版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
第6章木馬與遠(yuǎn)程控制技術(shù)計(jì)算機(jī)病毒分析與防治教程清華大學(xué)出版社教學(xué)目標(biāo)教學(xué)重點(diǎn)教學(xué)過程4/2/20231教學(xué)目標(biāo)木馬的網(wǎng)絡(luò)通信木馬的隱藏技術(shù)木馬的控制技術(shù)發(fā)現(xiàn)和清除木馬的方法4/2/20232教學(xué)重點(diǎn)套接字與網(wǎng)絡(luò)編程
遠(yuǎn)程控制的通信的實(shí)現(xiàn)遠(yuǎn)程控制的控制技術(shù)木馬技術(shù)揭露木馬的清除方法4/2/20233套接字API函數(shù)
socket建立套接字bind將套接字和本地ip地址綁定connect和一個(gè)套接字建立連接accept接受一個(gè)套接字的連接請求listen服務(wù)端套接字偵聽連接請求send向一個(gè)套接字發(fā)送數(shù)據(jù)recv從一個(gè)套接字接收數(shù)據(jù)setsockopt設(shè)置套接字選項(xiàng)4/2/202356.2木馬分類介紹
從通信方式上分
從存在方式上分
從破壞方式上分
4/2/20236ping的結(jié)果
4/2/20237屏幕的截取
截取屏幕或窗口要用到圖形操作函數(shù)。API函數(shù)有CreateCompatibleDC、StretchBlt等。類CDC封裝了這些函數(shù)。
4/2/20239虛擬鼠標(biāo)的操作
鼠標(biāo)操作過程是當(dāng)控制端產(chǎn)生某種鼠標(biāo)操作如移動鼠標(biāo),按左鍵或右鍵時(shí),在被控制端產(chǎn)生相應(yīng)的鼠標(biāo)操作??刂贫耸髽?biāo)的捕獲使用窗口消息和消息函數(shù),主要有WM_LBUTTONDOWN、WM_LBUTTONDBLCLK、WM_RBUTTONDOWN、WM_RBUTTONDBLCLK等消息和它們對應(yīng)的消息函數(shù)。消息函數(shù)中還包含了鼠標(biāo)的位置信息。
控制端將鼠標(biāo)信息發(fā)送給被控制端,控制端調(diào)用mouse_event或SendInput產(chǎn)生虛擬的鼠標(biāo)操作。
4/2/202310虛擬鍵盤的操作
虛擬鍵盤的操作是指在控制端的鍵盤操作,被控制端進(jìn)行同樣的操作。如PCAnywhere和QQ都提供了同樣的功能。使用鍵盤鉤子可以捕獲控制端的鍵盤操作,調(diào)用SendInput可以在被控制端產(chǎn)生虛擬的鍵盤操作。
4/2/202311進(jìn)程管理
列舉進(jìn)程
刪除進(jìn)程
執(zhí)行程序
控制系統(tǒng)
4/2/2023136.4木馬技術(shù)揭露
因?yàn)槟抉R是未經(jīng)授權(quán)而使用的遠(yuǎn)程控制程序,因此,木馬還要使用一些正常遠(yuǎn)程控制程序所不使用的方法,以達(dá)到其目的。主要表現(xiàn)在竊取鍵盤信息、欺騙用戶安裝、執(zhí)行和隱藏等。竊取鍵盤信息所使用的鉤子技術(shù)已經(jīng)在上節(jié)介紹,本節(jié)主要介紹木馬安裝、執(zhí)行和隱藏。
4/2/202314木馬程序的安裝
利用系統(tǒng)漏洞
利用瀏覽網(wǎng)頁
冒名欺騙
捆綁下載
4/2/202315舉例:文件關(guān)聯(lián)啟動
木馬通過修改注冊表,例如若讓擴(kuò)展名為.txt的文件和木馬程序關(guān)聯(lián),那么木馬程序會啟動。木馬程序再調(diào)用記事本再打開被雙擊的文件,這樣木馬就悄悄地被啟動且用戶還難以發(fā)覺。
4/2/202317木馬的隱藏技術(shù)分析
遠(yuǎn)線程技術(shù)
使用注冊表插入DLL
反向連接技術(shù)
隱藏在回收站
4/2/2023186.5一個(gè)完整的遠(yuǎn)程控制程序
4/2/202319文件與圖象的傳遞
文件與圖象屬于長數(shù)據(jù),發(fā)送和接收的時(shí)間比較長,需要使用多線程來完成。例如,當(dāng)控制端要求取被控制端桌面,發(fā)送控制命令“*windows*”,同時(shí)啟動一個(gè)子線程,在1801端口偵聽,而被控制端收到命令后,也啟動一個(gè)子線程,完成桌面截取,壓縮,然后連接控制端的1801端口,將桌面數(shù)據(jù)發(fā)送過去。控制端收到后顯示在控制端的界面上。
4/2/2023216.6木馬的清除方法
監(jiān)視端口監(jiān)視文件監(jiān)視進(jìn)程監(jiān)視進(jìn)程模塊監(jiān)視注冊表一發(fā)現(xiàn)木馬,然后采取相應(yīng)的清除措施。
4/2/202322監(jiān)視端口
監(jiān)視端口指系統(tǒng)當(dāng)前有哪些端口處于偵聽、連接狀態(tài),哪些進(jìn)程在使用哪些端口,即使進(jìn)程端口關(guān)聯(lián)。進(jìn)程端口關(guān)聯(lián)的原理是,將系統(tǒng)建立的所有句柄:進(jìn)程句柄、令牌句柄、文件句柄、窗口句柄、套接字句柄等列舉到緩沖區(qū)內(nèi),然后分析套接字句柄,用函數(shù)getsockname獲取進(jìn)程使用的端口號。4/2/202323進(jìn)程內(nèi)模塊監(jiān)視
一般文件執(zhí)行時(shí),除了要裝載文件本身到內(nèi)存,還要裝載它調(diào)用的模塊到內(nèi)存。多數(shù)模塊表現(xiàn)為dll文件。在打開要列舉的進(jìn)程后,主要用到函數(shù)VirtualQueryEx列舉進(jìn)程內(nèi)的模塊,得到一個(gè)MEMORY_BASIC_INFORMATION結(jié)構(gòu),包含了模塊的信息,GetModule獲取模塊的全路徑名
4/2/202325列舉進(jìn)程iexplore.exe中模塊
4/2/202326監(jiān)視注冊表
4/2/2023296.7試驗(yàn):清除“廣外女生”木馬
“廣外女生”是著名的國產(chǎn)遠(yuǎn)程控制軟件。
4/2/202330用RegSnap對系統(tǒng)進(jìn)行拍照
4/2/202331查殺它的辦法了,按以下步驟:(1)
運(yùn)行regetit.exe。必須先運(yùn)行它,若在終止diagcfg.exe后運(yùn)行regetit,因?yàn)殛P(guān)聯(lián)的作用,也會同時(shí)啟動diagcfg.exe。(2)在進(jìn)程管理器中終止diagcfg.exe,找到它所在的路徑,刪除它和msiesmtp.dll。(3)修改注冊表。使用regetit找
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 小學(xué)班主任培訓(xùn)工作總結(jié)(6篇)
- 小企業(yè)會計(jì)制度版會計(jì)科目【3篇】
- labview課程設(shè)計(jì)交通燈
- 2024-2025學(xué)年云南省云南大學(xué)附屬中學(xué)數(shù)學(xué)九年級第一學(xué)期開學(xué)達(dá)標(biāo)檢測模擬試題【含答案】
- 旅游市場營銷(清華版)第一章
- 2024年火鍋底料項(xiàng)目合作計(jì)劃書
- 2024年空心型鍍鋁玻璃纖維合作協(xié)議書
- 2024年學(xué)生課外教育服務(wù)合作協(xié)議書
- 2024年數(shù)控加工中心合作協(xié)議書
- 簽訂裝修施工合同注意事項(xiàng)
- 中國名畫家及其作品欣賞ppt課件
- 部編本語文三年級上冊第二單元提升練習(xí)
- 淺析電力市場穩(wěn)定性與風(fēng)險(xiǎn)管理
- 高等教育質(zhì)量監(jiān)測國家數(shù)據(jù)平臺數(shù)據(jù)表格及內(nèi)涵說明PPT課件
- 微信公眾號代運(yùn)營協(xié)議書.doc
- 少先隊(duì)組織機(jī)構(gòu)一覽表
- 明州大橋主橋施工方案
- 血液透析室新發(fā)傳染病患者報(bào)告制度
- 課本劇《田忌賽馬》劇本
- 學(xué)校招投標(biāo)管理辦法(完整版)
- 手沖咖啡PPT[教學(xué)課堂]
評論
0/150
提交評論