搜索
第8章木马攻防实战木马全称“特洛伊木马”,主要有以下特点:◆伪装性◆不易删除◆潜伏性◆通用性◆隐蔽性主要有以下功能:◇随系统启动◇屏幕监视◇入侵无需系统认证◇支持邮件发送◇远程控制◇密码截取◇部分还有主动连接功能8.1木马的工作原理一般来说,木马程序包括客户端与服务端两部分。目前木马主要通过邮件、下载等途径传播,也可以通过Script、ActiveX及Asp.CGI等交互脚本进行传播。绝大多数木马使用的是TCP/IP协议,也有使用UDP协议的。木马的隐藏木马的隐藏决定了一款木马的优劣,主要有以下几个方面的隐藏。1、任务栏图标隐藏2、在任务管理器里隐藏3、通信端口的隐藏4、加载方式的隐藏5、最新隐身技术(通过修改虚拟设备驱VXD或动态链接库DLL来加载)木马是如何启动的1、通过启动组实现自启动2、在System.ini、Win.ini启动3、修改注册表4、修改文件关联5、捆绑文件6、篡改文件名黑客如何欺骗用户运行木马1、捆绑欺骗2、邮件冒名欺骗3、压缩包伪装4、网页欺骗5、利用netsend命令欺骗8.2木马的种类1、破坏型2、密码发送型3、远程访问型4、键盘记录木马5、DoS攻击木马6、代理木马7、FTP木马8、程序杀手木马9、反弹端口型木马8.3木马的演变从木马的发展过程来看,有人把木马分为五代。第一代:如Netspy等,功能简单。第二代:如BO2000、冰河等,提供几乎所有远程控制操作。第三代:如灰鸽子木马,完善连接与文件传输技术,增加了穿透防火墙功能。第四代:如广外幽灵,应用了远程线程插入技术。第五代:如黑暗天使,功能更全面,应用动态链接技术,不用生成新文件,已经可以嵌入任何线程中。8.4第二代木马冰河冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词,曾经是国内知名度最高的木马程序。主要功能:1.屏幕监视;2.记录各种口令信息:包括开机口令、屏保口令及绝大多数在对话框中出现过的口令信息;3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;7.发送信息:以四种常用图标向被控端发送简短信息;8.点对点通讯:以聊天室形式同被控端进行在线交谈。应用操作:冰河的文件包括:G_Client.exe:监控端执行程序,用于监控远程计算机和配置服务器程序。G_Server.exe:被监控端后台监控程序(运行一次即自动安装,可任意改名),在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置,例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。清除方法:1、删除C:/Windows/system下的Kernel32.exe和Sysexplr.exe文件。2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun下扎根,键值为C:/windows/system/Kernel32.exe,删除它。3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:/windows/system/Sysexplr.exe%1改为正常情况下的C:/windows/notepad.exe%1,即可恢复TXT文件关联功能。8.4第二代木马广外女生广外女生是广东外语外贸大学“广外女生”网络小组的处女作。它的基本功能有:文件管理方面有上传,下载,删除,改名,设置属性,建立文件夹和运行指定文件等功能;注册表操作方面:全面模拟WINDOWS的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便;屏幕控制方面:可以自定义图片的质量来减少传输的时间,在局域网或高网速的地方还可以全屏操作对方的鼠标(包括单击,双击,右键,拖动等);其他功能还有远程任务管理、邮件IP通知、邮件服务等。广外女生与其他同类软件相比,其主要特点是:1.服务端程序体积小,大家熟悉的“冰河”是260多KB,而广外女生只有96KB!!服务端占用系统资源少,最多时只占用3M的内存,不会影响服务端计算机的速度。2.隐蔽性好,不容易被发现。3.注册表编辑及任务管理界面直观,易于操作。“她”所具有的功能和国产的优秀木马“冰河”相比实际上只多了以下两样:1.远程注册表操作;2.可以关闭一些网络安全防护软件。清除方法:该木马程序运行后,将会在系统的System目录下生成一份自己的拷贝,名称为Diagcfg.exe,并关联EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有EXE文件无法打开的问题。具体手工清除方法如下:1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的Diagcfg.exe,删除它;2、由于Diagcfg.exe文件已经被删除了,因此在Windows环境下任何EXE文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”;3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成“%1”%*;5、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current-Version\RunServices,删除名称为“DiagnosticConfiguration”的键值;6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe。8.5第三与第四代木马木马连接方式1、传统连接方式(主动连接)这种连接方式的木马以冰河为代表。即服务端在运行后监听指定端口,而在连接时,客户端会主动发送连接命令给服务端进行连接。这种方法有个很大的弊处,那就是在连接的时可以轻易的被防火墙所拦截。8.5第三与第四代木马木马连接方式2、反弹端口方式防火墙能阻止外部连接,但是却阻挡不了内部向外连接,反弹连接即利用这原理。反弹连接分为两种。1)FTP反弹连接8.5第三与第四代木马这种方式要求远程主机预先知道客户端IP地址和连接端口,在配置服务端程序时就要知道客户端(入侵者本地机)的IP地址和待连接端口,不适用于动态上网入侵。2)域名反弹连接这种方式引入了一个“中间代理”,用它来存放客户端IP地址和待连接端口,这种方式有效解决了客户端、服务端为动态IP,服务端处于局域网内部等限制。8.5第三与第四代木马第三代木马——灰鸽子灰鸽子(Hack.Huigezi)是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。更甚的是,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。截至2006年底,“灰鸽子”木马已经出现了6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。8.5第三与第四代木马灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。灰鸽子是一个远程控制类软件!与同类软件不同的是采用了“反弹端口原理”的连接方式,因此在互联网上可以访问到局域网里通过NAT代理(透明代理)上网的电脑,并且可以穿过某些防火墙!8.5第三与第四代木马〖灰鸽子〗功能:1.文件管理:模枋Windows资源管理器,可以对文件进行:复制、粘贴、删除,重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用。2.远程控制命令:查看远程系统信息、剪切板查看、进程管理、窗口管理、外设控制、服务管理、共享管理、代理服务、MS-Dos模拟、其它控制!3.捕获屏幕:不但可以连继的捕获远程电脑屏幕,还能把本地的鼠标及键盘传动作送到远程实现实时控制功能!4.注册表模拟器:远程注册表操作就像操作本地注册表一样方便!8.5第三与第四代木马5.远程通讯:除普通的文字聊天以外,还有语音聊天的功能(双方ADSL上网情况下语音良好)!6.代理服务:可以让服务端开放Socks5代理服务器功能,还可以让服务端开放FTP功能!7.命令广播:可以对自动上线主机进行命令播,如关机、重启、打开网页等,点一个按钮就可以让N台机器同时关机或其它操作!〖灰鸽子〗的配置和应用。8.5第三与第四代木马灰鸽子的手工清除:清除灰鸽子要在安全模式下操作,主要有两步:1清除灰鸽子的服务;2删除灰鸽子程序文件。(一)、清除灰鸽子的服务清除灰鸽子的服务一定要在注册表里完成。1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。3、删除整个Game_Server项。8.5第三与第四代木马(二)、删除灰鸽子程序文件删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。类似木马程序——广外男生8.6第五代木马黑暗天使“黑暗天使”是一个结合窃听密码和远程控制于一体的木马,是一个初级的第五代木马。它的隐蔽性是第四代无法比拟的,可用于盗取密码和留后门。“黑暗天使”木马安装之后,在任务管理器中看不到任何新增的进程和在注册表中看不到任何新增的键,采用端口隐藏技术,平时木马不开端口,只有当用editDK.exe连接时才会开端口,只能建立一个连接,连接建立后端口会自动关闭。8.6第五代木马主要特点:1、安装后在任务管理器中看不到任何新增的进程。2、它随机替换掉一