電子商務(wù)安全實(shí)務(wù)課件8-木馬攻擊與防御-

實(shí)訓(xùn)十木馬攻擊與防御技術(shù)實(shí)訓(xùn)十木馬攻擊與防御技術(shù)1實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)實(shí)訓(xùn)目的理解常見的木馬攻擊方式掌握木馬檢測(cè)和清除的常用方法掌握木馬的實(shí)現(xiàn)原理及攻擊步驟理解冰河木馬的攻擊及防御方法實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)實(shí)訓(xùn)目的理解常見的木馬攻擊方式掌握2實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)實(shí)訓(xùn)背景

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展和完善，用戶對(duì)網(wǎng)絡(luò)的依賴性越來越大，網(wǎng)絡(luò)交易也成為人們生活中必不可少的一部分，但是網(wǎng)絡(luò)安全問題也越來越讓人擔(dān)憂。特洛伊木馬就是網(wǎng)絡(luò)安全最為普遍的威脅，它通過多種方式植入用戶電腦或各種各樣的偽裝誘使用戶不知情下安裝在主機(jī)上，這樣攻擊者將從中竊取自己需要的資源或直接截取用戶輸入信息，使得個(gè)人用戶面臨隱私信息泄露核經(jīng)濟(jì)損失的危險(xiǎn)，也給電子商務(wù)、銀行等帶來安全隱患。

因此，為了確保安全的網(wǎng)絡(luò)環(huán)境，了解木馬攻擊原理和防范技術(shù)是重要而必須的。

實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)實(shí)訓(xùn)背景隨著網(wǎng)絡(luò)技術(shù)的日益3實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬攻擊流程與防御實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬攻擊流程與防御4概念：它實(shí)質(zhì)上只是一種遠(yuǎn)程控制軟件，但是木馬是未經(jīng)用戶授權(quán)的，通過網(wǎng)絡(luò)攻擊或欺騙手段安裝到目標(biāo)計(jì)算機(jī)中。結(jié)構(gòu)模式：客戶端/服務(wù)器（C/S：Client/Server）模式，由兩部分組成：1）服務(wù)器程序：控制者傳到目標(biāo)計(jì)算機(jī)的部分；

2）控制器程序：用來控制目標(biāo)主機(jī)的部分，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。【相關(guān)知識(shí)】1特洛伊木馬概述概念：它實(shí)質(zhì)上只是一種遠(yuǎn)程控制軟件，但是木馬是未經(jīng)用戶授權(quán)的5原理：【相關(guān)知識(shí)】1特洛伊木馬概述1）直接通信時(shí)的木馬工作原理（a）建立連接情況

（b）不建立連接情況原理：【相關(guān)知識(shí)】1特洛伊木馬概述1）直接通信時(shí)的木馬工作6【相關(guān)知識(shí)】1特洛伊木馬概述2）間接通信時(shí)的木馬工作原理

為了防止被發(fā)現(xiàn)，木馬服務(wù)器端與客戶端也可不直接通信，而是在服務(wù)器端與客戶端之間加上“中轉(zhuǎn)站”（如某個(gè)網(wǎng)站）后間接通信【相關(guān)知識(shí)】1特洛伊木馬概述2）間接通信時(shí)的7【相關(guān)知識(shí)】1特洛伊木馬概述木馬的危害自動(dòng)搜索已中木馬的計(jì)算機(jī)；管理對(duì)方資源，如復(fù)制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等；跟蹤監(jiān)視對(duì)方屏幕；直接控制對(duì)方的鍵盤、鼠標(biāo)；隨意修改注冊(cè)表和系統(tǒng)文件；共享被控計(jì)算機(jī)的硬盤資源；監(jiān)視對(duì)方任務(wù)且可終止對(duì)方任務(wù)；遠(yuǎn)程重啟和關(guān)閉機(jī)器?！鞠嚓P(guān)知識(shí)】1特洛伊木馬概述木馬的危害8實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)一個(gè)典型的特洛伊木馬程序通常具有以下幾個(gè)特點(diǎn)：（1）具有隱藏性；（2）具有自動(dòng)運(yùn)行性；（3）具有非授權(quán)性；

（4）具有自動(dòng)恢復(fù)功能和頑固性；（5）能自動(dòng)打開特別端口；（6）易植入性；（7）具有欺騙性；（8）功能的特殊性2特洛伊木馬特點(diǎn)實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)一個(gè)典型的特洛伊木馬程序通常具有以9實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)常見的木馬從實(shí)現(xiàn)功能角度上可分為以下幾種：（1）密碼訪問型木馬

密碼發(fā)送型的木馬是專門為了盜取被感染計(jì)算機(jī)上的密碼而編寫的，木馬一旦被執(zhí)行，就會(huì)自動(dòng)搜索內(nèi)存、Cache、臨時(shí)文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會(huì)利用免費(fèi)的電子郵件服務(wù)將密碼發(fā)送到指定的郵箱。

這類木馬大多使用25號(hào)端口發(fā)送E-mail3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)常見的木馬從實(shí)現(xiàn)功能角度上可分為以10實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（2）鍵盤記錄型木馬

這種特洛伊木馬記錄受害者的鍵盤敲擊并且在LOG文件里查找可能的密碼。

這種木馬隨著Windows的啟動(dòng)而啟動(dòng)，它們有在線和離線記錄這樣的選項(xiàng)。

該類型的木馬，郵件發(fā)送功能也是必不可少的。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（2）鍵盤記錄型木馬3木馬的分類11實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（3）破壞型木馬其惟一的功能就是破壞并刪除被感染計(jì)算機(jī)的文件系統(tǒng)（可以自動(dòng)的刪除電腦上的DLL、INI、EXE文件），使其遭受系統(tǒng)崩潰或者重要數(shù)據(jù)丟失的巨大損失。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（3）破壞型木馬3木馬的分類12實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（4）遠(yuǎn)程控制型木馬

使用這類木馬，只需有人運(yùn)行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。它可以讓攻擊者完全控制被感染的計(jì)算機(jī)，攻擊者可以利用它完成一些甚至連計(jì)算機(jī)主人本身都不能順利進(jìn)行的操作，其危害之大實(shí)在不容小覷。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（4）遠(yuǎn)程控制型木馬3木馬的分類13實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（5）Dos攻擊木馬

當(dāng)你入侵了一臺(tái)機(jī)器，給他種上DoS攻擊木馬，那么日后這臺(tái)計(jì)算機(jī)就成為你DoS攻擊的最得力助手了。

這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（5）Dos攻擊木馬3木馬的分類14實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（6）代理木馬

給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板就是代理木馬最重要的任務(wù)。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet、ICQ、IRC等程序，從而隱蔽自己的蹤跡。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（6）代理木馬3木馬的分類15實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（7）FTP木馬

這種木馬是最簡(jiǎn)單的木馬，唯一的功能就是打開21端口，等待用戶連接。3木馬的分類（8）程序殺手木馬

程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上運(yùn)行的防木馬程序，讓其他的木馬更好地發(fā)揮作用。實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（7）FTP木馬3木馬的分類（816實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（9）反彈端口型木馬

彈端口型木馬使用的是系統(tǒng)信任的端口，系統(tǒng)會(huì)認(rèn)為木馬是普通應(yīng)用程序，而不對(duì)其連接進(jìn)行檢查。反彈端口木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線，立即彈出端口主動(dòng)連結(jié)控制端打開的主動(dòng)端口。

這種反彈端口的木馬常常會(huì)采用固定IP的第三方存儲(chǔ)設(shè)備來進(jìn)行IP地址的傳遞，從而使服務(wù)端獲知控制端的IP地址。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（9）反彈端口型木馬3木馬的分類17實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)

植入木馬

啟動(dòng)木馬

木馬隱藏

建立連接

遠(yuǎn)程控制4木馬攻擊原理

當(dāng)攻擊者利用木馬進(jìn)行攻擊時(shí)，一般會(huì)經(jīng)過以下一個(gè)過程：實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)4木馬攻擊原理當(dāng)攻擊者18實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)攻擊者想要利用木馬進(jìn)行攻擊，首先將木馬偽裝好，然后要把木馬程序植入到目標(biāo)主機(jī)。攻擊者將木馬植入目標(biāo)主機(jī)的主要手段有：

利用系統(tǒng)漏洞直接攻擊；

通過端口入侵；

通過網(wǎng)站上掛馬和下載傳播；

通過電子郵件傳播；

在網(wǎng)絡(luò)上發(fā)送超鏈接引誘用戶點(diǎn)擊。4.1

植入木馬實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)攻擊者想要利用木馬進(jìn)行攻擊，首先將19實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)簡(jiǎn)單木馬啟動(dòng)是被動(dòng)地等待木馬或捆綁木馬的程序被主動(dòng)運(yùn)行；大多數(shù)木馬都是首先將自身復(fù)制到Windows的系統(tǒng)文件中，利用修改windows系統(tǒng)文件和注冊(cè)表來實(shí)現(xiàn)自動(dòng)重啟。在window操作系統(tǒng)中木馬自啟動(dòng)途徑主要有：1）利用配置文件（“system.ini”和“win.ini”文件）實(shí)現(xiàn)自動(dòng)啟動(dòng)；2）利用注冊(cè)表（HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion項(xiàng)）實(shí)現(xiàn)自動(dòng)啟；3）利用系統(tǒng)啟動(dòng)組實(shí)現(xiàn)自動(dòng)啟動(dòng)；4）利用Autoexec.bat和Config.sys文件實(shí)現(xiàn)。4.2

啟動(dòng)木馬實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)簡(jiǎn)單木馬啟動(dòng)是被動(dòng)地等待木馬或捆綁20實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬想要在目標(biāo)主機(jī)上存活下來，必須注意隱藏自己，使自身不被目標(biāo)主機(jī)用戶發(fā)現(xiàn)。主要的隱藏技術(shù)有：設(shè)置窗口不可見、把木馬程序注冊(cè)為服務(wù)、欺騙查看進(jìn)程的函數(shù)、使用可變的高端口、使用系統(tǒng)驅(qū)動(dòng)或系統(tǒng)DLL以及動(dòng)態(tài)潛入技術(shù)等。4.3

木馬隱藏實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬想要在目標(biāo)主機(jī)上存活下來，必須21實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)一個(gè)木馬連接的建立必須滿足兩個(gè)條件：一是服務(wù)器已安裝了木馬程序；二是控制端、服務(wù)器端都要在線?？刂贫伺c服務(wù)器建立連接的方法有：1）控制端可以通過木馬端口與服務(wù)器建立連接；2）控制端根據(jù)提前配置的服務(wù)器地址、定制端口來建立連接；3）使用掃描器，根據(jù)掃描結(jié)果中檢測(cè)哪些計(jì)算機(jī)的某個(gè)端口開放，從而知道該計(jì)算機(jī)里某類木馬的服務(wù)器端在運(yùn)行，然后建立連接；4）根據(jù)服務(wù)器端主動(dòng)發(fā)回來的信息知道服務(wù)器端的地址、端口，然后建立連接。4.4

建立連接實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)一個(gè)木馬連接的建立必須滿足兩個(gè)條件22實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬最終的目的是對(duì)服務(wù)器端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)竊取密碼、文件操作、修改注冊(cè)表、鎖住服務(wù)器端以及系統(tǒng)操作等。4.5

遠(yuǎn)程控制實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬最終的目的是對(duì)服務(wù)器端進(jìn)行遠(yuǎn)程23實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)對(duì)付特洛伊木馬程序攻擊，可以采用以下的防御措施。（1）端口掃描和連接查看（2）檢查注冊(cè)表（3）檢查系統(tǒng)配置文件（4）檢查啟動(dòng)組（5）使用殺毒軟件和防火墻軟件（6）加強(qiáng)防范意識(shí)5

木馬的防御技術(shù)實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)對(duì)付特洛伊木馬程序攻擊，可以采用以24實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)端口掃描是檢測(cè)木馬最常用的辦法，大部分的木馬服務(wù)端會(huì)在系統(tǒng)中監(jiān)聽某個(gè)端口，通過掃描系統(tǒng)上開啟了哪些端口就能有效地發(fā)現(xiàn)遠(yuǎn)程控制木馬的蹤跡。端口掃描原理：掃描程序嘗試連接某個(gè)端口，如果成功，則說明端口開放；如果連接失敗或超時(shí)，則說明端口關(guān)閉。查看連接是在本機(jī)上通過netstat（或第三方程序）查看所有的/動(dòng)態(tài)鏈接木馬。5.1

端口掃描和連接查看實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)端口掃描是檢測(cè)木馬最常用的辦法，大25實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)操作系統(tǒng)本身就提供了查看端口和連接狀態(tài)的功能，在命令提示符下鍵入“netstat-an”，查看結(jié)果如下圖所示：5.1

端口掃描和連接查看實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)操作系統(tǒng)本身就提供了查看端口和連接26實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)在注冊(cè)表中，Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce這些子鍵保存了Windows啟動(dòng)時(shí)自動(dòng)運(yùn)行的程序。所以在注冊(cè)表中，最有可能隱藏木馬的地方是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

5.2

檢查注冊(cè)表實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)在注冊(cè)表中，Run、RunOnce27實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)統(tǒng)配置文件win.ini文件、system.ini文件也是木馬喜歡隱藏的地方，這些文件里記錄了操作系統(tǒng)啟動(dòng)時(shí)需要啟動(dòng)和加載的程序，查找一下看是否有異常程序出現(xiàn)。主要查看“run=”、“l(fā)oad=”或是“shell=”后面所加載的程序，如果所加載的程序有你不知道的程序，那就要小心了，這就有可能是木馬了。5.3

檢查系統(tǒng)配置文件實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)統(tǒng)配置文件win.ini文件、sy28實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)啟動(dòng)組對(duì)應(yīng)的文件夾為：c:\windows\startmenu\programs\startup在注冊(cè)表中位置是：HKEY_CURRENT_USER\Software\Microsoft\windows\currentVersion\Explorer\ShellFolderstartup=”c:\windows\startmenu\programe\startup”。5.4

檢查啟動(dòng)組實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)啟動(dòng)組對(duì)應(yīng)的文件夾為：5.4檢29實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)1）安裝防病毒軟件、防火墻軟件和各種專門反黑軟件加強(qiáng)防護(hù)，養(yǎng)成經(jīng)常查殺木馬的良好習(xí)慣，盡量打開病毒監(jiān)控，并保持病毒庫的更新。2）不要隨意打開不熟悉的郵件或不明的程序；不要隨意點(diǎn)擊網(wǎng)站上的鏈接信息。5.5

加強(qiáng)防范意識(shí)實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)1）安裝防病毒軟件、防火墻軟件和各30實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)1）冰河是一個(gè)非常有名的木馬工具，它包括兩個(gè)可運(yùn)行的程序G_Server和G_Client，其中前者是木馬的服務(wù)器端，就是用來植入目標(biāo)主機(jī)的程序，后者是木馬的客戶端，也就是木馬的控制臺(tái)。6

冰河木馬實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)1）冰河是一個(gè)非常有名的木馬工具，31實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)2）冰河木馬主要功能：自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化(局域網(wǎng)適用)完全模擬鍵盤及鼠標(biāo)輸入(局域網(wǎng)適用)記錄各種口令信息獲取系統(tǒng)信息限制系統(tǒng)功能遠(yuǎn)程文件操作注冊(cè)表操作發(fā)送信息點(diǎn)對(duì)點(diǎn)通訊實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)2）冰河木馬主要功能：32一臺(tái)windowsxp/2000操作系統(tǒng)（IP：0）作為木馬控制端，安裝G_CLIENT.EXE，由黑客擁有；一臺(tái)裝有windowsxp/2000或windowsserver2019操作系統(tǒng)的機(jī)器（IP：）作為木馬服務(wù)端（感染木馬程序G_Server.exe），由正常網(wǎng)絡(luò)用戶擁有?！緦?shí)訓(xùn)環(huán)節(jié)】實(shí)訓(xùn)環(huán)境要求一臺(tái)windowsxp/2000操作系統(tǒng)（IP：192.133通過winrar自解壓程序?qū)⒛抉R的服務(wù)端程序與常規(guī)文件捆綁，生成偽裝文件。1、將冰河木馬服務(wù)器程序G_Server.exe和圖片sunset.jpg放在文件夾test中，選中這兩個(gè)文件后單擊鼠標(biāo)右鍵，選擇“添加到test.rar”命令。2、打開test.rar文件，單擊“自解壓格式”按鈕，并在彈出的窗口中單擊“高級(jí)自解壓選項(xiàng)”按鈕打開高級(jí)自解壓選項(xiàng)對(duì)話框?！緦?shí)訓(xùn)環(huán)節(jié)】1木馬程序的偽裝通過winrar自解壓程序?qū)⒛抉R的服務(wù)端程序與常規(guī)文件捆綁，34【實(shí)訓(xùn)環(huán)節(jié)】10-1高級(jí)自解壓設(shè)置3、單擊“設(shè)置”選項(xiàng)，并在在“解壓后運(yùn)行”文本框中輸入木馬的服務(wù)器端程序“G_Server.exe”，在“解壓運(yùn)行前”文本框輸入圖片文件“sunset.jpg”，如圖10-1所示?！緦?shí)訓(xùn)環(huán)節(jié)】10-1高級(jí)自解壓設(shè)置3、單擊“設(shè)置”選項(xiàng)，35【實(shí)訓(xùn)環(huán)節(jié)】

圖10-2模式設(shè)置圖10-3更新設(shè)置4、分別單擊“模式”選項(xiàng)和“更新”選項(xiàng)進(jìn)行設(shè)置，具體設(shè)置如圖10-2、3所示?！緦?shí)訓(xùn)環(huán)節(jié)】圖10-2模式設(shè)置36【實(shí)訓(xùn)環(huán)節(jié)】

圖10-4文件捆綁后結(jié)果5、單擊“確定”按鈕，關(guān)閉WinRAR窗口后就可以創(chuàng)建自解壓文件，結(jié)果如圖10-4所示。運(yùn)行test.exe文件時(shí)，系統(tǒng)調(diào)用默認(rèn)關(guān)聯(lián)的圖片管理器打開sunset.jpg文件，并在用戶毫不知情下運(yùn)行了木馬服務(wù)端程序G_Server.exe【實(shí)訓(xùn)環(huán)節(jié)】圖10-4文件捆綁后結(jié)果5、單擊“確定”按鈕371、客戶端控制程序的使用及配置1）雙擊運(yùn)行客戶端控制程序“G_CLIENT.EXE”，冰河client主界面如圖10-5所示。【實(shí)訓(xùn)環(huán)節(jié)】2冰河木馬的使用圖10-5主界面1、客戶端控制程序的使用及配置【實(shí)訓(xùn)環(huán)節(jié)】2冰河木馬的使用圖382）控制端可以進(jìn)行添加/刪除主機(jī)、自動(dòng)搜索、捕獲屏幕、屏幕控制、配置服務(wù)器程序等操作功能，如圖10-6所示。【實(shí)訓(xùn)環(huán)節(jié)】圖10-5冰河功能模塊2）控制端可以進(jìn)行添加/刪除主機(jī)、自動(dòng)搜索、捕獲屏幕、屏幕控393）選擇“文件”菜單下“配置服務(wù)器程序”或點(diǎn)擊“配置本地服務(wù)器程序”圖標(biāo)按鈕，打開并進(jìn)入服務(wù)器配置界面進(jìn)行設(shè)置，該功能是在安裝前對(duì)“G_Server.exe”進(jìn)行配置。如圖10-6所示。【實(shí)訓(xùn)環(huán)節(jié)】圖10-6服務(wù)器配置界面3）選擇“文件”菜單下“配置服務(wù)器程序”或點(diǎn)擊“配置本地服務(wù)40自我保護(hù)設(shè)置可以實(shí)現(xiàn)在服務(wù)器端的隱藏，如圖10-7所示【實(shí)訓(xùn)環(huán)節(jié)】圖10-7自我保護(hù)設(shè)置自我保護(hù)設(shè)置可以實(shí)現(xiàn)在服務(wù)器端的隱藏，如圖10-7所示【實(shí)41

攻擊者如果想通過郵件獲取被控制方的相關(guān)信息，可以對(duì)郵件通知選項(xiàng)進(jìn)行配置，如圖10-8所示【實(shí)訓(xùn)環(huán)節(jié)】圖10-8郵件通知設(shè)置攻擊者如果想通過郵件獲取被控制方的相關(guān)信息，可以對(duì)郵件通424）搜索目標(biāo)主機(jī)（搜索前需要運(yùn)行服務(wù)端程序）【實(shí)訓(xùn)環(huán)節(jié)】①選擇“文件”下“自動(dòng)搜索”或點(diǎn)擊自動(dòng)搜索

圖標(biāo)②在“搜索范圍”選項(xiàng)區(qū)域按需求添加I要搜索的IP范圍③單擊“開始搜索”，在右邊列表框中將顯示檢測(cè)到的正在網(wǎng)上的計(jì)算機(jī)的IP地址信息，如圖10-9所示。圖10-8搜索目標(biāo)主機(jī)“OK：”表示目標(biāo)主機(jī)運(yùn)行過G_Server.exe，并可以進(jìn)行控制；“ERR：”則表示這臺(tái)計(jì)算機(jī)沒有受木馬攻擊，無法受控制端控制4）搜索目標(biāo)主機(jī)（搜索前需要運(yùn)行服務(wù)端程序）【實(shí)訓(xùn)環(huán)節(jié)】①選432、對(duì)目標(biāo)主機(jī)的控制。1）文件管理控制【實(shí)訓(xùn)環(huán)節(jié)】2冰河木馬的使用圖10-9對(duì)目標(biāo)主機(jī)的文件控制2、對(duì)目標(biāo)主機(jī)的控制?！緦?shí)訓(xùn)環(huán)節(jié)】2冰河木馬的使用圖10-9442）命令控制臺(tái)操作口令類命令可以控制目標(biāo)主機(jī)的系統(tǒng)圖信息及口令、歷史口令以及擊鍵記錄【實(shí)訓(xùn)環(huán)節(jié)】圖10-10對(duì)目標(biāo)主機(jī)的口令類命令控制2）命令控制臺(tái)操作【實(shí)訓(xùn)環(huán)節(jié)】圖10-10對(duì)目標(biāo)主機(jī)的口令452）命令控制臺(tái)操作控制類命令可以對(duì)目標(biāo)主機(jī)進(jìn)行以下操作：屏幕捕獲、進(jìn)程管理、窗口管理、鼠標(biāo)控制等操作?！緦?shí)訓(xùn)環(huán)節(jié)】圖10-11對(duì)目標(biāo)主機(jī)的屏幕捕捉控制2）命令控制臺(tái)操作【實(shí)訓(xùn)環(huán)節(jié)】圖46G_Server.exe服務(wù)端程序在計(jì)算機(jī)上被運(yùn)行后，它不會(huì)有任何提示信息，而是會(huì)將自身刪除，但是在Windows\System32目錄下會(huì)生成Kernel32.exe和Sysexplr.exe兩個(gè)文件。Kernel32.exe在開機(jī)啟動(dòng)時(shí)自動(dòng)啟動(dòng)，它是木馬的主程序，用來和客戶端連接；Sysexplr.exe通過修改注冊(cè)表與擴(kuò)展名為.txt文件進(jìn)行關(guān)聯(lián)，雙擊打開任何一個(gè).txt文件后，該程序就會(huì)被執(zhí)行一遍，再由它生成一個(gè)Kernel32.exe文件，并讓其隨系統(tǒng)啟動(dòng)。【實(shí)訓(xùn)環(huán)節(jié)】3檢測(cè)和清除冰河木馬G_Server.exe服務(wù)端程序在計(jì)算機(jī)上被運(yùn)行后，它不會(huì)471、掃描端口

使用windows系統(tǒng)自帶的netstat命令查看端口狀態(tài)，查看開放的端口有無可疑。（也可以用第三方端口掃描軟件）【實(shí)訓(xùn)環(huán)節(jié)】3冰河木馬檢測(cè)和清除圖10-12端口掃描結(jié)果打開“程序”

→“運(yùn)行”輸入cmd進(jìn)入命令提示符下，并輸入netstat–an命令，如圖10-12所示為查看結(jié)果。1、掃描端口使用windows系統(tǒng)自帶的netstat命令482、查看進(jìn)程打開任務(wù)管理器，選中進(jìn)程選項(xiàng)，在進(jìn)程列表中檢測(cè)是否有Kernel32.exe和Sysexplr.exe兩個(gè)文件，如果有說明受冰河木馬攻擊，并結(jié)束進(jìn)程。【實(shí)訓(xùn)環(huán)節(jié)】3冰河木馬檢測(cè)和清除3、刪除文件打開“C:\WINDOWS\system32”，將Kernel32.exe和Sysexplr.exe兩個(gè)文件刪除。2、查看進(jìn)程【實(shí)訓(xùn)環(huán)節(jié)】3冰河木馬檢測(cè)和清除3、刪除文件494、修改注冊(cè)表

點(diǎn)擊“開始”→“運(yùn)行”，并輸入“regedit”命令打開注冊(cè)表【實(shí)訓(xùn)環(huán)節(jié)】3冰河木馬檢測(cè)和清除

打開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)，該默認(rèn)鍵值被更改為：

“C:\WINDOWS\SYSTEM32\Kernel32.exe”選中雙擊默認(rèn)項(xiàng)，在打開的對(duì)話框中刪除該項(xiàng)內(nèi)容，如圖10-13所示。

同樣地打開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices，并在默認(rèn)項(xiàng)的“編輯字符串”對(duì)話框中刪除其值“C:\WINDOWS\SYSTEM32\Kernel32.exe”。這樣就可以取消Kernel32.exe的開機(jī)啟動(dòng)。4、修改注冊(cè)表【實(shí)訓(xùn)環(huán)節(jié)】3冰河木馬檢測(cè)和清除打開HKEY50【實(shí)訓(xùn)環(huán)節(jié)】圖10-12修改注冊(cè)表啟動(dòng)運(yùn)行項(xiàng)目【實(shí)訓(xùn)環(huán)節(jié)】圖10-12修改注冊(cè)表啟動(dòng)運(yùn)行項(xiàng)目514、修改注冊(cè)表

【實(shí)訓(xùn)環(huán)節(jié)】3冰河木馬檢測(cè)和清除打開注冊(cè)表的HKEY_CLASSES_ROOT\txtfile\shell\open\command項(xiàng)，該默認(rèn)鍵值被更改為：“C:\WINDOWS\system32\sysexplr.exe%1”。雙擊“默認(rèn)”字符串，在“數(shù)值數(shù)據(jù)”文本框中輸入“C:\WINDOWS\system32\notepad.exe%1”這樣就可以恢復(fù)了.txt文件與記事本的關(guān)聯(lián)，Sysexplr.exe再也不起作用了，如圖10-13所示。4、修改注冊(cè)表【實(shí)訓(xùn)環(huán)節(jié)】3冰河木馬檢測(cè)和清除打52【實(shí)訓(xùn)環(huán)節(jié)】圖10-13

恢復(fù)注冊(cè)表中txt文件關(guān)聯(lián)【實(shí)訓(xùn)環(huán)節(jié)】圖10-13恢復(fù)注冊(cè)表中txt文件關(guān)聯(lián)531．冰河木馬攻擊一般都有哪些步驟？2．如果你的電腦系統(tǒng)可能已經(jīng)被木馬攻擊，需要檢測(cè)哪些項(xiàng)目來分析判斷是否被木馬攻擊？如何清除這些木馬？3．如果希望被冰河木馬攻擊的遠(yuǎn)程主機(jī)每次上網(wǎng)都會(huì)自動(dòng)發(fā)郵件通知你，該如何配置服務(wù)端程序？【練習(xí)環(huán)節(jié)】1．冰河木馬攻擊一般都有哪些步驟？【練習(xí)環(huán)節(jié)】54謝謝！謝謝！55實(shí)訓(xùn)十木馬攻擊與防御技術(shù)實(shí)訓(xùn)十木馬攻擊與防御技術(shù)56實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)實(shí)訓(xùn)目的理解常見的木馬攻擊方式掌握木馬檢測(cè)和清除的常用方法掌握木馬的實(shí)現(xiàn)原理及攻擊步驟理解冰河木馬的攻擊及防御方法實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)實(shí)訓(xùn)目的理解常見的木馬攻擊方式掌握57實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)實(shí)訓(xùn)背景

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展和完善，用戶對(duì)網(wǎng)絡(luò)的依賴性越來越大，網(wǎng)絡(luò)交易也成為人們生活中必不可少的一部分，但是網(wǎng)絡(luò)安全問題也越來越讓人擔(dān)憂。特洛伊木馬就是網(wǎng)絡(luò)安全最為普遍的威脅，它通過多種方式植入用戶電腦或各種各樣的偽裝誘使用戶不知情下安裝在主機(jī)上，這樣攻擊者將從中竊取自己需要的資源或直接截取用戶輸入信息，使得個(gè)人用戶面臨隱私信息泄露核經(jīng)濟(jì)損失的危險(xiǎn)，也給電子商務(wù)、銀行等帶來安全隱患。

因此，為了確保安全的網(wǎng)絡(luò)環(huán)境，了解木馬攻擊原理和防范技術(shù)是重要而必須的。

實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)實(shí)訓(xùn)背景隨著網(wǎng)絡(luò)技術(shù)的日益58實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬攻擊流程與防御實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬攻擊流程與防御59概念：它實(shí)質(zhì)上只是一種遠(yuǎn)程控制軟件，但是木馬是未經(jīng)用戶授權(quán)的，通過網(wǎng)絡(luò)攻擊或欺騙手段安裝到目標(biāo)計(jì)算機(jī)中。結(jié)構(gòu)模式：客戶端/服務(wù)器（C/S：Client/Server）模式，由兩部分組成：1）服務(wù)器程序：控制者傳到目標(biāo)計(jì)算機(jī)的部分；

2）控制器程序：用來控制目標(biāo)主機(jī)的部分，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。【相關(guān)知識(shí)】1特洛伊木馬概述概念：它實(shí)質(zhì)上只是一種遠(yuǎn)程控制軟件，但是木馬是未經(jīng)用戶授權(quán)的60原理：【相關(guān)知識(shí)】1特洛伊木馬概述1）直接通信時(shí)的木馬工作原理（a）建立連接情況

（b）不建立連接情況原理：【相關(guān)知識(shí)】1特洛伊木馬概述1）直接通信時(shí)的木馬工作61【相關(guān)知識(shí)】1特洛伊木馬概述2）間接通信時(shí)的木馬工作原理

為了防止被發(fā)現(xiàn)，木馬服務(wù)器端與客戶端也可不直接通信，而是在服務(wù)器端與客戶端之間加上“中轉(zhuǎn)站”（如某個(gè)網(wǎng)站）后間接通信【相關(guān)知識(shí)】1特洛伊木馬概述2）間接通信時(shí)的62【相關(guān)知識(shí)】1特洛伊木馬概述木馬的危害自動(dòng)搜索已中木馬的計(jì)算機(jī)；管理對(duì)方資源，如復(fù)制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等；跟蹤監(jiān)視對(duì)方屏幕；直接控制對(duì)方的鍵盤、鼠標(biāo)；隨意修改注冊(cè)表和系統(tǒng)文件；共享被控計(jì)算機(jī)的硬盤資源；監(jiān)視對(duì)方任務(wù)且可終止對(duì)方任務(wù)；遠(yuǎn)程重啟和關(guān)閉機(jī)器?！鞠嚓P(guān)知識(shí)】1特洛伊木馬概述木馬的危害63實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)一個(gè)典型的特洛伊木馬程序通常具有以下幾個(gè)特點(diǎn)：（1）具有隱藏性；（2）具有自動(dòng)運(yùn)行性；（3）具有非授權(quán)性；

（4）具有自動(dòng)恢復(fù)功能和頑固性；（5）能自動(dòng)打開特別端口；（6）易植入性；（7）具有欺騙性；（8）功能的特殊性2特洛伊木馬特點(diǎn)實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)一個(gè)典型的特洛伊木馬程序通常具有以64實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)常見的木馬從實(shí)現(xiàn)功能角度上可分為以下幾種：（1）密碼訪問型木馬

密碼發(fā)送型的木馬是專門為了盜取被感染計(jì)算機(jī)上的密碼而編寫的，木馬一旦被執(zhí)行，就會(huì)自動(dòng)搜索內(nèi)存、Cache、臨時(shí)文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會(huì)利用免費(fèi)的電子郵件服務(wù)將密碼發(fā)送到指定的郵箱。

這類木馬大多使用25號(hào)端口發(fā)送E-mail3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)常見的木馬從實(shí)現(xiàn)功能角度上可分為以65實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（2）鍵盤記錄型木馬

這種特洛伊木馬記錄受害者的鍵盤敲擊并且在LOG文件里查找可能的密碼。

這種木馬隨著Windows的啟動(dòng)而啟動(dòng)，它們有在線和離線記錄這樣的選項(xiàng)。

該類型的木馬，郵件發(fā)送功能也是必不可少的。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（2）鍵盤記錄型木馬3木馬的分類66實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（3）破壞型木馬其惟一的功能就是破壞并刪除被感染計(jì)算機(jī)的文件系統(tǒng)（可以自動(dòng)的刪除電腦上的DLL、INI、EXE文件），使其遭受系統(tǒng)崩潰或者重要數(shù)據(jù)丟失的巨大損失。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（3）破壞型木馬3木馬的分類67實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（4）遠(yuǎn)程控制型木馬

使用這類木馬，只需有人運(yùn)行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。它可以讓攻擊者完全控制被感染的計(jì)算機(jī)，攻擊者可以利用它完成一些甚至連計(jì)算機(jī)主人本身都不能順利進(jìn)行的操作，其危害之大實(shí)在不容小覷。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（4）遠(yuǎn)程控制型木馬3木馬的分類68實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（5）Dos攻擊木馬

當(dāng)你入侵了一臺(tái)機(jī)器，給他種上DoS攻擊木馬，那么日后這臺(tái)計(jì)算機(jī)就成為你DoS攻擊的最得力助手了。

這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（5）Dos攻擊木馬3木馬的分類69實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（6）代理木馬

給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板就是代理木馬最重要的任務(wù)。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet、ICQ、IRC等程序，從而隱蔽自己的蹤跡。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（6）代理木馬3木馬的分類70實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（7）FTP木馬

這種木馬是最簡(jiǎn)單的木馬，唯一的功能就是打開21端口，等待用戶連接。3木馬的分類（8）程序殺手木馬

程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上運(yùn)行的防木馬程序，讓其他的木馬更好地發(fā)揮作用。實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（7）FTP木馬3木馬的分類（871實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（9）反彈端口型木馬

彈端口型木馬使用的是系統(tǒng)信任的端口，系統(tǒng)會(huì)認(rèn)為木馬是普通應(yīng)用程序，而不對(duì)其連接進(jìn)行檢查。反彈端口木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線，立即彈出端口主動(dòng)連結(jié)控制端打開的主動(dòng)端口。

這種反彈端口的木馬常常會(huì)采用固定IP的第三方存儲(chǔ)設(shè)備來進(jìn)行IP地址的傳遞，從而使服務(wù)端獲知控制端的IP地址。3木馬的分類實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)（9）反彈端口型木馬3木馬的分類72實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)

植入木馬

啟動(dòng)木馬

木馬隱藏

建立連接

遠(yuǎn)程控制4木馬攻擊原理

當(dāng)攻擊者利用木馬進(jìn)行攻擊時(shí)，一般會(huì)經(jīng)過以下一個(gè)過程：實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)4木馬攻擊原理當(dāng)攻擊者73實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)攻擊者想要利用木馬進(jìn)行攻擊，首先將木馬偽裝好，然后要把木馬程序植入到目標(biāo)主機(jī)。攻擊者將木馬植入目標(biāo)主機(jī)的主要手段有：

利用系統(tǒng)漏洞直接攻擊；

通過端口入侵；

通過網(wǎng)站上掛馬和下載傳播；

通過電子郵件傳播；

在網(wǎng)絡(luò)上發(fā)送超鏈接引誘用戶點(diǎn)擊。4.1

植入木馬實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)攻擊者想要利用木馬進(jìn)行攻擊，首先將74實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)簡(jiǎn)單木馬啟動(dòng)是被動(dòng)地等待木馬或捆綁木馬的程序被主動(dòng)運(yùn)行；大多數(shù)木馬都是首先將自身復(fù)制到Windows的系統(tǒng)文件中，利用修改windows系統(tǒng)文件和注冊(cè)表來實(shí)現(xiàn)自動(dòng)重啟。在window操作系統(tǒng)中木馬自啟動(dòng)途徑主要有：1）利用配置文件（“system.ini”和“win.ini”文件）實(shí)現(xiàn)自動(dòng)啟動(dòng)；2）利用注冊(cè)表（HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion項(xiàng)）實(shí)現(xiàn)自動(dòng)啟；3）利用系統(tǒng)啟動(dòng)組實(shí)現(xiàn)自動(dòng)啟動(dòng)；4）利用Autoexec.bat和Config.sys文件實(shí)現(xiàn)。4.2

啟動(dòng)木馬實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)簡(jiǎn)單木馬啟動(dòng)是被動(dòng)地等待木馬或捆綁75實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬想要在目標(biāo)主機(jī)上存活下來，必須注意隱藏自己，使自身不被目標(biāo)主機(jī)用戶發(fā)現(xiàn)。主要的隱藏技術(shù)有：設(shè)置窗口不可見、把木馬程序注冊(cè)為服務(wù)、欺騙查看進(jìn)程的函數(shù)、使用可變的高端口、使用系統(tǒng)驅(qū)動(dòng)或系統(tǒng)DLL以及動(dòng)態(tài)潛入技術(shù)等。4.3

木馬隱藏實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬想要在目標(biāo)主機(jī)上存活下來，必須76實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)一個(gè)木馬連接的建立必須滿足兩個(gè)條件：一是服務(wù)器已安裝了木馬程序；二是控制端、服務(wù)器端都要在線?？刂贫伺c服務(wù)器建立連接的方法有：1）控制端可以通過木馬端口與服務(wù)器建立連接；2）控制端根據(jù)提前配置的服務(wù)器地址、定制端口來建立連接；3）使用掃描器，根據(jù)掃描結(jié)果中檢測(cè)哪些計(jì)算機(jī)的某個(gè)端口開放，從而知道該計(jì)算機(jī)里某類木馬的服務(wù)器端在運(yùn)行，然后建立連接；4）根據(jù)服務(wù)器端主動(dòng)發(fā)回來的信息知道服務(wù)器端的地址、端口，然后建立連接。4.4

建立連接實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)一個(gè)木馬連接的建立必須滿足兩個(gè)條件77實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬最終的目的是對(duì)服務(wù)器端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)竊取密碼、文件操作、修改注冊(cè)表、鎖住服務(wù)器端以及系統(tǒng)操作等。4.5

遠(yuǎn)程控制實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)木馬最終的目的是對(duì)服務(wù)器端進(jìn)行遠(yuǎn)程78實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)對(duì)付特洛伊木馬程序攻擊，可以采用以下的防御措施。（1）端口掃描和連接查看（2）檢查注冊(cè)表（3）檢查系統(tǒng)配置文件（4）檢查啟動(dòng)組（5）使用殺毒軟件和防火墻軟件（6）加強(qiáng)防范意識(shí)5

木馬的防御技術(shù)實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)對(duì)付特洛伊木馬程序攻擊，可以采用以79實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)端口掃描是檢測(cè)木馬最常用的辦法，大部分的木馬服務(wù)端會(huì)在系統(tǒng)中監(jiān)聽某個(gè)端口，通過掃描系統(tǒng)上開啟了哪些端口就能有效地發(fā)現(xiàn)遠(yuǎn)程控制木馬的蹤跡。端口掃描原理：掃描程序嘗試連接某個(gè)端口，如果成功，則說明端口開放；如果連接失敗或超時(shí)，則說明端口關(guān)閉。查看連接是在本機(jī)上通過netstat（或第三方程序）查看所有的/動(dòng)態(tài)鏈接木馬。5.1

端口掃描和連接查看實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)端口掃描是檢測(cè)木馬最常用的辦法，大80實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)操作系統(tǒng)本身就提供了查看端口和連接狀態(tài)的功能，在命令提示符下鍵入“netstat-an”，查看結(jié)果如下圖所示：5.1

端口掃描和連接查看實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)操作系統(tǒng)本身就提供了查看端口和連接81實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)在注冊(cè)表中，Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce這些子鍵保存了Windows啟動(dòng)時(shí)自動(dòng)運(yùn)行的程序。所以在注冊(cè)表中，最有可能隱藏木馬的地方是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

5.2

檢查注冊(cè)表實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)在注冊(cè)表中，Run、RunOnce82實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)統(tǒng)配置文件win.ini文件、system.ini文件也是木馬喜歡隱藏的地方，這些文件里記錄了操作系統(tǒng)啟動(dòng)時(shí)需要啟動(dòng)和加載的程序，查找一下看是否有異常程序出現(xiàn)。主要查看“run=”、“l(fā)oad=”或是“shell=”后面所加載的程序，如果所加載的程序有你不知道的程序，那就要小心了，這就有可能是木馬了。5.3

檢查系統(tǒng)配置文件實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)統(tǒng)配置文件win.ini文件、sy83實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)啟動(dòng)組對(duì)應(yīng)的文件夾為：c:\windows\startmenu\programs\startup在注冊(cè)表中位置是：HKEY_CURRENT_USER\Software\Microsoft\windows\currentVersion\Explorer\ShellFolderstartup=”c:\windows\startmenu\programe\startup”。5.4

檢查啟動(dòng)組實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)啟動(dòng)組對(duì)應(yīng)的文件夾為：5.4檢84實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)1）安裝防病毒軟件、防火墻軟件和各種專門反黑軟件加強(qiáng)防護(hù)，養(yǎng)成經(jīng)常查殺木馬的良好習(xí)慣，盡量打開病毒監(jiān)控，并保持病毒庫的更新。2）不要隨意打開不熟悉的郵件或不明的程序；不要隨意點(diǎn)擊網(wǎng)站上的鏈接信息。5.5

加強(qiáng)防范意識(shí)實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)1）安裝防病毒軟件、防火墻軟件和各85實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)1）冰河是一個(gè)非常有名的木馬工具，它包括兩個(gè)可運(yùn)行的程序G_Server和G_Client，其中前者是木馬的服務(wù)器端，就是用來植入目標(biāo)主機(jī)的程序，后者是木馬的客戶端，也就是木馬的控制臺(tái)。6

冰河木馬實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)1）冰河是一個(gè)非常有名的木馬工具，86實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)2）冰河木馬主要功能：自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化(局域網(wǎng)適用)完全模擬鍵盤及鼠標(biāo)輸入(局域網(wǎng)適用)記錄各種口令信息獲取系統(tǒng)信息限制系統(tǒng)功能遠(yuǎn)程文件操作注冊(cè)表操作發(fā)送信息點(diǎn)對(duì)點(diǎn)通訊實(shí)訓(xùn)十：木馬攻擊與防御技術(shù)2）冰河木馬主要功能：87一臺(tái)windowsxp/2000操作系統(tǒng)（IP：0）作為木馬控制端，安裝G_CLIENT.EXE，由黑客擁有；一臺(tái)裝有windowsxp/2000或windowsserver2019操作系統(tǒng)的機(jī)器（IP：）作為木馬服務(wù)端（感染木馬程序G_Server.exe），由正常網(wǎng)絡(luò)用戶擁有?！緦?shí)訓(xùn)環(huán)節(jié)】實(shí)訓(xùn)環(huán)境要求一臺(tái)windowsxp/2000操作系統(tǒng)（IP：192.188通過winrar自解壓程序?qū)⒛抉R的服務(wù)端程序與常規(guī)文件捆綁，生成偽裝文件。1、將冰河木馬服務(wù)器程序G_Server.exe和圖片sunset.jpg放在文件夾test中，選中這兩個(gè)文件后單擊鼠標(biāo)右鍵，選擇“添加到test.rar”命令。2、打開test.rar文件，單擊“自解壓格式”按鈕，并在彈出的窗口中單擊“高級(jí)自解壓選項(xiàng)”按鈕打開高級(jí)自解壓選項(xiàng)對(duì)話框?！緦?shí)訓(xùn)環(huán)節(jié)】1木馬程序的偽裝通過winrar自解壓程序?qū)⒛抉R的服務(wù)端程序與常規(guī)文件捆綁，89【實(shí)訓(xùn)環(huán)節(jié)】10-1高級(jí)自解壓設(shè)置3、單擊“設(shè)置”選項(xiàng)，并在在“解壓后運(yùn)行”文本框中輸入木馬的服務(wù)器端程序“G_Server.exe”，在“解壓運(yùn)行前”文本框輸入圖片文件“sunset.jpg”，如圖10-1所示?！緦?shí)訓(xùn)環(huán)節(jié)】10-1高級(jí)自解壓設(shè)置3、單擊“設(shè)置”選項(xiàng)，90【實(shí)訓(xùn)環(huán)節(jié)】

圖10-2模式設(shè)置圖10-3更新設(shè)置4、分別單擊“模式”選項(xiàng)和“更新”選項(xiàng)進(jìn)行設(shè)置，具體設(shè)置如圖10-2、3所示?！緦?shí)訓(xùn)環(huán)節(jié)】圖10-2模式設(shè)置91【實(shí)訓(xùn)環(huán)節(jié)】

圖10-4文件捆綁后結(jié)果5、單擊“確定”按鈕，關(guān)閉WinRAR窗口后就可以創(chuàng)建自解壓文件，結(jié)果如圖10-4所示。運(yùn)行test.exe文件時(shí)，系統(tǒng)調(diào)用默認(rèn)關(guān)聯(lián)的圖片管理器打開sunset.jpg文件，并在用戶毫不知情下運(yùn)行了木馬服務(wù)端程序G_Server.exe【實(shí)訓(xùn)環(huán)節(jié)】圖10-4文件捆綁后結(jié)果5、單擊“確定”按鈕921、客戶端控制程序的使用及配置1）雙擊運(yùn)行客戶端控制程序“G_CLIENT.EXE”，冰河client主界面如圖10-5所示?！緦?shí)訓(xùn)環(huán)節(jié)】2冰河木馬的使用圖10-5主界面1、客戶端控制程序的使用及配置【實(shí)訓(xùn)環(huán)節(jié)】2冰河木馬的使用圖932）控制端可以進(jìn)行添加/刪除主機(jī)、自動(dòng)搜索、捕獲屏幕、屏幕控制、配置服務(wù)器程序等操作功能，如圖10-6所示?！緦?shí)訓(xùn)環(huán)節(jié)】圖10-5冰河功能模塊2）控制端可以進(jìn)行添加/刪除主機(jī)、自動(dòng)搜索、捕獲屏幕、屏幕控943）選擇“文件”菜單下“配置服務(wù)器程序”或點(diǎn)擊“配置本地服務(wù)器程序”圖標(biāo)按鈕，打開并進(jìn)入服務(wù)器配置界面進(jìn)行設(shè)置，該功能是在安裝前對(duì)“G_Server.exe”進(jìn)行配置。如圖10-6所示。【實(shí)訓(xùn)環(huán)節(jié)】圖10-6服務(wù)器配置界面3）選擇“文件”菜單下“配置服務(wù)器程序”或點(diǎn)擊“配置本地服務(wù)95自我保護(hù)設(shè)置可以實(shí)現(xiàn)在服務(wù)器端的隱藏，如圖10-7所示【實(shí)訓(xùn)環(huán)節(jié)】圖10-7自我保護(hù)設(shè)置自我保護(hù)設(shè)置可以實(shí)現(xiàn)在服務(wù)器端的隱藏，如圖10-7所示【實(shí)96

攻擊者如果想通過郵件獲取被控制方的相關(guān)信息，可以對(duì)郵件通知選項(xiàng)進(jìn)行配置，如圖10-8所示【實(shí)訓(xùn)環(huán)節(jié)】圖10-8郵件通知設(shè)置攻擊者如果想通過郵件獲取被控制方的相關(guān)信息，可以對(duì)郵件通974）搜索目標(biāo)主機(jī)（搜索前需要運(yùn)行服務(wù)端程序）【實(shí)訓(xùn)環(huán)節(jié)】①選擇“文件”下“自動(dòng)搜索”或點(diǎn)擊自動(dòng)搜索

圖標(biāo)②在“搜索范圍”選項(xiàng)區(qū)域按需求添加I要搜索的IP范圍③單擊“開始搜索”，在右邊列表框中將顯示檢測(cè)到的正在網(wǎng)上的計(jì)算機(jī)的IP地址信息，如圖10-9所示。圖10-8搜索目標(biāo)主機(jī)“OK：”表示目標(biāo)主機(jī)運(yùn)行過G_Server.exe，并可以進(jìn)行控制；“ERR：”則表示這臺(tái)計(jì)算機(jī)沒有受木馬攻擊，無法受控制端控制4）搜索目標(biāo)主機(jī)（搜索前需要運(yùn)行服務(wù)端程序）【實(shí)訓(xùn)環(huán)節(jié)】①選982、對(duì)目標(biāo)主機(jī)的控制。1）文件管理控制【實(shí)訓(xùn)環(huán)節(jié)】2冰河木馬的使用圖10-9對(duì)目標(biāo)主機(jī)的文件控制2、對(duì)目標(biāo)主