項目4四代木馬的應用

學習情境四：計算機病毒與木馬項目4第四代木馬的應用1項目4第四代木馬的應用課題引入第四代木馬的使用與防范木馬的加殼與脫殼文件夾木馬2課題引入－項目背景木馬全稱“特洛伊木馬”，英文名稱為TrojanHorse，它來源于《荷馬史詩》中描述的一個古希臘故事。傳說，有一次古希臘大軍圍攻特洛伊城，久攻不下。于是，一名古希臘謀士獻計制造了一只高二丈的大木馬，隨后攻城數(shù)天之后，假裝兵敗，留下木馬拔營而去。城中得到解圍的消息，舉城歡慶，并把這個奇異的戰(zhàn)利品大木馬搬入城內(nèi)。當全城軍民進入夢鄉(xiāng)之時，藏于木馬中的士兵從木馬密門而下，打開城門引入城外的軍隊，攻下了特洛伊城。3課題引入－項目背景第一代和第二代木馬屬于傳統(tǒng)的連接方式：遠程主機開放監(jiān)聽端口等待外部連接，成為服務器端；當入侵者需要與遠程主機連接時，發(fā)送連接請求。第三代木馬開始使用了“反彈端口”技術，連接不再由客戶端發(fā)起，而是服務器端來完成。反彈窗口技術需要在配置服務器時指明入侵者的ip地址和連接端口，因此不適用于動態(tài)上網(wǎng)的入侵者4課題引入－項目背景反彈窗口的連接方式無中間代理的連接引入中間代理的連接客戶端遠程主機中間代理（保存客戶端IP、Port）更新IP、port獲取客戶端IP、Port5課題引入－項目背景灰鴿子是國內(nèi)第三代木馬的典型代表除了可以使用傳統(tǒng)連接方式，可以使用反彈窗口的連接方式，方便的控制動態(tài)IP地址和局域網(wǎng)內(nèi)的遠程主機在使用灰鴿子時，可以利用灰鴿子自帶的工具，申請免費域名提供的動態(tài)IP映射實現(xiàn)代理功能6課題引入－項目分析完成本項目需要解決的問題：第四代木馬如何使用與防范？木馬怎樣加殼和脫殼？文件夾木馬如何使用與防范？7課題引入－教學目標完成本項目需要實現(xiàn)的教學目標：第四代木馬的使用與防范（重點掌握）木馬的加殼與脫殼（理解）文件夾木馬的使用與防范（掌握）8課題引入－應達到的職業(yè)能力熟練掌握第四代木馬的使用與防范了解木馬加殼與脫殼的含義掌握文件夾木馬的使用與防范9項目問題1－第四代木馬簡介：廣外男生同廣外女生一樣，是廣東外語外貿(mào)大學的作品。特色：客戶端模仿Windows資源管理器：除了全面支持訪問遠程服務器文件系統(tǒng)，也同時支持通過對方的“網(wǎng)上鄰居”，訪問對方內(nèi)部網(wǎng)其他機器運用了“反彈窗口”技術使用了“線程插入”技術：服務器運行時沒有進程，所有網(wǎng)絡操作均插入到其他應用程序的進程中完成。即便受控端安裝的防火強有“應用程序訪問權限”的功能，也不能對廣外男生的服務器進行有效警告和攔截。不再支持傳統(tǒng)的連接方式10廣外男生使用實例客戶端設置：打開廣外男生客戶端（gwboy092.exe），選擇“設置”—>“客戶端設置”，打開“廣外男生客戶端設置程序”。其中最大連接數(shù)一般使用默認的30臺，客戶端使用端口一般設置成80。11廣外男生使用實例本次實驗使用固定IP地址的主機進行實驗，因此選擇“客戶端處于靜態(tài)IP”點擊“下一步”，再點擊“完成”按鈕結束客戶端的設置。12廣外男生使用實例服務端設置：進行服務端設置時，選擇“設置”—>“服務器設置”，打開“廣外男生服務端生成向?qū)А?3廣外男生使用實例選擇“同意”之后，點擊下一步，開始進行服務端常規(guī)設置14廣外男生使用實例設置完成后點擊“下一步”，進行“網(wǎng)絡設置”。根據(jù)實際網(wǎng)絡環(huán)境，選擇靜態(tài)IP選項進行實際網(wǎng)絡的設置15廣外男生使用實例設置完成點擊“下一步”，填寫生成服務器端的目標文件的名稱，然后點擊“完成”，結束服務器端的配置16廣外男生使用實例17廣外男生使用實例18廣外男生使用實例19廣外男生木馬的清除1、檢測廣外男生木馬的有效方法為使用“netstat-na”查看目標主機的網(wǎng)絡連接情況，如果端口8225開放，那么該主機可能已經(jīng)中了廣外男生木馬。2、打開注冊表編輯器，展開到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，刪除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”，刪除ID為{5EAE4AC0-146E-11D2-A96E-9}的鍵及其下所有子鍵和鍵值。20廣外男生木馬的清除3、點擊“編輯”菜單中的“查找”，在注冊表編輯器中搜索gwVboydl1。dll，找到所有和它有關的注冊表項，全部刪除。4、刪除system32目錄下的gwboy.exe。然后進入DOS模式下，輸入delwinnt\system32\gwVboydll.dll命令，刪除system32目錄中的gwboydll.dll文件。21項目問題2－木馬的加殼與脫殼雖然木馬的功能非常強大，甚至使得入侵者可以為所欲為，但是有了良好的殺毒工具，木馬難免會被查殺一個程序?qū)懲旰?，并不是把寫好的程序直接提供給用戶進行使用，而是需要通過一些軟件對應用程序進行處理，這個處理的過程被稱作“加殼”。處理的目的有兩個：一個是為了保護程序源代碼、防止被修改和破壞通過加殼后，可以減小程序的體積22木馬的加殼與脫殼木馬通過加殼后可以實現(xiàn)避免被殺毒軟件的查殺，這些加殼的軟件常見的有ASPACK、UPX、WWPACK等與加殼相反的過程稱為“脫殼”，目的是把加殼后的程序恢復成毫無包裝的可執(zhí)行代碼，這樣未授權者便可以對程序進行修改。脫殼與加殼需要使用相同的軟件進行，例如，使用UPX對木馬程序進行加殼之后，如果需要脫殼，仍然需要使用UPX進行脫殼過程。23木馬的加殼實例我們可以使用Language2000這種檢測工具發(fā)現(xiàn)程序加殼所使用的軟件類型使用Language2000檢測得到的冰河木馬軟件服務器端的加殼內(nèi)容，其中Program一項的值ASPack說明被檢測的冰河軟件采用的加殼工具是ASPack。24木馬的加殼實例首先，我們使用Language2000檢測冰河木馬程序客戶端的加殼結果，客戶端并沒有經(jīng)過加殼處理。25木馬的加殼實例使用諾頓檢查冰河木馬客戶端文件可以看到，木馬客戶端被殺毒軟件殺掉26木馬的加殼實例打開ASPack應用程序，點擊Open按鈕，然后打開冰河客戶端應用程序。然后選擇Compress選項卡，點擊Go按鈕27木馬的加殼實例加殼完成后，再次使用殺毒軟件對冰河客戶端進行掃描，通過加殼之后，原來能夠被查殺的木馬客戶端現(xiàn)在已經(jīng)無法被殺毒軟件識別了。28項目問題3－文件夾木馬在windows系統(tǒng)中，文件夾采用了實現(xiàn)網(wǎng)頁的方法來實現(xiàn)文件夾的樣式，也就是說Windows中的文件夾支持HTML和javascript定義的一些動作通過編寫javascript可以讓文件夾在打開時自動執(zhí)行程序文件夾木馬的實現(xiàn)需要沒有打補丁的IE5.0的支持29文件夾木馬的實例步驟一：打開“文件夾選項”設置，將“隱藏受保護的操作系統(tǒng)文件”前面的勾去掉，同時設置現(xiàn)實所有文件和文件夾步驟二：新建一個文件夾，雙擊該文件后，選擇“查看”—“自定義文件夾”。在“自定義文件夾向?qū)А敝羞x擇“選擇或編輯該文件夾的HTML模板”，然后單擊“下一步”，進入“模板選擇“30文件夾木馬的實例步驟三：在“模板選擇”對話框中選擇標準，單擊“下一步”，完成自定義文件夾。該文件夾會多出Foldersettings文件夾和desktop.ini文件步驟四：編寫javascript代碼31文件夾木馬的實例步驟五：修改Folder.htt文件（在Foldersettings文件夾中），用記事本打開Folder.htt，然后在<style></style>后面加入編寫的javascript代碼，并保存步驟六：將木馬或相應應用程序拷貝到Folderset