木馬攻擊與防御技術

木馬攻擊與防御技術第1頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義2本章內(nèi)容安排9.1木馬概述9.2木馬的實現(xiàn)原理與攻擊步驟9.3木馬實例介紹9.4木馬的防御技術9.5木馬的發(fā)展趨勢9.6小結(jié)第2頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義39.1木馬概述9.1.1木馬基本概念9.1.2木馬的分類9.1.3木馬的特點第3頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義49.1.1木馬基本概念木馬的來由木馬的定義木馬的危害第4頁，共179頁，2023年，2月20日，星期五(1).木馬的來由木馬是“特洛伊木馬”（trojanhorse）的簡稱，據(jù)說這個名稱來源于希臘神話《木馬屠城記》。如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。2023/4/11網(wǎng)絡入侵與防范講義5第5頁，共179頁，2023年，2月20日，星期五特洛伊木馬的故事相傳在古希臘時期，特洛伊王子帕里斯劫走了斯巴達美麗的王后海倫和大量的財物。斯巴達國王組織了強大的希臘聯(lián)軍遠征特洛伊，但久攻不下。有人獻計制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿于巨大的木馬中，同時命令大部隊佯裝撤退而將木馬棄于特洛伊城下。城中得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。到午夜時分，全城軍民盡入夢鄉(xiāng)，匿于木馬中的將士出來開啟城門及四處縱火，城外伏兵涌入，部隊里應外合，徹底攻破了特洛伊城。后世稱這只大木馬為“特洛伊木馬”。2023/4/11網(wǎng)絡入侵與防范講義6第6頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義7

第7頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義8(2).木馬的定義在計算機系統(tǒng)中，

“特洛伊木馬”指系統(tǒng)中被植入的、人為設計的程序，目的包括通過網(wǎng)絡遠程控制其他用戶的計算機系統(tǒng)，竊取信息資料，并可惡意致使計算機系統(tǒng)癱瘓。第8頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義9RFC1244對特洛伊木馬的定義RFC1244(RequestforComments:1244)中是這樣描述木馬的:“木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。”

第9頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義10RFC1244對特洛伊木馬的定義(2)RFC1244的定義雖然不十分完善，但是可以澄清一些模糊概念：首先木馬程序并不一定實現(xiàn)某種對用戶來說有意義或有幫助的功能，但卻會實現(xiàn)一些隱藏的、危險的功能；其次木馬所實現(xiàn)的主要功能并不為受害者所知，只有程序編制者最清楚。第三，這個定義暗示“有效負載”是惡意的。第10頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義11大多數(shù)安全專家對特洛伊木馬的定義目前，大多數(shù)安全專家統(tǒng)一認可的定義是:“特洛伊木馬是一段能實現(xiàn)有用的或必需的功能的程序，但是同時還完成一些不為人知的功能?！?/p>

第11頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義12(3).木馬的危害根據(jù)傳統(tǒng)的數(shù)據(jù)安全模型的分類，木馬程序的企圖可以對應分為三種:試圖訪問未授權(quán)資源；試圖阻止訪問；試圖更改或破壞數(shù)據(jù)和系統(tǒng)。

第12頁，共179頁，2023年，2月20日，星期五(3).木馬的危害目前木馬常被用作網(wǎng)絡系統(tǒng)入侵的重要工具和手段。木馬利用自身所具有的植入功能，或依附其它具有傳播能力的程序等多種途徑，進駐目標機器，搜集其中各種敏感信息，并通過網(wǎng)絡與外界通信，發(fā)回所搜集到的各種敏感信息，接受植入者指令，完成其它各種操作，如修改指定文件、格式化硬盤等。第13頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義14(3).木馬的危害感染了木馬的計算機將面臨數(shù)據(jù)丟失和機密泄露的危險。木馬往往又被用做后門，植入被攻破的系統(tǒng)，以便為入侵者再次訪問系統(tǒng)提供方便；或者利用被入侵的系統(tǒng)，通過欺騙合法用戶的某種方式暗中散發(fā)木馬，以便進一步擴大入侵成果和入侵范圍，為進行其它入侵活動，如分布式拒絕服務攻擊（DDoS）等提供可能。第14頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義15(3).木馬的危害大型網(wǎng)絡服務器也面臨木馬的威脅，入侵者可通過對其所植入的木馬而偷竊到系統(tǒng)管理員的口令。而當一個系統(tǒng)服務器安全性較高時，入侵者往往會通過首先攻破龐大系統(tǒng)用戶群中安全性相對較弱的普通電腦用戶，然后借助所植入木馬獲得有效信息（如系統(tǒng)管理員口令），并最終達到入侵系統(tǒng)目標服務器的目的。第15頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義16(3).木馬的危害木馬程序具有很大的危害性，主要表現(xiàn)在:自動搜索已中木馬的計算機；管理對方資源，如復制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等；跟蹤監(jiān)視對方屏幕；直接控制對方的鍵盤、鼠標；隨意修改注冊表和系統(tǒng)文件；共享被控計算機的硬盤資源；監(jiān)視對方任務且可終止對方任務；遠程重啟和關閉機器。第16頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義179.1.2木馬的分類從木馬技術發(fā)展的歷程考慮，木馬技術自出現(xiàn)至今，大致可以分為四代:第一代木馬是偽裝型病毒，將病毒偽裝成一個合法的程序讓用戶運行，例如1986年的PC-Write木馬；第二代木馬在隱藏、自啟動和操縱服務器等技術上有了很大的發(fā)展，可以進行密碼竊取、遠程控制，例如BO2000和冰河木馬；第三代木馬在連接方式上有了改進，利用端口反彈技術，例如灰鴿子木馬；第四代木馬在進程隱藏方面做了較大的改動，讓木馬服務器運行時沒有進程，網(wǎng)絡操作插入到系統(tǒng)進程或者應用進程中完成，例如廣外男生木馬。第17頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義189.1.2木馬的分類從木馬所實現(xiàn)的功能角度可分為：(1).破壞型(2).密碼發(fā)送型(3).遠程訪問型(4).鍵盤記錄木馬(5).DoS攻擊木馬(6).代理木馬(7).FTP木馬(8).程序殺手木馬(9).反彈端口型木馬第18頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義19(1).破壞型惟一的功能就是破壞并且刪除文件，如電腦上的DLL、INI、EXE文件或其它類型文件，造成系統(tǒng)損壞，用戶數(shù)據(jù)被破壞。功能簡單，容易實現(xiàn)，破壞性強。第19頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義20(2).密碼發(fā)送型找到隱藏密碼并把它們發(fā)送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中，認為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多木馬可以尋找到這些敏感信息，把它們送到黑客手中。第20頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義21(3).遠程訪問型使用這類木馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP地址，就可以實現(xiàn)遠程控制。這類程序可以實現(xiàn)觀察"受害者"正在干什么，當然這個程序完全可以用在正道上的，比如監(jiān)視學生機的操作。第21頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義22(4).鍵盤記錄木馬記錄受害者的鍵盤敲擊并且在日志文件里查找可能的密碼。這種木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態(tài)下敲擊鍵盤時的按鍵情況。也就是說你按過什么按鍵，種植木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用信息!當然，對于這種類型的木馬，郵件發(fā)送功能也是必不可少的。第22頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義23(5).DoS攻擊木馬隨著DoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一臺機器，給他種上DoS攻擊木馬，那么日后這臺計算機就成為你DoS攻擊的最得力助手了。這種木馬的危害不是體現(xiàn)在被感染計算機上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺又一臺計算機，給網(wǎng)絡造成很大的傷害和帶來損失。還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發(fā)送郵件，一直到對方癱瘓、不能接受郵件時為止。

第23頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義24(6).代理木馬黑客在入侵的同時掩蓋自己的足跡，謹防別人發(fā)現(xiàn)自己的身份是非常重要的。因此，給被控制的“肉雞”種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板，就是代理木馬最重要的任務。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet、ICQ、IRC等程序，從而隱蔽自己的蹤跡。第24頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義25(7).FTP木馬這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是打開21端口，等待用戶連接。現(xiàn)在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進人對方計算機。第25頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義26(8).程序殺手木馬上面的木馬功能雖然形形色色，不過到了對方機器上要發(fā)揮自己的作用，還要過防木馬軟件這一關才行。常見的防木馬軟件有ZoneAlarm、NortonAnti-Virus等。程序殺手木馬的功能就是關閉對方機器上運行的這類程序，讓其他的木馬更好地發(fā)揮作用。第26頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義27(9).反彈端口型木馬木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn):防火墻對于連入的鏈接往往會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。于是，與一般的普通木馬相反，反彈端口型木馬的服務端(被控制端)使用主動端口，客戶端(控制端)使用被動端口。第27頁，共179頁，2023年，2月20日，星期五反彈端口型木馬(2)反彈窗口木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線，立即彈出端口主動連結(jié)控制端打開的被動端口；為了隱蔽起見，控制端的被動端口一般開在80，即使用戶使用掃描軟件檢查自己的端口，發(fā)現(xiàn)類似

TCPUserIP:1026ControllerIP:80ESTABLISHED

的情況，稍微疏忽一點，你就會以為是自己在瀏覽網(wǎng)頁。2023/4/11網(wǎng)絡入侵與防范講義28第28頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義299.1.3木馬的特點一個典型的特洛伊木馬（程序）通常具有以下四個特點：有效性隱蔽性頑固性易植入性一個木馬的危害大小和清除難易程度可以從這四個方面來加以評估。第29頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義30有效性由于木馬常常構(gòu)成網(wǎng)絡入侵方法中的一個重要內(nèi)容，它運行在目標機器上就必須能夠?qū)崿F(xiàn)入侵者的某些企圖。因此有效性就是指入侵的木馬能夠與其控制端（入侵者）建立某種有效聯(lián)系，從而能夠充分控制目標機器并竊取其中的敏感信息。因此有效性是木馬的一個最重要特點。第30頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義31隱蔽性木馬必須有能力長期潛伏于目標機器中而不被發(fā)現(xiàn)。一個隱蔽性差的木馬往往會很容易暴露自己，進而被殺毒（或殺馬）軟件，甚至用戶手工檢查出來，這樣將使得這類木馬變得毫無價值。因此可以說隱蔽性是木馬的生命。第31頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義32頑固性當木馬被檢查出來（失去隱蔽性）之后，為繼續(xù)確保其入侵有效性，木馬往往還具有另一個重要特性——頑固性。木馬頑固性就是指有效清除木馬的難易程度。若一個木馬在檢查出來之后，仍然無法將其一次性有效清除，那么該木馬就具有較強的頑固性。第32頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義33易植入性任何木馬必須首先能夠進入目標機器，因此易植入性就成為木馬有效性的先決條件。欺騙是自木馬誕生起最常見的植入手段，因此各種好用的小功能軟件就成為木馬常用的棲息地。利用系統(tǒng)漏洞進行木馬植入也是木馬入侵的一類重要途徑。目前木馬技術與蠕蟲技術的結(jié)合使得木馬具有類似蠕蟲的傳播性，這也就極大提高了木馬的易植入性。第33頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義349.1.3木馬的特點此外，木馬還具有以下輔助型特點：自動運行欺騙性自動恢復功能的特殊性第34頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義35自動運行通常木馬程序通過修改系統(tǒng)的配置文件或注冊表文件，在目標系統(tǒng)啟動時就自動加載運行。這種自動加載運行不需要客戶端干預，同時也不會被目標系統(tǒng)用戶所覺察。第35頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義36欺騙性木馬程序要達到其長期隱蔽的目的，就必需采取各種各樣的欺騙手段，欺騙目標系統(tǒng)用戶，以防被發(fā)現(xiàn)。比如木馬程序經(jīng)常會采用一種文件名的欺騙手段，如exploer這樣的文件名，以此來與系統(tǒng)中的合法程序explorer相混淆。木馬的編制者還在不斷制造新的欺騙的手段，花樣層出不窮，讓人防不勝防。第36頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義37自動恢復現(xiàn)在很多木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復。計算機一旦感染上這種木馬程序，想單獨靠刪除某個文件來清除是不太可能的。第37頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義38功能的特殊性通常木馬的功能都是十分特殊的，除了普通的文件操作以外，有些木馬具有搜索并發(fā)送目標主機中的口令、記錄用戶事件、進行鍵盤記錄、遠程注冊表操作以及鎖定鼠標等功能。第38頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義399.1.3木馬的特點近年來，木馬技術取得了較大的發(fā)展，目前已徹底擺脫了傳統(tǒng)模式下植入方法原始、通信方式單一、隱蔽性差等不足。借助一些新技術，木馬不再依賴于對用戶進行簡單的欺騙，也可以不必修改系統(tǒng)注冊表，不開新端口，不在磁盤上保留新文件，甚至可以沒有獨立的進程，這些新特點使對木馬的查殺變得愈加困難；但與此同時卻使得木馬的功能得到了大幅提升。采用了新技術的木馬可以輕易穿過防火墻與外界（入侵者）通信。第39頁，共179頁，2023年，2月20日，星期五9.2木馬的實現(xiàn)原理與攻擊步驟木馬是怎么煉成的2023/4/11網(wǎng)絡入侵與防范講義40木馬都使用哪些關鍵技術第40頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義419.2木馬的實現(xiàn)原理與攻擊步驟9.2.1木馬實現(xiàn)原理9.2.2植入技術9.2.3自動加載技術9.2.4隱藏技術9.2.5連接技術9.2.6監(jiān)控技術第41頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義429.2.1木馬實現(xiàn)原理本質(zhì)上說，木馬大多都是網(wǎng)絡客戶/服務（Client/Server）程序的組合。常由一個攻擊者控制的客戶端程序和一個運行在被控計算機端的服務端程序組成。第42頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義439.2.1木馬實現(xiàn)原理當攻擊者要利用“木馬”進行網(wǎng)絡入侵，一般都需完成如下環(huán)節(jié)：向目標主機植入木馬啟動和隱藏木馬服務器端（目標主機）和客戶端建立連接進行遠程控制第43頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義449.2.2植入技術木馬植入技術可以大概分為主動植入與被動植入兩類。所謂主動植入，就是攻擊者主動將木馬程序種到本地或者是遠程主機上，這個行為過程完全由攻擊者主動掌握。而被動植入，是指攻擊者預先設置某種環(huán)境，然后被動等待目標系統(tǒng)用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標系統(tǒng)。第44頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義45主動植入主動植入，一般需要通過某種方法獲取目標主機的一定權(quán)限，然后由攻擊者自己動手進行安裝。按照目標系統(tǒng)是本地還是遠程的區(qū)分，這種方法又有本地安裝與遠程安裝之分。第45頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義46主動植入由于在一個系統(tǒng)植入木馬，不僅需要將木馬程序上傳到目標系統(tǒng)，還需要在目標系統(tǒng)運行木馬程序；所以主動植入不僅需要具有目標系統(tǒng)的寫權(quán)限，還需要可執(zhí)行權(quán)限。如果僅僅具有寫權(quán)限，只能將木馬程序上傳但不能執(zhí)行，這種情況屬于被動植入，因為木馬仍然需要被動等待以某種方式被執(zhí)行。第46頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義47主動植入--本地安裝本地安裝就是直接在本地主機上進行安裝。試想一下，有多少人的計算機能確保除了自己之外不會被任何人使用。而在經(jīng)常更換使用者的網(wǎng)吧計算機上，這種安裝木馬的方法更是非常普遍，也非常有效。第47頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義48主動植入--遠程安裝遠程安裝就是通過常規(guī)攻擊手段獲得目標主機的一定權(quán)限后，將木馬上傳到目標主機上，并使其運行起來。例如，某些系統(tǒng)漏洞的存在，使得攻擊者可以利用漏洞遠程將木馬程序上傳并執(zhí)行。從實現(xiàn)方式上，主要分為：利用系統(tǒng)自身漏洞植入利用第三方軟件漏洞植入第48頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義49利用系統(tǒng)自身漏洞植入這是一種主動攻擊的方式。攻擊者利用所了解的系統(tǒng)的安全漏洞及其特性主動出擊。如IIS服務器的溢出漏洞，通過一個“IISHack”的攻擊程序就可使IIS服務器崩潰，并同時在被攻擊服務器執(zhí)行“木馬”程序。MIME漏洞則是利用InternetExplorer在處理不正常的MIME類型存在的問題，攻擊者有意地更改MIME類型，使IE可以不提示用戶而直接運行電子郵件附件中的惡意程序等。第49頁，共179頁，2023年，2月20日，星期五利用第三方軟件漏洞植入每臺主機上都會安裝一些第三方軟件或者提供服務，但是這些軟件可能存在可被利用的漏洞，如果被惡意者利用，你的主機就可以成為木馬的“棲息地”。例如：AT-TFTPServer在處理帶有超長文件名參數(shù)的請求時存在漏洞，遠程攻擊者可能利用此漏洞在服務器上執(zhí)行任意指令。2023/4/11網(wǎng)絡入侵與防范講義50第50頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義51被動植入就目前的情況，被動植入技術主要是利用以下方式將木馬程序植入目標系統(tǒng)：網(wǎng)頁瀏覽植入利用電子郵件植入利用網(wǎng)絡下載植入利用即時通工具植入與其它程序捆綁利用移動存儲設備植入第51頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義52網(wǎng)頁瀏覽植入網(wǎng)頁瀏覽傳播：這種方法利用Script/ActiveX控件/JavaApplet等技術編寫出一個HTML網(wǎng)頁，當我們?yōu)g覽該頁面時，會在后臺將木馬程序下載到計算機緩存中，然后修改系統(tǒng)注冊表，使相關鍵值指向“木馬”程序。更可怕的是，黑客還可以利用瀏覽器的已經(jīng)或者未知的漏洞，把木馬下載到本機并運行。第52頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義53利用電子郵件植入電子郵件（E-mail）進行傳播：攻擊者將“木馬”程序偽裝成E-mail附件的形式發(fā)送出去，收信人只要查看郵件附件就會使“木馬”程序得到運行并安裝進入系統(tǒng)。第53頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義54例：利用郵件內(nèi)嵌的WSH腳本通過在郵件內(nèi)容內(nèi)嵌WSH(WindowsScriptsHost)腳本，用戶不需要打開附件，僅僅瀏覽一下郵件的內(nèi)容，附件中的木馬就會被執(zhí)行。郵件木馬已經(jīng)從附件走到正文中了，有誰會收到郵件后連看都不看就刪除呢。第54頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義55利用網(wǎng)絡下載植入一些非正規(guī)的網(wǎng)站以提供軟件下載為名，將木馬程序偽裝成用戶所希望的其它軟件，當用戶下載安裝時，實際上所安裝的是木馬程序。通過欺騙用戶使木馬程序植入到目標主機中。第55頁，共179頁，2023年，2月20日，星期五利用即時通工具植入因為即時通工具有文件傳輸功能，所以現(xiàn)在也有很多木馬通過即時通工具傳播。惡意破壞者通常把木馬服務器程序通過合并軟件和其他的可執(zhí)行文件綁在一起，然后騙你說是一個好玩的東東或者是漂亮MM的照片，你接受后運行的話，你就成了木馬的犧牲品了。2023/4/11網(wǎng)絡入侵與防范講義56第56頁，共179頁，2023年，2月20日，星期五與其它程序捆綁將木馬與其它軟件捆綁，用戶在下載安裝其它軟件時就不自覺地也安裝了木馬，這種情況下用戶很難察覺。攻擊者還可以在.doc、.ppt、.rar、.zip等文件中插入惡意代碼，當用戶打開這些文檔時，就會被植入木馬。2023/4/11網(wǎng)絡入侵與防范講義57第57頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義58例：圖片木馬有一種圖片木馬，利用用戶認為圖片文件不可執(zhí)行，因此不可能是木馬這樣的心理來欺騙受害者。實際上這是一個后綴名的小把戲。由于Windows系統(tǒng)默認不顯示已經(jīng)注冊了的文件類型的后綴名，因此test.jpg.exe這種文件在系統(tǒng)上就顯示為test.jpg，木馬再采用和圖片文件一樣的圖標，對大多數(shù)用戶而言，是極具欺騙性的。第58頁，共179頁，2023年，2月20日，星期五利用移動存儲設備植入利用移動存儲設備傳播：利用Windows的Autoplay(autorun.inf)機制，當插入U盤、移動硬盤或者光盤時，可以自動執(zhí)行惡意程序。利用U盤傳播木馬或者病毒的方式非常流行，這兩年幾乎席卷全國。2023/4/11網(wǎng)絡入侵與防范講義59第59頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義609.2.3自動加載技術木馬程序在被植入目標主機后，不可能寄希望于用戶雙擊其圖標來運行啟動，只能不動聲色地自動啟動和運行，攻擊才能以此為依據(jù)侵入被侵主機，完成控制。第60頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義61自動加載技術在Windows系統(tǒng)中木馬程序的自動加載技術主要有：修改系統(tǒng)文件修改系統(tǒng)注冊表添加系統(tǒng)服務修改文件打開關聯(lián)屬性修改任務計劃修改組策略利用系統(tǒng)自動運行的程序修改啟動文件夾替換系統(tǒng)DLL第61頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義62(1)．修改系統(tǒng)文件木馬程序一般會在第一次運行時，修改目標系統(tǒng)文件以達到自動加載的目的。方法有：修改autoexec.bat等批處理文件來實現(xiàn)自動啟動：常通過修改Autoexec.bat、Winstart.bat、Dosstart.bat等三個批處理文件來實現(xiàn)自動啟動。在系統(tǒng)配置文件實現(xiàn)：通過修改Config.sys文件、Win.ini文件、System.ini文件。這種方法比較古老。第62頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義63(2)．修改系統(tǒng)注冊表系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關的重要信息。通過設置一些啟動加載項目，也可以使木馬程序達到自動加載運行的目的，而且這種方法更加隱蔽。第63頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義64修改系統(tǒng)注冊表(2)Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce這些子鍵保存了Windows啟動時自動運行的程序。通過在這些鍵中添加鍵值，可以比較容易地實現(xiàn)程序的自動加載，例如：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServiceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run第64頁，共179頁，2023年，2月20日，星期五(3)．添加系統(tǒng)服務WindowsNT內(nèi)核操作系統(tǒng)都大量使用服務來實現(xiàn)關鍵的系統(tǒng)功能。服務程序是一類長期運行的應用程序，它不需要界面或可視化輸出，能夠設置為在操作系統(tǒng)啟動時自動開始運行，而不需要用戶登錄來運行它。除了操作系統(tǒng)內(nèi)置的服務程序外，用戶也可以注冊自己的服務程序。木馬程序就是利用了這一點，將自己注冊為系統(tǒng)的一個服務并設置為自動運行，這樣每當Windows系統(tǒng)啟動時，即使沒有用戶登錄，木馬也會自動開始工作。第65頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義66(4)．修改文件打開關聯(lián)屬性通常，對于一些常用的文件如.txt文件，只要雙擊文件圖票就能打開這個文件。這是因為在系統(tǒng)注冊表中，已經(jīng)把這類文件與某個程序關聯(lián)起來，只要用戶雙擊該類文件，系統(tǒng)就自動啟動相關聯(lián)的程序來打開文件。修改文件打開關聯(lián)屬性是木馬程序的常用手段。比如：正常情況下.txt文件的打開方式為notepad.exe文件，而木馬可能將這類文件的關聯(lián)程序修改為木馬程序，這樣只要打開此類文件，就能在無意中啟動木馬。著名的國產(chǎn)木馬——冰河就是這樣做的。第66頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義67例：冰河的自動加載方法

HKEY_CLASSES_ROOT根鍵中記錄的是Windows操作系統(tǒng)中所有數(shù)據(jù)文件的信息，主要記錄不同文件的文件名后綴和與之對應的應用程序。

“冰河”就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE%1”

改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%1”，這樣一旦你雙擊一個TXT文件，原本應用Notepad打開該文件的，現(xiàn)在卻變成啟動木馬程序了。第67頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義68修改文件打開關聯(lián)(續(xù))不僅僅是TXT文件，其它諸如HTM、ZIP、RAR等都是木馬的目標，要小心。對付這類木馬，只能經(jīng)常檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值是否正常。第68頁，共179頁，2023年，2月20日，星期五(5)．修改任務計劃在默認情況下，任務計劃程序隨Windows一起啟動并在后臺運行。如果把某個程序添加到計劃任務文件夾，并將計劃任務設置為“系統(tǒng)啟動時”或“登錄時”，這樣也可以實現(xiàn)程序自啟動。2023/4/11網(wǎng)絡入侵與防范講義69第69頁，共179頁，2023年，2月20日，星期五(6)．修改組策略在“開始”→“運行”中輸入“gpedit.msc"。按回車，打開系統(tǒng)組策略窗口，選擇“計算機配置”→“管理模板”→“系統(tǒng)”→“登錄”，雙擊右邊的“在用戶登錄時運行這些程序”項。2023/4/11網(wǎng)絡入侵與防范講義70第70頁，共179頁，2023年，2月20日，星期五修改組策略(2)打開其屬性對話框，選擇“已啟用”，再單擊“顯示”，會彈出“顯示內(nèi)容”對話框，列表中顯示的便是藏身于此的自啟動程序。如果你也想在這里添加自啟動項目，可單擊“添加”在出現(xiàn)的“添加項目”對話框中輸入可執(zhí)行文件的完整路徑和文件名，“確定”即可。2023/4/11網(wǎng)絡入侵與防范講義71第71頁，共179頁，2023年，2月20日，星期五(7)．修改啟動文件夾當前登陸用戶的“啟動”文件夾這是許多應用軟件自啟動的常用位置。當前登陸用戶的“啟動”文件夾一般在：C:\DocumentsandSettings\<用戶名字>\「開始」菜單\程序\啟動\對所有用戶有效的啟動文件夾不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快捷方式總是自動啟動——這是它與用戶專有的啟動文件夾的區(qū)別所在。該文件夾一般在：C:\DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動\2023/4/11網(wǎng)絡入侵與防范講義72第72頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義73(8)．利用系統(tǒng)自動運行的程序在Windows系統(tǒng)中，有很多程序是可以自動運行的。如在對磁盤進行格式化后，總是要運行“磁盤掃描”程序（Scandisk.exe）；按下F1鍵時，系統(tǒng)將運行Winhelp.exe或Hh.exe打開幫助文件；系統(tǒng)啟動時，將自動啟動系統(tǒng)欄程序SysTray.exe、注冊表檢查程序scanreg.exe、計劃任務程序mstask.exe、輸入法程序、電源管理程序等。這為惡意程序提供了機會，通過覆蓋相應文件就可獲得自動啟動的機會，而不必修改系統(tǒng)任何設置。第73頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義74(9)．替換系統(tǒng)DLL這種方法通過APIHOOK啟動，也稱為DLL陷阱技術。它通過替換Windows系統(tǒng)中正常的DLL文件（動態(tài)鏈接文件），如kernel32.dll和user32.dll這些隨系統(tǒng)一起啟動的dll。啟動之后，如果是系統(tǒng)正常的調(diào)用請求，它就把請求轉(zhuǎn)到原先的DLL進行處理，如果是約定的木馬操作，則該DLL文件就實現(xiàn)木馬服務器端的功能。第74頁，共179頁，2023年，2月20日，星期五9.2.4隱藏技術木馬猶如過街老鼠，人人喊打。木馬想要在目標主機上存活下來，還須注意隱藏自己，潛伏下來，使自身不被主機合法用戶所發(fā)現(xiàn)。隱蔽性是木馬程序與其它程序的重要區(qū)別。2023/4/11網(wǎng)絡入侵與防范講義75第75頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義76隱藏技術想要隱藏木馬的服務端，可以是偽隱藏，也可以是真隱藏。偽隱藏是指程序的進程仍然存在，只不過是讓它消失在進程列表里。真隱藏則是讓程序徹底的消失，不以一個進程或者服務的方式工作。第76頁，共179頁，2023年，2月20日，星期五隱藏技術設置窗口不可見

(從任務欄中隱藏)把木馬程序注冊為服務

(從進程列表中隱藏)欺騙查看進程的函數(shù)

(從進程列表中隱藏使用可變的高端口

(端口隱藏技術)使用系統(tǒng)服務端口

(端口隱藏技術)替換系統(tǒng)驅(qū)動或系統(tǒng)DLL (真隱藏技術)動態(tài)嵌入技術(真隱藏技術)2023/4/11網(wǎng)絡入侵與防范講義77第77頁，共179頁，2023年，2月20日，星期五設置窗口不可見這是最基本的隱藏方式。如果在windows的任務欄里出現(xiàn)一個莫名其妙的圖標，傻子都會明白是怎么回事。要實現(xiàn)在任務欄中隱藏在編程時是很容易實現(xiàn)的。我們以VB為例，只要把from的Visible屬性設置為False，ShowInTaskBar設為False，程序就不會出現(xiàn)在任務欄里了。2023/4/11網(wǎng)絡入侵與防范講義78第78頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義79把木馬程序注冊為服務讓木馬從進程列表中消失，是木馬最基本的技術了；如果木馬程序出現(xiàn)在進程列表中，只能說這是一個很“爛”的木馬。在Windows

9X/NT/2000/xp/2003下，把木馬服務端程序注冊為一個服務就可以了，這樣，程序就會從任務列表中消失了，因為系統(tǒng)不認為它是一個進程，在任務管理器中就看不到這個程序的進程。但是，這種方法對于WindowsNT/2000/xp/2003等操作系統(tǒng)來說，通過服務管理器，同樣會發(fā)現(xiàn)在系統(tǒng)中注冊過的服務。第79頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義80欺騙查看進程的函數(shù)在Windows中有多種方法可以看到進程的存在，例如，PSAPI(ProcessStatusAPI)、PDH(PerformanceDataHelper)和ToolHelpAPI等。如果我們能夠欺騙用來察看進程的函數(shù)（例如截獲相應的API調(diào)用，替換返回的數(shù)據(jù)），就可以實現(xiàn)進程隱藏。第80頁，共179頁，2023年，2月20日，星期五使用可變的高端口一臺機器有65536個端口，1024以下是系統(tǒng)服務端口，占用這些端口可能會造成系統(tǒng)不正常，這樣的話，木馬就會很容易暴露，大多數(shù)木馬使用的端口在1024以上，而且呈越來越大的趨勢。也許你知道一些木馬占用的端口，你或許會經(jīng)常掃描這些端口，但現(xiàn)在的木馬都提供端口修改功能。2023/4/11網(wǎng)絡入侵與防范講義81第81頁，共179頁，2023年，2月20日，星期五使用系統(tǒng)服務端口現(xiàn)在大部分木馬一般在占領主機后會在1024以上不易發(fā)現(xiàn)的高端口上駐留；有一些木馬也會選擇一些常用的端口，如80、23。有一種木馬還可以做到在占領80HTTP端口后，收到正常的HTTP請求仍然把它交與Web服務器處理，只有收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬程序。2023/4/11網(wǎng)絡入侵與防范講義82第82頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義83替換系統(tǒng)驅(qū)動或系統(tǒng)DLL攻擊者使用自己的DLL文件替換掉Windows系統(tǒng)中正常的DLL文件。這種方法利用了Windows系統(tǒng)的驅(qū)動或DLL，既可以啟動木馬，也可以隱藏木馬。它不使用進程，屬于真隱藏技術。第83頁，共179頁，2023年，2月20日，星期五替換系統(tǒng)驅(qū)動或系統(tǒng)DLL(2)DLL是Windows的基礎，所有API函數(shù)都是在DLL中實現(xiàn)的。DLL文件沒有程序邏輯，由多個功能函數(shù)構(gòu)成，它并不能獨立運行，一般都是由進程加載并調(diào)用。正因為DLL文件不能獨立運行，所以在進程列表中并不會出現(xiàn)DLL。DLL木馬通過別的進程來運行它，如果這個進程是可信進程，就沒有人會懷疑它是木馬，那么這個DLL木馬作為可信進程的一部分，就成為了被信賴的一部分而為所欲為。2023/4/11網(wǎng)絡入侵與防范講義84第84頁，共179頁，2023年，2月20日，星期五替換系統(tǒng)驅(qū)動或系統(tǒng)DLL(3)這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監(jiān)聽端口，而采用替代系統(tǒng)功能的方法(改寫虛擬設備驅(qū)動程序vxd或動態(tài)鏈接庫DLL文件)，木馬會將修改后的DLL替換系統(tǒng)已知的DLL，并對所有的函數(shù)調(diào)用進行過濾。2023/4/11網(wǎng)絡入侵與防范講義85第85頁，共179頁，2023年，2月20日，星期五替換系統(tǒng)驅(qū)動或系統(tǒng)DLL(4)攻擊者的DLL文件一般包括有函數(shù)轉(zhuǎn)發(fā)器。在處理函數(shù)調(diào)用時，對于系統(tǒng)正常的調(diào)用請求，它就把請求直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL進行處理；如果是約定的相應操作(事先約定好的特殊情況)，則按照約定完成所請求的功能。這樣做的好處是沒有增加新的文件，不需要打開新的端口，沒有新的進程，使用常規(guī)的方法監(jiān)測不到它。2023/4/11網(wǎng)絡入侵與防范講義86第86頁，共179頁，2023年，2月20日，星期五替換系統(tǒng)驅(qū)動或系統(tǒng)DLL(4)需要注意的是，微軟對Windows系統(tǒng)中重要的動態(tài)庫有一定的保護機制。在Windowssystem32目錄下有一個dllcache的目錄，下面存放著大量DLL文件和重要的.exe文件，Windows系統(tǒng)一旦發(fā)現(xiàn)被保護的DLL文件被改動，它就會自動從dllcache中恢復這個文件。所以在替換系統(tǒng)DLL文件之前必須先把dllcache目錄下的對應的系統(tǒng)DLL文件也替換掉。但是，如果系統(tǒng)重新安裝、安裝補丁、升級系統(tǒng)或者檢查數(shù)字簽名等均會使這種木馬種植方法功虧一簣。第87頁，共179頁，2023年，2月20日，星期五動態(tài)嵌入技術另一種利用DLL隱藏木馬的方法是動態(tài)嵌入技術，也就是將木馬程序的代碼嵌入到正在運行的進程中Windows系統(tǒng)中的每個進程都有自己的私有內(nèi)存空間，一般不允許別的進程對其進行操作。但可以通過窗口hook（鉤子函數(shù)）、掛接API、遠程線程等方法進入并操作進程的私有空間，使木馬的核心代碼運行于其它進程的內(nèi)存空間。這種方法比DLL替換技術有更好的隱藏性。第88頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義899.2.5連接技術在網(wǎng)絡客戶端/服務器工作模式中，必須具有一臺主機提供服務（服務器），另一臺主機接受服務（客戶端），這是最起碼的硬件必需，也是“木馬”入侵的基礎。建立連接時，木馬的服務端會在目標主機上打開一個默認的端口進行偵聽（Listen），如果有客戶機向服務器的這一端口提出連接請求（ConnectRequest），服務器上的相關程序（木馬服務器端）就會自動運行，并啟動一個守護進程來應答客戶機的各種請求。第89頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義90連接技術(2)其實現(xiàn)原理我們可以在VB中用Winsock控件來模仿實現(xiàn)：（G_Server和G_Client均為Winsock控件）服務器：

G_Server.LocalPort=7626（木馬計劃打開的默認端口，可以按需改為別的值）

G_Server.Listen（等待連接）第90頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義91連接技術(3)客戶端：

G_Client.RemoteHost=ServerIP（設置遠端地址為服務器地址）

G_Client.RemotePort=7626（設置遠程端口為前面所設置的默認端口，在這里可以分配一個本地端口給，如果不分配，計算機將會自動分配一個）

G_Client.Connect（調(diào)用Winsock控件的連接方法）第91頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義92連接技術(4)一旦服務端接到客戶的連接請求ConnectionRequest，就接受連接：

PublicSubG_Server_ConnectionRequest(ByValrequestIDAsLong) G_Server.Acceptrequested EndSub客戶機端用G_Client.SendData發(fā)送命令，而服務器在G_Server_DataArrive事件中連接并執(zhí)行命令（很多木馬功能都在這個事件處理程序中實現(xiàn)）第92頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義93連接技術(5)如果客戶斷開連接，則關閉連接并重新偵聽端口：

PrivateSubG_Server_Close G_Server.Close（關閉連接）

G_Server.Listen（再次監(jiān)聽）

EndSub其他的部分用命令傳遞來進行，客戶端上傳一個命令，服務器解釋并執(zhí)行命令。第93頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義94連接技術(6)在建立連接過程中，對目標主機空閑端口的偵聽是木馬賴于建立連接的根本。目前所知的木馬程序，基本都要用到偵聽主機端口這一技術。在計算機的6萬多個端口中，通常把端口號1024以內(nèi)的端口稱為公認端口（WellKnownPorts），它們緊密綁定于一些系統(tǒng)服務，木馬程序很少應用到此類端口進行連接。而對于端口號為1025到49151的注冊端口（RegisteredPorts）和端口號為49152到65535的動態(tài)或私有端口（DynamicorPrivatePorts）則常常被木馬程序所相中，用于建立與木馬客戶端的連接，從而實現(xiàn)網(wǎng)絡入侵。第94頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義95常見木馬使用的端口端口號木馬軟件端口號木馬軟件8102網(wǎng)絡神偷23445網(wǎng)絡公牛、netbull2000黑洞200031338BackOrifice、DeepBO2001黑洞200119191藍色火焰6267廣外女生31339NetspyDk7306網(wǎng)絡精靈3.0、Netspy3.040412TheSpy7626冰河1033Netspy8011WRY、賴小子、火鳳凰121BOjammerkillahv23444網(wǎng)絡公牛、netbull4590ICOTrpjan第95頁，共179頁，2023年，2月20日，星期五反彈窗口的連接技術傳統(tǒng)的木馬都是由客戶端（控制端）向服務端（被控制端）發(fā)起連接，而反彈窗口木馬是由服務端主動向客戶端發(fā)起連接。這種連接技術與傳統(tǒng)的連接技術相比，更容易通過防火墻，因為它是由內(nèi)向外發(fā)起連接。2023/4/11網(wǎng)絡入侵與防范講義96第96頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義979.2.6監(jiān)控技術木馬連接建立后，客戶端端口和服務器端口之間將會出現(xiàn)一條通道，客戶端程序可由這條通道與服務器上的木馬程序取得聯(lián)系，并對其進行遠程控制。木馬的遠程監(jiān)控功能概括起來有以下幾點：獲取目標機器信息記錄用戶事件遠程操作第97頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義98(1)．獲取目標機器信息木馬的一個主要功能就是竊取被控端計算機的信息，然后再把這些信息通過網(wǎng)絡連接傳送到控制端。一般來講，獲取目標機器信息的方法就是調(diào)用相關的API，通過函數(shù)返回值，進行分解和分析有關成分，進而得到相關信息。第98頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義99(2)．記錄用戶事件木馬程序為了達到控制目標主機的目的，通常想知道目標主機用戶目前在干什么，于是記錄用戶事件成了木馬的又一主要功能。記錄用戶事件通常有兩種方式：其一是記錄被控端計算機的鍵盤和鼠標事件，形成一個文本文件，然后把該文件發(fā)送到控制端，控制端用戶通過查看文件的方式了解被控端用戶打開了哪些程序，敲了那些鍵；其二是在被控端抓取當前屏幕，形成一個位圖文件，然后把該文件發(fā)送到控制端顯示，從而通過抓取得屏幕知道目標用戶的操作行為。

第99頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義100(3)．遠程操作木馬程序的遠程操作功能如遠程關機、重啟，鼠標與鍵盤的控制，遠程的文件管理等等。木馬程序有時需要重新啟動被控制端計算機，或者強制關閉遠程計算機，當被控制計算機重新啟動時，木馬程序重新獲得控制權(quán)。在木馬程序中，木馬使用者還可以通過網(wǎng)絡控制被控端計算機的鼠標和鍵盤，也可以通過這種方式啟動或停止被控端的應用程序。對遠程的文件進行管理，比如共享被控端的硬盤，之后就可以進行任意的文件操作。第100頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義1019.3木馬實例下面我們就來看看三種比較流行的特洛伊木馬，并詳細介紹冰河：BackOrificeSubSeven國產(chǎn)冰河第101頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義102BackOrifice1998年，CultoftheDeadCow開發(fā)了BackOrifice。這個程序很快在特洛伊木馬領域出盡風頭，它不僅有一個可編程的API，還有許多其他新型的功能，令許多正規(guī)的遠程控制軟件也相形失色。BackOrifice2000（即BO2K）按照GNUGPL（GeneralPublicLicense）發(fā)行，希望能夠吸引一批正規(guī)用戶，以此與老牌的遠程控制軟件如pcAnywhere展開競爭。第102頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義103BackOrifice但是，它默認的隱蔽操作模式和明顯帶有攻擊色彩的意圖使得許多用戶不太可能在短時間內(nèi)接受。攻擊者可以利用BO2K的服務器配置工具配置許多服務器參數(shù)，包括TCP或UDP、端口號、加密類型、秘密激活、密碼、插件等。第103頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義104BackOrificeBackOrifice的許多特性給人以深刻的印象，例如鍵盤事件記錄、HTTP文件瀏覽、注冊表編輯、音頻和視頻捕獲、密碼竊取、TCP/IP端口重定向、消息發(fā)送、遠程重新啟動、遠程鎖定、數(shù)據(jù)包加密、文件壓縮，等等。BackOrifice帶有一個軟件開發(fā)工具包（SDK），允許通過插件擴展其功能。第104頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義105BackOrifice界面第105頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義106SubSevenSubSeven可能比BackOrifice還要受歡迎，這個特洛伊木馬一直處于各大反病毒軟件廠商的感染統(tǒng)計榜前列。SubSeven可以作為鍵記錄器、包嗅探器使用，還具有端口重定向、注冊表修改、麥克風和攝像頭記錄的功能。下頁圖顯示了一部分SubSeven的客戶端命令和服務器配置選項。第106頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義107SubSeven通過客戶端操作服務端第107頁，共179頁，2023年，2月20日，星期五SubSeven服務端配置說明配置類型說明啟動方法(Startupmethod)使用啟動方法來控制SubSeven的啟動方式。常用選項包括在Windows注冊表的RunService或Run鍵下添加注冊表項。Keyname表示注冊表中出現(xiàn)的表項的名稱。通知選項(Notificationoptions)這個選項指定了如何將被感染主機的信息通知攻擊者?？蛇x的通知方法包括：ICQ、IRC、E-mail。保護服務器(Protectserver)在服務端添加一個口令，這樣其他人就不能夠使用服務端配置編輯器來編輯該服務端了。這個口令與安裝選項中的口令所起的作用是不相同的。安裝(Installation)指定希望SubSeven使用的端口號，默認為27374。這里也可以設置一個口令，只有擁有這個正確口令的客戶端才能夠連接到本配置得到的服務端上。此外還可以選中fakeerrormessage選項，當SubSeven在服務端運行時，讓粗心的用戶不會懷疑正在安裝木馬。第108頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義109SubSeven(2)SubSeven具有許多令受害者難堪的功能：攻擊者可以遠程交換鼠標按鍵，關閉/打開CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del組合鍵，注銷用戶，打開和關閉CD-ROM驅(qū)動器，關閉和打開監(jiān)視器，翻轉(zhuǎn)屏幕顯示，關閉和重新啟動計算機等等。第109頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義110SubSeven(3)SubSeven利用ICQ、IRC、email甚至CGI腳本和攻擊發(fā)起人聯(lián)系，它能夠隨機地更改服務器端口，并向攻擊者通知端口的變化。另外，SubSeven還提供了專用的代碼來竊取AOLInstantMessenger（AIM）、ICQ和屏幕保護程序的密碼。第110頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義111冰河冰河是一個非常有名的木馬工具，它包括兩個可運行的程序G_Server和G_Client，其中前者是木馬的服務器端，就是用來植入目標主機的程序，后者是木馬的客戶端，也就是木馬的控制臺。運行客戶端后其界面如下頁圖所示。第111頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義112冰河客戶端界面第112頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義113冰河的主要功能自動跟蹤目標機屏幕變化(局域網(wǎng)適用)完全模擬鍵盤及鼠標輸入(局域網(wǎng)適用)記錄各種口令信息獲取系統(tǒng)信息限制系統(tǒng)功能遠程文件操作注冊表操作發(fā)送信息點對點通訊第113頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義114冰河的使用通過使用冰河木馬，我們可以實現(xiàn)對遠程目標主機的控制。在遠程目標主機上運行G_Server，作為服務器端，在當前主機上運行G_Client，作為控制臺。第114頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義115冰河的使用—連接服務器服務器端運行后，可以在控制臺上進行連接。單擊工具欄上的快捷按鈕“添加主機”，彈出如圖所示的對話框，輸入遠程主機的相關信息即可。第115頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義116冰河的使用—連接成功后的信息

連接成功后，則會顯示遠程主機上的信息如硬盤盤符等，如圖所示。第116頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義117冰河的使用—搜索服務器以上直接連接是一種方法，冰河還可以自動搜索已經(jīng)中了冰河木馬的主機，只需要簡單的設置即可。下面兩頁的圖是一個搜索過程。第117頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義118搜索服務器第118頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義119搜索到9第119頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義120冰河的使用(續(xù))得到9中有木馬服務器。下面便可對這臺計算機進行操作了。冰河的功能非常強大，它有“文件管理器”和“命令控制臺”兩個選項卡。點擊“文件管理器”可以管理被入侵的電腦的硬盤。如下頁圖所示。第120頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義121文件管理器第121頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義122文件管理器—下載文件第122頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義123冰河的使用(續(xù))單擊“命令控制臺標簽”，可以看到這里有眾多的功能，如下頁圖所示。第123頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義124冰河的命令控制臺第124頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義125獲得系統(tǒng)信息和口令第125頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義126捕獲對方屏幕第126頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義127向?qū)Ψ桨l(fā)送信息第127頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義128管理對方的進程第128頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義129控制對方系統(tǒng)第129頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義130注冊表管理第130頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義131甚至可以對桌面等其它信息設置第131頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義132冰河的使用(總結(jié))可以看出，冰河的功能非常強大。幾乎可以對入侵的計算機進行完全的控制?？梢钥闯?，冰河可以當作一個遠程管理工具使用。第132頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義1339.4木馬的防御技術9.4.1木馬的檢測9.4.2木馬的清除與善后9.4.3木馬的防范第133頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義1349.4.1木馬的檢測根據(jù)木馬工作的原理，木馬的檢測一般有以下一些方法:端口掃描和連接檢查檢查系統(tǒng)進程檢查ini文件、注冊表和服務監(jiān)視網(wǎng)絡通訊第134頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義135端口掃描掃描端口是檢測木馬的常用方法。大部分的木馬服務端會在系統(tǒng)中監(jiān)聽某個端口，因此，通過查看系統(tǒng)上開啟了那些端口能有效地發(fā)現(xiàn)遠程控制木馬的蹤跡。操作系統(tǒng)本身就提供了查看端口狀態(tài)的功能，在命令行下鍵入“netstat-an”可以查看系統(tǒng)內(nèi)當前已經(jīng)建立的連接和正在監(jiān)聽的端口，同時可以查看正在連接的遠程主機IP地址。第135頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義136端口掃描(2)對于Windows系統(tǒng)，有一些很有用的工具用于分析木馬程序的網(wǎng)絡行為。例如Fport，它不但可以查看系統(tǒng)當前打開的所有TCP／UDP端口，而且可以直接查看與之相關的程序名稱，為過濾可疑程序提供了方便。第136頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義137網(wǎng)絡測試命令NetstatNetstat命令可以幫助網(wǎng)絡管理員了解網(wǎng)絡的整體使用情況。命令格式：netstat[-r][-s][-n][-a]參數(shù)含義：-r顯示本機路由表的內(nèi)容；-s顯示每個協(xié)議的使用狀態(tài)(包括TCP協(xié)議、UDP協(xié)議、IP協(xié)議)；-n以數(shù)字表格形式顯示地址和端口；-a顯示所有主機的端口號。第137頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義138Fport工具FPort可以把本機開放的TCP/UDP端口同應用程序相關聯(lián)，并可以顯示進程PID，名稱和路徑。通過Fport，用戶可以根據(jù)端口號來查找程序名稱和路徑。和使用‘netstat-an’命令產(chǎn)生的效果類似。第138頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義139檢查系統(tǒng)進程既然木馬的運行會生成系統(tǒng)進程，那么對系統(tǒng)進程列表進行分析和過濾也是發(fā)現(xiàn)木馬的一個方法。雖然現(xiàn)在也有一些技術使木馬進程不顯示在進程管理器中，不過很多木馬在運行期都會在系統(tǒng)中生成進程。因此，檢查進程是一種非常有效的發(fā)現(xiàn)木馬蹤跡的方法。使用進程檢查的前提是需要管理員了解系統(tǒng)正常情況下運行的系統(tǒng)進程。這樣當有不屬于正常的系統(tǒng)進程出現(xiàn)時，管理員能很快發(fā)現(xiàn)。第139頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義140檢查.ini文件、注冊表和服務Windows系統(tǒng)中能提供開機啟動程序的幾個地方：開始菜單的啟動項，這里太明顯，幾乎沒有木馬會用這個地方。win.ini／system.ini，有部分木馬采用，不太隱蔽。注冊表，隱蔽性強且實現(xiàn)簡單，多數(shù)木馬采用。服務，隱蔽性強，部分木馬采用。第140頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義141檢查ini文件、注冊表和服務(2)在win.ini和system.ini中啟動的木馬比較容易查找，只要使用記事本打開這兩個文件，查看“run=”、“l(fā)oad=”或是“shell=”后面所加載的程序，如果所加載的程序有你不知道的程序，那就要小心了，這就有可能是木馬了。第141頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義142檢查ini文件、注冊表和服務(3)前面說過，在注冊表中，Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce這些子鍵保存了Windows啟動時自動運行的程序。所以在注冊表中，最有可能隱藏木馬的地方是:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

第142頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義143檢查ini文件、注冊表和服務(5)當然，在注冊表中還存在其他可以實現(xiàn)開機自動加載的地方。第143頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義144檢查ini文件、注冊表和服務(6)在WinNT/2000/xp/2003系統(tǒng)中，一些木馬會將自己做為服務添加到系統(tǒng)中，甚至隨機替換系統(tǒng)中沒有啟動的服務程序來實現(xiàn)自動加載。檢測這類木馬需要對操作系統(tǒng)的所有常規(guī)服務有較深入的了解。第144頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義145監(jiān)視網(wǎng)絡通訊一些特殊的木馬程序(如通過ICMP協(xié)議通訊)，被控端不需要打開任何監(jiān)聽端口，也無需反向連接，更不會有什么已經(jīng)建立的固定連接，使得netstat或fport等工具很難發(fā)揮作用。第145頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義146監(jiān)視網(wǎng)絡通訊(2)對付這種木馬，除了檢查可疑進程之外，還可以通過Sniffer軟件監(jiān)視網(wǎng)絡通信來發(fā)現(xiàn)可疑情況。首先關閉所有已知有網(wǎng)絡行為的合法程序，然后打開Sniffer軟件進行監(jiān)聽，若在這種情況下仍然有大量的數(shù)據(jù)傳輸，則基本可以確定后臺正運行著惡意程序。這種方法并不是非常的準確，并且要求對系統(tǒng)和應用軟件較為熟悉，因為某些帶自動升級功能的軟件也會產(chǎn)生類似的數(shù)據(jù)流量。第146頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義1479.4.2木馬的清除與善后(1).清除木馬(2).處理遺留問題第147頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義148(1).清除木馬知道了木馬加載的地方，首先要作的當然是將木馬登記項刪除，這樣木馬就無法在開機時啟動了。不過有些木馬會監(jiān)視注冊表，一旦你刪除，它立即就會恢復回來。因此，在刪除前需要將木馬進程停止，然后根據(jù)木馬登記的目錄將相應的木馬程序刪除。第148頁，共179頁，2023年，2月20日，星期五2023/4/11網(wǎng)絡入侵與防范講義149清除木馬(2)隨著木馬編寫技術的不斷進步，很多木馬都帶有了自我保護的機制，木馬類型不斷變化，因此，不同的木馬需要有針對性的清除方法。因此，對于普通用戶來說，清除木馬最