实验13 木马捆绑与隐藏

合集下载

实验13 木马捆绑与隐藏

木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。

为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。

在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。

总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。

12.2.2 工作原理1．木马捆绑木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。

这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。

木马捆绑的手段归纳起来共有四种：（1）利用捆绑机软件和文件合并软件捆绑木马；（2）利用WINRAR、WINZIP 等软件制作自解压捆绑木马；（3）利用软件打包软件制作捆绑木马；（4）利用多媒体影音文件传播。

2．木马隐藏隐藏是一切恶意程序生存之本。

以下是木马的几种隐藏手段：（1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。

真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。

（2）伪装成图像文件：即将木马图标修改成图像文件图标。

（3）伪装成应用程序扩展组件：将木马程序写成任何类型的文件（如dll,ocx等），然后挂在十分出名的软件中。

因为人们一般不怀疑这些软件。

（4）错觉欺骗：利用人的错觉，例如故意混淆文件名中的1（数字）与l（L的小写）、0（数字）与o（字母）或O（字母）。

木马的植入自启动和隐藏

计算机病毒与防治课程小组
木马自启动途径
3 加入系统启动组
在启动文件夹[Windir]\start menu\programs\startup\中添加程序或快捷方式，也可修改册表的位置：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\Shell Folders Startup]="windows\start menu\programs\startup"
计算机病毒与防治课程小组
木马入侵
通过缓冲区溢出植入木马
上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str 的长度大于16就会造成buffer的溢出，使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat(),sprintf(), vsprintt(), gets(), scanf()，以及在循环内的getc(), fgetc(), getchar()等。当然，随便往缓冲区中填东西造成它溢出一般只会出现Segmentation fault错误，而不能达到攻击的目的。如果在溢出的缓冲区中写入我们想执行的代码，再覆盖函数返回地址的内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。
通过电子邮件传播是一种最简单有效的方法，黑客通常给用户发电子邮件，而这个加在附件中的软件就是木马的服务器端程序。
缓冲区溢出攻击是植入木马最常用的手段。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
计算机病毒与防治课程小组
木入侵
通过缓冲区溢出植入木马
缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序： void function(char *str)｛ char buffer[16]; strcpy(buffer,str); }

木马捆绑方法

捆绑机是玩马者常用的一个软件，用于将木马的服务端和其他文件捆绑在一起，欺骗对方运行。现在好多捆绑机都会被杀。现在介绍一款永远不会被杀的捆绑机--WinRAR。
WinRAR是网上常用的一个压缩/解压缩软件，支持包括zip在内的多种压缩格式，压缩率高，现在越来越多的人喜欢用WinRAR来压缩软件了。
优点:
1、WinRAR“捆绑”的文件是永远不会被杀的，不用担心哪天杀毒软件会瞄上你的“捆绑机”。
2、等第一个正常程成的程序稍嫌偏大，我用WinRAR3.0生成的exe比rar文件大了不少，如果是“捆绑”大文件应该还可以。
现在点击“高级”标签，选择“全部隐藏”和“覆盖所有文件”这两个选项。这两个选项是为了不让rar解压的时候弹出窗口。然后点击“文字和图标”标签，选择你喜欢的图标吧。
点击两下确定返回，在同一个目录下就会生成一个与rar同名的exe文件，这个就是“捆绑“后的文件了。你也可以给文件更名。比如“我的照片.jpg.exe”。注意，文件后缀名一定要是exe。
利用它的自解压和文件运行功能可以实现捆绑机的基本要求。
首先我们选定两个文件“server.exe”和“我的照片.jpg”，点击右键选添加到“XXXXX.rar”。(XXXXX为你文件所在的目录) 然后双击打开生成的这个rar文件，点击工具栏上的自解压图标。在弹出的对话框中选择高级自解压选项。在“解压路径”中填入你要解压的路径， %systemroot%temp表示系统安装目录下的temp文件夹，一般是c:winnttemp文件夹。“解压缩之后运行”中输入木马的服务端“server.exe”，“解压缩之前后运行”中输入“我的照片.jpg”。此处有一定的欺骗性。生成后的程序运行时会先调用默认关联的图片查看程序来打开“我的照片.jpg”，等关闭这个图片查看程序后才会去运行“server.exe”，可以起到一定的迷惑作用，所以顺序一定不能颠倒，否则就露馅了。

如何预防木马-结合木马的藏身之所,隐藏技术,总结清除木马的方法.

基于windows的计算机病毒越来越多计算机病毒向毒传播方式多样化传播速度更快计算机病毒造成的破坏日益严重病毒技术与黑客技术日益融合依赖络系统漏洞传播攻击方式多种多样硬盘主引导扇区由哪几部分构成
如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.
《如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.》是一篇好的范文，感觉很有用处，重新编辑了一下发到。篇一：《计算机病毒》复习思考题2014 2014《计算机病毒》复习思考题第一手资料：教材、教学PPT必读参考资料：1.金山毒霸2013-2014中国互联网安全研究报告.doc 2.中国互联网站发展状况及其安全报告（2014年）.pdf 3.瑞星2014年上半年中国信息安全报告.pdf 4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc 5.★★★木马防治之“葵花宝典”.doc 6.★★★深层病毒防护指南.doc 7.专题：★★★手动杀毒综合篇.doc 8.打造安全U盘(实验).doc 9.打造安全、流畅、稳定的系统.ppt主机入侵防御系统.ppt 11.关于HOSTS文件.doc 12.病毒触发条件.doc第一章计算机病毒概述1.简述计算机病毒的定义和特征。2.如何通过病毒的名称识别病毒的类型？3.计算机病毒有哪些传播途径？?查找相关资料，试述计算机病毒发展趋势与特点。?研究计算机病毒有哪些基本原则？搭建病毒分析的环境有哪些方法？第2章预备知识1.硬盘主引导扇区由哪几部分构成？一个硬盘最多可分几个主分区？为什么？Fdisk/mbr命令是否会重写整个主引导扇区？2．低级格式化、高级格式化的功能与作用是什么？高级格式化(FORMAT)能否清除任何计算机病毒？为什么？下的EXE文件病毒是如何获取控制权的？感染EXE文件，需对宿主作哪些修改？4.针对PE文件格式，请思考：Win32病毒感染PE文件，须对该文件

病毒实验报告

病毒实验报告——木马程序设计姓名：潘莹学号：U200915340 班级：信息安全0903班日期：2012.01.10目录木马原理 (3)实验目的 (9)实验设计 (9)实现的功能 (9)各个功能陈述 (10)实验模块 (11)socket编程 (11)隐藏技术——服务级木马 (13)钩子技术 (14)进程查杀 (15)实验详细设计 (15)实验截屏 (16)心得体会 (18)附录 (18)附录一木马程序源代码 (18)附录二钩子源代码 (37)附录三参考书籍 (45)木马原理一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

木马原理用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：(1) 木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2) 信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

传统特洛伊木马的工作原理

史少甫 20092420229 通信2班一、什么是特洛伊木马特洛伊木马（TrojanHorse，以下简称木马）的名称取自希腊神话的特洛伊木马记。

木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。

特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。

这些权限并不是服务端赋予的，而是通过木马程序窃取的。

木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

1、硬件部分建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

I NTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

2、软件部分实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

3、具体连接部分通过I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。

控制端I P，服务端I P：即控制端，服务端的网络地址，也是木马进行数据传输的目的。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

实验4-3的实验报告

电子科技大学实验报告学生姓名：学号：指导教师：实验地点：主楼A2-413-1 实验时间：一、实验室名称：主楼A2-413-1二、实验项目名称：木马技术初级实验1三、实验学时：1 学时四、实验原理：木马进行网络入侵，从过程上看大致可分为六步：（1）木马配置一般来说，一个成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下的功能：第一让木马程序更加隐蔽，比如隐蔽的文件名，文件图标，文件属性。

第二就是设置信息反馈的方式，比如在窃取信息后，发送邮件到攻击者，或者上传至某处等等。

第三就是如果是反向连接的木马，需要配置获得攻击者的IP并连接的具体方式。

（2）传播木马根据配置生产木马后，需要将木马传播出去，比如通过邮件诱骗，漏洞攻击等。

（3）运行木马在用户机器上木马程序一旦被运行后，木马便会安装并驻留在用户系统中。

木马通过各种手段防止不被用户发现，并且随系统启动而启动，以求获得最长的生命期。

并在这一期间会通过各种手段向攻击者发出反馈信息，表示木马已经获得运行。

（4）建立连接无论是正向连接还是反向连接的木马，都会在入侵用户机器成功运行伺机与攻击者获得联系，正向连接的木马往往是开发一个特定的端口，然后由攻击者扫描到被攻击机器建立连接。

如果是反向连接的木马，则是木马本身在一定的情况下获得攻击者的IP地址，并主动建立连接。

（5）远程控制攻击者一端与被控端建立连接后，它们之间便架起了一条网络通讯的通道，攻击者通过向被控端发出各种请求操作实现远程控制。

现在的木马程序功能都做的非常完善，操作远端机器就如同本地操作一样简单容易。

4．木马/后门的特点与技术（1）木马隐蔽技术木马的隐藏主要分为文件隐藏、进线程隐藏、端口隐藏、注册表隐藏等等。

隐藏的手段也多种多样。

并且这项技术是关乎木马本身生命周期的关键因素。

通过编写驱动程序隐藏木马的方法已非常多见，用户在未使用一些更高级的工具之前是无法发现木马的存在的，对于防病毒软件来说清除难度也较大。

详解常用的木马隐身术武林安全网-电脑资料

详解常用的木马隐身术武林安全网-电脑资料一、对木马使用花指令花指令就是指程序中包括了跳转指令及一些无用的指令在内的汇编指令段，有加区加花和去头加花两种，通常是用来改变程序的入口点或打乱整个程序的顺序，。

而一些杀毒软件在进行木马查杀工作时，都是按从程序的开头到结尾的顺序进行检测的，以此来找到与病毒库中某一特征码相似的特征。

甚至一些杀毒软件就是以程序的入口点作为特征码的。

因此，如果木马的程序顺序被打乱，或者程序的入口点被修改，那么，杀毒软件也就很难检测出它来，于是就达到了隐身的目的。

能完成这些工作的，就是在木马程序中使用花指令。

要在木马程序中使用花指令，可以有两种方式，一种是使用互联网上现成的，另一种是攻击者自己编写或者使用花指令生成软件。

由于互联网上现成的花指令同样会被杀毒软件厂商所得到，因此不会有什么好的保护效果。

对于有一定汇编技术的攻击者来说，就会使用自己编写花指令的方式，还可以使用一些花指令生成软件，如超级加花器和花蝴蝶等。

正是由于给木马添加不易被检测到的花指令需要高超的编程技术，也就很少有普通的攻击者使用这种方式，至少在没有陌生的花指令生成软件出现之前，是不太喜欢使用它的。

并且，由于对木马使用花指令也只是对其可执行文件本身有效，当其加载至内存后，这种隐身方式将失去作用。

因此，使用具有内存查杀功能的杀毒软件，就能够非常容易地检测到只使用这种隐身方式的木马病毒的。

在当前具有内存查杀功能的安全软件之中，查杀花指令保护木马比较好的就是EWIDO了。

也可以使用Ollydbg程序先将木马加入到内存中后再查杀。

同时，还可以使用像“花指令清除器”一类的花指令检测软件，来识别和除去花指令。

二、终止安全软件进程现在，几乎所有的木马都在使用一种十分有效的、躲避安全检测软件的方法，就是终止系统中所有安全软件的进程，从而达到了不会被查杀的目的。

而要实现这种功能，只要木马能够枚举系统中的所有正在运行的进程，然后从中找到匹配的安全软件进程名，通过发送一个终止进程的Windows消息给它，就可以结束这些正在运行的安全软件，电脑资料《详解常用的木马隐身术武林安全网》(https://www.)。

木马实现技术实验实验报告

实验过程：
实验一：木马程序实验
1打开给的实验文件，其中SocketListener目录下是木马Server端源代码，SocketCommand目录下是木马Client端源代码。
2用Visual Studio 6.0环境分别编译这两部分代码
3运行SocketListener应用程序，也就是启动了木马被控制端
3、在“系统服务”管理界面中，找到那些服务后，双击打开，在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置，一般正常安装的程序，比如杀毒，MSN，防火墙，等，都会建立自己的系统服务，不在系统目录下，如果有第三方服务指向的路径是在系统目录下，那么他就是“木马”。选中它，选择表中的“禁止”，重新启动计算机即可。
实验报告
题目：木马实现技术实验
姓名
学号
实验环境：VMware workstation 9.0
操作系统：windows系统XP（√）2003（）其他：
软件：Visual Studio 6.0编程环境
硬件环境：CPU主频（）内存（）
实验内容：
1、木马程序实验
3、测试服务级木马svchost
通过以上三个实验，给出木马类病毒的防治策略和方法的总结。
查看服务可发现system服务已删除
对于类似svchost类型自动加载系统服务木马的防御，我们可以从系统服务检查入手，使用windowsXP系统自带的服务查看工具，从控制面板----管理----服务查看，运行后，可以看到“system”服务，如果用户对windows系统服务不是很熟悉的话，很难发现这个木马。
实验三：测试服务级木马Байду номын сангаасvchost
1编译代码
2运行木马，同时加上安装服务参数-i

木马病毒攻击实验

步骤2改为访问http://localhost/jstrojan/shutdown/index.html
访问以后看你的计算机是否开始注销或者关闭了。
八、实验数据及结果分析：
由于这个脚本是针对IE的漏洞进行设计的，因此对于Windows2000和Windows Xp，这个木马都有效。当然对于已经打了补丁的系统，这个脚本就无能为力了。另外由于已经对木马加密了，所以在一定程度上这个木马脚本还有一定免查杀能力，在某些实验环境下杀毒软件没有任何提示，因为现在的杀毒软件多数都是根据的病毒的特征码来查杀病毒的，而加密以后就不在具有病毒的特征码描述的特征了。
步骤2改为访问http://localhost/jstrojan/breed/index.html
通过命令行查看用户目录，然后到用户目录去看一下，是否有很多可执行文件生成（最多可以达到30000个，我们限制了数量），检查这些可执行文件是否有自我们繁殖功能。
实验三
通过木马关闭计算机
步骤基本和实验一相同
十一、对本实验过程及方法、手段的改进建议：
我们在实验中使用的木马功能其实并不够强大，也就是只有演示功能，其实我们完全可以把远程控制功能加到木马写木马中，这样才能够算是真正意义上的木马，一旦用户访问了我们指定的页面，该计算机就会被我们所控制。
报告评分：分
指导教师签字：
o.Fields("a").Value="这里是HTA的代码"
hta代码在IE临时文件夹内找到bbs003302.css并且改成可执行文件，然后修改成AUTOEXEC.BAT隐藏运行.这里HTA是指HTML Application(关于它的信息请参考Windows的帮助文档)
四、跨域运行HTA的实现.

木马通信的隐蔽技术

引言木马通常需要利用一定的通信方式进行信息交流（如接收控制者的指令、向控制端传递信息等）。

系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。

木马一般也是利用TCP/UDP端口与控制端进行通信。

通常情况下，木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。

早期的木马在系统中运行后都是打开固定的端口，后来的木马在植入时可随机设定通信时打开的端口，具有了一定的随机性。

可是通过端口扫描很容易发现这些可疑的通信端口。

事实上，目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。

木马通信端口成为暴露木马形踪一个很不安全的因素。

为此采用新技术的木马对其通信形式进行了隐蔽和变通，使其很难被端口扫描发现。

2木马通信形式的隐蔽技术木马为隐蔽通信形式所采用的手段有：端口寄生、反弹端口、潜伏技术，嗅探技术。

2.1端口寄生端口寄生指木马寄生在系统中一个已经打开的通信端口，如TCP80端口，木马平时只是监听此端口，遇到特殊的指令才进行解释执行。

此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的，因此，在扫描或查看系统中通信端口时是不会发现异常的。

在Windows9X系统中进行此类操作相对比较简单，但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。

在控制端与木马进行通信时，如木马所在目标系统有防火墙的保护，控制端向木马发起主动连接就有可能被过滤掉。

2.2反弹端口反弹端口就是木马针对防火墙所采用的技术[1]。

防火墙对于向内的链接进行非常严格的过滤，对于向外的连接比较信任。

与一般的木马相反，反弹端口木马使用主动端口，控制端使用被动端口。

木马定时监测控制端的存在，发现控制端上线，立即主动连接控制端打开的被动端口。

为了隐蔽起见，控制端的被动端口一般开在TCP80。

这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCPUSERIP：1026CONTROLLERIP：80ESTABLISHED这种情况，用户可能误认为是自己在浏览网页。

南京邮电大学木马攻防实验报告

课程名称实验名称
网络安全实验木马攻击与防范年 12 月日
实验时间 2013 指导单位指导教师
学生姓名学院(系)
班级学号专业
实验报告
实验名称实验类型
木马攻击与防范
设计实验学时 8
指导教师实验时间
一、实验目的
1. 本次实验为考核实验，需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容： (1) 构建一个具有漏洞的服务器，利用漏洞对服务器进行入侵或攻击； (2) 利用网络安全工具或设备对入侵与攻击进行检测； (3) 能有效的对漏洞进行修补，提高系统的安全性，避免同种攻击的威胁。 2 通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木
1
使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。一个完整的冰河木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。冰河木马程序不能自动操作，一个冰河木马程序是包含或者安装一个存心不良的程序的，它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。冰河木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，冰河木马才会运行，信息或文档才会被破坏和遗失。冰河木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。二、过程与步骤及结果一．攻击前的准备首先解压冰河木马程序包，里面有四个文件，如图：

实验报告在word中插入木马

实验报告课题：在word中插入木马系院：计算机科学技术系专业：计算机网络技术班级：10网1学号：**********姓名：***指导老师：***目录引言 (3)第一章什么是木马 (3)1.1木马简介 (3)1.1.1木马攻击原理 (3)1.1.2木马的功能 (3)1.2木马植入方式 (4)1.2.1利用共享和Autorun文件 (4)1.2.2把木马转换为BMP格式 (5)1.2.3利用错误的MIME头漏洞 (5)1.2.4在word中加入木马文件 (6)1.2.5通过Script、Active及ASP、CGI交互脚本的方式植入 (6)1.3木马常见的四大伪装欺骗行为 (6)1.3.1以Z—file伪装加密程序 (6)1.3.2将木马包装为图片文件 (7)1.3.3合并程序欺骗 (7)1.3.4伪装成应用程序扩展组件 (8)第二章利用office系列挂马工具全套在word中插入木马 (8)2.1office系列挂马工具全套的工作原理 (8)2.2在word中插入木马的过程 (9)2.3带有木马的word的危害 (15)第三章木马的防范措施 (16)2.1如何防御木马病毒 (16)3.2如何删除木马病毒 (16)结论 (17)参考文献 (18)谢辞 (18)附录········································································································2引言：伴随着Windows操作系统核心技术的日益成熟，“木马植入技术”也得到发展，使得潜入到系统的木马越来越隐蔽，对网络安全的危害性将越来越大。

对木马隐藏技术的研究

对木马隐藏技术的研究计算机病毒、木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。

其中木马的破坏最大，它能在高隐蔽性的状态下窃取网民的隐私信息。

通常，被感染木马的计算机用户并不知道自己的计算机已被感染，这是由于木马程序具有很高的隐蔽性。

木马的隐藏技术主要由以下三种：1、程序隐蔽木马程序隐藏通常指利用各种手段伪装木马程序，让一般用户无法从表面上直接识别出木马程序。

要达到这一目的可以通过程序捆绑的方式实现。

程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件，当运行该exe 文件时，多个程序同时运行。

程序捆绑有多种方式，如将多个exe 文件以资源形式组合到一个exe 文件中或者利用专用的安装打包工具将多个exe 文件进行组合，这也是许多程序捆绑流氓软件的做法。

2、进程隐蔽隐藏木马程序的进程的显示能防止用户通过任务管理器查看到木马程序的进程，从而提高木马程序的隐蔽性。

目前，隐藏木马进程主要有如下两种方式：（1）API拦截API 拦截技术属于进程伪隐藏方式。

它通过利用Hook技术监控并截获系统中某些程序对进程显示的API 函数调用，然后修改函数返回的进程信息，将自己从结果中删除，导致任务管理器等工具无法显示该木马进程。

具体实现过程是，木马程序建立一个后台的系统钩子（Hook），拦截PSAPI的EnumProcessModules 等相关函数的调用，当检测到结果为该木马程序的进程ID（PID）的时候直接跳过，这样进程信息中就不会包含该木马程序的进程，从而达到了隐藏木马进程的目的。

（2）远程线程注入远程线程注入属于进程真隐藏方式。

它主要是利用CreateRemoteThread 函数在某一个目标进程中创建远程线程，共享目标进程的地址空间，并获得目标进程的相关权限，从而修改目标进程内部数据和启动DLL 木马。

通过这种方式启动的DLL 木马占用的是目标进程的地址空间，而且自身是作为目标进程的一个线程，所以它不会出现在进程列表中。

上兴远控与木马捆绑

机计算网络安全技术计算机上兴远控与木马捆绑实验环境：虚拟机windows2003R2●将虚拟机克隆1台，1台当作被控端，1台当作控制端。

●在做实验前，先给2台虚拟机做一下快照。

●为避免对物理网络的其它主机造成损害，需要将虚拟机的网络连接到主机模式或NAT模式。

1.1实验案例：上兴远控的功能体验基本功能：能上线，能远程控制另1台计算机。

注意：如果第一次运行木马服务端没有成功连接到客户端时，后面每一次重新生成木马都必需要给木马的“安装名称”和“服务启动名称”重新改一个名称，否则名称冲突，后面生成的木马运行不能成功。

如下图，利用“随机”功能，可以随机产生新名称。

连接成功以后，利用木马即可进行各种操作控制。

●文件功能主机B在目录“D：\”下建立一个文本文件，并命名为“passwordt.txt”，里面记录一些密码。

主机A操作控制端程序来对查看主机B记录的密码。

系统管理：进程管理：在主机B上运行IE浏览器在主机A上通过控制端程序，的“进程管理”功能，结束主机B上的浏览器程序。

键盘记录：验证此功能，是否能正常使用。

捕获数据包：验证此功能，是否能正常使用。

打开网页验证此功能，是否能正常使用。

木马卸载在木马的客户端（控制端），将服务端（被控制端）卸载。

●可移植性可执行文件（英语：Portable Executable ，缩写为PE ）是一种用于可执行文件、目标文件和动态链接库的文件格式，主要使用在32位和64位的Windows 操作系统上。

“可移植的”是指该文件格式的通用性，可用于许多种不同的操作系统和体系结构中。

●PE 文件格式封装了Windows 操作系统加载可执行程序代码时所必需的一些信息。

这些信息包括动态链接库、API 导入和导出表、资源管理数据和线程局部存储数据。

在Windows NT 操作系统中，PE 文件格式主要用于EXE 文件、DLL 文件、.sys （驱动程序）和其他文件类型。

1.2木马捆绑PE 文件格式的主要竞争对手是可执行与可链接格式（ELF ）（使用于Linux 和大多数Unix 版本中）和Mach-O （使用于Mac OS X 中）。

木马攻击及防御技术实验报告

目录第一章引言 (1)第二章木马概述 (1)2.1木马的定义及特点 (1)2.2木马的工作原理 (2)2.3木马的分类.................................................... 第三章常见的木马攻击手段3.1捆绑方式.....................................................3.2邮件和QQ冒名欺骗............................................3.3网页木马方式.................................................3.4伪装成其他文件...............................................第四章木马的防范措施4.1安装个人防火墙、木马查杀软件和及时安装系统补丁...............4.2隐藏IP和关闭不必要的端口....................................4.3使用虚拟计算机...............................................4.4关闭不必要的服务选项.........................................4.5定期检查电脑的启动项.........................................4.6不要随意打开邮件.............................................4.7谨慎下载和安装第三方软件.....................................第五章总结........................................................参考文献...........................................................第一章引言随着计算机的日益普及，人们对于“木马”一词已不陌生。

挂马实验报告结论(3篇)

第1篇一、实验背景随着互联网的普及，网络安全问题日益凸显。

恶意软件的传播和攻击手段层出不穷，给广大用户带来了极大的困扰。

其中，木马病毒作为一种常见的恶意软件，具有隐蔽性强、破坏力大等特点。

为了提高网络安全防护能力，本实验旨在研究木马病毒挂马技术及其防范措施。

二、实验目的1. 了解木马病毒挂马的基本原理和常见手段。

2. 掌握防范木马病毒挂马的方法和技巧。

3. 提高网络安全防护意识。

三、实验内容1. 实验模块：木马病毒挂马技术及其防范2. 实验标题：木马病毒挂马实验3. 实验日期：2021年X月X日4. 实验操作者：XXX5. 实验指导者：XXX6. 实验目的：研究木马病毒挂马技术及其防范措施。

7. 实验步骤：（1）搭建实验环境，选择一台计算机作为实验主机；（2）在实验主机上安装木马病毒，模拟木马病毒挂马过程；（3）分析木马病毒挂马原理和常见手段；（4）研究防范木马病毒挂马的方法和技巧；（5）总结实验结果，撰写实验报告。

8. 实验环境：实验主机：Windows 10操作系统，Intel Core i5处理器，8GB内存；实验软件：木马病毒生成器、杀毒软件、网络监测工具等。

9. 实验过程：（1）搭建实验环境，安装木马病毒；（2）模拟木马病毒挂马过程，记录实验数据；（3）分析实验数据，总结木马病毒挂马原理和常见手段；（4）研究防范木马病毒挂马的方法和技巧；（5）撰写实验报告。

10. 实验结论：1. 木马病毒挂马原理：木马病毒挂马是指攻击者利用木马病毒在目标主机上植入恶意代码，通过篡改系统文件、篡改注册表、修改启动项等方式，使恶意代码在系统启动时自动运行。

攻击者可以通过远程控制恶意代码，窃取用户隐私、控制计算机、传播其他恶意软件等。

2. 木马病毒挂马常见手段：（1）利用系统漏洞：攻击者通过利用操作系统或软件的漏洞，在目标主机上植入木马病毒；（2）钓鱼邮件：攻击者发送含有恶意链接的钓鱼邮件，诱使用户点击，从而感染木马病毒；（3）下载恶意软件：用户下载含有木马病毒的软件，在安装过程中被植入木马病毒；（4）恶意网站：攻击者搭建恶意网站，诱导用户访问，从而感染木马病毒。

实验13 木马捆绑与隐藏