7木馬攻防實(shí)戰(zhàn)解析

1、第8章 木馬攻防實(shí)戰(zhàn)木馬全稱“特洛伊木馬”，主要有以下特點(diǎn)：偽裝性不易刪除潛伏性通用性隱蔽性主要有以下功能：隨系統(tǒng)啟動(dòng)屏幕監(jiān)視入侵無(wú)需系統(tǒng)認(rèn)證支持郵件發(fā)送遠(yuǎn)程控制密碼截取部分還有主動(dòng)連接功能8.1 木馬的工作原理一般來(lái)說(shuō)，木馬程序包括客戶端與服務(wù)端兩部分。目前木馬主要通過(guò)郵件、下載等途徑傳播，也可以通過(guò)Script、ActiveX及Asp.CGI等交互腳本進(jìn)行傳播。絕大多數(shù)木馬使用的是TCP/IP協(xié)議，也有使用UDP協(xié)議的。木馬的隱藏木馬的隱藏決定了一款木馬的優(yōu)劣，主要有以下幾個(gè)方面的隱藏。1、任務(wù)欄圖標(biāo)隱藏2、在任務(wù)管理器里隱藏3、通信端口的隱藏4、加載方式的隱藏5、最新隱身技術(shù)（通過(guò)修改虛

2、擬設(shè)備驅(qū)VXD或動(dòng)態(tài)鏈接庫(kù)DLL來(lái)加載）木馬是如何啟動(dòng)的1、通過(guò)啟動(dòng)組實(shí)現(xiàn)自啟動(dòng)2、在System.ini、Win.ini啟動(dòng)3、修改注冊(cè)表4、修改文件關(guān)聯(lián)5、捆綁文件6、篡改文件名黑客如何欺騙用戶運(yùn)行木馬1、捆綁欺騙2、郵件冒名欺騙3、壓縮包偽裝4、網(wǎng)頁(yè)欺騙5、利用net send命令欺騙8.2 木馬的種類1、破壞型2、密碼發(fā)送型3、遠(yuǎn)程訪問(wèn)型4、鍵盤記錄木馬5、DoS攻擊木馬6、代理木馬7、FTP木馬8、程序殺手木馬9、反彈端口型木馬8.3 木馬的演變 從木馬的發(fā)展過(guò)程來(lái)看，有人把木馬分為五代。第一代：如Netspy等，功能簡(jiǎn)單。第二代：如BO2000、冰河等，提供幾乎所有遠(yuǎn)程控制操作。第

3、三代：如灰鴿子木馬，完善連接與文件傳輸技術(shù)，增加了穿透防火墻功能。第四代：如廣外幽靈，應(yīng)用了遠(yuǎn)程線程插入技術(shù)。第五代：如黑暗天使，功能更全面，應(yīng)用動(dòng)態(tài)鏈接技術(shù)，不用生成新文件，已經(jīng)可以嵌入任何線程中。8.4 第二代木馬冰河 冰河木馬開發(fā)于1999年，在設(shè)計(jì)之初，開發(fā)者的本意是編寫一個(gè)功能強(qiáng)大的遠(yuǎn)程控制軟件。但一經(jīng)推出，就依靠其強(qiáng)大的功能成為了黑客們發(fā)動(dòng)入侵的工具，并結(jié)束了國(guó)外木馬一統(tǒng)天下的局面，成為國(guó)產(chǎn)木馬的標(biāo)志和代名詞，曾經(jīng)是國(guó)內(nèi)知名度最高的木馬程序。主要功能：1屏幕監(jiān)視； 2記錄各種口令信息：包括開機(jī)口令、屏保口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過(guò)的口令信息； 3獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公

4、司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)； 4限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制； 5遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能； 6注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能； 7發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息； 8點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。應(yīng)用操作： 冰河的文件包括：G_Clien

5、t.exe: 監(jiān)控端執(zhí)行程序，用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器程序。G_Server.exe: 被監(jiān)控端后臺(tái)監(jiān)控程序(運(yùn)行一次即自動(dòng)安裝，可任意改名)，在安裝前可以先通過(guò)G_Client的配置本地服務(wù)器程序功能進(jìn)行一些特殊配置，例如是否將動(dòng)態(tài)IP發(fā)送到指定信箱、改變監(jiān)聽端口、設(shè)置訪問(wèn)口令等) 默認(rèn)連接端口為7626。 一旦運(yùn)行G-server，那么該程序就會(huì)在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sysexplr.exe和TXT文件關(guān)聯(lián)。即使你刪除了Kernel32.exe，但

6、只要你打開 TXT文件，sysexplr.exe就會(huì)被激活，它將再次生成Kernel32.exe，于是冰河又回來(lái)了！這就是冰河屢刪不止的原因。清除方法：1、刪除C:/Windows/system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根，鍵值為C:/windows/system/Kernel32.exe，刪除它。 3、在注冊(cè)表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ C

7、urrentVersion/Runservices下，還有鍵值為C:/windows/system/Kernel32.exe的，也要?jiǎng)h除。 4、最后，改注冊(cè)表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默認(rèn)值，由中木馬后的C: /windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe %1，即可恢復(fù)TXT文件關(guān)聯(lián)功能。8.4 第二代木馬廣外女生 廣外女生是廣東外語(yǔ)外貿(mào)大學(xué)“廣外女生”網(wǎng)絡(luò)小組的處女作。 它的基本功能有：文件管理方面有上傳，下載，刪除，改名，設(shè)置屬性，建立文件夾和運(yùn)行

8、指定文件等功能；注冊(cè)表操作方面：全面模擬WINDOWS的注冊(cè)表編輯器，讓遠(yuǎn)程注冊(cè)表編輯工作有如在本機(jī)上操作一樣方便；屏幕控制方面：可以自定義圖片的質(zhì)量來(lái)減少傳輸?shù)臅r(shí)間，在局域網(wǎng)或高網(wǎng)速的地方還可以全屏操作對(duì)方的鼠標(biāo)（包括單擊，雙擊，右鍵，拖動(dòng)等）；其他功能還有遠(yuǎn)程任務(wù)管理、郵件IP通知、郵件服務(wù)等。 廣外女生與其他同類軟件相比，其主要特點(diǎn)是：1.服務(wù)端程序體積小，大家熟悉的“冰河”是260多KB，而廣外女生只有96KB！ 服務(wù)端占用系統(tǒng)資源少，最多時(shí)只占用3M的內(nèi)存，不會(huì)影響服務(wù)端計(jì)算機(jī)的速度。2.隱蔽性好，不容易被發(fā)現(xiàn)。3.注冊(cè)表編輯及任務(wù)管理界面直觀，易于操作。 “她”所具有的功能和國(guó)產(chǎn)的

9、優(yōu)秀木馬“冰河”相比實(shí)際上只多了以下兩樣：1遠(yuǎn)程注冊(cè)表操作；2可以關(guān)閉一些網(wǎng)絡(luò)安全防護(hù)軟件。清除方法： 該木馬程序運(yùn)行后，將會(huì)在系統(tǒng)的System目錄下生成一份自己的拷貝，名稱為Diagcfg.exe，并關(guān)聯(lián)EXE文件的打開方式，如果貿(mào)然刪掉了該文件，將會(huì)導(dǎo)致系統(tǒng)所有EXE文件無(wú)法打開的問(wèn)題。 具體手工清除方法如下： 1、由于該木馬程序運(yùn)行時(shí)無(wú)法刪除該文件，因此啟動(dòng)到純DOS模式下，找到System目錄下的Diagcfg.exe，刪除它；2、由于Diagcfg.exe文件已經(jīng)被刪除了，因此在Windows環(huán)境下任何EXE文件都將無(wú)法運(yùn)行。我們找到Windows目錄中的注冊(cè)表編輯器“Regedi

10、t.exe”，將它改名為“R”；3、回到Windows模式下，運(yùn)行Windows目錄下的R程序(就是我們剛才改名的文件)； 4、找到HKEY_CLASSES_ROOTexefileshellopencommand，將其默認(rèn)鍵值改成“%1” %*； 5、找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent-VersionRunServices，刪除名稱為“Diagnostic Configuration”的鍵值； 6、關(guān)掉注冊(cè)表編輯器，回到Windows目錄，將“R”改回“Regedit.exe。 8.5 第三與第四代木馬木馬連接方式1、傳統(tǒng)連接

11、方式（主動(dòng)連接） 這種連接方式的木馬以冰河為代表。即服務(wù)端在運(yùn)行后監(jiān)聽指定端口，而在連接時(shí)，客戶端會(huì)主動(dòng)發(fā)送連接命令給服務(wù)端進(jìn)行連接。這種方法有個(gè)很大的弊處，那就是在連接的時(shí)可以輕易的被防火墻所攔截。8.5 第三與第四代木馬木馬連接方式2、反彈端口方式 防火墻能阻止外部連接，但是卻阻擋不了內(nèi)部向外連接，反彈連接即利用這原理。反彈連接分為兩種。1）FTP反彈連接8.5 第三與第四代木馬這種方式要求遠(yuǎn)程主機(jī)預(yù)先知道客戶端IP地址和連接端口，在配置服務(wù)端程序時(shí)就要知道客戶端（入侵者本地機(jī)）的IP地址和待連接端口，不適用于動(dòng)態(tài)上網(wǎng)入侵。2）域名反彈連接 這種方式引入了一個(gè)“中間代理”，用它來(lái)存放客戶端

12、IP地址和待連接端口，這種方式有效解決了客戶端、服務(wù)端為動(dòng)態(tài)IP，服務(wù)端處于局域網(wǎng)內(nèi)部等限制。8.5 第三與第四代木馬第三代木馬灰鴿子 灰鴿子（Hack. Huigezi）是一個(gè)集多種控制方法于一體的木馬病毒，一旦用戶電腦不幸感染，可以說(shuō)用戶的一舉一動(dòng)都在黑客的監(jiān)控之下，要竊取賬號(hào)、密碼、照片、重要文件都輕而易舉。更甚的是，他們還可以連續(xù)捕獲遠(yuǎn)程電腦屏幕，還能監(jiān)控被控電腦上的攝像頭，自動(dòng)開機(jī)（不開顯示器）并利用攝像頭進(jìn)行錄像。截至2006年底，“灰鴿子”木馬已經(jīng)出現(xiàn)了6萬(wàn)多個(gè)變種?？蛻舳撕?jiǎn)易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時(shí)，灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。但如果拿它

13、做一些非法的事，灰鴿子就成了很強(qiáng)大的黑客工具。8.5 第三與第四代木馬 灰鴿子客戶端和服務(wù)端都是采用Delphi編寫。黑客利用客戶端程序配置出服務(wù)端程序。可配置的信息主要包括上線類型（如等待連接還是主動(dòng)連接）、主動(dòng)連接時(shí)使用的公網(wǎng)IP（域名）、連接密碼、使用的端口、啟動(dòng)項(xiàng)名稱、服務(wù)名稱，進(jìn)程隱藏方式，使用的殼，代理，圖標(biāo)等等。 服務(wù)端對(duì)客戶端連接方式有多種，使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒，包括局域網(wǎng)用戶（通過(guò)代理上網(wǎng)）、公網(wǎng)用戶和ADSL撥號(hào)用戶等。 灰鴿子是一個(gè)遠(yuǎn)程控制類軟件!與同類軟件不同的是采用了“反彈端口原理”的連接方式，因此在互聯(lián)網(wǎng)上可以訪問(wèn)到局域網(wǎng)里通過(guò) NAT 代理(透明代

14、理)上網(wǎng)的電腦，并且可以穿過(guò)某些防火墻！8.5 第三與第四代木馬灰鴿子功能：1.文件管理：模枋 Windows 資源管理器，可以對(duì)文件進(jìn)行：復(fù)制、粘貼、刪除，重命名、遠(yuǎn)程運(yùn)行等,可以上傳下載文件或文件夾,操作簡(jiǎn)單易用。 2.遠(yuǎn)程控制命令：查看遠(yuǎn)程系統(tǒng)信息、剪切板查看、進(jìn)程管理、窗口管理、外設(shè)控制、服務(wù)管理、共享管理、代理服務(wù)、MS-Dos模擬、其它控制！ 3.捕獲屏幕：不但可以連繼的捕獲遠(yuǎn)程電腦屏幕，還能把本地的鼠標(biāo)及鍵盤傳動(dòng)作送到遠(yuǎn)程實(shí)現(xiàn)實(shí)時(shí)控制功能！ 4.注冊(cè)表模擬器：遠(yuǎn)程注冊(cè)表操作就像操作本地注冊(cè)表一樣方便! 8.5 第三與第四代木馬5.遠(yuǎn)程通訊：除普通的文字聊天以外，還有語(yǔ)音聊天的功能

15、（雙方ADSL上網(wǎng)情況下語(yǔ)音良好）！ 6.代理服務(wù)：可以讓服務(wù)端開放Socks5代理服務(wù)器功能，還可以讓服務(wù)端開放FTP功能！ 7.命令廣播：可以對(duì)自動(dòng)上線主機(jī)進(jìn)行命令播，如關(guān)機(jī)、重啟、打開網(wǎng)頁(yè)等，點(diǎn)一個(gè)按鈕就可以讓N臺(tái)機(jī)器同時(shí)關(guān)機(jī)或其它操作！灰鴿子的配置和應(yīng)用。8.5 第三與第四代木馬灰鴿子的手工清除： 清除灰鴿子要在安全模式下操作，主要有兩步:1清除灰鴿子的服務(wù);2刪除灰鴿子程序文件。（一）、清除灰鴿子的服務(wù) 清除灰鴿子的服務(wù)一定要在注冊(cè)表里完成。1、打開注冊(cè)表編輯器（點(diǎn)擊“開始”“運(yùn)行”，輸入“Regedit.exe”，確定。），打開 HKEY_LOCAL_MACHINESYSTEMCu

16、rrentControlSetServices注冊(cè)表項(xiàng)。2、點(diǎn)擊菜單“編輯”“查找”，“查找目標(biāo)”輸入“game.exe”，點(diǎn)擊確定，我們就可以找到灰鴿子的服務(wù)項(xiàng)（此例為Game_Server，每個(gè)人這個(gè)服務(wù)項(xiàng)名稱是不同的）。3、刪除整個(gè)Game_Server項(xiàng)。 8.5 第三與第四代木馬（ 二）、刪除灰鴿子程序文件 刪除灰鴿子程序文件非常簡(jiǎn)單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新啟動(dòng)計(jì)算機(jī)。類似木馬程序廣外男生8.6 第五代木馬黑暗天使 “黑暗天使”是一個(gè)結(jié)合竊聽密碼和遠(yuǎn)程控制于一體

17、的木馬，是一個(gè)初級(jí)的第五代木馬。它的隱蔽性是第四代無(wú)法比擬的，可用于盜取密碼和留后門。 “黑暗天使”木馬安裝之后，在任務(wù)管理器中看不到任何新增的進(jìn)程和在注冊(cè)表中看不到任何新增的鍵，采用端口隱藏技術(shù)，平時(shí)木馬不開端口，只有當(dāng)用editDK.exe連接時(shí)才會(huì)開端口，只能建立一個(gè)連接，連接建立后端口會(huì)自動(dòng)關(guān)閉。 8.6 第五代木馬主要特點(diǎn)：1、安裝后在任務(wù)管理器中看不到任何新增的進(jìn)程。2、它隨機(jī)替換掉一個(gè)狀態(tài)為停止的系統(tǒng)服務(wù)，而被替換掉的系統(tǒng)服務(wù)屬性看不出任何改變。3、注冊(cè)表中看不到任何新增的鍵。4、它有強(qiáng)大的自我修復(fù)功能。5、具有很強(qiáng)的隨機(jī)性，安裝后木馬文件名和存放的目錄都是隨機(jī)的。6、采用端口隱

18、藏技術(shù)，平時(shí)木馬不開端口，只有當(dāng)用editDK.exe連接時(shí)才會(huì)開端口，只能建立一個(gè)連接，連接建立后端口會(huì)自動(dòng)關(guān)閉。7、能夠殺掉目前流行的防火墻。8、增加了卸載功能，能很方便地升級(jí)8.6 第五代木馬9、增加了逆向連接功能（端口反彈技術(shù)）。10、即使建立連接后用fport也查不到木馬開的端口，使fport完全失效。11、增加了udp數(shù)據(jù)報(bào)連接方式，使沒(méi)有獨(dú)立ip 的用戶也可以連接到黑暗天使服務(wù)器端。12、記錄瀏覽器輸入時(shí)會(huì)記錄當(dāng)前的URL，使得記錄的信息更加有用。13、采用ICMP echo reply數(shù)據(jù)報(bào)進(jìn)行通訊，增加隱蔽性。8.6 第五代木馬具體使用方法如下： 運(yùn)行“黑暗天使”木馬的客戶端后，出現(xiàn)主界面窗口，選擇【高級(jí)功能】【生成服務(wù)器端】命令后，將在指定目錄下生成服務(wù)器端文件。 選擇【設(shè)置】【服務(wù)器端】命令后，將彈出【設(shè)置服務(wù)器文件】對(duì)話框，從中可以對(duì)服務(wù)器端的各個(gè)選項(xiàng)進(jìn)行相應(yīng)配置。 選中一個(gè)中木馬的計(jì)算機(jī)項(xiàng)后，單擊【建立連接】按鈕即可登錄到中木馬的機(jī)器上。如果密碼不正確，彈出的命令行窗口將會(huì)馬上消失。 選擇【操作】【連接到telnet服務(wù)器】命令的作用就是在中木馬的機(jī)器上打開telnet服務(wù)（建議只在升級(jí)“黑暗天使”或下一選項(xiàng)不成功時(shí)使用該連接）。8.6 第五代木馬 選擇【操作】【連接到黑暗天使】命