實驗一-木馬攻擊與防范

1、精選優(yōu)質(zhì)文檔-傾情為你奉上實驗1 木馬攻擊與防范一、實驗目的通過對木馬的練習，使讀者理解和掌握木馬傳播和運行的機制；通過手動刪除木馬，掌握檢查木馬和刪除木馬的技巧，學會防御木馬的相關知識，加深對木馬的安全防范意識。二、實驗原理木馬的全稱為特洛伊木馬，源自古希臘神話。木馬是隱藏在正常程序中的具有特殊功能的惡意代碼，是具備破壞、刪除和修改文件、發(fā)送密碼、記錄鍵盤、實施DoS攻擊甚至完全控制計算機等特殊功能的后門程序。它隱藏在目標計算機里，可以隨計算機自動啟動并在某一端口監(jiān)聽來自控制端的控制信息。1木馬的特性木馬程序為了實現(xiàn)其特殊功能，一般應該具有以下性質(zhì)：(1)偽裝性：程序?qū)⒆约旱姆掌鞫藗窝b成合

2、法程序，并且誘惑被攻擊者執(zhí)行，使木馬代碼會在未經(jīng)授權的情況下裝載到系統(tǒng)中并開始運行。(2)隱藏性：木馬程序同病毒程序一樣，不會暴露在系統(tǒng)進程管理器內(nèi)，也不會讓使用者察覺到木馬的存在，它的所有動作都是伴隨其它程序進行的，因此在一般情況下使用者很難發(fā)現(xiàn)系統(tǒng)中有木馬的存在。(3)破壞性：通過遠程控制，攻擊者可以通過木馬程序?qū)ο到y(tǒng)中的文件進行刪除、編輯操作，還可以進行諸如格式化硬盤、改變系統(tǒng)啟動參數(shù)等惡性破壞操作。(4)竊密性：木馬程序最大的特點就是可以窺視被入侵計算機上的所有資料，這不僅包括硬盤上的文件，還包括顯示器畫面、使用者在操作電腦過程中在硬盤上輸入的所有命令等。2木馬的入侵途徑木馬入侵的主要

3、途徑是通過一定的欺騙方法，如更改圖標、把木馬文件與普通文件合并，欺騙被攻擊者下載并執(zhí)行做了手腳的木馬程序，就會把木馬安裝到被攻擊者的計算機中。木馬也可以通過Script、ActiveX及ASP、CGI交互腳本的方式入侵，由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞，攻擊者可以利用這些漏洞誘導上網(wǎng)者單擊網(wǎng)頁，這樣IE瀏覽器就會自動執(zhí)行腳本，實現(xiàn)木馬的下載和安裝。木馬還可以利用系統(tǒng)的一些漏洞入侵，如微軟的IIS服務器存在多種溢出漏洞，通過緩沖區(qū)溢出攻擊程序造成IIS服務器溢出，獲得控制權限，然后在被攻擊的服務器上安裝并運行木馬。3木馬的種類(1)按照木馬的發(fā)展歷程，可以分為4個階段：第1代

4、木馬是偽裝型病毒，將病毒偽裝成一個合法的程序讓用戶運行，例如1986年的PC-Write木馬；第2代木馬是網(wǎng)絡傳播型木馬，它具備偽裝和傳播兩種功能，可以進行密碼竊取、遠程控制，例如B02000和冰河木馬；第3代木馬在連接方式上有了改進，利用了端口反彈技術，例如灰鴿子木馬；第4代木馬在進程隱藏方面做了較大改動，讓木馬服務器端運行時沒有進程，網(wǎng)絡操作插入到系統(tǒng)進程或者應用進程中完成，例如廣外男生木馬。(2)按照功能分類，木馬又可以分為：破壞型木馬，主要功能是破壞并刪除文件；密碼發(fā)送型木馬，它可以找到密碼并發(fā)送到指定的郵箱中；服務型木馬，它通過啟動FTP服務或者建立共享目錄，使黑客可以連接并下載文件

5、；DoS攻擊型木馬，它將作為被黑客控制的肉雞實施DoS攻擊；代理型木馬，可使被入侵的計算機做為黑客發(fā)起攻擊的跳板；遠程控制型木馬，可以使攻擊者利用客戶端軟件進行完全控制。4木馬的工作原理下面簡單介紹一下木馬的傳統(tǒng)連接技術、反彈端口技術和線程插入技術。(1)木馬的傳統(tǒng)連接技術 一般木馬都采用C/S運行模式，因此它分為兩部分，即客戶端和服務器端木馬程序。其原理是，當服務器端程序在目標計算機上被執(zhí)行后，一般會打開一個默認的端口進行監(jiān)聽，當客戶端向服務器端主動提出連接請求，服務器端的木馬程序就會自動運行，來應答客戶端的請求，從而建立連接。C/S木馬原理如圖1-1所示。第1代和第2代木馬都采用的是C/S

6、(客戶機，服務器)連接方式，這都屬于客戶端主動連接方式。服務器端的遠程主機開放監(jiān)聽端目等待外部的連接，當入侵者需要與遠程主機連接時，便主動發(fā)出連接請求，從而建立連接。(2)木馬的反彈端口技術 隨著防火墻技術的發(fā)展，它可以有效攔截采用傳統(tǒng)連接方式從外部主動發(fā)起連接的木馬程序。但防火墻對內(nèi)部發(fā)起的連接請求則認為是正常連接，第3代和第4代“反彈式”木馬就是利用這個缺點，其服務器端程序主動發(fā)起對外連接請求，再通過某些方式連接到木馬的客戶端，就是說“反彈式”木馬是服務器端主動發(fā)起連接請求，而客戶端是被動的連接。根據(jù)客戶端IP地址是靜態(tài)的還是動態(tài)的，反彈端口連接可以有兩種方式，如圖1-2和圖1-3所示。圖

7、1-1 C/S木馬原理圖1-2反彈端口連接方式一圖1-3反彈端口連接方式二反彈端口連接方式一要求入侵者在設置服務器端的時候，指明客戶端的IP地址和待連接端口，也就是遠程被入侵的主機預先知道客戶端的IP地址和連接端口。所以這種方式只適用于客戶端IP地址是靜態(tài)的情況。反彈端口連接方式二在連接建立過程中，入侵者利用了一個“代理服務器”保存客戶端的IP地址和待連接的端口，在客戶端的IP地址是動態(tài)的情況下，只要入侵者更新“代理服務器”中存放的IP地址與端口號，遠程被入侵主機就可通過先連接到“代理服務器”，查詢最新木馬客戶端信息，再和入侵者(客戶端)進行連接。因此，這種連接方式適用于客戶端和服務器端都是動

8、態(tài)IP地址的情況，并且還以穿透更加嚴密的防火墻。表1-1總結(jié)了反彈端口連接方式一和反彈端口連接方式二的使用范圍。表1-1 反彈端口連接方式及其使用范圍反彈端口連接方式使用范圍方式一1.客戶端和服務器端都是獨立IP；2.客戶端獨立IP，服務器端在局域網(wǎng)內(nèi)；3.客戶端和服務器都在局域網(wǎng)內(nèi)方式二1.客戶端和服務器端都是獨立IP2.客戶端獨立IP，服務器端在局域網(wǎng)內(nèi)(3)線程插入技術 我們知道，一個應用程序在運行之后，都會在系統(tǒng)之中產(chǎn)生一個進程，同時，每個進程分別對應了一個不同的進程標識符(Process ID，PID)。系統(tǒng)會分配一個虛擬的內(nèi)存空間地址段給這個進程，一切相關的程序操作，都會在這個虛擬

9、的空間中進行。一個進程可以對應一個或多個線程，線程之間可以同步執(zhí)行。一般情況下，線程之間是相互獨立的，當一個線程發(fā)生錯誤的時候，并不一定會導致整個進程的崩潰。“線程插入”技術就是利用了線程之間運行的相對獨立性，使木馬完全地融進了系統(tǒng)的內(nèi)核。這種技術把木馬程序作為一個線程，把自身插入其它應用程序的地址空間。而這個被插入的應用程序?qū)τ谙到y(tǒng)來說，是一個正常的程序，這樣，就達到了徹底隱藏的效果。系統(tǒng)運行時會有許多的進程，而每個進程又有許多的線程，這就導致了查殺利用“線程插入”技術木馬程序的難度。綜上所述，由于采用技術的差異，造成木馬的攻擊性和隱蔽性有所不同。第2代木馬，如“冰河”，因為采用的是主動連接

10、方式，在系統(tǒng)進程中非常容易被發(fā)現(xiàn)，所以從攻擊性和隱蔽性來說都不是很強。第3代木馬，如“灰鴿子”，則采用了反彈端口連接方式，這對于繞過防火墻是非常有效的。第4代木馬，如“廣外男生”，在采用反彈端口連接技術的同時，還采用了“線程插入”技術，這樣木馬的攻擊性和隱蔽性就大大增強了，可以說第4代木馬代表了當今木馬的發(fā)展趨勢。三、實驗環(huán)境兩臺運行Windows 2000/XP的計算機，通過網(wǎng)絡連接。使用“冰河”和“廣外男生”木馬作為練習工具。四、實驗內(nèi)容和任務任務一 “冰河”木馬的使用1“冰河”介紹“冰河”是國內(nèi)一款非常有名的木馬，功能非常強大?！氨印币话闶怯蓛蓚€文件組成：G_Client和G_Serv

11、er，其中G_Server是木馬的服務器端，就是用來植入目標主機的程序，G_Client是木馬的客戶端，就是木馬的控制端，我們打開控制端G_Client，彈出“冰河”的主界面，如圖1-4所示。若出現(xiàn)盤符，則表示連接成功添加的遠程主機列表圖1-4“冰河”主界面快捷工具欄簡介(從左至右)：(1)添加主機：將被監(jiān)控端IP地址添加至主機列表，同時設置好訪問口令及端口，設置將保存在Operate.ini文件中，以后不必重輸。如果需要修改設置，可以重新添加該主機，或在主界面工具欄內(nèi)重新輸入訪問口令及端口并保存設置。(2)刪除主機：將被監(jiān)控端IP地址從主機列表中刪除(相關設置也將同時被清除)。(3)自動搜索

12、：搜索指定子網(wǎng)內(nèi)安裝有冰河的計算機。(4)查看屏幕：查看被監(jiān)控端屏幕。(5)屏幕控制：遠程模擬鼠標及鍵盤輸入。(6)“冰河”信使：點對點聊天室。(7)升級12版本：通過“冰河”來升級遠程12版本的服務器程序。(8)修改遠程配置：在線修改訪問口令、監(jiān)聽端口等服務器程序設置，不需要重新上傳整個文件，修改后立即生效。(9)配置本地服務器程序：在安裝前對G_Server.exe進行配置(例如是否將動態(tài)IP發(fā)送到指定信箱、改變監(jiān)聽端口、設置訪問口令等)。2使用“冰河”對遠程計算機進行控制我們在一臺目標主機上植入木馬，在此主機上運行G_Server，作為服務器端；在另一臺主機上運行G_Client，作為控

13、制端。打開控制端程序，單擊快捷工具欄中的“添加主機”按鈕，彈出如圖1-5所示對對話框。圖1-5添加計算機“顯示名稱”：填入顯示在主界面的名稱?！爸鳈C地址”：填入服務器端主機的IP地址?！霸L問口令”：填入每次訪問主機的密碼，“空”即可。“監(jiān)聽端口”：“冰河”默認的監(jiān)聽端口是7626，控制端可以修改它以繞過防火墻。單擊“確定”按鈕，即可以看到主機面上添加了test的主機，如圖1-6所示。圖1-6添加test主機這時單擊test主機名，如果連接成功，則會顯示服務器端主機上的盤符。圖1-6顯示了test主機內(nèi)的盤符，表示連接成功。這時我們就可以像操作自己的電腦一樣操作遠程目標電腦，比如打開C:WINN

14、Tsystem32config目錄可以找到對方主機上保存用戶口令的SAM文件?！氨印钡拇蟛糠止δ芏际窃谶@里實現(xiàn)的，單擊“命令控制臺”的標簽，彈出命令控制臺界面，如圖1-7所示。圖1-7命令控制臺界面可以看到，命令控制臺分為“口令類命令”、“控制類命令”、“網(wǎng)絡類命令”、“文件類命令”、“注冊表讀寫”、“設置類命令”。3刪除“冰河”木馬刪除“冰河”木馬主要有以下幾種方法：(1)客戶端的自動卸載功能在“控制類命令”中的“系統(tǒng)控制”里面就有自動卸載功能，執(zhí)行這個功能，遠程主機上的木馬就自動卸載了。(2)手動卸載這是我們主要介紹的方法，因為在實際情況中木馬客戶端不可能為木馬服務器端自動卸載木馬，我們

15、在發(fā)現(xiàn)計算機有異常情況時(如經(jīng)常自動重啟、密碼信息泄漏、桌面不正常時)就應該懷疑是否已經(jīng)中了木馬，這時我們應該查看注冊表，在“開始”的“運行”里面輸入regedit，打開Windows注冊表編輯器。依次打開子鍵目錄HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun。在目錄中發(fā)現(xiàn)了一個默認的鍵值C:WINNTSystem32kernel32.exe，這就是“冰河”木馬在注冊表中加入的鍵值，將它刪除。然后再依次打開子鍵目錄HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersio

16、nRunservices，如圖1-13所示。在目錄中也發(fā)現(xiàn)了一個默認的鍵值C:WINNTSystem32kernel32.exe，這也是“冰河”木馬在注冊表中加入的鍵值，將它刪除。上面兩個注冊表的子鍵目錄Run和Runservices中存放的鍵值是系統(tǒng)啟動時自動啟動的程序，一般病毒程序、木馬程序、后門程序等都放在這些子鍵目錄下，所以要經(jīng)常檢查這些子鍵目錄下的程序，如果有不明程序，要著重進行分析。然后再進入C:WINNTSystem32目錄，找到“冰河”木馬的兩個可執(zhí)行文件Kernel32.exe和Sysexplr.exe文件，將它們刪除。修改文件關聯(lián)也是木馬常用的手段，“冰河”木馬將txt文件

17、的缺省打開萬式由notepad.exe改為木馬的啟動程序，除此之外，html、exe、zip、com等也都是木馬的目標。所以，在最后需要恢復注冊表中的txt文件關聯(lián)功能，只要將注冊表的HKEY_CLASSES_ROOTtxtfileshellopencommand下的默認值，由中木馬后的C:WindowsSystemSysexplr.exe%1改為正常情況下的C:Windowsnotepad.exe%1即可。再重新啟動計算機即可，這樣我們就把“冰河”木馬徹底刪除了。(3)殺毒軟件查殺大部分殺毒軟件都有查殺木馬的功能，可以通過這個功能對主機進行全面掃描來去除木馬。任務二 “廣外男生”木馬的使用“

18、廣外男生”是廣外程序員網(wǎng)絡小組精心制作的遠程控制以及網(wǎng)絡監(jiān)控工具。它采用了“端口反彈”和“線程插入”技術，可以有效逃避防火墻對木馬程序的攔截。1“廣外男生”的客戶端和服務器端的配置及連接(1)打開“廣外男生”的主程序，主界面如圖1-10所示。圖1-10“廣外男生”主界面(2)進行客戶端設置。依次單擊“設置”à“客戶端設置”，彈出客戶端設置界面，如圖1-11所示。在窗口中我們可以看到它采用“反彈端口+線程插入技術的提示。圖1-11客戶端設置在“客戶端最大連接數(shù)”中填入允許多少臺客戶端主機來控制服務器端，注意不要填入太大的數(shù)字，否則容易造成服務器端主機死機。在“客戶端使用端口”填入服務器

19、端連接到客戶端的那個端口，這是迷惑遠程服務器端主機管理員和防火墻的關鍵，填入一些常用的端口，會使遠程主機管理員和防火墻誤以為連接的是個合法的程序。比如使用端口80，就會使管理員以為自己連接在遠程的Web服務器上。選擇“只允許以上地址連接”選項，使客戶端主機IP地址處于默認的合法控制IP地址池中。(3)單擊“下一步”按鈕，設置木馬的連接類型，彈出如圖1-12所示的對話框。圖1-12 設置連接類型如果使用反彈端口方式二，則選擇“使用HTTP網(wǎng)頁IP通知”，如果使用反彈端口方式一，則選擇“客戶端處于靜態(tài)IP(固定IP地址)”，在此選擇第2項。單擊“下一步”按鈕，顯示出完成設置的對話框，單擊“完成”按

20、鈕就結(jié)束了客戶端的設置。(4)進行服務器端設置。依次單擊“設置”à“生成服務器端”，這時，會彈出“廣外男生”服務器端生成向?qū)?，直接單擊“下一步”按鈕，彈出常規(guī)設置界面，如圖1-13所示。圖1-13 常規(guī)設置選項在“EXE文件名”和“DLL文件名”中填入加載到遠程主機系統(tǒng)目錄下的可執(zhí)行文件和動態(tài)連接庫文件，在“注冊表項目”中填入加載到遠程主機注冊表中的Run目錄下的鍵值名。這些文件名都是相當重要的，因為這是迷惑遠程主機管理員的關鍵所在，如果文件名起的非常有隱蔽性，如sysremote.exe，sysremote.dll，那么就算管理員發(fā)現(xiàn)了這些文件，也不知道這些文件就是木馬文件而輕易刪

21、除它們。注意：把“服務器端運行時顯示運行標識并允許對方退出”前面的對勾去掉，否則服務器端主機的管理員就可以輕易發(fā)現(xiàn)自己被控制了。(5)單擊“下一步”按鈕，彈出網(wǎng)絡設置對話框，如圖1-14所示。圖1-14網(wǎng)絡設置由于我們選擇的是反彈端口連接方式一，所以選擇“靜態(tài)IP”選項，在“客戶端IP地址”中填入入侵者的靜態(tài)IP地址，“客戶端用端口”填入在客戶端設置中選擇的連接端口。(6)再單擊“下一步”按鈕，彈出生成文件的界面，如圖1-15所示。圖1-15生成文件位置選擇在“目標文件”中填入所生成服務器端程序的存放位置，如D:hacktest.exe這個文件就是需要植入遠程主機的木馬文件。單擊“完成”按鈕即

22、可完成服務器端程序的設置，這時就生成了一個文件名為hacktest.exe的可執(zhí)行文件。(7)在目標主機上執(zhí)行木馬程序hacktest.exe，當然在實際情況中，在遠程主機中植入木馬程序是很復雜的事情，這涉及到社會工程學、文件偽裝等技術。由于采用了反彈端口技術，在服務器端主機上執(zhí)行木馬程序后，需要在客戶端主機上等待服務器端主機主動連接過來，過了一段時間后，客戶端主機“廣外男生”顯示界面如1-16所示，表示連接成功。圖1-16 連接成功界面這時，就可以和使用了第二代木馬“冰河”一樣控制遠程主機，主要的控制選項有“文件共享”、“遠程注冊表”、“進程與服務”、“遠程桌面”等。2“廣外男生”的檢測(1

23、)由于使用了“線程插入”技術，所以在Windows系統(tǒng)中采用任務管理器查看線程是發(fā)現(xiàn)不了木馬的蹤跡的，只能看到一些正常的線程在運行，所以我們要使用兩個強大的工具fport和tlist。fport是第三方提供的一個工具，可以查看某個具體的端口被哪個進程所占用，并能查看PID。tlist是Windows資源工具箱中提供的工具，功能非常強，我們利用它查看進程中有哪些動態(tài)鏈接庫正在運行，這對于檢測插入在某個正常的進程中的線程是非常有用的。(2)在服務器端主機上依次單擊“開始”à“運行”，輸入cmd，進入命令行提示符，在這里輸入netstat -an，查看網(wǎng)絡端口占用狀態(tài)，如圖1-17所示。在

24、顯示的結(jié)果，反亮的部分我們發(fā)現(xiàn)了一個可疑的IP地址(就是客戶端的IP地址)與本機建立了連接，這是需要我們注意的地方，記住本機用于連接的端口號1404，1405，1406,1407。圖1-17查看網(wǎng)絡狀態(tài) (3)接著在提示符下輸入fport(注意，要在有fport.exe的目錄中運行fport)，顯示結(jié)果如圖1-18所示。圖1-18查看進程占用端口情況在顯示結(jié)果中，找到端口號1404，1405，1406，1407，發(fā)現(xiàn)木馬插入的進程是ExplorerEXE，記住此進程的PID號848。(4)在提示符下輸入tlist 848，查看在Explorer.EXE中運行的動態(tài)鏈接庫，顯示結(jié)果如圖1-19所

25、示。在眾多的動態(tài)鏈接庫文件中，我們發(fā)現(xiàn)木馬的dll文件gwboydll.dll，在實際情況中，這個文件名是可以改變的，所以一定要仔細檢查，看是否有可疑文件，查看時可以找一臺正常的主機進行對比。圖1-19查看動態(tài)鏈接庫(5)在命令行提示符下輸入tlist -m gwboydll.dll查看木馬是否還插入其它的進程，顯示結(jié)果如圖1-20所示。圖1-20查看插入的進程在顯示結(jié)果中，我們發(fā)現(xiàn)木馬插入了兩個進程，Explorer.EXE、ctfmon.exe，這是木馬的高級之處，如果一個進程被殺，另一個進程還會運行并且立即再在其它進程中插入木馬文件。3手動刪除“廣外男生”木馬“廣外男生”木馬除了可以采用

26、防病毒軟件查殺之外，還可以通過手動方法刪除，具體手動刪除步驟如下：(1)依次單擊“開始”à“運行”，輸入regedit進入注冊表，依次展開到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，在里面找到木馬自啟動文件進行刪除，如圖1-21所示。圖1-21刪除注冊表中木馬文件圖1-22刪除注冊表中木馬文件在實際情況中，這個文件名是可以改變的，應該在Run目錄下仔細檢查是否有可疑文件，對可疑文件進行刪除，注意刪除之前先做好注冊表的備份。(2)進入C:WlNNTSystem32，按文件大小進行排列，搜索木馬文件,將文件刪除。(3)在注冊表中，依次單擊“編輯”à“查找”，查找文件名為gwboydll.dll的文件，找到后將相關的注冊表項全部刪除。(4)重新啟動主機，按F8進入帶命令行提示的安全模式，再進入C:WINNTSystem32中，輸入del gwboydll.dll刪除木馬的動態(tài)鏈接庫文件，這就徹底把木馬文件清除了。任務三 木馬的防范木馬的危害性是顯而易見的，通過以上實驗知道了木馬的攻擊原理和隱身方法，我們就可以采取措施進行防御了，主要方法有以下幾種：(