實(shí)驗(yàn)四：木馬攻擊與防范

10計(jì)科羅國(guó)民202330457115網(wǎng)絡(luò)平安與維護(hù)實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)四：木馬攻擊與防范一、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)對(duì)木馬的練習(xí)，使讀者理解和掌握木馬傳播和運(yùn)行的機(jī)制；通過(guò)手動(dòng)刪除木馬，掌握檢查木馬和刪除木馬的技巧，學(xué)會(huì)防御木馬的相關(guān)知識(shí)，加深對(duì)木馬的平安防范意識(shí)。二、實(shí)驗(yàn)要求通過(guò)實(shí)驗(yàn)了解木馬攻擊的原理，了解如何防范木馬的入侵。三、實(shí)驗(yàn)原理及內(nèi)容木馬是隱藏在正常程序中的具有特殊功能的惡意代碼，是具備破壞、刪除和修改文件、發(fā)送密碼、記錄鍵盤、實(shí)施DOS攻擊甚至完全控制計(jì)算機(jī)等特殊功能的后門程序。它隱藏在目標(biāo)的計(jì)算機(jī)里，可以隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口監(jiān)聽(tīng)來(lái)自控制端的控制信息。木馬的特性木馬程序?yàn)榱藢?shí)現(xiàn)某特殊功能，一般應(yīng)該具有以下性質(zhì)：偽裝性:程序把自己的效勞器端偽裝成合法程序，并且誘惑被攻擊者執(zhí)行，使木馬代碼會(huì)在未經(jīng)授權(quán)的情況下裝載到系統(tǒng)中并開始運(yùn)行。隱藏性：木馬程序同病毒一樣，不會(huì)暴露在系統(tǒng)進(jìn)程管理器內(nèi)，也不會(huì)讓使用者發(fā)覺(jué)到木馬的存在，它的所有動(dòng)作都是伴隨其它程序進(jìn)行的，因此在一般情況下使用者很難發(fā)現(xiàn)系統(tǒng)中有木馬的存在。破壞性：通過(guò)遠(yuǎn)程控制，攻擊者可以通過(guò)木馬程序?qū)ο到y(tǒng)中的文件進(jìn)行刪除、編輯操作，還可以進(jìn)行諸如格式化硬盤、改變系統(tǒng)啟動(dòng)參數(shù)等個(gè)性破壞操作。竊密性：木馬程序最大的特點(diǎn)就是可以窺視被入侵計(jì)算機(jī)上的所有資料，這不僅包括硬盤上的文件，還包括顯示器畫面、使用者在操作電腦過(guò)程中在硬盤上輸入的所有命令等。木馬的入侵途徑木馬入侵的主要途徑是通過(guò)一定的欺騙方法，如更改圖標(biāo)、把木馬文件與普通文件合并，欺騙被攻擊者下載并執(zhí)行做了手腳的木馬程序，就會(huì)把木馬安裝到被攻擊者的計(jì)算機(jī)中。木馬也可以通過(guò)Script、ActiveX及ASP、CGI交互腳本的方式入侵，由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞，攻擊者可以利用這些漏洞又到上網(wǎng)者單擊網(wǎng)頁(yè)，這樣IE瀏覽器就會(huì)自動(dòng)執(zhí)行腳本，實(shí)現(xiàn)木馬的下載和安裝。木馬還可以利用系統(tǒng)的一些漏洞入侵，如微軟的IIS效勞存在多種溢出漏洞，通過(guò)緩沖區(qū)溢出攻擊程序造成IIS效勞器溢出，獲得控制權(quán)縣，然后在被攻的效勞器上安裝并運(yùn)行木馬。木馬的種類按照木馬的開展歷程，可以分為四個(gè)階段：第一代木馬是偽裝型病毒，將病毒偽裝成一合法的程序讓用戶運(yùn)行。第二代木馬是網(wǎng)絡(luò)傳播型木馬，它具備偽裝和傳播兩種功能，可以近些年歌迷馬竊取、遠(yuǎn)程控制。第三代木馬在連接方式上有了改良，利用率端口反彈技術(shù)。第四代木馬在進(jìn)程隱藏方面作了較大改動(dòng)，讓木馬效勞器運(yùn)行時(shí)沒(méi)有進(jìn)程，網(wǎng)絡(luò)操作插入到系統(tǒng)進(jìn)程或者應(yīng)用進(jìn)程完成。按照功能分類,木馬可以分為:破壞型木馬，主要功能是破壞刪除文件；密碼發(fā)送型木馬，它可以找到密碼并發(fā)送到指定的郵箱中；效勞型木馬，它通過(guò)啟動(dòng)FTP效勞或者建立共享目錄，使黑客可以連接并下載文件；DOS攻擊型木馬，它可以作為被黑客控制的肉雞實(shí)施DOS攻擊；代理型木馬，它作為黑客發(fā)起攻擊的跳板；遠(yuǎn)程控制型木馬，可以使攻擊者利用客戶端軟件完全控制。木馬的工作原理下面介紹木馬的傳統(tǒng)連接技術(shù)、反彈端口技術(shù)和線程插入技術(shù)。木馬的傳統(tǒng)連接技術(shù)一般木馬都采用C/S運(yùn)行模式，因此它分為兩局部，即客戶端和效勞器端木馬程序。其原理是，當(dāng)效勞器端程序在目標(biāo)計(jì)算機(jī)上被執(zhí)行后，一般會(huì)翻開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽(tīng)，當(dāng)客戶端向效勞器端主動(dòng)提出連接請(qǐng)求，效勞器端的木馬程序就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答客戶端的請(qǐng)求，從而建立連接。第一代和第二代木馬都采用的是C/S連接方式，都屬于客戶端主動(dòng)連接方式。效勞器端的遠(yuǎn)程主機(jī)開放監(jiān)聽(tīng)端口等待外部的連接，當(dāng)入侵者需要與遠(yuǎn)程主機(jī)連接時(shí)，便主動(dòng)發(fā)出連接請(qǐng)求，從而建立連接。木馬的反彈端口技術(shù)隨著防火墻技術(shù)的開展，它可以有效攔截采用傳統(tǒng)連接方式從外部主動(dòng)發(fā)起連接的木馬程序。但防火墻對(duì)內(nèi)部發(fā)起的連接請(qǐng)求那么認(rèn)為是正常連接，第三代和第四代“反彈式〞木馬就是利用這個(gè)缺點(diǎn)，其效勞器端程序主動(dòng)放棄對(duì)外連接請(qǐng)求，再通過(guò)某些方式連接到木馬的客戶端，就是說(shuō)“反彈式〞木馬是效勞器端主動(dòng)發(fā)起連接請(qǐng)求，而客戶端是被動(dòng)的連接。根據(jù)客戶端IP地址是靜態(tài)的還是動(dòng)態(tài)的，反彈式端口連接可以有兩種方式。反彈端口連接方式一要求入侵者在設(shè)置效勞器端的時(shí)候，指明客戶端的IP地址和待連接端口，也就是遠(yuǎn)程被入侵的主機(jī)預(yù)先知道客戶端的IP地址和連接端口。所以這種方式只適用于客戶端IP地址是靜態(tài)的情況。反彈端口連接方式二在連接建立過(guò)程中，入侵者利用一個(gè)“代理效勞器〞保存客戶端的IP地址和待連接端口，在客戶端的IP地址是動(dòng)態(tài)的情況下，只要入侵者更新“代理效勞〞中存放的IP地址預(yù)端口號(hào)，遠(yuǎn)程被入侵主機(jī)就可以通過(guò)先連接到“代理效勞器〞。查詢最新木馬客戶端信息，再和入侵者(客戶端〕進(jìn)行連接。因此，這種連接方式適用于客戶端和效勞器端都是動(dòng)態(tài)IP地址的情況，況且還可以穿透更加嚴(yán)密的防火墻。表6-1總結(jié)了反彈端口連接方式一和連接方式二的適用范圍。反彈端口連接方式使用范圍方式一客戶端和效勞器端都是獨(dú)立IP?？蛻舳霜?dú)立IP，效勞器端在局域網(wǎng)內(nèi)?？蛻舳撕托谄鞫硕荚谕痪钟蚓W(wǎng)內(nèi)。方式二客戶端和效勞器端都是獨(dú)立IP。客戶端獨(dú)立IP，效勞器端在局域網(wǎng)內(nèi)。表6-1反彈端口連接方式及其使用范圍線程插入技術(shù)一個(gè)應(yīng)用程序在運(yùn)行之后，都會(huì)在系統(tǒng)中產(chǎn)生一個(gè)進(jìn)程，同時(shí)每個(gè)進(jìn)程分別對(duì)應(yīng)另一個(gè)不同的進(jìn)程標(biāo)識(shí)符〔PID〕。系統(tǒng)會(huì)分配一個(gè)虛擬的內(nèi)存空間地址端給這個(gè)進(jìn)程，一切相關(guān)的程序操作，都會(huì)在這個(gè)虛擬的空間進(jìn)行。一個(gè)進(jìn)程可以對(duì)應(yīng)一個(gè)或多個(gè)線程，線程之間可以同步執(zhí)行。一般情況下，線程之間是相互獨(dú)立的，當(dāng)一個(gè)線程發(fā)生錯(cuò)誤的時(shí)候，并不一定會(huì)導(dǎo)致整個(gè)進(jìn)程的崩潰。“線程插入〞技術(shù)就是利用了線程之間運(yùn)行的相對(duì)獨(dú)立性，使木馬完全的融進(jìn)了系統(tǒng)的內(nèi)核。這種技術(shù)把木馬程序作為一個(gè)線程，把自身插入其他應(yīng)用程序的地址空間。而這個(gè)被插入的應(yīng)用程序?qū)ο到y(tǒng)來(lái)說(shuō)，是一個(gè)正常的程序，這樣就到達(dá)了徹底隱藏的效果。系統(tǒng)運(yùn)行時(shí)會(huì)有許多的進(jìn)程，而每個(gè)進(jìn)程又有許多的線程，這就導(dǎo)致了查殺利用“線程插入〞技術(shù)木馬程序的難度。實(shí)驗(yàn)軟硬件環(huán)境兩臺(tái)運(yùn)行Windows2000/XP的計(jì)算機(jī)，通過(guò)網(wǎng)絡(luò)連接。使用“冰河〞木馬作為聯(lián)系工具。實(shí)驗(yàn)步驟和方法1、使用“冰河〞對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行控制“冰河〞一般由兩個(gè)文件組成：G_Client和G_Server。其中G_Server是木馬的效勞器端，即用來(lái)植入目標(biāo)主機(jī)的程序，G_Client是木馬的客戶端，就是木馬的控制端。翻開控制端G_Client,彈出“冰河〞的主界面，熟悉快捷工具欄。2、在一臺(tái)目標(biāo)主機(jī)上植入木馬并在此主機(jī)上運(yùn)行G_Sere\ver，作為效勞器端；在另一臺(tái)主機(jī)上運(yùn)行G_Client.作為控制端。翻開控制端程序，單擊“添加主機(jī)〞按鈕。彈出如圖2-1所示的對(duì)話框：圖2-1添加計(jì)算機(jī)“顯示名稱〞：填入顯示在主界面的名稱。“主機(jī)地址〞：填入效勞器端主機(jī)的IP地址?！霸L問(wèn)口令〞：填入每次訪問(wèn)主機(jī)的密碼，“空〞即可。“監(jiān)聽(tīng)端口〞：“冰河〞默認(rèn)監(jiān)聽(tīng)端口是7626，控制端可以修改它以繞過(guò)防火墻。單擊“確定〞可以看到主機(jī)面上添加了test的主機(jī)，如圖2-2，就說(shuō)明連接成功。說(shuō)明連接成功說(shuō)明連接成功圖2-2添加test主機(jī)單擊test主機(jī)名，如果連接成功，那么會(huì)顯示效勞器端主機(jī)上的盤符。這個(gè)時(shí)候我們就可以像操作自己的電腦一樣遠(yuǎn)程操作遠(yuǎn)程目標(biāo)電腦?！氨莹暣缶植抗δ芏际窃凇懊羁刂婆_(tái)〞實(shí)現(xiàn)的，單擊“命令控制臺(tái)〞彈出命令控制界面，如圖2-3所示：圖2-3命令控制臺(tái)界面展開命令控制臺(tái)，分為“口令類命令〞、“注冊(cè)表讀表〞、“設(shè)置類命令〞?！?〕口令命令類：①“系統(tǒng)信息及口令“：可以查看遠(yuǎn)程主機(jī)的系統(tǒng)信息、開機(jī)口令、緩存口令等。②“歷史口令〞：可以查看遠(yuǎn)程主機(jī)以往使用的口令。③“擊鍵記錄〞：?jiǎn)?dòng)鍵盤記錄以后，可以記錄遠(yuǎn)程主機(jī)用戶擊鍵記錄，以此可以分析出遠(yuǎn)程主機(jī)的各種帳號(hào)和口令或各種秘密信息?！?〕控制類命令捕獲屏幕〞：這個(gè)功能可以使控制端使用者查看遠(yuǎn)程主機(jī)的屏幕，好似遠(yuǎn)程主機(jī)就在自己面前一樣，這樣更有利于竊取各種信息。單擊“查看屏幕〞，彈出遠(yuǎn)程主機(jī)界面。=1\*GB3①“發(fā)送信息〞：這個(gè)功能可以使你向遠(yuǎn)程計(jì)算機(jī)發(fā)送Windows標(biāo)準(zhǔn)的各種信息。=2\*GB3②“進(jìn)程管理〞：這個(gè)功能可以使控制者查看遠(yuǎn)程主機(jī)上所有的進(jìn)程。=3\*GB3③“窗口管理〞：這個(gè)功能可以使遠(yuǎn)程主機(jī)上的窗口進(jìn)行刷新、最大化、最小化、激活、隱藏等操作。=4\*GB3④“系統(tǒng)管理〞：該功能可以使遠(yuǎn)程主機(jī)進(jìn)行關(guān)機(jī)、重啟、重新加載冰河、自動(dòng)卸載冰河。=5\*GB3⑤“其他控制〞：該功能可以使遠(yuǎn)程主機(jī)上進(jìn)行自動(dòng)撥號(hào)禁止、桌面隱藏、注冊(cè)表鎖定等操作?！?〕網(wǎng)絡(luò)類命令：①“創(chuàng)立共享〞：在遠(yuǎn)程主機(jī)上創(chuàng)立自己的共享。②“刪除共享〞：在遠(yuǎn)程主機(jī)上刪除某個(gè)特定的共享。③“網(wǎng)絡(luò)信息〞：查看遠(yuǎn)程主機(jī)上的共享信息，單擊“查看共享〞可以看到遠(yuǎn)程主機(jī)上的IPC$,C$、ADMIN$等共享都存在。⑷文件類命令：展開文件類命令、文件瀏覽、文件查找、文件壓縮、文件刪除、文件翻開等菜單可以查看、查找、壓縮、刪除、翻開遠(yuǎn)程主機(jī)上的某個(gè)文件。目錄增刪、目錄復(fù)制、主鍵增刪、主鍵復(fù)制的功能。=5\*GB2⑸注冊(cè)表讀寫：提供了鍵值讀取，鍵值寫入，鍵值重命名、主鍵瀏覽、主鍵刪除、主鍵復(fù)制的功能。=6\*GB2⑹設(shè)置類命令：提供了更換墻紙、更改計(jì)算機(jī)名、效勞器端配置的功能。3、刪除冰河木馬刪除冰河木馬主要有以下幾種方法：客戶端的自動(dòng)卸載功能，而實(shí)際情況中木馬客戶端不可能為木馬效勞器自動(dòng)卸載木馬。手動(dòng)卸載：查看注冊(cè)表，在“開始〞中運(yùn)行regedit,翻開Windows注冊(cè)表編輯器。依次翻開子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CruuentVersion\run.在目錄中發(fā)現(xiàn)一個(gè)默認(rèn)的鍵值：C:\WINNT\System32\kernel32.exe，這個(gè)就是冰河木馬在注冊(cè)表中參加的鍵值，將它刪除。然后依次翻開子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind-ows\CurrentVersion\Runservices,在目錄中也發(fā)現(xiàn)一個(gè)默認(rèn)鍵值：C:\WINNT\System32\kernel32.exe，這個(gè)也是冰河木馬在注冊(cè)表中參加的鍵值，刪除。進(jìn)入C:\WINNT\System32目錄，找到冰河的兩個(gè)可執(zhí)行文件Kernel32.exe和Susexplr.exe，刪除。修改文件關(guān)聯(lián)時(shí)木馬常用的手段，冰河木馬將txt文件的缺省翻開方式由notepad.exe改為木馬的啟動(dòng)程序，此外html、exe、zip、com等都是木馬的目標(biāo)。所以還需要恢復(fù)注冊(cè)表中的txt文件關(guān)聯(lián)功能。將注冊(cè)表中HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認(rèn)值，由中木馬后的C:\Windows\SSystem\Susex-plr.exe%1改為正常情況下的C:\Windows\notepad.exe%1。殺毒軟件殺毒3、木馬的防范木馬的危害顯而易見(jiàn)，防范木馬的方法主要有：提高防范意識(shí)，不要翻開陌生人傳來(lái)的可疑郵件和附件。確認(rèn)來(lái)信的源地址是否合法。如果網(wǎng)速變慢，往往是因?yàn)槿肭终呤褂玫哪抉R搶占帶寬。雙擊任務(wù)欄右下角連接圖標(biāo)，仔細(xì)觀察發(fā)送“已發(fā)送字節(jié)〞項(xiàng)，如果數(shù)字比擬大，可以確認(rèn)有人在下在你的硬盤文件，除非你正使用FTP等協(xié)議進(jìn)行文件傳輸。觀察本機(jī)的連接，在本機(jī)上通過(guò)netstat-an〔或第三方程序〕查看所有的TCP/UDP連接，當(dāng)有些IP地