像文件格式顯示出來(擴展名是 bmp，執(zhí)行后是一幅普通的圖像)。當(dāng)初設(shè)計這個軟件的本意只是用來加密數(shù)據(jù)，用以就算計算機被入侵或被非法使使用時，也不容易泄漏你的機密數(shù)據(jù)所在。不過如果到了黑客手中，卻可以變成一個入侵他人的幫兇。 使用者會將木馬程序和小游戲合并，再用 Z-file 加密及將 此“混合體”發(fā)給受害者，由于看上去是圖像文件，受害者往往都不以為然，打開后又只是一般的圖片，最可怕的地方還在于就連殺毒軟件也檢測不出它內(nèi)藏特洛伊木馬和病毒。當(dāng)打消了受害者警惕性后，再讓他用WinZip 解壓縮及執(zhí)行 “偽裝體 (比方說還有一份小禮物要送給他)，

18、這樣就可以成功地安裝了木馬程序。 如果入侵者有機會能使用受害者的電腦(比如上門維修電腦)，只要事先已經(jīng)發(fā)出了“混合體，則可以直接用 Winzip 對其進行解壓及安裝。由于上門維修是赤著手使用其電腦，受害者根本不會懷疑有什么植入他的計算機中，而且時間并不長，30秒時間已經(jīng)足夠。就算是“明晃晃”地在受害者面前操作，他也不見得會看出這一雙黑手正在干什么。特別值得一提的是，由于 “混合體” 可以躲過反病毒程序的檢測，如果其中內(nèi)含的是一觸即發(fā)的病毒，那么一經(jīng)結(jié)開壓縮，后果將是不堪設(shè)想。1.3.2 將木馬包裝為圖像文件首先，黑客最常使用騙別人執(zhí)行木馬的方法，就是將特洛伊木馬說成為圖像文件，比如說是照片等，

19、應(yīng)該說這是一個最不合邏輯的方法，但卻是最多人中招的方法，有效而又實用 。只要入侵者扮成美眉及更改服務(wù)器程序的文件名(例如 sam.exe )為“類似”圖像文件的名稱 ，再假裝傳送照片給受害者，受害者就會立刻執(zhí)行它。為甚么說這是一個不合邏輯的方法呢?圖像文件的擴展名根本就不可能是 exe，而木馬程序的擴展名基本上又必定是 exe ，明眼人一看就會知道有問題，多數(shù)人在接收時一看見是exe文件，便不會接收了，那有什么方法呢? 其實方法很簡單，他只要把文件名改變，例如把“sam.exe” 更改為“sam.jpg” ，那么在傳送時，對方只會看見sam.jpg 了，而到達(dá)對方電腦時，因為windows 默

20、認(rèn)值是不顯示擴展名的，所以很多人都不會注意到擴展名這個問題，而恰好你的計算機又是設(shè)定為隱藏擴展名的話，那么你看到的只是sam.jpg 了，受騙也就在所難免了!還有一個問題就是，木馬本身是沒有圖標(biāo)的，而在電腦中它會顯示一個windows 預(yù)設(shè)的圖標(biāo)，別人一看便會知道了!但入侵者還是有辦法的，這就是給文件換個“馬甲”，即用IconForge等圖標(biāo)文件修改文件圖標(biāo)，這樣木馬就被包裝成jpg 或其他圖片格式的木馬了，很多人會不經(jīng)意間執(zhí)行了它。1.3.3 合并程序欺騙通常有經(jīng)驗的用戶，是不會將圖像文件和可執(zhí)行文件混淆的，所以很多入侵者一不做二不休，干脆將木馬程序說成是應(yīng)用程序：反正都是以exe 作為擴展

21、名的。然后再變著花樣欺騙受害者，例如說成是新出爐的游戲，無所不能的黑客程序等等，目地是讓受害者立刻執(zhí)行它。而木馬程序執(zhí)行后一般是沒有任何反應(yīng)的，于是在悄無聲息中，很多受害者便以為是傳送時文件損壞了而不再理會它。如果有更小心的用戶，上面的方法有可能會使他們的產(chǎn)生壞疑，所以就衍生了一些合并程序。合并程序是可以將兩個或以上的可執(zhí)行文件(exe文件) 結(jié)合為一個文件，以后一旦執(zhí)行這個合并文件，兩個可執(zhí)行文件就會同時執(zhí)行。如果入侵者將一個正常的可執(zhí)行文件(一些小游戲如 wrap.exe) 和一個木馬程序合并，由于執(zhí)行合并文件時 wrap.exe會正常執(zhí)行，受害者在不知情中，背地里木馬程序也同時執(zhí)行了。而

22、這其中最常用到的軟件就是joiner，由于它具有更大的欺騙性，使得安裝特洛伊木馬的一舉一動了無痕跡，是一件相當(dāng)危險的黑客工具。以往有不少可以把兩個程序合并的軟件為黑客所使用，但其中大多都已被各大防毒軟件列作病毒了，而且它們有兩個突出的問題存在，這問題就是：合并后的文件體積過大，只能合并兩個執(zhí)行文件。正因為如此，黑客們紛紛棄之轉(zhuǎn)而使用一個更簡單而功能更強的軟件，那就是Joiner，這個軟件可以把圖像文件、音頻文件與可執(zhí)行文件合并，還能減小合并后文件體積，而且可以待使用者執(zhí)行后立即收到信息，告訴你對方已中招及對方的IP 。大家應(yīng)該提高警惕。1.3.4 偽裝成應(yīng)用程序擴展組件這一類屬于最難識別的特洛

23、伊木馬。黑客們通常將木馬程序?qū)懗蔀槿魏晤愋偷奈募?(例如 dll、ocx等) 然后掛在一個十分出名的軟件中，讓人不去懷疑安裝文件的安全性，更不會有人檢查它的文件多是否多了。而當(dāng)受害者打開軟件時，這個有問題的文件即會同時執(zhí)行。 這種方式相比起用合并程序有一個更大的好處，那就是不用更改被入侵者的登錄文件，以后每當(dāng)其打開軟件時木馬程序都會同步運行 。    當(dāng)您遇到以上四種情況時請小心為妙，說不定無意之中您已經(jīng)中招了！第二章 利用office系列掛馬工具全套在word中插入木馬2.1 office系列掛馬工具全套的工作原理 該系統(tǒng)掛馬工具，實質(zhì)上是利用了Office軟件的溢出漏洞

24、，在制作工具包中的“DocExp.03SP.v1.03+.exe”針對的是Microsoft Word 2003/SP1/SP2系列“DocExp.XPSP.v1.02+.exe”針對Microsoft Word2002/SP1/SP2/SP3，制作木馬的方法都一樣。 該DOC木馬文檔與普通得DOC文檔沒有兩樣，當(dāng)文檔被打開時，會在后臺自動隱藏運行其中的木馬文件，根本看不出有什么異樣。 二、功能更強大的DOC木馬 工具包中的“DocExp.All.v2.04.exe”程序，提供了更為強大的DOC木馬制作功能，可以使用兩種方式生成DOC木馬：制作的方法都是大同小異的，大家根據(jù)軟件的提示應(yīng)該很容易

25、能夠生成DOC木馬 三、數(shù)據(jù)庫木馬的制作 運行軟件包中的“MdbExp.All.v1.04.exe”，生成的方式和上邊的差不多。原理：這種轉(zhuǎn)換并不是文件格式上的變化，只不過是把一個EXE文件接在一個DOC文件的末尾而已,這個DOC文件當(dāng)然就不是不同WORD的文檔啦,該文檔中包含了宏語句,能在運行的時候把接在自己文件末尾的EXE文件數(shù)據(jù)讀取出來并運行,就造成一種假象,好象文檔打開時就運行了EXE文件似。(和文件捆綁器的原理很象啊)2.2 在word中插入木馬的過程下面是在word中插入木馬的詳細(xì)過程 (1) 首先下載并解壓“office系列掛馬工具全套”，如下圖：(2)運行office系列掛馬工

26、具內(nèi)存補丁。(3)運行“DocExp.03SP.v1.03+”木馬生成工具。這個木馬生成工具是要注冊的返回注冊窗口，即可正常使用木馬生成器了。該補丁適用于破解木馬生成器的，壓縮包中的其他幾個木馬生成器也能通過該補丁破解。(4)選擇DocExp.03SP.v1.03+的內(nèi)存補丁，補上就可以注冊了。(5)在木馬生成器的“本地可執(zhí)行文件處”處，點擊瀏覽制定自己預(yù)先配置好的木馬程序。(6)“輸入word文檔”中指定生成DOC文檔路徑。點擊“確定”既可生成一個包含可執(zhí)行木馬程序的DOC文檔文件。2.3帶有木馬的word的危害Word文檔中插入木馬詳解 現(xiàn)在很多網(wǎng)友朋友都有了一定的方別防備心理，一般堅決不

27、執(zhí)行陌生人發(fā)過來的exe程序文件，但是如果對方發(fā)過來的是DOC或者MDB的文件，大部分人都沒有很高的警惕心里了吧。但是殊不知，也許就是一個不起眼的WORD文檔，卻可能會導(dǎo)致一場恐怖的災(zāi)難此外，這種制作木馬的過程十分簡單，不過對木馬程序有要求，不能超過50KB。而且殺毒軟件也無法檢出其中包含的木馬。而且木馬的運行不需要使用宏，危害很大。第三章防范措施3.1如何防御木馬病毒？下面介紹幾種防御木馬病毒的措施：（1）木馬查殺（查殺軟件很多，有些病毒軟件都能殺木馬） （2）防火墻（分硬件和軟件）家里面的就用軟件好了 （3）如果是公司或其他地方就硬件和軟件一起用 基本能防御大部分木馬，但是現(xiàn)在的軟件都不是

28、萬能的，還要學(xué)點專業(yè)知識，有了這些，你的電腦就安全多了。現(xiàn)在高手也很多，只要不隨便訪問來歷不明的網(wǎng)站，使用來歷不明的軟件（很多盜版或破解軟件都帶木馬，這個看你自己經(jīng)驗去區(qū)分），如果你都做到了，木馬病毒就不容易進入電腦了。  3.2如何刪除木馬病毒 ？下面介紹幾種刪除木馬病毒的措施：可以下載卡巴斯基（建議先卸載其他殺毒軟件）綠鷹PC萬能精靈，卡巴斯基搜索的授權(quán)key到這里下載：綠鷹PC萬能精靈：1、禁用系統(tǒng)還原（Windows Me/XP） 如果您運行的是 Windows Me 或 Windows XP，建議您暫時關(guān)閉“系統(tǒng)還原”。此功能默認(rèn)情況下是啟用的，一旦計算機中的文件被破壞，W

29、indows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統(tǒng)還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。 Windows 禁止包括防病毒程序在內(nèi)的外部程序修改系統(tǒng)還原。因此，防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣，系統(tǒng)還原就可能將受感染文件還原到計算機上，即使您已經(jīng)清除了所有其他位置的受感染文件。 此外，病毒掃描可能還會檢測到 System Restore 文件夾中的威脅，即使您已將該威脅刪除。 注意：蠕蟲移除干凈后，請按照上述文章所述恢復(fù)系統(tǒng)還原的設(shè)置。 2、將計算機重啟到安全模式或者 VGA 模式 關(guān)閉計算機，等待至少 30 秒鐘后重新啟動到安全模