學(xué)習(xí)情境二主機(jī)入侵技術(shù)的應(yīng)用與防護(hù)任務(wù)六木馬的入侵與

1、學(xué)習(xí)情境二學(xué)習(xí)情境二 主機(jī)入侵技術(shù)主機(jī)入侵技術(shù)的應(yīng)用與防護(hù)的應(yīng)用與防護(hù)任務(wù)六任務(wù)六 木馬的入侵與防護(hù)木馬的入侵與防護(hù) 課程負(fù)責(zé)人：楊文虎課程負(fù)責(zé)人：楊文虎網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)教學(xué)的實(shí)施過程教學(xué)的實(shí)施過程任務(wù)規(guī)劃任務(wù)規(guī)劃學(xué)生探究學(xué)生探究師生析疑師生析疑完成任務(wù)完成任務(wù)檢查評(píng)測(cè)檢查評(píng)測(cè)綜合創(chuàng)新綜合創(chuàng)新思考、探討完成任務(wù)需要思考、探討完成任務(wù)需要的相關(guān)資料，搜集資料，的相關(guān)資料，搜集資料，制定工作計(jì)劃制定工作計(jì)劃 明確需要完成的工作明確需要完成的工作任務(wù)；任務(wù)；教師進(jìn)行點(diǎn)評(píng)、確定教師進(jìn)行點(diǎn)評(píng)、確定最終的實(shí)施方法；對(duì)最終的實(shí)施方法；對(duì)技術(shù)問題進(jìn)行講授和技術(shù)問題進(jìn)行講授和

2、答疑。答疑。學(xué)生進(jìn)入網(wǎng)絡(luò)實(shí)訓(xùn)室，根學(xué)生進(jìn)入網(wǎng)絡(luò)實(shí)訓(xùn)室，根據(jù)工作計(jì)劃完成每個(gè)工作據(jù)工作計(jì)劃完成每個(gè)工作項(xiàng)目，完成每個(gè)項(xiàng)目實(shí)施項(xiàng)目，完成每個(gè)項(xiàng)目實(shí)施日志和心得總結(jié)日志和心得總結(jié) 學(xué)生分組相互檢查任務(wù)完學(xué)生分組相互檢查任務(wù)完成情況，分析不足，給出成情況，分析不足，給出評(píng)價(jià)；教師對(duì)學(xué)生的日志評(píng)價(jià)；教師對(duì)學(xué)生的日志和總結(jié)進(jìn)行分析，給出評(píng)和總結(jié)進(jìn)行分析，給出評(píng)價(jià)。價(jià)。根據(jù)本任務(wù)中掌握的方根據(jù)本任務(wù)中掌握的方法，探索更多的木馬防法，探索更多的木馬防范的方法，搜索相關(guān)工范的方法，搜索相關(guān)工具，并在虛擬網(wǎng)絡(luò)或網(wǎng)具，并在虛擬網(wǎng)絡(luò)或網(wǎng)絡(luò)實(shí)訓(xùn)室中進(jìn)行驗(yàn)證。絡(luò)實(shí)訓(xùn)室中進(jìn)行驗(yàn)證。網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的

3、入侵與防護(hù)什么是計(jì)算機(jī)木馬？計(jì)算機(jī)木馬的危害有哪些？常見的計(jì)算機(jī)木馬如何防范。問題引領(lǐng)問題引領(lǐng)網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目一、項(xiàng)目一、木馬的概述木馬的概述 （一）木馬產(chǎn)生的背景l(fā)木馬全稱“特洛伊木馬”，英文名稱為Trojan Horse，它來源于荷馬史詩中描述的一個(gè)古希臘故事。l傳說，有一次古希臘大軍圍攻特洛伊城，久攻不下。于是，一名古希臘謀士獻(xiàn)計(jì)制造了一只高二丈的大木馬，隨后攻城數(shù)天之后，假裝兵敗，留下木馬拔營(yíng)而去。城中得到解圍的消息，舉城歡慶，并把這個(gè)奇異的戰(zhàn)利品大木馬搬入城內(nèi)。當(dāng)全城軍民進(jìn)入夢(mèng)鄉(xiāng)之時(shí)，藏于木馬中的士兵從木馬密門而下，打開城門引入城外的軍隊(duì)，攻下

4、了特洛伊城。網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目一、木馬的概述項(xiàng)目一、木馬的概述 (二)木馬的概述l在網(wǎng)絡(luò)中的“特洛伊木馬”沒有傳說中的那樣龐大，它們是一段精心編寫的計(jì)算機(jī)程序。 l定義：特洛伊木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，它具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和用戶操作、破壞用戶系統(tǒng)甚至癱瘓的功能。 l木馬設(shè)計(jì)者將這些木馬程序插入到軟件、郵件等宿主中，網(wǎng)絡(luò)用戶執(zhí)行這些軟件時(shí)，在毫不知情的情況下，木馬就進(jìn)入了他們的計(jì)算機(jī)，進(jìn)而盜取數(shù)據(jù)，甚至控制系統(tǒng)。 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 木馬可以被分成良性木馬和惡性木馬兩種。

5、良性的木馬本身沒有什么危害，關(guān)鍵在于控制該木馬的是什么樣的人。 如果是惡意的入侵者，那么木馬就是用來實(shí)現(xiàn)入侵目的的 如果是網(wǎng)絡(luò)管理員，那么木馬就是用來進(jìn)行網(wǎng)絡(luò)管理的工具l 惡性木馬則可以隸屬于“病毒”家族，這種木馬被設(shè)計(jì)出來的目的就是用來進(jìn)行破壞與攻擊的項(xiàng)目一、木馬的概述項(xiàng)目一、木馬的概述 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(三)木馬的表現(xiàn)l 機(jī)器有時(shí)死機(jī)，有時(shí)又重新啟動(dòng) l 在沒有執(zhí)行什么操作的情況下，拼命讀寫硬盤 l 系統(tǒng)莫明其妙地對(duì)軟驅(qū)進(jìn)行搜索 l 沒有運(yùn)行大的程序，而系統(tǒng)的速度越來越慢，系統(tǒng)資源占用很多 l 用任務(wù)管理器調(diào)出任務(wù)表，發(fā)現(xiàn)有多個(gè)名字相同的程序在運(yùn)行，而且

6、可能會(huì)隨時(shí)間的增加而增多 項(xiàng)目一、項(xiàng)目一、木馬的概述木馬的概述 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(四)木馬與病毒的區(qū)別l 特洛伊木馬與前面介紹的病毒或蠕蟲是有一定的區(qū)別的 ，因?yàn)樗粫?huì)自行傳播 如果惡意代碼將其自身的副本添加到文件、文檔或者磁盤驅(qū)動(dòng)器的啟動(dòng)扇區(qū)來進(jìn)行復(fù)制，則被認(rèn)為是病毒 如果惡意代碼在無需感染可執(zhí)行文件的情況下進(jìn)行復(fù)制，那這些代碼被認(rèn)為是某種類型的蠕蟲 l 如果惡意代碼進(jìn)行自我的復(fù)制操作，那就不是特洛伊木馬 項(xiàng)目一、項(xiàng)目一、木馬的概述木馬的概述 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(五)特洛伊木馬的種植l 木馬病毒一般分成客戶端和服務(wù)端兩個(gè)部

7、分。對(duì)于木馬而言，它的客戶端和服務(wù)端的概念與傳統(tǒng)的網(wǎng)絡(luò)環(huán)境的客戶端和服務(wù)端的概念恰恰相反的。 l 要想將木馬植入目標(biāo)機(jī)器，首先需要進(jìn)行偽裝。 第一種將自己偽裝成一般的軟件。 第二種是把木馬綁定在正常的程序上面 （winzip）。l 木馬進(jìn)行偽裝之后就可以通過各種方式進(jìn)行傳播了。比如，將木馬通過電子郵件發(fā)送給被攻擊者、將木馬放到網(wǎng)站上供人下載、通過其它病毒或蠕蟲病毒進(jìn)行木馬的傳播等等。項(xiàng)目一、項(xiàng)目一、木馬的概述木馬的概述 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(六)特洛伊木馬的行為l 瀏覽文件系統(tǒng)，修改、刪除、獲取目標(biāo)機(jī)器上的文件l 查看系統(tǒng)的進(jìn)程信息，對(duì)該系統(tǒng)的進(jìn)程進(jìn)行控制 l

8、查看系統(tǒng)注冊(cè)表，修改系統(tǒng)的配置信息 l 截取計(jì)算機(jī)的屏幕顯示，發(fā)送給客戶端 l 記錄被攻擊系統(tǒng)的輸入、輸出操作，盜取密碼等個(gè)人信息 l 控制計(jì)算機(jī)的鍵盤、鼠標(biāo)或其它硬件設(shè)備的動(dòng)作 l 以被攻擊者的計(jì)算機(jī)為跳板，攻擊網(wǎng)絡(luò)中的其它計(jì)算機(jī) l 通過網(wǎng)絡(luò)下載新的病毒文件項(xiàng)目一、項(xiàng)目一、木馬的概述木馬的概述 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)（一）木馬的分類l 自木馬程序誕生至今，已經(jīng)出現(xiàn)了多種類型，對(duì)它們進(jìn)行完全的列舉和說明是不可能的，更何況大多數(shù)的木馬都不是單一功能的木馬，它們往往是很多種功能的集成品，甚至有很多從未公開的功能在一些木馬中也廣泛地存在著。 遠(yuǎn)程控制木馬 密碼發(fā)送木馬

9、 鍵盤記錄木馬 破壞性質(zhì)的木馬 DoS攻擊木馬 代理木馬 FTP木馬 項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(二)木馬的發(fā)展l 與病毒一樣，木馬也是從Unix平臺(tái)上產(chǎn)生出來，在Windows操作系統(tǒng)上“發(fā)揚(yáng)光大”的。 l 1986年出現(xiàn)了世界上第一個(gè)計(jì)算機(jī)木馬。 l 1989年出現(xiàn)的木馬更具戲劇性，它通過郵政郵件進(jìn)行傳播 l 計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展給木馬病毒的傳播帶來了極大的便利，木馬的發(fā)展速度和破壞能力已經(jīng)是以前的木馬病毒無法比擬的了。 l 從木馬的發(fā)展來看，大致可以將木馬分成四代。項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展

10、 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(三)第二代木馬-冰河l 冰河與廣外女生被認(rèn)為是標(biāo)準(zhǔn)的第二代木馬l 它們功能強(qiáng)大，操作方便，曾經(jīng)占領(lǐng)了國(guó)內(nèi)木馬的半壁江山項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 冰河是一款優(yōu)秀的國(guó)產(chǎn)木馬。l 冰河含有兩個(gè)文件：G_Server.exe：被監(jiān)控端后臺(tái)監(jiān)控程序G_Client.exe：監(jiān)控端執(zhí)行程序，用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器程序項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)冰河的功能l 自動(dòng)跟蹤目標(biāo)機(jī)器屏幕變化，進(jìn)行遠(yuǎn)程

11、管理（局域網(wǎng)適用）l 記錄各種口令信息l 獲取系統(tǒng)信息：計(jì)算機(jī)名、當(dāng)前用戶、操作系統(tǒng)版本、物理及邏輯磁盤信息等l 限制系統(tǒng)功能：遠(yuǎn)程關(guān)機(jī)、重啟、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵、鎖定注冊(cè)表等l 遠(yuǎn)程文件操作l 注冊(cè)表操作l 發(fā)送信息l 點(diǎn)對(duì)點(diǎn)通訊：以聊天形式同被控端進(jìn)行在線交談項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)冰河使用實(shí)例步驟一：打開冰河客戶端（G_Client.exe）項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 步驟二：配置冰河服務(wù)器，選擇“設(shè)置”配置服務(wù)器程序”，進(jìn)行配置

12、木馬服務(wù)器項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 步驟三：種植木馬l 步驟四：遠(yuǎn)程控制，選擇“文件”添加主機(jī)“，在添加主機(jī)對(duì)話框中填入IP地址和訪問口令項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防

13、護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(四)廣外女生應(yīng)用實(shí)例項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)步驟一：配置廣外女生服務(wù)器端項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的

14、分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 步驟二：種植木馬l 步驟三：添加遠(yuǎn)程主機(jī)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目二、木馬的分類與發(fā)展項(xiàng)目二、木馬的分類與發(fā)展 網(wǎng)絡(luò)安全與

15、防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(一) 灰鴿子木馬l 灰鴿子是國(guó)內(nèi)第三代木馬的典型代表l 除了可以使用傳統(tǒng)連接方式，可以使用反彈窗口的連接方式，方便的控制動(dòng)態(tài)IP地址和局域網(wǎng)內(nèi)的遠(yuǎn)程主機(jī)l 在使用灰鴿子時(shí)，可以利用灰鴿子自帶的工具，申請(qǐng)免費(fèi)域名提供的動(dòng)態(tài)IP映射實(shí)現(xiàn)代理功能項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)1、木馬的鏈接方式l 第一代和第二代木馬屬于傳統(tǒng)的連接方式：遠(yuǎn)程主機(jī)開放監(jiān)聽端口等待外部連接，成為服務(wù)器端；當(dāng)入侵者需要與遠(yuǎn)程主機(jī)連接時(shí)，發(fā)送連接請(qǐng)求。l 第三代木馬開始使用了“反彈端口”技術(shù)，連接不再由客戶端發(fā)起，而

16、是服務(wù)器端來完成。l 反彈窗口技術(shù)需要在配置服務(wù)器時(shí)指明入侵者的ip地址和連接端口，因此不適用于動(dòng)態(tài)上網(wǎng)的入侵者項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)2、反窗口的鏈接方式l 無中間代理的連接l 引入中間代理的連接項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 獲取客戶端獲取客戶端IP、Port客戶端客戶端遠(yuǎn)程主機(jī)遠(yuǎn)程主機(jī)中間代理（保存客戶端中間代理（保存客戶端IP、Port）更新更新IP、port網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)(二) 廣外男生木馬l 簡(jiǎn)介：廣外男生同廣外女生一樣，是廣東外語外貿(mào)大學(xué)的作品。l 特色：

17、 客戶端模仿Windows資源管理器：除了全面支持訪問遠(yuǎn)程服務(wù)器文件系統(tǒng)，也同時(shí)支持通過對(duì)方的“網(wǎng)上鄰居”，訪問對(duì)方內(nèi)部網(wǎng)其他機(jī)器 運(yùn)用了“反彈窗口”技術(shù) 使用了“線程插入”技術(shù)：服務(wù)器運(yùn)行時(shí)沒有進(jìn)程，所有網(wǎng)絡(luò)操作均插入到其他應(yīng)用程序的進(jìn)程中完成。即便受控端安裝的防火強(qiáng)有“應(yīng)用程序訪問權(quán)限”的功能，也不能對(duì)廣外男生的服務(wù)器進(jìn)行有效警告和攔截。 不再支持傳統(tǒng)的連接方式項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)廣外男生木馬應(yīng)用實(shí)例l 客戶端設(shè)置：打開廣外男生客戶端（gwboy092.exe），選擇“設(shè)置”“客戶端設(shè)置”，打開“廣外男生客戶端設(shè)

18、置程序”。 其中最大連接數(shù)一般使用默認(rèn)的30臺(tái)，客戶端使用端口一般設(shè)置成80項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 本次實(shí)驗(yàn)使用固定IP地址的主機(jī)進(jìn)行實(shí)驗(yàn)，因此選擇“客戶端處于靜態(tài)IP”l 點(diǎn)擊“下一步”，再點(diǎn)擊“完成”按鈕結(jié)束客戶端的設(shè)置。 項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 服務(wù)端設(shè)置：進(jìn)行服務(wù)端設(shè)置時(shí)，選擇“設(shè)置”“服務(wù)器設(shè)置”，打開“廣外男生服務(wù)端生成向?qū)А?項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l

19、選擇“同意”之后，點(diǎn)擊下一步，開始進(jìn)行服務(wù)端常規(guī)設(shè)置 項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 設(shè)置完成后點(diǎn)擊“下一步”，進(jìn)行“網(wǎng)絡(luò)設(shè)置”。根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境，選擇靜態(tài)IP選項(xiàng)進(jìn)行實(shí)際網(wǎng)絡(luò)的設(shè)置 項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 設(shè)置完成點(diǎn)擊“下一步”，填寫生成服務(wù)器端的目標(biāo)文件的名稱，然后點(diǎn)擊“完成”，結(jié)束服務(wù)器端的配置 項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)

20、安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)廣外男生木馬的清除1、檢測(cè)廣外男生木馬的有效方法為使用“netstat -na”查看目標(biāo)主機(jī)的網(wǎng)絡(luò)連接情況，如果端口8225開放，那么該主機(jī)可能已經(jīng)中了廣外男生木馬。2、打開注冊(cè)表編輯器，展開到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，刪除字符串指gw

21、boy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”，刪除ID為5EAE4AC0-146E-11D2-A96E-9的鍵及其下所有子鍵和鍵值。3、點(diǎn)擊 “編輯”菜單中的 “查找”，在注冊(cè)表編輯器中搜索gwVboydl1。dll，找到所有和它有關(guān)的注冊(cè)表項(xiàng)，全部刪除。4、刪除system32目錄下的gwboy.exe。然后進(jìn)入DOS模式下，輸入del winntsystem32gwVboydll.dll命令，刪除system32目錄中的gwboydll.dll文件。項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與

22、防護(hù)2.6 木馬的入侵與防護(hù)（三）文件夾木馬l 在windows系統(tǒng)中，文件夾采用了實(shí)現(xiàn)網(wǎng)頁的方法來實(shí)現(xiàn)文件夾的樣式，也就是說Windows中的文件夾支持HTML和javascript定義的一些動(dòng)作l 通過編寫javascript可以讓文件夾在打開時(shí)自動(dòng)執(zhí)行程序l 文件夾木馬的實(shí)現(xiàn)需要沒有打補(bǔ)丁的IE5.0的支持項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 步驟一：打開“文件夾選項(xiàng)”設(shè)置，將“隱藏受保護(hù)的操作系統(tǒng)文件”前面的勾去掉，同時(shí)設(shè)置現(xiàn)實(shí)所有文件和文件夾l 步驟二：新建一個(gè)文件夾，雙擊該文件后，選擇“查看”“自定義文件夾”。在“自定

23、義文件夾向?qū)А敝羞x擇“選擇或編輯該文件夾的HTML模板”，然后單擊“下一步”，進(jìn)入“模板選擇”l 步驟三：在“模板選擇”對(duì)話框中選擇標(biāo)準(zhǔn)，單擊“下一步”，完成自定義文件夾。該文件夾會(huì)多出Folder settings文件夾和desktop.ini文件l 步驟四：編寫javascript代碼項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)l 步驟五：修改Folder.htt文件（在Folder settings文件夾中），用記事本打開Folder.htt，然后在后面加入編寫的javascript代碼，并保存l 步驟六：將木馬或相應(yīng)應(yīng)用程序拷貝到F

24、older settings文件夾中，便完成了制作過程l 步驟七：雙擊文件夾，測(cè)試結(jié)果項(xiàng)目三、常見木馬的應(yīng)用項(xiàng)目三、常見木馬的應(yīng)用 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)（一）木馬的加殼l 一個(gè)程序?qū)懲旰?，并不是把寫好的程序直接提供給用戶使用，而是需要通過一些軟件對(duì)應(yīng)用程序進(jìn)行處理，處理的目的有兩個(gè)，一個(gè)是為了保護(hù)程序源代碼、防止被修改和破壞，另一個(gè)是通過加殼后，減小程序的體積，這個(gè)處理的過程被稱作“加殼”。木馬通過加殼后可以實(shí)現(xiàn)避免被殺毒軟件的查殺，這些加殼的軟件常見的有ASPack、UPX、WWPACK等。項(xiàng)目四、木馬的加殼與解殼項(xiàng)目四、木馬的加殼與解殼 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安

25、全與防護(hù)2.6 木馬的入侵與防護(hù)（二）木馬的解殼l 與加殼相反的過程稱為“解殼”，目的是把加殼后的程序回復(fù)成毫無包裝的可執(zhí)行代碼，這樣未授權(quán)者便可以對(duì)程序進(jìn)行修改。脫殼與加殼需要使用相同的軟件進(jìn)行，例如，使用UPX對(duì)木馬程序進(jìn)行加殼之后，如果需要解殼，仍然需要使用UPX進(jìn)行解殼。項(xiàng)目四、木馬的加殼與解殼項(xiàng)目四、木馬的加殼與解殼 網(wǎng)絡(luò)安全與防護(hù)網(wǎng)絡(luò)安全與防護(hù)2.6 木馬的入侵與防護(hù)（三）木馬的加殼實(shí)例l 我們可以使用Language2000這種檢測(cè)工具發(fā)現(xiàn)程序加殼所使用的軟件類型l 使用Language2000檢測(cè)得到的冰河木馬軟件服務(wù)器端的加殼內(nèi)容，其中Program一項(xiàng)的值A(chǔ)SPack說明被檢測(cè)的冰河軟件采用的加殼工具是ASPack。項(xiàng)目四、木馬的加殼與解