实验七第四代木马的防御【实验目的】●了解第四代木马的特点;●了解反弹技术及连接方式;●掌握第四代木马广外男生的防范技术;【实验设备】●操作系统平台:Win2000或WinXp。●木马工具:广外男生。【实验原理】广外男生同广外女生一样,是广东外语外贸大学的作品,是一个专业级的远程控制及网络监控工具。广外男生除了具有一般普通木马应该具有的特点以外,还具备以下特色:客户端模仿Windows资源管理器:除了全面支持访问远程服务器端的文件系统,也同时支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。强大的文件操作功能:可以对远程机器进行建立文件夹,整个文件夹的一次删除,支持多选的上传、下载等基本功能。同时支持对远程文件的高速查找,并且可以对查找的结果进行下载和删除操作。运用了“反弹端口”与“线程插入”技术:使用了目前流行的反弹端口的木马技术,可以在互联网上访问到局域网里通过NAT代理上网的电脑,轻松穿越防火墙。“线程插入”技术是指在服务器端运行时没有进程,所有网络操作均插入到其它应用程序的进程中完成。因此,服务器端的防火墙无法进行有效的警告和拦截。“反弹端口”技术是指,连接的建立不再由客户端主动要求连接,而是由服务器端来完成,这种连接过程正好与传统连接方式相反。当远程主机被种植了木马之后,木马服务器在远程主机上线之后主动寻找客户端建立连接,客户端的开放端口在服务器的连接请求后进行连接、通信。【实验步骤】一、广外男生的基本使用1、打开广外男生客户端(gwboy092.exe),选择“设置”—“客户端设置”,打开“广外男生客户端设置程序”2.其中最大连接数一般使用默认的30台,客户端使用端口一般设置成803、点击“下一步”,再点击“完成”按钮结束客户端的设置4、服务端设置:进行服务端设置时,选择“设置”—“服务器设置”,打开“广外男生服务端生成向导5.选择“同意”之后,点击下一步,开始进行服务端常规设置,其中,EXE文件名是安装木马后生成的程序名称,DLL文件名是安装木马后生成的DLL文件的名称6、设置完成后点击“下一步”,进行“网络设置”。根据实际网络环境,选择静态IP选项进行实际网络的设置7、设置完成点击“下一步”,填写生成服务器端的目标文件的名称,然后点击“完成”,结束服务器端的配置8、种植木马:将生成的目标文件发送到远程主机,然后在远程主机运行。命令方式:Copygwboy0092.exe\\192.168.59.131\c$9、重新启动远程主机,在客户端进行观察等待远程主机的连接,并对远程主机的运行进行监控。可见服务器与客户端连接成功;客户端看到的远程主机的文件系统;通过客户端看到的远程主机的注册表、广外男生木马的清除1、检测广外男生木马的有效方法为使用“netstat-na”查看目标主机的网络连接情况,如果端口8225开放,那么该主机可能已经中了广外男生木马。2、打开注册表编辑器,展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下,删除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”,删除ID为{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其下所有子键和键值why没有重启后,2003中继续运行,2000中任然没有客户端也没有【实验报告】1、简述第一代到第四代木马的显著特征。答:第一代木马:伪装型病毒,还不具备传染特征,简单的密码窃取、发送等;第二代木马:AIDS型木马,已具备了传播特征(尽管通过传统的邮递方式)通过修改注册表,让系统自动加载并实施远程控制;第三代木马:网络传播性木马,添加了“后门”功能,加了击键记录功能,利用畸形报文传递数据,增加了查杀的难度;第四代木马:在进程隐藏方面,做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接在P5API中,实现木马程序的隐藏,甚至在windowsNT/2000下,都达到了良好的隐藏效果。2、简述木马的功能和防护方法。答:1功能:远程监控,可以控制对方的鼠标、键盘和监视对方屏幕;记录密码;取得电脑主机的信息资料;远程控制;发送信息。2防护:第一,安装杀毒软件和个人防火墙,并及时升级。第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。第四,如果使用IE浏览器,应该安装安全助手或安全浏览器,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。远程控制的木马有:冰河,灰鸽子,上兴,PCshare,网络神偷,FLUX等,DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术,让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。