木馬攻擊與防范

1、貴州大信息安全原理與技術(shù)實(shí)驗(yàn)報(bào)告學(xué)院：計(jì)算機(jī)學(xué)院 專業(yè)：信息安全 班級：信息121姓名饒永明學(xué)號1208060066實(shí)驗(yàn)組實(shí)驗(yàn)時(shí)間2015.6指導(dǎo)教師蔣朝惠成績實(shí)驗(yàn)項(xiàng)目名稱木馬攻擊與防范實(shí)驗(yàn)?zāi)康?. 掌握目前常見的7種木馬的檢測及清除方法2. 學(xué)會使用工具檢測并清除木馬實(shí)驗(yàn)原理一、 木馬工作原理1.木馬系統(tǒng)構(gòu)成：硬件、軟件、具體連接硬件是控制端和服務(wù)器端軟件是木馬代碼連接一般通過網(wǎng)絡(luò)（IP、端口）2.木馬配置程序的功能：偽裝和信息反饋3.傳播木馬（1） 傳播方式有2：通過e-mail和下載（2）偽裝方式：a) 修改圖標(biāo)（一般存在e-mail中，會將木馬服務(wù)器端改為HTML、TXT、ZIP圖標(biāo)等

2、）b) 捆綁文件：將木馬捆綁在一個(gè)安裝（可執(zhí)行）文件上，當(dāng)文件執(zhí)行時(shí)，木馬運(yùn)行。（like網(wǎng)絡(luò)公牛）c) 出錯(cuò)顯示：一般木馬執(zhí)行時(shí)，會像執(zhí)行程序但卻沒有任何反應(yīng)，容易惹人懷疑，所以為了偽裝，就顯示出錯(cuò)。d) 定制端口：很多老師木馬端口是固定的，只要檢查端口可知是否被感染?，F(xiàn)在的木馬選擇在102465535之間任選端口，那就不好判斷了。e) 自我銷毀：毀滅犯罪證據(jù)（在windows系統(tǒng)文件中無法找到了）f) 木馬更名：也是為了防止被找到4.運(yùn)行木馬（1）自啟動激活木馬：a) 注冊表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下

3、的5個(gè)以Run和RunServices主鍵，有木馬鍵值。b) WIN.INIà 在C:WINDOWS目錄下有配置文件win.ini，用文本方式打開，在windows字段中有啟動項(xiàng)命令load=和run=，一般為空，若有內(nèi)容，可能是木馬。c) SYETEM.INIà 在C:WINDOWS目錄下有配置文件system.ini，用文本方式打開，在386Enh，mic，driver32中看有無木馬命令木馬。d) Autoexec.bat 和Config.sys à 在c盤根目錄下著兩個(gè)文件也可啟用木馬。（需要控制端的同名木馬對客戶端的這兩個(gè)文件進(jìn)行覆蓋）e) *INI（應(yīng)

4、用程序的啟用配置文件）：控制端用同名木馬覆蓋，服務(wù)端不知道，就啟用了木馬。f) 啟用菜單：在【開始】à【程序】à【啟用】，也有木馬出發(fā)條件。（2） 由觸發(fā)式激活木馬a） 注冊表 HKEY_CLASSES_ROOT文件類型shellopencommand主鍵，查看鍵值。（冰河就是修改txtfile下的鍵值）b） 捆綁文件：同偽裝方式，就算木馬被刪除，只要運(yùn)行與其捆綁的可執(zhí)行文件，木馬也執(zhí)行，所以要?jiǎng)h除被捆綁的關(guān)聯(lián)文件（3） 木馬運(yùn)行過程：木馬被激活后，進(jìn)入內(nèi)存，開啟預(yù)定義端口，與控制端建立連接，返回信息給控制端。（4） 信息泄露：木馬就是控制端拿來竊取其想要的信息的。（如服務(wù)

5、端的硬件信息，包括操作系統(tǒng)及版本，系統(tǒng)目錄，系統(tǒng)口令，最終要的是服務(wù)端IP，有IP才能建立連接）（5） 建立連接：有2個(gè)條件：控制端將木馬弄到了服務(wù)端；兩端都在線。（一般是C/S結(jié)構(gòu)，也有S/C結(jié)構(gòu)的，灰鴿子就是用反彈主動連接技術(shù)要服務(wù)端連接控制端）（6） 遠(yuǎn)程控制：a） 竊取密碼：一切以明文形式，“*”形式或緩存在cache中的密碼都能被木馬偵測到，很多木馬都有擊鍵記錄。b） 文件操作：由遠(yuǎn)程控制對文件進(jìn)行刪除、新建、修改、上傳、下載、運(yùn)行、更改屬性等一系列操作。（基本涵蓋了windows平臺的所有文件操作）c） 修改注冊表：任意修改服務(wù)端注冊表，報(bào)告刪除、新建、修改主鍵、子鍵、鍵值。這樣可

6、以禁止服務(wù)端軟驅(qū)、光驅(qū)的使用。鎖住服務(wù)端的注冊表，將木馬觸發(fā)條件設(shè)置得更加隱秘。d） 系統(tǒng)操作：對操作系統(tǒng)的關(guān)閉重、啟，斷開網(wǎng)絡(luò)連接，控制鼠標(biāo)、鍵盤、監(jiān)視桌面，查看進(jìn)程、控制端還可以隨時(shí)給服務(wù)端發(fā)送信息。3. 隱形木馬啟動方式：常用啟動方式同上。方式1：在用戶策略組的“在用戶登陸時(shí)運(yùn)行這些程序”：【開始】à【運(yùn)行】Gpedit.exe命令。打開【組策略】à【本地計(jì)算機(jī)策略】à【用戶配置】à【管理模塊】à【系統(tǒng)】à【登陸】，雙擊【在用戶登陸時(shí)運(yùn)行這些程序】子項(xiàng)進(jìn)行屬性設(shè)置，選擇【設(shè)置】à【應(yīng)啟用】選項(xiàng)并單擊【顯示】按鈕打開【顯

7、示內(nèi)容】窗口，再單擊【添加】，在【添加項(xiàng)目】中輸入要啟動程序的路徑，單擊【確定】完成。 重啟系統(tǒng)后，系統(tǒng)會在登陸時(shí)自動添加木馬程序。 方式2：在不熟知的注冊表中添加自啟動程序： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesRun方式3：網(wǎng)頁木馬的寄存方式a） 把木馬文件改成BMP文件，利用debug來還原成exe，網(wǎng)上存在該木馬20%b） 下載一個(gè)TXT文件到你計(jì)算機(jī)，里面藏著FTP程序，F(xiàn)TP與其他有木馬的計(jì)算機(jī)下載木馬。該木馬在網(wǎng)上占50%c） 采用JS腳本，VSB腳本來執(zhí)行木馬文件，盜qq等d） ARP欺騙

8、：用ARP欺騙攔截局域網(wǎng)數(shù)據(jù)，攻擊網(wǎng)關(guān)。（安裝ARP防火墻）e） 下載一個(gè)HTA文件，用網(wǎng)頁控件解釋器來還原木馬，網(wǎng)上占50%二、 木馬防治原理1. 加強(qiáng)個(gè)人安全意識，降低“中招”概率a） 不要下載、接收、執(zhí)行任何來歷不明的軟件。（防捆綁文件）b） 不要隨意打開郵件附件c） 將資源管理器配置成始終顯示擴(kuò)展名。（一些擴(kuò)展名為.vbs、.shs、.pif的文件要多注意，疑似木馬）d） 盡量少用共享文件夾：不要共享整個(gè)計(jì)算機(jī)，要共享就組成一個(gè)的文件共享e） 運(yùn)行反木馬實(shí)時(shí)監(jiān)控程序：（PC萬用精靈、最新的殺毒軟件、個(gè)人防火墻等）f） 經(jīng)常升級系統(tǒng)、軟件，安裝補(bǔ)丁，很多木馬是通過系統(tǒng)漏洞設(shè)計(jì)的。g） 關(guān)

9、閉所有磁盤的自動播放功能，避免帶毒優(yōu)盤，移動硬盤的感染h） 經(jīng)常去相關(guān)安全網(wǎng)站了解新出的木馬，做到有所預(yù)防。2. 修改系統(tǒng)設(shè)置a） 把windowssystem(32)mshta.exe文件改名，將windowscommanddebug.exe和windowscommandftp.exe都改名或者刪除b） 注冊表中HKEY_CURRENT_USERSoftwareMicrosoftWindowsInternet ExplorerActiveX Compatibility下為Active Setup controls創(chuàng)建一個(gè)基于CLISID的新鍵值6E44963_11CF_AAFA_00AA00

10、 B6015C，然后在新值下創(chuàng)建一個(gè)REG_DWORD類型的鍵值Compatibility0x000004003. 把個(gè)人防火墻設(shè)置好安全等級，防止位置程序向外傳送數(shù)據(jù)；選擇安全性較高的瀏覽器和電子郵件客戶端軟件；使用IE時(shí)，安裝卡卡安全助手，防止惡意網(wǎng)站在自己計(jì)算機(jī)上安裝不明軟件和瀏覽器插件，以免被木馬侵入。4. “DLL木馬”：dll文件是不能單獨(dú)執(zhí)行的，它需要一個(gè)Loder（一般為exe文件），該木馬可以直接注入Loder中。“DLL木馬”防御方法：用戶經(jīng)常查看系統(tǒng)啟動項(xiàng)（Loder）中有無多出莫名的項(xiàng)目，或在進(jìn)程中找陌生的dll。（國外的防火墻軟件tiny、SSM等對dll文件加載時(shí)附

11、加提醒）實(shí)驗(yàn)儀器安裝windows 2003 sever的兩臺電腦（虛擬機(jī)中完成）木馬程序：網(wǎng)絡(luò)公牛、冰河、灰鴿子實(shí)驗(yàn)步驟及實(shí)驗(yàn)內(nèi)容一、 網(wǎng)絡(luò)公?？刂贫耍?1. 首先運(yùn)行peep.exe,打開菜單"配置服務(wù)器",找到peepserver.exe打開,填寫你的IP通知 設(shè)置及捆綁運(yùn)行與否.(與服務(wù)器端連接后也可動態(tài)設(shè)置) 2.運(yùn)行buildserver.exe,會在本目錄下自動產(chǎn)生一個(gè)newserver.exe文件(大約213K). 3.將newserver.exe文件 e_mail給服務(wù)端服務(wù)端IP：服務(wù)器端運(yùn)行后會自動捆綁以下文件: notepad.exe;write.e

12、xe,regedit.exe,winmine.exe,winhelp.exe NT/2000:(在2000下會出現(xiàn)文件改動報(bào)警,但也不能阻止以下文件的捆綁) 以上文件還會捆綁在開機(jī)時(shí)自動運(yùn)行的第三方軟件上(如:realplay.exe等)控制端：與服務(wù)端連接上，控制服務(wù)端用往服務(wù)端發(fā)送信息，服務(wù)端：刪除netbull1. 刪除中的2. 刪除注冊表：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的鍵值：刪除HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun二、 冰河冰河的服務(wù)器端為G_Server.exe，控制端為G_Client.exe1.G_Server.exe運(yùn)行后，控制端添加主機(jī)，建立連接：進(jìn)行控制：a）查看被控端文件：b）新建文件夾：你好在被控端找到新建的文件夾：你好c） 實(shí)驗(yàn)冰河信使與被控端聊天控制對方屏幕：3. 服務(wù)器端刪除冰河冰河的kernel程序?qū)pu占盡：（1）Kernel32.exe在系統(tǒng)重啟后自動加載，Sysexplr.exe和TXT關(guān)聯(lián)文件，即使刪除Kernel32.exe，只要打開TXT文件，Sysexplr.exe就會被激活，再次生成Kernel32.exe。所以刪除中的和（2）刪除注冊