篇一:实验四:木马攻击与防范
10计科罗国民201030457115
网络安全与维护实验报告
实验四:木马攻击与防范
一、实验目的
通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验要求
通过实验了解木马攻击的原理,了解如何防范木马的入侵。
三、实验原理及内容
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1、 木马的特性
木马程序为了实现某特殊功能,一般应该具有以下性质:
(1) 伪装性: 程序把自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马
代码会在未经授权的情况下装载到系统中并开始运行。
(2) 隐藏性:木马程序同病毒一样,不会暴露在系统进程管理器内,也不会让使用者察
觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3) 破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑
操作,还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。
(4) 窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包
括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2、 木马的入侵途径
木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS 服务存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权县,然后在被攻的服务器上安装并运行木马。
3、 木马的种类
(1) 按照木马的发展历程,可以分为四个阶段:第一代木马是伪装型病毒,将病毒
伪装成一合法的程序让用户运行。第二代木马是网络传播型木马,它具备伪装
和传播两种功能,可以近些年歌迷马窃取、远程控制。第三代木马在连接方式
上有了改进,利用率端口反弹技术。第四代木马在进程隐藏方面作了较大改动,
让木马服务器运行时没有进程,网络操作插入到系统进程或者应用进程完成。
(2) 按照功能分类,木马可以分为: 破坏型木马,主要功能是破坏删除文件;密码发
送型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动
FTP服务或者建立共享目录,使黑客可以连接并下载文件;DOS攻击型木马,它
可以作为被黑客控制的肉鸡实施DOS攻击;代理型木马,它作为黑客发起攻击
的跳板;远程控制型木马,可以使攻击者利用客户端软件完全控制。
4、 木马的工作原理
下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。
(1) 木马的传统连接技术
一般木马都采用C/S运行模式,因此它分为两部分,即客户端和服务器端
木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开
一个默认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端
的木马程序就会自动运行,来应答客户端的请求,从而建立连接。
第一代和第二代木马都采用的是C/S连接方式,都属于客户端主动连接方
式。服务器端的远程主机开放监听端口等待外部的连接,当入侵者需要与远程
主机连接时,便主动发出连接请求,从而建立连接。
(2) 木马的反弹端口技术
随着防火墙技术的发展,它可以有效拦截采用传统连接方式从外部主动发
起连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接,第三代
和第四代“反弹式”木马就是利用这个缺点,其服务器端程序主动放弃对外连接
请求,再通过某些方式连接到木马的客户端,就是说“反弹式”木马是服务器端
主动发起连接请求,而客户端是被动的连接。
根据客户端IP地址是静态的还是动态的,反弹式端口连接可以有两种方式。
反弹端口连接方式一要求入侵者在设置服务器端的时候,指明客户端的IP
地址和待连接端口,也就是远程被入侵的主机预先知道客户端的IP地址和连接
端口。所以这种方式只适用于客户端IP地址是静态的情况。
反弹端口连接方式二在连接建立过程中,入侵者利用一个“代理服务器”保
存客户端的IP地址和待连接端口,在客户端的IP地址是动态的情况下,只要入
侵者更新“代理服务”中存放的IP地址预端口号,远程被入侵主机就可以通过
先连接到“代理服务器”。查询最新木马客户端信息,再和入侵者(客户端)进行
连接。因此,这种连接方式适用于客户端和服务器端都是动态IP地址的情况,
况且还可以穿透更加严密的防火墙。
表6-1总结了反弹端口连接方式一和连接方式二的适用范围。
(3) 线程插入技术
一个应用程序在运行之后,都会在系统中产生一个进程,同时每个进程分别对应另一个不同的进程标识符(PID)。系统会分配一个虚拟的内存空间地址端给这个进程,一切相关的程序操作,都会在这个虚拟的空间进行。一个进程可以对应一个或多个线程,线程之间可以同步执行。一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。“线程插入”技术就是利用了线程之间运行的相对独立性,使木马完全的融进了系统的内核。这种技术把木马程序作为一个线程,把自身插入其他应用程序的地址空间。而这个被插入的应用程序对系统来说,是一个正常的程序,这样就达到了彻底隐藏的效果。系统运行时会有许多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。
1. 实验软硬件环境
两台运行Windows 2000/XP的计算机,通过网络连接。使用“冰河”木马作为联系工具。
2. 实验步骤和方法
1、使用“冰河”对远程计算机进行控制
“冰河”一般由两个文件组成:G_Client和G_Server。其中G_Server是木马的服务器端,即用来植入目标主机的程序,G_Client是木马的客户端,就是木马的控制端。
打开控制端G_Client,弹出“冰河”的主界面,熟悉快捷工具栏。
2、在一台目标主机上植入木马并在此主机上运行G_Sere/ver,作为服务器端;在另一台主机上运行G_Client.作为控制端。打开控制端程序,单击“添加主机”按钮。弹出如图2-1所示的对话框:
图2-1 添加计算机
“显示名称”:填入显示在主界面的名称。
“主机地址”:填入服务器端主机的IP地址。
“访问口令”:填入每次访问主机的密码,“空”即可。
“监听端口”:“冰河”默认监听端口是7626,控制端可以修改它以绕过防火墙。单击“确定”可以看到主机面上添加了test的主机,如图2-2,就表明连接成功。
图2-2添加test主机
单击test主机名,如果连接成功,则会显示服务器端主机上的盘符。这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。
“冰河”大部分功能都是在“命令控制台”实现的,单击“命令控制台”弹出命令控制界面,如图2-3所示:
图2-3 命令控制台界面
展开命令控制台 ,分为“口令类命令”、“注册表读表”、“设置类命令”。
(1)口令命令类:
① “系统信息及口令“:可以查看远程主机的系统信息、开机口令、缓存口令等。 ② “历史口令”:可以查看远程主机以往使用的口令。
③ “击键记录”:启动键盘记录以后,可以记录远程主机用户击键记录,以此可以分析出远程主机的各种帐号和口令或各种秘密信息。
(2)控制类命令
捕获屏幕”:这个功能可以使控制端使用者查看远程主机的屏幕,好像远程主机就在自己面前一样,这样更有利于窃取各种信息。单击“查看屏幕”,弹出远程主机界面。
①“发送信息”:这个功能可以使你向远程计算机发送Windows标准的各种信息。 ②“进程管理”:这个功能可以使控制者查看远程主机上所有的进程。
③“窗口管理”:这个功能可以使远程主机上的窗口进行刷新、最大化、最小化、激活、隐藏等操作。
④“系统管理”:该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。
⑤“其他控制”:该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、注册表锁定等操作。
(3)网络类命令:
①“创建共享”:在远程主机上创建自己的共享。
②“删除共享”:在远程主机上删除某个特定的共享。
③“网络信息”:查看远程主机上的共享信息,单击“查看共享”可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。
⑷文件类命令:展开文件类命令、文件浏览、文件查找、文件压缩、文件删除、文件打开等菜单可以查看、查找、压缩、删除、打开远程主机上的某个文件。目录增删、目录复制、主键增删、主键复制的功能。
⑸注册表读写:提供了键值读取,键值写入,键值重命名、主键浏览、主键删除、主键复制的功能。
⑹设置类命令:提供了更换墙纸、更改计算机名、服务器端配置的功能。
3、删除冰河木马
删除冰河木马主要有以下几种方法:
① 客户端的自动卸载功能,而实际情况中木马客户端不可能为木马服务器自动卸载木
马。
② 手动卸载:查看注册表,在“开始”中运行regedit,打开Windows注册表编辑器。
依次打开子键目录HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/
CruuentVersion/run.
在目录中发现一个默认的键值:C:/WINNT/System32/kernel32.exe,这个就是冰河木马在注册表中加入的键值,将它删除。
然后依次打开子键目录
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wind-
ows/CurrentVersion/Runservices,在目录中也发现一个默认键值:C:/WINNT/System32/
kernel32.exe,这个也是冰河木马在注册表中加入的键值,删除。进入C:/WINNT/System32目录,找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe,删除。
修改文件关联时木马常用的手段,冰河木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序,此外html、exe、zip、com等都是木马的目标。所以还需要恢复注册表中的txt文件关联功能。将注册表中HKEY_CLASSES_ROOT/txtfile/shell/open/
command下的默认值,由中木马后的C:/Windows/SSystem/Susex-plr.exe%1改为正常情况下的C:/Windows/notepad.exe%1。
③ 杀毒软件杀毒
3、木马的防范
木马的危害显而易见,防范木马的方法主要有:
篇二:木马的主要分类
木马的主要分类
远程控制木马:它是数量最多、危害最大,同时也是功能最强的一种木马。具有键盘记录、数据上传和下载、注册表操作、限制系统功能以及判断系统信息等功能。并总是会在“鸡肉”上打开一个端口,以保证目标主机能够被长久控制,
破坏型木马:其主要用途就是破坏“肉鸡:的文件系统,以造成系统崩溃或者数据丢失等电脑故障。从这一点来看,它类似于病毒。但是,破坏型木马的激活是受攻击者控制的,传播和感染能力低于病毒。”肉鸡“指被黑客植入木马的远程电脑 键盘记录木马:这种木马功能单一,用于记录目标主机的键盘敲击操作。这种木马会随电脑一起启动,用户使用键盘的每一次按键都会被植入木马的幕后黑客获取。 代理木马:是黑客入侵远程主机的跳板。黑客入侵目标主机后往往会采取措施掩盖自己的足迹,以免被机主发现,通过代理木马,攻击者可以在匿名的情况下使用 Telnet、IRC等程序、从而隐藏自己足迹。所以,在目标主机中植入代理木马是一个非常重要的任务。 程序禁用木马:用于关闭瑞星,诺顿和木马克星等反木马程序,以便让其他木马更好的发挥作用,这就要求用户要时刻警惕,最好定期使用安全软件对系统进行木马查杀,清楚系统中潜藏的程序禁用木马。
反弹端口木马:防火墙对于连入电脑的链接会进行非常严格的过滤,但是对于输出的链接却往往疏于防范。于是便有了反弹端口木马。反弹端口木马的服务端使用主动端口,客户端使用被动端口。木马定时检测控制端的存在,一旦发现控制端在线上,立即弹出端口,主动链接控制端打开的主动端口。为了隐蔽起见,控制端被动端口一般设置在80端口(浏览网页必须打开的端口)上,用户和防火墙都很难发现。
DOS攻击木马:随着DOS攻击越来越广泛的应用,被用作DOS攻击的木马也越来越流行。当黑客入侵一台电脑并植入DOS攻击木马,以后这台电脑就成了黑客DOS最有利的助手。黑客控制的电脑数量越多,发动DOS攻击成功的几率也就越大。这类木马的危害不是体现在被感染的电脑上,而是体现在攻击者可以利用它来攻击网络上的其他电脑,给网络造成很大的危害和损失。
邮件炸弹木马:计算机一但感染上这种木马,就会随即生成各种各样主题的邮件,对黑客指引的邮件进行不停的发送邮件,一直到对方邮件箱瘫痪而不能接收邮件为止。
篇三:对有关病毒木马的案例分析
对有关病毒木马的案例分析
通过学习网络安全法律法规,我们对“大小姐木马”与“熊猫烧香病毒”做出了学习与分析。
一、“大小姐”病毒起因与发展。
2008年5月6日,南京市公安局网络警察支队接江苏省水利厅报案称,该厅政务网站“江苏水利网”页面无法打开,怀疑疑被黑客侵入。
据了解,江苏省水利厅网站主要承担公文办理、汛情下达等重要任务,日访问量在5000人次。当时,江苏全省已进入汛期,该网站能否正常运行将直接影响全省防汛工作。南京市公安局网络警察支队将其立为破坏计算机信息系统案侦查,并迅速会同鼓楼公安分局抽调精干警力,成立“5·6”专案组。
攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻击案,迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。去年5月14日至6月6日,专案组在湖北宜昌、广西桂林、湖北潜江等地抓获何某等6名犯罪嫌疑人,成功侦破水利厅网站被攻击案。
在侦破水利厅网站被攻击案件过程中,专案组发现,这些人攻击水利厅网站的目的,是为了在该网站上植入一款名为“大小姐”的木
马盗号程序。而这个“大小姐”木马早已臭名昭著,不少网络游戏账号均被该木马程序盗取过。
这一情况引起公安部高度重视,公安部指定南京市公安局管辖此案,并于7月1日挂牌督办本案。专案组经艰苦工作,分别于6月13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙抓获了制作、传播“大小姐”系列木马,破坏计算机信息系统犯罪团伙的组织者王某、作者龙某及销售总代理周某等10人。犯罪嫌疑人王某以牟利为目的,自2006年下半年开始,雇用犯罪嫌疑人龙某先后编写了四十余款针对国内流行网络游戏的盗号木马。王某拿到龙某编写的木马程序后,对外谎称为自己所写,同时寻找代理人进行销售,先后通过周某等人在网上总代理销售木马,该木马系列在传播销售时被命名为“大小姐”木马。 购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏进行盗号。今年2月23日,专门负责盗号并销售游戏装备的犯罪嫌疑人张某在湖南益阳落网。在他的账户中,警方查获现金30余万元;2007年以来,张某已支付给王某700余万元。而王某靠销售“大小姐”木马,已非法获利1400余万元。据介绍,这些人先将非法链接植入正规网站,用户访问网站后,会自动下载盗号木马。当用户登录游戏账号时,游戏账号就会自动被盗取。嫌疑人将盗来的账号直接销售或者雇佣人员将账号内的虚拟财产转移出后销售牟利。
[2007年2月12日]湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获病毒作者李俊(男,25岁,武汉新洲区人),他于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。
其他重要犯罪嫌疑人:雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏账号等方式非法牟利。
这是中国近些年来,发生比较严重的一次。影响较多公司,造成较大的损失。且对于一些疏于防范的用户来说,该病毒导致较为严重的损失。
由于此病毒可以盗取用户名与密码,因此,带有明显的牟利目的。所以,作者才有可能将此病毒当作商品出售,与一般的病毒制作者只是自娱自乐、或显示威力、或炫耀技术有很大的不同。
另,制作者李俊在被捕后,在公安的监视下,又在编写解毒软件。
三、我对此类案件的分析
现今的病毒可谓是“面面俱到”,部分恶性病毒,把能用上的传播方法都捆绑于一身,极大增强了病毒传染的效率。为了防止这类病毒的感染,不仅仅需要杀毒软件厂商的高效工作,还需要互联网用户提高自身的防范意识。只有广大用户都提高了防毒的安全意识,堵住病毒传染的所有途径,才能真正的让病毒无机可乘,无孔而入。最行之有效的办法是养成良好的上网习惯,远离病毒源。
对于木马一类的病毒,我推荐你用Ewido这个软件,它是全球排名第三的反木马软件。我用过,效果还不错的。
当然,一款优秀的防火墙软件也是必不可少的,天网防火墙我虽然没有用过,但是名气很大,可以试一下。