木馬與遠(yuǎn)程控制技術(shù)課件

第6章木馬與遠(yuǎn)程控制技術(shù)計(jì)算機(jī)病毒分析與防治教程清華大學(xué)出版社教學(xué)目標(biāo)教學(xué)重點(diǎn)教學(xué)過程4/2/20231教學(xué)目標(biāo)木馬的網(wǎng)絡(luò)通信木馬的隱藏技術(shù)木馬的控制技術(shù)發(fā)現(xiàn)和清除木馬的方法4/2/20232教學(xué)重點(diǎn)套接字與網(wǎng)絡(luò)編程

遠(yuǎn)程控制的通信的實(shí)現(xiàn)遠(yuǎn)程控制的控制技術(shù)木馬技術(shù)揭露木馬的清除方法4/2/20233套接字API函數(shù)

socket建立套接字bind將套接字和本地ip地址綁定connect和一個(gè)套接字建立連接accept接受一個(gè)套接字的連接請求listen服務(wù)端套接字偵聽連接請求send向一個(gè)套接字發(fā)送數(shù)據(jù)recv從一個(gè)套接字接收數(shù)據(jù)setsockopt設(shè)置套接字選項(xiàng)4/2/202356.2木馬分類介紹

從通信方式上分

從存在方式上分

從破壞方式上分

4/2/20236ping的結(jié)果

4/2/20237屏幕的截取

截取屏幕或窗口要用到圖形操作函數(shù)。API函數(shù)有CreateCompatibleDC、StretchBlt等。類CDC封裝了這些函數(shù)。

4/2/20239虛擬鼠標(biāo)的操作

鼠標(biāo)操作過程是當(dāng)控制端產(chǎn)生某種鼠標(biāo)操作如移動鼠標(biāo)，按左鍵或右鍵時(shí)，在被控制端產(chǎn)生相應(yīng)的鼠標(biāo)操作?？刂贫耸髽?biāo)的捕獲使用窗口消息和消息函數(shù)，主要有WM_LBUTTONDOWN、WM_LBUTTONDBLCLK、WM_RBUTTONDOWN、WM_RBUTTONDBLCLK等消息和它們對應(yīng)的消息函數(shù)。消息函數(shù)中還包含了鼠標(biāo)的位置信息。

控制端將鼠標(biāo)信息發(fā)送給被控制端，控制端調(diào)用mouse_event或SendInput產(chǎn)生虛擬的鼠標(biāo)操作。

4/2/202310虛擬鍵盤的操作

虛擬鍵盤的操作是指在控制端的鍵盤操作，被控制端進(jìn)行同樣的操作。如PCAnywhere和QQ都提供了同樣的功能。使用鍵盤鉤子可以捕獲控制端的鍵盤操作，調(diào)用SendInput可以在被控制端產(chǎn)生虛擬的鍵盤操作。

4/2/202311進(jìn)程管理

列舉進(jìn)程

刪除進(jìn)程

執(zhí)行程序

控制系統(tǒng)

4/2/2023136.4木馬技術(shù)揭露

因?yàn)槟抉R是未經(jīng)授權(quán)而使用的遠(yuǎn)程控制程序，因此，木馬還要使用一些正常遠(yuǎn)程控制程序所不使用的方法，以達(dá)到其目的。主要表現(xiàn)在竊取鍵盤信息、欺騙用戶安裝、執(zhí)行和隱藏等。竊取鍵盤信息所使用的鉤子技術(shù)已經(jīng)在上節(jié)介紹，本節(jié)主要介紹木馬安裝、執(zhí)行和隱藏。

4/2/202314木馬程序的安裝

利用系統(tǒng)漏洞

利用瀏覽網(wǎng)頁

冒名欺騙

捆綁下載

4/2/202315舉例：文件關(guān)聯(lián)啟動

木馬通過修改注冊表，例如若讓擴(kuò)展名為.txt的文件和木馬程序關(guān)聯(lián)，那么木馬程序會啟動。木馬程序再調(diào)用記事本再打開被雙擊的文件，這樣木馬就悄悄地被啟動且用戶還難以發(fā)覺。

4/2/202317木馬的隱藏技術(shù)分析

遠(yuǎn)線程技術(shù)

使用注冊表插入DLL

反向連接技術(shù)

隱藏在回收站

4/2/2023186.5一個(gè)完整的遠(yuǎn)程控制程序

4/2/202319文件與圖象的傳遞

文件與圖象屬于長數(shù)據(jù)，發(fā)送和接收的時(shí)間比較長，需要使用多線程來完成。例如，當(dāng)控制端要求取被控制端桌面，發(fā)送控制命令“*windows*”，同時(shí)啟動一個(gè)子線程，在1801端口偵聽，而被控制端收到命令后，也啟動一個(gè)子線程，完成桌面截取，壓縮，然后連接控制端的1801端口，將桌面數(shù)據(jù)發(fā)送過去。控制端收到后顯示在控制端的界面上。

4/2/2023216.6木馬的清除方法

監(jiān)視端口監(jiān)視文件監(jiān)視進(jìn)程監(jiān)視進(jìn)程模塊監(jiān)視注冊表一發(fā)現(xiàn)木馬，然后采取相應(yīng)的清除措施。

4/2/202322監(jiān)視端口

監(jiān)視端口指系統(tǒng)當(dāng)前有哪些端口處于偵聽、連接狀態(tài)，哪些進(jìn)程在使用哪些端口，即使進(jìn)程端口關(guān)聯(lián)。進(jìn)程端口關(guān)聯(lián)的原理是，將系統(tǒng)建立的所有句柄：進(jìn)程句柄、令牌句柄、文件句柄、窗口句柄、套接字句柄等列舉到緩沖區(qū)內(nèi)，然后分析套接字句柄，用函數(shù)getsockname獲取進(jìn)程使用的端口號。4/2/202323進(jìn)程內(nèi)模塊監(jiān)視

一般文件執(zhí)行時(shí)，除了要裝載文件本身到內(nèi)存，還要裝載它調(diào)用的模塊到內(nèi)存。多數(shù)模塊表現(xiàn)為dll文件。在打開要列舉的進(jìn)程后，主要用到函數(shù)VirtualQueryEx列舉進(jìn)程內(nèi)的模塊，得到一個(gè)MEMORY_BASIC_INFORMATION結(jié)構(gòu)，包含了模塊的信息，GetModule獲取模塊的全路徑名

4/2/202325列舉進(jìn)程iexplore.exe中模塊

4/2/202326監(jiān)視注冊表

4/2/2023296.7試驗(yàn)：清除“廣外女生”木馬

“廣外女生”是著名的國產(chǎn)遠(yuǎn)程控制軟件。

4/2/202330用RegSnap對系統(tǒng)進(jìn)行拍照

4/2/202331查殺它的辦法了，按以下步驟：(1)

運(yùn)行regetit.exe。必須先運(yùn)行它，若在終止diagcfg.exe后運(yùn)行regetit，因?yàn)殛P(guān)聯(lián)的作用，也會同時(shí)啟動diagcfg.exe。(2)在進(jìn)程管理器中終止diagcfg.exe，找到它所在的路徑，刪除它和msiesmtp.dll。(3)修改注冊表。使用regetit找