電子商務安全實務課件8-木馬攻擊與防御-

實訓十木馬攻擊與防御技術實訓十木馬攻擊與防御技術1實訓十：木馬攻擊與防御技術實訓目的理解常見的木馬攻擊方式掌握木馬檢測和清除的常用方法掌握木馬的實現(xiàn)原理及攻擊步驟理解冰河木馬的攻擊及防御方法實訓十：木馬攻擊與防御技術實訓目的理解常見的木馬攻擊方式掌握2實訓十：木馬攻擊與防御技術實訓背景

隨著網絡技術的日益發(fā)展和完善，用戶對網絡的依賴性越來越大，網絡交易也成為人們生活中必不可少的一部分，但是網絡安全問題也越來越讓人擔憂。特洛伊木馬就是網絡安全最為普遍的威脅，它通過多種方式植入用戶電腦或各種各樣的偽裝誘使用戶不知情下安裝在主機上，這樣攻擊者將從中竊取自己需要的資源或直接截取用戶輸入信息，使得個人用戶面臨隱私信息泄露核經濟損失的危險，也給電子商務、銀行等帶來安全隱患。

因此，為了確保安全的網絡環(huán)境，了解木馬攻擊原理和防范技術是重要而必須的。

實訓十：木馬攻擊與防御技術實訓背景隨著網絡技術的日益3實訓十：木馬攻擊與防御技術木馬攻擊流程與防御實訓十：木馬攻擊與防御技術木馬攻擊流程與防御4概念：它實質上只是一種遠程控制軟件，但是木馬是未經用戶授權的，通過網絡攻擊或欺騙手段安裝到目標計算機中。結構模式：客戶端/服務器（C/S：Client/Server）模式，由兩部分組成：1）服務器程序：控制者傳到目標計算機的部分；

2）控制器程序：用來控制目標主機的部分，它的作用是連接木馬服務器端程序，監(jiān)視或控制遠程計算機?！鞠嚓P知識】1特洛伊木馬概述概念：它實質上只是一種遠程控制軟件，但是木馬是未經用戶授權的5原理：【相關知識】1特洛伊木馬概述1）直接通信時的木馬工作原理（a）建立連接情況

（b）不建立連接情況原理：【相關知識】1特洛伊木馬概述1）直接通信時的木馬工作6【相關知識】1特洛伊木馬概述2）間接通信時的木馬工作原理

為了防止被發(fā)現(xiàn)，木馬服務器端與客戶端也可不直接通信，而是在服務器端與客戶端之間加上“中轉站”（如某個網站）后間接通信【相關知識】1特洛伊木馬概述2）間接通信時的7【相關知識】1特洛伊木馬概述木馬的危害自動搜索已中木馬的計算機；管理對方資源，如復制文件、刪除文件、查看文件內容、上傳文件、下載文件等；跟蹤監(jiān)視對方屏幕；直接控制對方的鍵盤、鼠標；隨意修改注冊表和系統(tǒng)文件；共享被控計算機的硬盤資源；監(jiān)視對方任務且可終止對方任務；遠程重啟和關閉機器?！鞠嚓P知識】1特洛伊木馬概述木馬的危害8實訓十：木馬攻擊與防御技術一個典型的特洛伊木馬程序通常具有以下幾個特點：（1）具有隱藏性；（2）具有自動運行性；（3）具有非授權性；

（4）具有自動恢復功能和頑固性；（5）能自動打開特別端口；（6）易植入性；（7）具有欺騙性；（8）功能的特殊性2特洛伊木馬特點實訓十：木馬攻擊與防御技術一個典型的特洛伊木馬程序通常具有以9實訓十：木馬攻擊與防御技術常見的木馬從實現(xiàn)功能角度上可分為以下幾種：（1）密碼訪問型木馬

密碼發(fā)送型的木馬是專門為了盜取被感染計算機上的密碼而編寫的，木馬一旦被執(zhí)行，就會自動搜索內存、Cache、臨時文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會利用免費的電子郵件服務將密碼發(fā)送到指定的郵箱。

這類木馬大多使用25號端口發(fā)送E-mail3木馬的分類實訓十：木馬攻擊與防御技術常見的木馬從實現(xiàn)功能角度上可分為以10實訓十：木馬攻擊與防御技術（2）鍵盤記錄型木馬

這種特洛伊木馬記錄受害者的鍵盤敲擊并且在LOG文件里查找可能的密碼。

這種木馬隨著Windows的啟動而啟動，它們有在線和離線記錄這樣的選項。

該類型的木馬，郵件發(fā)送功能也是必不可少的。3木馬的分類實訓十：木馬攻擊與防御技術（2）鍵盤記錄型木馬3木馬的分類11實訓十：木馬攻擊與防御技術（3）破壞型木馬其惟一的功能就是破壞并刪除被感染計算機的文件系統(tǒng)（可以自動的刪除電腦上的DLL、INI、EXE文件），使其遭受系統(tǒng)崩潰或者重要數據丟失的巨大損失。3木馬的分類實訓十：木馬攻擊與防御技術（3）破壞型木馬3木馬的分類12實訓十：木馬攻擊與防御技術（4）遠程控制型木馬

使用這類木馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP地址，就可以實現(xiàn)遠程控制。它可以讓攻擊者完全控制被感染的計算機，攻擊者可以利用它完成一些甚至連計算機主人本身都不能順利進行的操作，其危害之大實在不容小覷。3木馬的分類實訓十：木馬攻擊與防御技術（4）遠程控制型木馬3木馬的分類13實訓十：木馬攻擊與防御技術（5）Dos攻擊木馬

當你入侵了一臺機器，給他種上DoS攻擊木馬，那么日后這臺計算機就成為你DoS攻擊的最得力助手了。

這種木馬的危害不是體現(xiàn)在被感染計算機上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺又一臺計算機，給網絡造成很大的傷害和帶來損失。3木馬的分類實訓十：木馬攻擊與防御技術（5）Dos攻擊木馬3木馬的分類14實訓十：木馬攻擊與防御技術（6）代理木馬

給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet、ICQ、IRC等程序，從而隱蔽自己的蹤跡。3木馬的分類實訓十：木馬攻擊與防御技術（6）代理木馬3木馬的分類15實訓十：木馬攻擊與防御技術（7）FTP木馬

這種木馬是最簡單的木馬，唯一的功能就是打開21端口，等待用戶連接。3木馬的分類（8）程序殺手木馬

程序殺手木馬的功能就是關閉對方機器上運行的防木馬程序，讓其他的木馬更好地發(fā)揮作用。實訓十：木馬攻擊與防御技術（7）FTP木馬3木馬的分類（816實訓十：木馬攻擊與防御技術（9）反彈端口型木馬

彈端口型木馬使用的是系統(tǒng)信任的端口，系統(tǒng)會認為木馬是普通應用程序，而不對其連接進行檢查。反彈端口木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線，立即彈出端口主動連結控制端打開的主動端口。

這種反彈端口的木馬常常會采用固定IP的第三方存儲設備來進行IP地址的傳遞，從而使服務端獲知控制端的IP地址。3木馬的分類實訓十：木馬攻擊與防御技術（9）反彈端口型木馬3木馬的分類17實訓十：木馬攻擊與防御技術

植入木馬

啟動木馬

木馬隱藏

建立連接

遠程控制4木馬攻擊原理

當攻擊者利用木馬進行攻擊時，一般會經過以下一個過程：實訓十：木馬攻擊與防御技術4木馬攻擊原理當攻擊者18實訓十：木馬攻擊與防御技術攻擊者想要利用木馬進行攻擊，首先將木馬偽裝好，然后要把木馬程序植入到目標主機。攻擊者將木馬植入目標主機的主要手段有：

利用系統(tǒng)漏洞直接攻擊；

通過端口入侵；

通過網站上掛馬和下載傳播；

通過電子郵件傳播；

在網絡上發(fā)送超鏈接引誘用戶點擊。4.1

植入木馬實訓十：木馬攻擊與防御技術攻擊者想要利用木馬進行攻擊，首先將19實訓十：木馬攻擊與防御技術簡單木馬啟動是被動地等待木馬或捆綁木馬的程序被主動運行；大多數木馬都是首先將自身復制到Windows的系統(tǒng)文件中，利用修改windows系統(tǒng)文件和注冊表來實現(xiàn)自動重啟。在window操作系統(tǒng)中木馬自啟動途徑主要有：1）利用配置文件（“system.ini”和“win.ini”文件）實現(xiàn)自動啟動；2）利用注冊表（HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion項）實現(xiàn)自動啟；3）利用系統(tǒng)啟動組實現(xiàn)自動啟動；4）利用Autoexec.bat和Config.sys文件實現(xiàn)。4.2

啟動木馬實訓十：木馬攻擊與防御技術簡單木馬啟動是被動地等待木馬或捆綁20實訓十：木馬攻擊與防御技術木馬想要在目標主機上存活下來，必須注意隱藏自己，使自身不被目標主機用戶發(fā)現(xiàn)。主要的隱藏技術有：設置窗口不可見、把木馬程序注冊為服務、欺騙查看進程的函數、使用可變的高端口、使用系統(tǒng)驅動或系統(tǒng)DLL以及動態(tài)潛入技術等。4.3

木馬隱藏實訓十：木馬攻擊與防御技術木馬想要在目標主機上存活下來，必須21實訓十：木馬攻擊與防御技術一個木馬連接的建立必須滿足兩個條件：一是服務器已安裝了木馬程序；二是控制端、服務器端都要在線?？刂贫伺c服務器建立連接的方法有：1）控制端可以通過木馬端口與服務器建立連接；2）控制端根據提前配置的服務器地址、定制端口來建立連接；3）使用掃描器，根據掃描結果中檢測哪些計算機的某個端口開放，從而知道該計算機里某類木馬的服務器端在運行，然后建立連接；4）根據服務器端主動發(fā)回來的信息知道服務器端的地址、端口，然后建立連接。4.4

建立連接實訓十：木馬攻擊與防御技術一個木馬連接的建立必須滿足兩個條件22實訓十：木馬攻擊與防御技術木馬最終的目的是對服務器端進行遠程控制，實現(xiàn)竊取密碼、文件操作、修改注冊表、鎖住服務器端以及系統(tǒng)操作等。4.5

遠程控制實訓十：木馬攻擊與防御技術木馬最終的目的是對服務器端進行遠程23實訓十：木馬攻擊與防御技術對付特洛伊木馬程序攻擊，可以采用以下的防御措施。（1）端口掃描和連接查看（2）檢查注冊表（3）檢查系統(tǒng)配置文件（4）檢查啟動組（5）使用殺毒軟件和防火墻軟件（6）加強防范意識5

木馬的防御技術實訓十：木馬攻擊與防御技術對付特洛伊木馬程序攻擊，可以采用以24實訓十：木馬攻擊與防御技術端口掃描是檢測木馬最常用的辦法，大部分的木馬服務端會在系統(tǒng)中監(jiān)聽某個端口，通過掃描系統(tǒng)上開啟了哪些端口就能有效地發(fā)現(xiàn)遠程控制木馬的蹤跡。端口掃描原理：掃描程序嘗試連接某個端口，如果成功，則說明端口開放；如果連接失敗或超時，則說明端口關閉。查看連接是在本機上通過netstat（或第三方程序）查看所有的/動態(tài)鏈接木馬。5.1

端口掃描和連接查看實訓十：木馬攻擊與防御技術端口掃描是檢測木馬最常用的辦法，大25實訓十：木馬攻擊與防御技術操作系統(tǒng)本身就提供了查看端口和連接狀態(tài)的功能，在命令提示符下鍵入“netstat-an”，查看結果如下圖所示：5.1

端口掃描和連接查看實訓十：木馬攻擊與防御技術操作系統(tǒng)本身就提供了查看端口和連接26實訓十：木馬攻擊與防御技術在注冊表中，Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce這些子鍵保存了Windows啟動時自動運行的程序。所以在注冊表中，最有可能隱藏木馬的地方是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

5.2

檢查注冊表實訓十：木馬攻擊與防御技術在注冊表中，Run、RunOnce27實訓十：木馬攻擊與防御技術統(tǒng)配置文件win.ini文件、system.ini文件也是木馬喜歡隱藏的地方，這些文件里記錄了操作系統(tǒng)啟動時需要啟動和加載的程序，查找一下看是否有異常程序出現(xiàn)。主要查看“run=”、“l(fā)oad=”或是“shell=”后面所加載的程序，如果所加載的程序有你不知道的程序，那就要小心了，這就有可能是木馬了。5.3

檢查系統(tǒng)配置文件實訓十：木馬攻擊與防御技術統(tǒng)配置文件win.ini文件、sy28實訓十：木馬攻擊與防御技術啟動組對應的文件夾為：c:\windows\startmenu\programs\startup在注冊表中位置是：HKEY_CURRENT_USER\Software\Microsoft\windows\currentVersion\Explorer\ShellFolderstartup=”c:\windows\startmenu\programe\startup”。5.4

檢查啟動組實訓十：木馬攻擊與防御技術啟動組對應的文件夾為：5.4檢29實訓十：木馬攻擊與防御技術1）安裝防病毒軟件、防火墻軟件和各種專門反黑軟件加強防護，養(yǎng)成經常查殺木馬的良好習慣，盡量打開病毒監(jiān)控，并保持病毒庫的更新。2）不要隨意打開不熟悉的郵件或不明的程序；不要隨意點擊網站上的鏈接信息。5.5

加強防范意識實訓十：木馬攻擊與防御技術1）安裝防病毒軟件、防火墻軟件和各30實訓十：木馬攻擊與防御技術1）冰河是一個非常有名的木馬工具，它包括兩個可運行的程序G_Server和G_Client，其中前者是木馬的服務器端，就是用來植入目標主機的程序，后者是木馬的客戶端，也就是木馬的控制臺。6

冰河木馬實訓十：木馬攻擊與防御技術1）冰河是一個非常有名的木馬工具，31實訓十：木馬攻擊與防御技術2）冰河木馬主要功能：自動跟蹤目標機屏幕變化(局域網適用)完全模擬鍵盤及鼠標輸入(局域網適用)記錄各種口令信息獲取系統(tǒng)信息限制系統(tǒng)功能遠程文件操作注冊表操作發(fā)送信息點對點通訊實訓十：木馬攻擊與防御技術2）冰河木馬主要功能：32一臺windowsxp/2000操作系統(tǒng)（IP：0）作為木馬控制端，安裝G_CLIENT.EXE，由黑客擁有；一臺裝有windowsxp/2000或windowsserver2019操作系統(tǒng)的機器（IP：）作為木馬服務端（感染木馬程序G_Server.exe），由正常網絡用戶擁有?！緦嵱柇h(huán)節(jié)】實訓環(huán)境要求一臺windowsxp/2000操作系統(tǒng)（IP：192.133通過winrar自解壓程序將木馬的服務端程序與常規(guī)文件捆綁，生成偽裝文件。1、將冰河木馬服務器程序G_Server.exe和圖片sunset.jpg放在文件夾test中，選中這兩個文件后單擊鼠標右鍵，選擇“添加到test.rar”命令。2、打開test.rar文件，單擊“自解壓格式”按鈕，并在彈出的窗口中單擊“高級自解壓選項”按鈕打開高級自解壓選項對話框。【實訓環(huán)節(jié)】1木馬程序的偽裝通過winrar自解壓程序將木馬的服務端程序與常規(guī)文件捆綁，34【實訓環(huán)節(jié)】10-1高級自解壓設置3、單擊“設置”選項，并在在“解壓后運行”文本框中輸入木馬的服務器端程序“G_Server.exe”，在“解壓運行前”文本框輸入圖片文件“sunset.jpg”，如圖10-1所示。【實訓環(huán)節(jié)】10-1高級自解壓設置3、單擊“設置”選項，35【實訓環(huán)節(jié)】

圖10-2模式設置圖10-3更新設置4、分別單擊“模式”選項和“更新”選項進行設置，具體設置如圖10-2、3所示?！緦嵱柇h(huán)節(jié)】圖10-2模式設置36【實訓環(huán)節(jié)】

圖10-4文件捆綁后結果5、單擊“確定”按鈕，關閉WinRAR窗口后就可以創(chuàng)建自解壓文件，結果如圖10-4所示。運行test.exe文件時，系統(tǒng)調用默認關聯(lián)的圖片管理器打開sunset.jpg文件，并在用戶毫不知情下運行了木馬服務端程序G_Server.exe【實訓環(huán)節(jié)】圖10-4文件捆綁后結果5、單擊“確定”按鈕371、客戶端控制程序的使用及配置1）雙擊運行客戶端控制程序“G_CLIENT.EXE”，冰河client主界面如圖10-5所示。【實訓環(huán)節(jié)】2冰河木馬的使用圖10-5主界面1、客戶端控制程序的使用及配置【實訓環(huán)節(jié)】2冰河木馬的使用圖382）控制端可以進行添加/刪除主機、自動搜索、捕獲屏幕、屏幕控制、配置服務器程序等操作功能，如圖10-6所示。【實訓環(huán)節(jié)】圖10-5冰河功能模塊2）控制端可以進行添加/刪除主機、自動搜索、捕獲屏幕、屏幕控393）選擇“文件”菜單下“配置服務器程序”或點擊“配置本地服務器程序”圖標按鈕，打開并進入服務器配置界面進行設置，該功能是在安裝前對“G_Server.exe”進行配置。如圖10-6所示?！緦嵱柇h(huán)節(jié)】圖10-6服務器配置界面3）選擇“文件”菜單下“配置服務器程序”或點擊“配置本地服務40自我保護設置可以實現(xiàn)在服務器端的隱藏，如圖10-7所示【實訓環(huán)節(jié)】圖10-7自我保護設置自我保護設置可以實現(xiàn)在服務器端的隱藏，如圖10-7所示【實41

攻擊者如果想通過郵件獲取被控制方的相關信息，可以對郵件通知選項進行配置，如圖10-8所示【實訓環(huán)節(jié)】圖10-8郵件通知設置攻擊者如果想通過郵件獲取被控制方的相關信息，可以對郵件通424）搜索目標主機（搜索前需要運行服務端程序）【實訓環(huán)節(jié)】①選擇“文件”下“自動搜索”或點擊自動搜索

圖標②在“搜索范圍”選項區(qū)域按需求添加I要搜索的IP范圍③單擊“開始搜索”，在右邊列表框中將顯示檢測到的正在網上的計算機的IP地址信息，如圖10-9所示。圖10-8搜索目標主機“OK：”表示目標主機運行過G_Server.exe，并可以進行控制；“ERR：”則表示這臺計算機沒有受木馬攻擊，無法受控制端控制4）搜索目標主機（搜索前需要運行服務端程序）【實訓環(huán)節(jié)】①選432、對目標主機的控制。1）文件管理控制【實訓環(huán)節(jié)】2冰河木馬的使用圖10-9對目標主機的文件控制2、對目標主機的控制。【實訓環(huán)節(jié)】2冰河木馬的使用圖10-9442）命令控制臺操作口令類命令可以控制目標主機的系統(tǒng)圖信息及口令、歷史口令以及擊鍵記錄【實訓環(huán)節(jié)】圖10-10對目標主機的口令類命令控制2）命令控制臺操作【實訓環(huán)節(jié)】圖10-10對目標主機的口令452）命令控制臺操作控制類命令可以對目標主機進行以下操作：屏幕捕獲、進程管理、窗口管理、鼠標控制等操作?！緦嵱柇h(huán)節(jié)】圖10-11對目標主機的屏幕捕捉控制2）命令控制臺操作【實訓環(huán)節(jié)】圖46G_Server.exe服務端程序在計算機上被運行后，它不會有任何提示信息，而是會將自身刪除，但是在Windows\System32目錄下會生成Kernel32.exe和Sysexplr.exe兩個文件。Kernel32.exe在開機啟動時自動啟動，它是木馬的主程序，用來和客戶端連接；Sysexplr.exe通過修改注冊表與擴展名為.txt文件進行關聯(lián)，雙擊打開任何一個.txt文件后，該程序就會被執(zhí)行一遍，再由它生成一個Kernel32.exe文件，并讓其隨系統(tǒng)啟動?！緦嵱柇h(huán)節(jié)】3檢測和清除冰河木馬G_Server.exe服務端程序在計算機上被運行后，它不會471、掃描端口

使用windows系統(tǒng)自帶的netstat命令查看端口狀態(tài)，查看開放的端口有無可疑。（也可以用第三方端口掃描軟件）【實訓環(huán)節(jié)】3冰河木馬檢測和清除圖10-12端口掃描結果打開“程序”

→“運行”輸入cmd進入命令提示符下，并輸入netstat–an命令，如圖10-12所示為查看結果。1、掃描端口使用windows系統(tǒng)自帶的netstat命令482、查看進程打開任務管理器，選中進程選項，在進程列表中檢測是否有Kernel32.exe和Sysexplr.exe兩個文件，如果有說明受冰河木馬攻擊，并結束進程?！緦嵱柇h(huán)節(jié)】3冰河木馬檢測和清除3、刪除文件打開“C:\WINDOWS\system32”，將Kernel32.exe和Sysexplr.exe兩個文件刪除。2、查看進程【實訓環(huán)節(jié)】3冰河木馬檢測和清除3、刪除文件494、修改注冊表

點擊“開始”→“運行”，并輸入“regedit”命令打開注冊表【實訓環(huán)節(jié)】3冰河木馬檢測和清除

打開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項，該默認鍵值被更改為：

“C:\WINDOWS\SYSTEM32\Kernel32.exe”選中雙擊默認項，在打開的對話框中刪除該項內容，如圖10-13所示。

同樣地打開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices，并在默認項的“編輯字符串”對話框中刪除其值“C:\WINDOWS\SYSTEM32\Kernel32.exe”。這樣就可以取消Kernel32.exe的開機啟動。4、修改注冊表【實訓環(huán)節(jié)】3冰河木馬檢測和清除打開HKEY50【實訓環(huán)節(jié)】圖10-12修改注冊表啟動運行項目【實訓環(huán)節(jié)】圖10-12修改注冊表啟動運行項目514、修改注冊表

【實訓環(huán)節(jié)】3冰河木馬檢測和清除打開注冊表的HKEY_CLASSES_ROOT\txtfile\shell\open\command項，該默認鍵值被更改為：“C:\WINDOWS\system32\sysexplr.exe%1”。雙擊“默認”字符串，在“數值數據”文本框中輸入“C:\WINDOWS\system32\notepad.exe%1”這樣就可以恢復了.txt文件與記事本的關聯(lián)，Sysexplr.exe再也不起作用了，如圖10-13所示。4、修改注冊表【實訓環(huán)節(jié)】3冰河木馬檢測和清除打52【實訓環(huán)節(jié)】圖10-13

恢復注冊表中txt文件關聯(lián)【實訓環(huán)節(jié)】圖10-13恢復注冊表中txt文件關聯(lián)531．冰河木馬攻擊一般都有哪些步驟？2．如果你的電腦系統(tǒng)可能已經被木馬攻擊，需要檢測哪些項目來分析判斷是否被木馬攻擊？如何清除這些木馬？3．如果希望被冰河木馬攻擊的遠程主機每次上網都會自動發(fā)郵件通知你，該如何配置服務端程序？【練習環(huán)節(jié)】1．冰河木馬攻擊一般都有哪些步驟？【練習環(huán)節(jié)】54謝謝！謝謝！55實訓十木馬攻擊與防御技術實訓十木馬攻擊與防御技術56實訓十：木馬攻擊與防御技術實訓目的理解常見的木馬攻擊方式掌握木馬檢測和清除的常用方法掌握木馬的實現(xiàn)原理及攻擊步驟理解冰河木馬的攻擊及防御方法實訓十：木馬攻擊與防御技術實訓目的理解常見的木馬攻擊方式掌握57實訓十：木馬攻擊與防御技術實訓背景

隨著網絡技術的日益發(fā)展和完善，用戶對網絡的依賴性越來越大，網絡交易也成為人們生活中必不可少的一部分，但是網絡安全問題也越來越讓人擔憂。特洛伊木馬就是網絡安全最為普遍的威脅，它通過多種方式植入用戶電腦或各種各樣的偽裝誘使用戶不知情下安裝在主機上，這樣攻擊者將從中竊取自己需要的資源或直接截取用戶輸入信息，使得個人用戶面臨隱私信息泄露核經濟損失的危險，也給電子商務、銀行等帶來安全隱患。

因此，為了確保安全的網絡環(huán)境，了解木馬攻擊原理和防范技術是重要而必須的。

實訓十：木馬攻擊與防御技術實訓背景隨著網絡技術的日益58實訓十：木馬攻擊與防御技術木馬攻擊流程與防御實訓十：木馬攻擊與防御技術木馬攻擊流程與防御59概念：它實質上只是一種遠程控制軟件，但是木馬是未經用戶授權的，通過網絡攻擊或欺騙手段安裝到目標計算機中。結構模式：客戶端/服務器（C/S：Client/Server）模式，由兩部分組成：1）服務器程序：控制者傳到目標計算機的部分；

2）控制器程序：用來控制目標主機的部分，它的作用是連接木馬服務器端程序，監(jiān)視或控制遠程計算機?！鞠嚓P知識】1特洛伊木馬概述概念：它實質上只是一種遠程控制軟件，但是木馬是未經用戶授權的60原理：【相關知識】1特洛伊木馬概述1）直接通信時的木馬工作原理（a）建立連接情況

（b）不建立連接情況原理：【相關知識】1特洛伊木馬概述1）直接通信時的木馬工作61【相關知識】1特洛伊木馬概述2）間接通信時的木馬工作原理

為了防止被發(fā)現(xiàn)，木馬服務器端與客戶端也可不直接通信，而是在服務器端與客戶端之間加上“中轉站”（如某個網站）后間接通信【相關知識】1特洛伊木馬概述2）間接通信時的62【相關知識】1特洛伊木馬概述木馬的危害自動搜索已中木馬的計算機；管理對方資源，如復制文件、刪除文件、查看文件內容、上傳文件、下載文件等；跟蹤監(jiān)視對方屏幕；直接控制對方的鍵盤、鼠標；隨意修改注冊表和系統(tǒng)文件；共享被控計算機的硬盤資源；監(jiān)視對方任務且可終止對方任務；遠程重啟和關閉機器?！鞠嚓P知識】1特洛伊木馬概述木馬的危害63實訓十：木馬攻擊與防御技術一個典型的特洛伊木馬程序通常具有以下幾個特點：（1）具有隱藏性；（2）具有自動運行性；（3）具有非授權性；

（4）具有自動恢復功能和頑固性；（5）能自動打開特別端口；（6）易植入性；（7）具有欺騙性；（8）功能的特殊性2特洛伊木馬特點實訓十：木馬攻擊與防御技術一個典型的特洛伊木馬程序通常具有以64實訓十：木馬攻擊與防御技術常見的木馬從實現(xiàn)功能角度上可分為以下幾種：（1）密碼訪問型木馬

密碼發(fā)送型的木馬是專門為了盜取被感染計算機上的密碼而編寫的，木馬一旦被執(zhí)行，就會自動搜索內存、Cache、臨時文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會利用免費的電子郵件服務將密碼發(fā)送到指定的郵箱。

這類木馬大多使用25號端口發(fā)送E-mail3木馬的分類實訓十：木馬攻擊與防御技術常見的木馬從實現(xiàn)功能角度上可分為以65實訓十：木馬攻擊與防御技術（2）鍵盤記錄型木馬

這種特洛伊木馬記錄受害者的鍵盤敲擊并且在LOG文件里查找可能的密碼。

這種木馬隨著Windows的啟動而啟動，它們有在線和離線記錄這樣的選項。

該類型的木馬，郵件發(fā)送功能也是必不可少的。3木馬的分類實訓十：木馬攻擊與防御技術（2）鍵盤記錄型木馬3木馬的分類66實訓十：木馬攻擊與防御技術（3）破壞型木馬其惟一的功能就是破壞并刪除被感染計算機的文件系統(tǒng)（可以自動的刪除電腦上的DLL、INI、EXE文件），使其遭受系統(tǒng)崩潰或者重要數據丟失的巨大損失。3木馬的分類實訓十：木馬攻擊與防御技術（3）破壞型木馬3木馬的分類67實訓十：木馬攻擊與防御技術（4）遠程控制型木馬

使用這類木馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP地址，就可以實現(xiàn)遠程控制。它可以讓攻擊者完全控制被感染的計算機，攻擊者可以利用它完成一些甚至連計算機主人本身都不能順利進行的操作，其危害之大實在不容小覷。3木馬的分類實訓十：木馬攻擊與防御技術（4）遠程控制型木馬3木馬的分類68實訓十：木馬攻擊與防御技術（5）Dos攻擊木馬

當你入侵了一臺機器，給他種上DoS攻擊木馬，那么日后這臺計算機就成為你DoS攻擊的最得力助手了。

這種木馬的危害不是體現(xiàn)在被感染計算機上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺又一臺計算機，給網絡造成很大的傷害和帶來損失。3木馬的分類實訓十：木馬攻擊與防御技術（5）Dos攻擊木馬3木馬的分類69實訓十：木馬攻擊與防御技術（6）代理木馬

給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet、ICQ、IRC等程序，從而隱蔽自己的蹤跡。3木馬的分類實訓十：木馬攻擊與防御技術（6）代理木馬3木馬的分類70實訓十：木馬攻擊與防御技術（7）FTP木馬

這種木馬是最簡單的木馬，唯一的功能就是打開21端口，等待用戶連接。3木馬的分類（8）程序殺手木馬

程序殺手木馬的功能就是關閉對方機器上運行的防木馬程序，讓其他的木馬更好地發(fā)揮作用。實訓十：木馬攻擊與防御技術（7）FTP木馬3木馬的分類（871實訓十：木馬攻擊與防御技術（9）反彈端口型木馬

彈端口型木馬使用的是系統(tǒng)信任的端口，系統(tǒng)會認為木馬是普通應用程序，而不對其連接進行檢查。反彈端口木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線，立即彈出端口主動連結控制端打開的主動端口。

這種反彈端口的木馬常常會采用固定IP的第三方存儲設備來進行IP地址的傳遞，從而使服務端獲知控制端的IP地址。3木馬的分類實訓十：木馬攻擊與防御技術（9）反彈端口型木馬3木馬的分類72實訓十：木馬攻擊與防御技術

植入木馬

啟動木馬

木馬隱藏

建立連接

遠程控制4木馬攻擊原理

當攻擊者利用木馬進行攻擊時，一般會經過以下一個過程：實訓十：木馬攻擊與防御技術4木馬攻擊原理當攻擊者73實訓十：木馬攻擊與防御技術攻擊者想要利用木馬進行攻擊，首先將木馬偽裝好，然后要把木馬程序植入到目標主機。攻擊者將木馬植入目標主機的主要手段有：

利用系統(tǒng)漏洞直接攻擊；

通過端口入侵；

通過網站上掛馬和下載傳播；

通過電子郵件傳播；

在網絡上發(fā)送超鏈接引誘用戶點擊。4.1

植入木馬實訓十：木馬攻擊與防御技術攻擊者想要利用木馬進行攻擊，首先將74實訓十：木馬攻擊與防御技術簡單木馬啟動是被動地等待木馬或捆綁木馬的程序被主動運行；大多數木馬都是首先將自身復制到Windows的系統(tǒng)文件中，利用修改windows系統(tǒng)文件和注冊表來實現(xiàn)自動重啟。在window操作系統(tǒng)中木馬自啟動途徑主要有：1）利用配置文件（“system.ini”和“win.ini”文件）實現(xiàn)自動啟動；2）利用注冊表（HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion項）實現(xiàn)自動啟；3）利用系統(tǒng)啟動組實現(xiàn)自動啟動；4）利用Autoexec.bat和Config.sys文件實現(xiàn)。4.2

啟動木馬實訓十：木馬攻擊與防御技術簡單木馬啟動是被動地等待木馬或捆綁75實訓十：木馬攻擊與防御技術木馬想要在目標主機上存活下來，必須注意隱藏自己，使自身不被目標主機用戶發(fā)現(xiàn)。主要的隱藏技術有：設置窗口不可見、把木馬程序注冊為服務、欺騙查看進程的函數、使用可變的高端口、使用系統(tǒng)驅動或系統(tǒng)DLL以及動態(tài)潛入技術等。4.3

木馬隱藏實訓十：木馬攻擊與防御技術木馬想要在目標主機上存活下來，必須76實訓十：木馬攻擊與防御技術一個木馬連接的建立必須滿足兩個條件：一是服務器已安裝了木馬程序；二是控制端、服務器端都要在線?？刂贫伺c服務器建立連接的方法有：1）控制端可以通過木馬端口與服務器建立連接；2）控制端根據提前配置的服務器地址、定制端口來建立連接；3）使用掃描器，根據掃描結果中檢測哪些計算機的某個端口開放，從而知道該計算機里某類木馬的服務器端在運行，然后建立連接；4）根據服務器端主動發(fā)回來的信息知道服務器端的地址、端口，然后建立連接。4.4

建立連接實訓十：木馬攻擊與防御技術一個木馬連接的建立必須滿足兩個條件77實訓十：木馬攻擊與防御技術木馬最終的目的是對服務器端進行遠程控制，實現(xiàn)竊取密碼、文件操作、修改注冊表、鎖住服務器端以及系統(tǒng)操作等。4.5

遠程控制實訓十：木馬攻擊與防御技術木馬最終的目的是對服務器端進行遠程78實訓十：木馬攻擊與防御技術對付特洛伊木馬程序攻擊，可以采用以下的防御措施。（1）端口掃描和連接查看（2）檢查注冊表（3）檢查系統(tǒng)配置文件（4）檢查啟動組（5）使用殺毒軟件和防火墻軟件（6）加強防范意識5

木馬的防御技術實訓十：木馬攻擊與防御技術對付特洛伊木馬程序攻擊，可以采用以79實訓十：木馬攻擊與防御技術端口掃描是檢測木馬最常用的辦法，大部分的木馬服務端會在系統(tǒng)中監(jiān)聽某個端口，通過掃描系統(tǒng)上開啟了哪些端口就能有效地發(fā)現(xiàn)遠程控制木馬的蹤跡。端口掃描原理：掃描程序嘗試連接某個端口，如果成功，則說明端口開放；如果連接失敗或超時，則說明端口關閉。查看連接是在本機上通過netstat（或第三方程序）查看所有的/動態(tài)鏈接木馬。5.1

端口掃描和連接查看實訓十：木馬攻擊與防御技術端口掃描是檢測木馬最常用的辦法，大80實訓十：木馬攻擊與防御技術操作系統(tǒng)本身就提供了查看端口和連接狀態(tài)的功能，在命令提示符下鍵入“netstat-an”，查看結果如下圖所示：5.1

端口掃描和連接查看實訓十：木馬攻擊與防御技術操作系統(tǒng)本身就提供了查看端口和連接81實訓十：木馬攻擊與防御技術在注冊表中，Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce這些子鍵保存了Windows啟動時自動運行的程序。所以在注冊表中，最有可能隱藏木馬的地方是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

5.2

檢查注冊表實訓十：木馬攻擊與防御技術在注冊表中，Run、RunOnce82實訓十：木馬攻擊與防御技術統(tǒng)配置文件win.ini文件、system.ini文件也是木馬喜歡隱藏的地方，這些文件里記錄了操作系統(tǒng)啟動時需要啟動和加載的程序，查找一下看是否有異常程序出現(xiàn)。主要查看“run=”、“l(fā)oad=”或是“shell=”后面所加載的程序，如果所加載的程序有你不知道的程序，那就要小心了，這就有可能是木馬了。5.3

檢查系統(tǒng)配置文件實訓十：木馬攻擊與防御技術統(tǒng)配置文件win.ini文件、sy83實訓十：木馬攻擊與防御技術啟動組對應的文件夾為：c:\windows\startmenu\programs\startup在注冊表中位置是：HKEY_CURRENT_USER\Software\Microsoft\windows\currentVersion\Explorer\ShellFolderstartup=”c:\windows\startmenu\programe\startup”。5.4

檢查啟動組實訓十：木馬攻擊與防御技術啟動組對應的文件夾為：5.4檢84實訓十：木馬攻擊與防御技術1）安裝防病毒軟件、防火墻軟件和各種專門反黑軟件加強防護，養(yǎng)成經常查殺木馬的良好習慣，盡量打開病毒監(jiān)控，并保持病毒庫的更新。2）不要隨意打開不熟悉的郵件或不明的程序；不要隨意點擊網站上的鏈接信息。5.5

加強防范意識實訓十：木馬攻擊與防御技術1）安裝防病毒軟件、防火墻軟件和各85實訓十：木馬攻擊與防御技術1）冰河是一個非常有名的木馬工具，它包括兩個可運行的程序G_Server和G_Client，其中前者是木馬的服務器端，就是用來植入目標主機的程序，后者是木馬的客戶端，也就是木馬的控制臺。6

冰河木馬實訓十：木馬攻擊與防御技術1）冰河是一個非常有名的木馬工具，86實訓十：木馬攻擊與防御技術2）冰河木馬主要功能：自動跟蹤目標機屏幕變化(局域網適用)完全模擬鍵盤及鼠標輸入(局域網適用)記錄各種口令信息獲取系統(tǒng)信息限制系統(tǒng)功能遠程文件操作注冊表操作發(fā)送信息點對點通訊實訓十：木馬攻擊與防御技術2）冰河木馬主要功能：87一臺windowsxp/2000操作系統(tǒng)（IP：0）作為木馬控制端，安裝G_CLIENT.EXE，由黑客擁有；一臺裝有windowsxp/2000或windowsserver2019操作系統(tǒng)的機器（IP：）作為木馬服務端（感染木馬程序G_Server.exe），由正常網絡用戶擁有。【實訓環(huán)節(jié)】實訓環(huán)境要求一臺windowsxp/2000操作系統(tǒng)（IP：192.188通過winrar自解壓程序將木馬的服務端程序與常規(guī)文件捆綁，生成偽裝文件。1、將冰河木馬服務器程序G_Server.exe和圖片sunset.jpg放在文件夾test中，選中這兩個文件后單擊鼠標右鍵，選擇“添加到test.rar”命令。2、打開test.rar文件，單擊“自解壓格式”按鈕，并在彈出的窗口中單擊“高級自解壓選項”按鈕打開高級自解壓選項對話框?！緦嵱柇h(huán)節(jié)】1木馬程序的偽裝通過winrar自解壓程序將木馬的服務端程序與常規(guī)文件捆綁，89【實訓環(huán)節(jié)】10-1高級自解壓設置3、單擊“設置”選項，并在在“解壓后運行”文本框中輸入木馬的服務器端程序“G_Server.exe”，在“解壓運行前”文本框輸入圖片文件“sunset.jpg”，如圖10-1所示。【實訓環(huán)節(jié)】10-1高級自解壓設置3、單擊“設置”選項，90【實訓環(huán)節(jié)】

圖10-2模式設置圖10-3更新設置4、分別單擊“模式”選項和“更新”選項進行設置，具體設置如圖10-2、3所示?！緦嵱柇h(huán)節(jié)】圖10-2模式設置91【實訓環(huán)節(jié)】

圖10-4文件捆綁后結果5、單擊“確定”按鈕，關閉WinRAR窗口后就可以創(chuàng)建自解壓文件，結果如圖10-4所示。運行test.exe文件時，系統(tǒng)調用默認關聯(lián)的圖片管理器打開sunset.jpg文件，并在用戶毫不知情下運行了木馬服務端程序G_Server.exe【實訓環(huán)節(jié)】圖10-4文件捆綁后結果5、單擊“確定”按鈕921、客戶端控制程序的使用及配置1）雙擊運行客戶端控制程序“G_CLIENT.EXE”，冰河client主界面如圖10-5所示?！緦嵱柇h(huán)節(jié)】2冰河木馬的使用圖10-5主界面1、客戶端控制程序的使用及配置【實訓環(huán)節(jié)】2冰河木馬的使用圖932）控制端可以進行添加/刪除主機、自動搜索、捕獲屏幕、屏幕控制、配置服務器程序等操作功能，如圖10-6所示。【實訓環(huán)節(jié)】圖10-5冰河功能模塊2）控制端可以進行添加/刪除主機、自動搜索、捕獲屏幕、屏幕控943）選擇“文件”菜單下“配置服務器程序”或點擊“配置本地服務器程序”圖標按鈕，打開并進入服務器配置界面進行設置，該功能是在安裝前對“G_Server.exe”進行配置。如圖10-6所示?！緦嵱柇h(huán)節(jié)】圖10-6服務器配置界面3）選擇“文件”菜單下“配置服務器程序”或點擊“配置本地服務95自我保護設置可以實現(xiàn)在服務器端的隱藏，如圖10-7所示【實訓環(huán)節(jié)】圖10-7自我保護設置自我保護設置可以實現(xiàn)在服務器端的隱藏，如圖10-7所示【實96

攻擊者如果想通過郵件獲取被控制方的相關信息，可以對郵件通知選項進行配置，如圖10-8所示【實訓環(huán)節(jié)】圖10-8郵件通知設置攻擊者如果想通過郵件獲取被控制方的相關信息，可以對郵件通974）搜索目標主機（搜索前需要運行服務端程序）【實訓環(huán)節(jié)】①選擇“文件”下“自動搜索”或點擊自動搜索

圖標②在“搜索范圍”選項區(qū)域按需求添加I要搜索的IP范圍③單擊“開始搜索”，在右邊列表框中將顯示檢測到的正在網上的計算機的IP地址信息，如圖10-9所示。圖10-8搜索目標主機“OK：”表示目標主機運行過G_Server.exe，并可以進行控制；“ERR：”則表示這臺計算機沒有受木馬攻擊，無法受控制端控制4）搜索目標主機（搜索前需要運行服務端程序）【實訓環(huán)節(jié)】①選982、對目標主機的控制。1）文件管理控制【實訓環(huán)節(jié)】2冰河木馬的使用圖10-9對目標主機的文件控制2、對目標主