學習情境二-主機入侵技術的應用與防護任務六-木馬的入侵與分解課件

1、學習情境二 主機入侵技術的應用與防護任務六 木馬的入侵與防護 課程負責人：楊文虎濟南鐵道職業(yè)技術學院 信息工程系課程負責人：楊文虎濟南鐵道職業(yè)技術學院 信息工程系2.6 木馬的入侵與防護教學的實施過程任務規(guī)劃學生探究師生析疑完成任務檢查評測綜合創(chuàng)新思考、探討完成任務需要的相關資料，搜集資料，制定工作計劃 明確需要完成的工作任務；教師進行點評、確定最終的實施方法；對技術問題進行講授和答疑。學生進入網(wǎng)絡實訓室，根據(jù)工作計劃完成每個工作項目，完成每個項目實施日志和心得總結 學生分組相互檢查任務完成情況，分析不足，給出評價；教師對學生的日志和總結進行分析，給出評價。根據(jù)本任務中掌握的方法，探索更多的木

2、馬防范的方法，搜索相關工具，并在虛擬網(wǎng)絡或網(wǎng)絡實訓室中進行驗證。2.6 木馬的入侵與防護教學的實施過程任務規(guī)劃學生探究師2.6 木馬的入侵與防護什么是計算機木馬？計算機木馬的危害有哪些？常見的計算機木馬如何防范。問題引領2.6 木馬的入侵與防護什么是計算機木馬？問題引領2.6 木馬的入侵與防護項目一、木馬的概述 （一）木馬產(chǎn)生的背景木馬全稱“特洛伊木馬”，英文名稱為Trojan Horse，它來源于荷馬史詩中描述的一個古希臘故事。傳說，有一次古希臘大軍圍攻特洛伊城，久攻不下。于是，一名古希臘謀士獻計制造了一只高二丈的大木馬，隨后攻城數(shù)天之后，假裝兵敗，留下木馬拔營而去。城中得到解圍的消息，舉城

3、歡慶，并把這個奇異的戰(zhàn)利品大木馬搬入城內(nèi)。當全城軍民進入夢鄉(xiāng)之時，藏于木馬中的士兵從木馬密門而下，打開城門引入城外的軍隊，攻下了特洛伊城。2.6 木馬的入侵與防護項目一、木馬的概述（一）木馬產(chǎn)生2.6 木馬的入侵與防護項目一、木馬的概述 (二)木馬的概述在網(wǎng)絡中的“特洛伊木馬”沒有傳說中的那樣龐大，它們是一段精心編寫的計算機程序。 定義：特洛伊木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，它具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和用戶操作、破壞用戶系統(tǒng)甚至癱瘓的功能。 木馬設計者將這些木馬程序插入到軟件、郵件等宿主中，網(wǎng)絡用戶執(zhí)行這些軟件時，在毫不知情的情況下，木馬就進入了他們的計

4、算機，進而盜取數(shù)據(jù)，甚至控制系統(tǒng)。 2.6 木馬的入侵與防護項目一、木馬的概述(二)木馬的概2.6 木馬的入侵與防護木馬可以被分成良性木馬和惡性木馬兩種。良性的木馬本身沒有什么危害，關鍵在于控制該木馬的是什么樣的人。如果是惡意的入侵者，那么木馬就是用來實現(xiàn)入侵目的的如果是網(wǎng)絡管理員，那么木馬就是用來進行網(wǎng)絡管理的工具惡性木馬則可以隸屬于“病毒”家族，這種木馬被設計出來的目的就是用來進行破壞與攻擊的項目一、木馬的概述 2.6 木馬的入侵與防護木馬可以被分成良性木馬和惡性木馬2.6 木馬的入侵與防護(三)木馬的表現(xiàn)機器有時死機，有時又重新啟動 在沒有執(zhí)行什么操作的情況下，拼命讀寫硬盤 系統(tǒng)莫明其妙

5、地對軟驅進行搜索 沒有運行大的程序，而系統(tǒng)的速度越來越慢，系統(tǒng)資源占用很多 用任務管理器調出任務表，發(fā)現(xiàn)有多個名字相同的程序在運行，而且可能會隨時間的增加而增多 項目一、木馬的概述 2.6 木馬的入侵與防護(三)木馬的表現(xiàn)項目一、木馬的概2.6 木馬的入侵與防護(四)木馬與病毒的區(qū)別特洛伊木馬與前面介紹的病毒或蠕蟲是有一定的區(qū)別的 ，因為它不會自行傳播 如果惡意代碼將其自身的副本添加到文件、文檔或者磁盤驅動器的啟動扇區(qū)來進行復制，則被認為是病毒 如果惡意代碼在無需感染可執(zhí)行文件的情況下進行復制，那這些代碼被認為是某種類型的蠕蟲 如果惡意代碼進行自我的復制操作，那就不是特洛伊木馬 項目一、木馬的

6、概述 2.6 木馬的入侵與防護(四)木馬與病毒的區(qū)別項目一、木2.6 木馬的入侵與防護(五)特洛伊木馬的種植木馬病毒一般分成客戶端和服務端兩個部分。對于木馬而言，它的客戶端和服務端的概念與傳統(tǒng)的網(wǎng)絡環(huán)境的客戶端和服務端的概念恰恰相反的。 要想將木馬植入目標機器，首先需要進行偽裝。第一種將自己偽裝成一般的軟件。 第二種是把木馬綁定在正常的程序上面 （winzip）。木馬進行偽裝之后就可以通過各種方式進行傳播了。比如，將木馬通過電子郵件發(fā)送給被攻擊者、將木馬放到網(wǎng)站上供人下載、通過其它病毒或蠕蟲病毒進行木馬的傳播等等。項目一、木馬的概述 2.6 木馬的入侵與防護(五)特洛伊木馬的種植項目一、木2.

7、6 木馬的入侵與防護(六)特洛伊木馬的行為瀏覽文件系統(tǒng)，修改、刪除、獲取目標機器上的文件查看系統(tǒng)的進程信息，對該系統(tǒng)的進程進行控制 查看系統(tǒng)注冊表，修改系統(tǒng)的配置信息 截取計算機的屏幕顯示，發(fā)送給客戶端 記錄被攻擊系統(tǒng)的輸入、輸出操作，盜取密碼等個人信息 控制計算機的鍵盤、鼠標或其它硬件設備的動作 以被攻擊者的計算機為跳板，攻擊網(wǎng)絡中的其它計算機 通過網(wǎng)絡下載新的病毒文件項目一、木馬的概述 2.6 木馬的入侵與防護(六)特洛伊木馬的行為項目一、木2.6 木馬的入侵與防護（一）木馬的分類自木馬程序誕生至今，已經(jīng)出現(xiàn)了多種類型，對它們進行完全的列舉和說明是不可能的，更何況大多數(shù)的木馬都不是單一功能

8、的木馬，它們往往是很多種功能的集成品，甚至有很多從未公開的功能在一些木馬中也廣泛地存在著。遠程控制木馬 密碼發(fā)送木馬 鍵盤記錄木馬 破壞性質的木馬 DoS攻擊木馬 代理木馬 FTP木馬 項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護（一）木馬的分類項目二、木馬的分2.6 木馬的入侵與防護(二)木馬的發(fā)展與病毒一樣，木馬也是從Unix平臺上產(chǎn)生出來，在Windows操作系統(tǒng)上“發(fā)揚光大”的。 1986年出現(xiàn)了世界上第一個計算機木馬。 1989年出現(xiàn)的木馬更具戲劇性，它通過郵政郵件進行傳播 計算機網(wǎng)絡的快速發(fā)展給木馬病毒的傳播帶來了極大的便利，木馬的發(fā)展速度和破壞能力已經(jīng)是以前的木馬病毒無法比

9、擬的了。 從木馬的發(fā)展來看，大致可以將木馬分成四代。項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護(二)木馬的發(fā)展項目二、木馬的分2.6 木馬的入侵與防護(三)第二代木馬-冰河冰河與廣外女生被認為是標準的第二代木馬它們功能強大，操作方便，曾經(jīng)占領了國內(nèi)木馬的半壁江山項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護(三)第二代木馬-冰河項目二、木2.6 木馬的入侵與防護冰河是一款優(yōu)秀的國產(chǎn)木馬。冰河含有兩個文件：G_Server.exe：被監(jiān)控端后臺監(jiān)控程序G_Client.exe：監(jiān)控端執(zhí)行程序，用于監(jiān)控遠程計算機和配置服務器程序項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護冰河是一

10、款優(yōu)秀的國產(chǎn)木馬。項目二2.6 木馬的入侵與防護冰河的功能自動跟蹤目標機器屏幕變化，進行遠程管理（局域網(wǎng)適用）記錄各種口令信息獲取系統(tǒng)信息：計算機名、當前用戶、操作系統(tǒng)版本、物理及邏輯磁盤信息等限制系統(tǒng)功能：遠程關機、重啟、鎖定鼠標、鎖定系統(tǒng)熱鍵、鎖定注冊表等遠程文件操作注冊表操作發(fā)送信息點對點通訊：以聊天形式同被控端進行在線交談項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護冰河的功能項目二、木馬的分類與發(fā)2.6 木馬的入侵與防護冰河使用實例步驟一：打開冰河客戶端（G_Client.exe）項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護冰河使用實例項目二、木馬的分類與2.6 木馬的入侵

11、與防護步驟二：配置冰河服務器，選擇“設置”配置服務器程序”，進行配置木馬服務器項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護步驟二：配置冰河服務器，選擇“設2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護步驟三：種植木馬步驟四：遠程控制，選擇“文件”添加主機“，在添加主機對話框中填入IP地址和訪問口令項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護步驟三：種植木馬項目二、木馬的分2.6 木馬的入侵與防護項目二、木馬的分

12、類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護(四)廣外女生應用實例項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護(四)廣外女生應用實例項目二、木2.6 木馬的入侵與防護步驟一：配置廣外女生服務器端項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護步驟一：配置廣外女

13、生服務器端項目2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護步驟二：種植木馬步驟三：添加遠程主機項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護步驟二：種植木馬項目二、木馬的分2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展 2

14、.6 木馬的入侵與防護項目二、木馬的分類與發(fā)展2.6 木馬的入侵與防護(一) 灰鴿子木馬灰鴿子是國內(nèi)第三代木馬的典型代表除了可以使用傳統(tǒng)連接方式，可以使用反彈窗口的連接方式，方便的控制動態(tài)IP地址和局域網(wǎng)內(nèi)的遠程主機在使用灰鴿子時，可以利用灰鴿子自帶的工具，申請免費域名提供的動態(tài)IP映射實現(xiàn)代理功能項目三、常見木馬的應用 2.6 木馬的入侵與防護(一) 灰鴿子木馬項目三、常見木2.6 木馬的入侵與防護1、木馬的鏈接方式第一代和第二代木馬屬于傳統(tǒng)的連接方式：遠程主機開放監(jiān)聽端口等待外部連接，成為服務器端；當入侵者需要與遠程主機連接時，發(fā)送連接請求。第三代木馬開始使用了“反彈端口”技術，連接不再由

15、客戶端發(fā)起，而是服務器端來完成。反彈窗口技術需要在配置服務器時指明入侵者的ip地址和連接端口，因此不適用于動態(tài)上網(wǎng)的入侵者項目三、常見木馬的應用 2.6 木馬的入侵與防護1、木馬的鏈接方式項目三、常見木2.6 木馬的入侵與防護2、反窗口的鏈接方式無中間代理的連接引入中間代理的連接項目三、常見木馬的應用 獲取客戶端IP、Port客戶端遠程主機中間代理（保存客戶端IP、Port）更新IP、port2.6 木馬的入侵與防護2、反窗口的鏈接方式項目三、常見2.6 木馬的入侵與防護(二) 廣外男生木馬 簡介：廣外男生同廣外女生一樣，是廣東外語外貿(mào)大學的作品。特色：客戶端模仿Windows資源管理器：除了

16、全面支持訪問遠程服務器文件系統(tǒng)，也同時支持通過對方的“網(wǎng)上鄰居”，訪問對方內(nèi)部網(wǎng)其他機器運用了“反彈窗口”技術使用了“線程插入”技術：服務器運行時沒有進程，所有網(wǎng)絡操作均插入到其他應用程序的進程中完成。即便受控端安裝的防火強有“應用程序訪問權限”的功能，也不能對廣外男生的服務器進行有效警告和攔截。不再支持傳統(tǒng)的連接方式項目三、常見木馬的應用 2.6 木馬的入侵與防護(二) 廣外男生木馬項目三、常見2.6 木馬的入侵與防護廣外男生木馬應用實例客戶端設置：打開廣外男生客戶端（gwboy092.exe），選擇“設置”“客戶端設置”，打開“廣外男生客戶端設置程序”。 其中最大連接數(shù)一般使用默認的30臺

17、，客戶端使用端口一般設置成80項目三、常見木馬的應用 2.6 木馬的入侵與防護廣外男生木馬應用實例項目三、常見2.6 木馬的入侵與防護本次實驗使用固定IP地址的主機進行實驗，因此選擇“客戶端處于靜態(tài)IP”點擊“下一步”，再點擊“完成”按鈕結束客戶端的設置。 項目三、常見木馬的應用 2.6 木馬的入侵與防護本次實驗使用固定IP地址的主機進2.6 木馬的入侵與防護服務端設置：進行服務端設置時，選擇“設置”“服務器設置”，打開“廣外男生服務端生成向導” 項目三、常見木馬的應用 2.6 木馬的入侵與防護服務端設置：進行服務端設置時，選2.6 木馬的入侵與防護選擇“同意”之后，點擊下一步，開始進行服務端

18、常規(guī)設置 項目三、常見木馬的應用 2.6 木馬的入侵與防護選擇“同意”之后，點擊下一步，開2.6 木馬的入侵與防護設置完成后點擊“下一步”，進行“網(wǎng)絡設置”。根據(jù)實際網(wǎng)絡環(huán)境，選擇靜態(tài)IP選項進行實際網(wǎng)絡的設置 項目三、常見木馬的應用 2.6 木馬的入侵與防護設置完成后點擊“下一步”，進行“2.6 木馬的入侵與防護設置完成點擊“下一步”，填寫生成服務器端的目標文件的名稱，然后點擊“完成”，結束服務器端的配置 項目三、常見木馬的應用 2.6 木馬的入侵與防護設置完成點擊“下一步”，填寫生成2.6 木馬的入侵與防護項目三、常見木馬的應用 2.6 木馬的入侵與防護項目三、常見木馬的應用2.6 木馬的

19、入侵與防護項目三、常見木馬的應用 2.6 木馬的入侵與防護項目三、常見木馬的應用2.6 木馬的入侵與防護項目三、常見木馬的應用 2.6 木馬的入侵與防護項目三、常見木馬的應用2.6 木馬的入侵與防護廣外男生木馬的清除1、檢測廣外男生木馬的有效方法為使用“netstat -na”查看目標主機的網(wǎng)絡連接情況，如果端口8225開放，那么該主機可能已經(jīng)中了廣外男生木馬。2、打開注冊表編輯器，展開到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，刪除字符串指gwboy.exe。然后到“HKEY_LOCAL_

20、MACHINE”“SOFTWARE”“Classes”“CLSIDT”，刪除ID為5EAE4AC0-146E-11D2-A96E-000000000009的鍵及其下所有子鍵和鍵值。3、點擊 “編輯”菜單中的 “查找”，在注冊表編輯器中搜索gwVboydl1。dll，找到所有和它有關的注冊表項，全部刪除。4、刪除system32目錄下的gwboy.exe。然后進入DOS模式下，輸入del winntsystem32gwVboydll.dll命令，刪除system32目錄中的gwboydll.dll文件。項目三、常見木馬的應用 2.6 木馬的入侵與防護廣外男生木馬的清除項目三、常見木2.6 木馬的

21、入侵與防護（三）文件夾木馬在windows系統(tǒng)中，文件夾采用了實現(xiàn)網(wǎng)頁的方法來實現(xiàn)文件夾的樣式，也就是說Windows中的文件夾支持HTML和javascript定義的一些動作通過編寫javascript可以讓文件夾在打開時自動執(zhí)行程序文件夾木馬的實現(xiàn)需要沒有打補丁的IE5.0的支持項目三、常見木馬的應用 2.6 木馬的入侵與防護（三）文件夾木馬項目三、常見木馬2.6 木馬的入侵與防護步驟一：打開“文件夾選項”設置，將“隱藏受保護的操作系統(tǒng)文件”前面的勾去掉，同時設置現(xiàn)實所有文件和文件夾步驟二：新建一個文件夾，雙擊該文件后，選擇“查看”“自定義文件夾”。在“自定義文件夾向導”中選擇“選擇或編輯

22、該文件夾的HTML模板”，然后單擊“下一步”，進入“模板選擇”步驟三：在“模板選擇”對話框中選擇標準，單擊“下一步”，完成自定義文件夾。該文件夾會多出Folder settings文件夾和desktop.ini文件步驟四：編寫javascript代碼項目三、常見木馬的應用 2.6 木馬的入侵與防護步驟一：打開“文件夾選項”設置，2.6 木馬的入侵與防護步驟五：修改Folder.htt文件（在Folder settings文件夾中），用記事本打開Folder.htt，然后在后面加入編寫的javascript代碼，并保存步驟六：將木馬或相應應用程序拷貝到Folder settings文件夾中，便完

23、成了制作過程步驟七：雙擊文件夾，測試結果項目三、常見木馬的應用 2.6 木馬的入侵與防護步驟五：修改Folder.htt2.6 木馬的入侵與防護（一）木馬的加殼一個程序寫完后，并不是把寫好的程序直接提供給用戶使用，而是需要通過一些軟件對應用程序進行處理，處理的目的有兩個，一個是為了保護程序源代碼、防止被修改和破壞，另一個是通過加殼后，減小程序的體積，這個處理的過程被稱作“加殼”。木馬通過加殼后可以實現(xiàn)避免被殺毒軟件的查殺，這些加殼的軟件常見的有ASPack、UPX、WWPACK等。項目四、木馬的加殼與解殼 2.6 木馬的入侵與防護（一）木馬的加殼項目四、木馬的加2.6 木馬的入侵與防護（二）木

24、馬的解殼與加殼相反的過程稱為“解殼”，目的是把加殼后的程序回復成毫無包裝的可執(zhí)行代碼，這樣未授權者便可以對程序進行修改。脫殼與加殼需要使用相同的軟件進行，例如，使用UPX對木馬程序進行加殼之后，如果需要解殼，仍然需要使用UPX進行解殼。項目四、木馬的加殼與解殼 2.6 木馬的入侵與防護（二）木馬的解殼項目四、木馬的加2.6 木馬的入侵與防護（三）木馬的加殼實例我們可以使用Language2000這種檢測工具發(fā)現(xiàn)程序加殼所使用的軟件類型使用Language2000檢測得到的冰河木馬軟件服務器端的加殼內(nèi)容，其中Program一項的值ASPack說明被檢測的冰河軟件采用的加殼工具是ASPack。項目四、木馬的加殼與解殼 2.6 木馬的入侵與防護（三）木馬的加殼實例項目四、木馬2.6 木馬的