黑客常用兵器之木马篇(下)

合集下载

网络攻防技术-木马的使用

图5-3 冰河木马服务器配置“基本设置”窗口
项目五木马攻击与防范
16
在图5-3中，“基本配置”选项卡中各配置含义如下：（1）安装路径：指安装服务端的目录。（2）文件名称：指安装服务端时生成的木马程序的文件名。（3）进程名称：指服务端运行时在进程列表中显示的名字。（4）访问口令：指对这个服务端进行访问的口令（可以不加）。（5）敏感字符：服务端监听目标计算机上的敏感字符。（6）监听端口：设置服务端口，客户端将通过该端口连接服务端，默认的监听端口为7626。（7）自动删除安装文件：当服务端运行时，将删除原安装文件。（8）禁止自动拨号：防止服务端连接网络时进行ADSL等拨号。（9）待配置文件：在路径浏览中选择需要传送到目标机器上的G_SERVER.exe。
只可使用不需要验证的SMTP服务器。（2）接收信箱：邮件的接收者。（3）邮件内容：选择哪些信息会通过电子邮件进行发送。设置好木马的各个选项后，单击“确定”按钮，完成对G_client.exe的配置。
项目五木马攻击与防范
21
步骤5 可以采用社会工程学、挂马等手段，诱使被攻击者计算机运行G_server.exe。
项目五木马攻击与防范
27
步骤10 在图5-10 “命令控制台”选项卡中，展开“控制类命令”，如图5-11所示。
图5-11 控制类命令窗口
项目五木马攻击与防范
28
控制类命令有：捕获屏幕、发送信息、进程管理、窗口管理、系统控制、鼠标控制、其它控制等。在 “系统控制”中，单击“自动卸载冰河”按钮可以把冰河木马卸载掉。
项目五木马攻击与防范
10
3.木马的种类。
（1）破坏型：其功能就是破坏并且删除文件，可以自动删除计算机上的DLL、INI、EXE文件。

网络安全(黑客攻防)_木马攻击

三、实验步骤(8)ຫໍສະໝຸດ 8、键盘管理器（即Key Manager 钮）：控制对方几个键或者主键盘区的全部键无法输入（但小键盘区不受控制）， (图3-8 禁用受害主机的键盘)。
三、实验步骤(9)
9、远程关机，(图3-9 对受害主机进行关机)。
三、实验步骤(10)
10、查看受害主机窗口。在Netbus界面中点击“Active Wnds”钮，(图3-10 查看受害主机窗口)。
三、实验步骤(5)
5、黑客机A可在此界面进行端口重定向。
（1）使用应用程序重定向将对方的Cmd.exe程序重新映射至对方100 端口（Netbus的默认设置），(图3-4 端口重定向)。（2）使用端口重定向功能，在(图3-5 端口重定向)的界面中再用端口重定向打开23口。
监听（Listen）口：23。主机：192.168.1.250（运行Netbus的受害主机IP）。重定向TCP端口：100。
三、实验步骤(3)
3、A机上点击冰河界面中菜单“文件”下的 “自动搜索”。
（2）捕获屏幕。
①单击“文件”菜单下的“捕获屏幕”，就会弹出一个窗口，让你选择图像格式。图像格式有BMP和JEPG两个选项，建议选JEPG 格式，因为它比较小，便于网络传输。“图像色深”第一格为单色，第二格为16色，第三格为256色，依此类推。“图像品质”主要反应的是图像的清晰度。 ②按“确定”钮后，便出现远程计算机的当前屏幕内容，（图313 冰河捕获受害机屏幕）。
三、实验步骤(4)
4、冰河的“命令控制台”。单击“命令控制台”按钮，冰河的核心部分就在这里。
（1）口令类命令。
①选择“系统信息及口令”项，点击“系统信息与口令”，可以得到受害主机的一些信息。这些信息包括处理器类型、Windows版本、计算机名、当前用户、硬盘驱动器总容量、目前剩余空间、冰河版本等。可以单击鼠标右键，选择“保存列表”保存信息。此外，还有“开机口令”、“缓存口令”、“其他口令”等几个按钮，可以分别尝试。 ②选择“历史口令”项可以看的密码就更多了，点击 “查看”可能会找到很多信息。仔细查看，里面甚至还有OICQ之类软件的密码（一般不要选“清空”）。 ③选择“击键记录”项后要点“启动键盘记录”，稍后在黑客机上点“终止键盘记录”，然后再点“查看键盘记录”，这段时间里对方的按键全部被记录下来。

木马

• 黑客利用木马工具进行网络入侵一般分为以下几个步骤。
1.配置木马
• 木马程序一般都有木马配置程序，主要是为了实现木马伪装和信息反馈两方面的功能。
2.传播木马
• 木马的传播方式主要有两种：一种通过E-mail；另一种是软件下载。
• 下面是几种常见的伪装方式：
• （1）修改图标。 • （2）捆绑文件。 • （3）出错显示。 • （4）定制端口。 • （5）自我销毁。 • （6）木马更名。
5.建立连接
• 一个木马要建立连接首先必须满足两个条件：一是服务端已成功安装了木马程序；二是控制端和服务端都要在线。
6.远程控制
• 木马建立连接后，控制端通过木马程序对服务端进行远程控制，例如，窃取密码、操作文件、修改注册表和系统操作等。
1.3 木马的防范与清除
• 由于木马危害的严重性，以及新的变种及类型层出不穷，在检测清除木马的同时，用户可以从以下几方面来提高防范意识：
3.运行木马
• 木马在安装时首先将自己复制到Windows的系统文件夹中，然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。
• 木马被激Βιβλιοθήκη 后进入内存，并开启木马端口，准备与控制端建立连接。
4.信息泄露
• 一般木马都有有一个信息反馈机制。所谓信息反馈机制是指木马安装成功后会收集一些服务端的软硬件信息，并通过E-mail、 IRC等方式告知控制端用户。
• 不要下载、接收或执行任何来历不明的软件或文件。 • 不要浏览不健康、不正规的网站。 • 尽量少用共享文件夹。 • 安装反病毒软件、木马专杀工具和防火墙，并及时
升级代码库。 • 及时给操作系统打上补丁，并经常升级常用的应用

黑客常用兵器之扫描篇(下)

扫描范围包括：
（1）标准端口状态及端口banner信息；
（2）CGI漏洞；
（3）RPC漏洞；
（4）SQL-SERVER默认帐户；
（5）FTP弱口令；
（6）NT主机共享信息；
（7）用户信息；
（8）组信息；
（9）NT主机弱口令用户等。
“这个是自然，作为黑客的必备武器之一，国产扫描器有很多优秀的作品，前面我提到的安全焦点的X-Scanner，就是我最为欣赏的扫描器，而且我老人家也时常常的使用，但是不知道为什么，在对X-Scanner进行病毒测试的时候，熊猫和KV3000都能在X-Scanner里面发现两个木马程序。这一点是我们要非常的注意的。当然也要请安全焦点的朋友做做解释工作。”
“好啊，我去试试。”
“另外我要提醒你注意的是，在使用这些扫描软件的时候一定要看清楚里面有没有可以的程序，以防自己先中了别人的招。此外，虽然你刺客手中有刀，但是现在的网站管理员也会使用这些宝刀，所以说，手中有绝世好刀，不一定就能杀死所有的敌人。好了，你去吧！”
X-Scanner会将扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。并对于一些已知漏洞，X-Scanner给出了相应的漏洞描述，利用程序及解决方案。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、FTP弱口令和共享扫描，他们能揭示出许多麻痹大意的网管犯的一些低级错误。”
含义：扫描xxx.xxx.1.1主机的标准端口状态，通过代理服务器"129.66.58.13:80"扫描CGI漏洞，检测端口banner信息，且扫描前不通过PING命令检测主机状态，显示详细扫描进度。”
“在〖运行参数〗中，有很大的选择余地，比如它可以设置代理服务器来躲避网管的追查，并课以设置扫描的线程。对扫描显示也可以进行详细的选择。然后扫描器就开始工作了。”

Hacker的入侵手法(之木马系列篇)

Hacker的入侵手法（之木马系列篇）计算机木马的名称来源于古希腊的特洛伊木马的故事，希腊人围攻特洛伊城，很多年不能得手后想出了木马的计策，他们把士兵藏匿于巨大的木马中。

在敌人将其作为战利品拖入城内后，木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。

计算机木马的设计者套用了同样的思路，把木马程序插入正常的软件、邮件等宿主中。

在受害者执行这些软件的时候，木马就可以悄悄地进入系统，向黑客开放进入计算机的途径。

如果你的机器有时死机，有时又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用任务管理器调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多，这时你就应该查一查你的系统，是不是有木马在你的计算机里安家落户了。

木马的产生与发展与病毒一样，木马也是从Unix平台上产生出来，在Windows操作系统上“发扬光大”的。

最早的Unix木马与现在流行的BO、冰河等有很大的不同，它是运行在服务器后台的一个小程序，伪装成Unix的login登录过程。

那时候计算机还属于很珍贵的宝物，不是个人能够买得起的，某个大学、研究机构可能会有一台计算机，大家都从终端上用自己的帐号来登录连接到它上面。

那么我们就可以看一下，用户向一台中了木马的计算机上登录时会发生什么事情：用户登录的时候，木马劫持登录过程，向用户提供一个与正常登录界面一样的输入窗口，骗用户输入。

在得到用户名和口令之后，木马就会把它存放起来，然后把真正的登录进程调出来。

这时用户看到登录界面第二次出现了，这与通常的密码错误的现象是一样的，于是用户再次输入信息而进入系统。

整个过程没有人发觉，而密码已经保存在硬盘的某个小角落里了，黑客隔一段时间就可以访问一下服务器，看看有多少收获。

随着木马开发者们孜孜不倦的努力，随后又出现了ftp型、破坏型、信息发送型等等的接班人。

第十四讲计算机木马二

木马的加壳与脱壳
❖ 木马通过加壳后可以实现避免被杀毒软件的查杀，这些加壳的软件常见的有ASPACK、UPX、 WWPACK等
❖与加壳相反的过程称为“脱壳”，目的是把加壳后的程序恢复成毫无包装的可执行代码，这样未授权者便可以对程序进行修改。
❖脱壳与加壳需要使用相同的软件进行，例如，使用UPX对木马程序进行加壳之后，如果需要脱壳，仍然需要使用UPX进行脱壳过程。
❖步骤一：打开“文件夹选项”设置，将 “隐藏受保护的操作系统文件”前面的勾去掉，同时设置现实所有文件和文件夹
❖步骤二：新建一个文件夹，双击该文件后，选择“查看”—“自定义文件夹”。在“自定义文件夹向导”中选择“选择或编辑该文件夹的HTML模板”，然后单击“下一步”，进入“模板选择“
文件夹木马的实例
反弹窗口的连接方式
❖无中间代理的连接 ❖引入中间代理的连接
客户端
远程主机
更新IP、port
获取客户端IP、Port
中间代理（保存客户端IP、Port）
灰鸽子简介
❖灰鸽子是国内第三代木马的典型代表
❖除了可以使用传统连接方式，可以使用反弹窗口的连接方式，方便的控制动态IP地址和局域网内的远程主机
计算机木马
木马的连接方式
❖第一代和第二代木马属于传统的连接方式：远程主机开放监听端口等待外部连接，成为服务器端；当入侵者需要与远程主机连接时，发送连接请求。
❖第三代木马开始使用了“反弹端口”技术，连接不再由客户端发起，而是服务器端来完成。
❖反弹窗口技术需要在配置服务器时指明入侵者的 ip地址和连接端口，因此不适用于动态上网的入侵者
❖在使用灰鸽子时，可以利用灰鸽子自带的工具，申请免费域名提供的动态IP映射实现代理功能

木马攻击

EXE文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。不过，一般黑客不会做这种无意义的纯粹
破坏的事，除非你和他有仇。
（2）密码发送型
这种木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。有人
喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用Windows提供的密码记
至此，木马就彻底掌握了主动权，而你，就坐以待毙吧！ �
用代理服务器的方式连接肉机，而且连上肉机上首先检查对方不是开启了防火墙，如果有，则杀掉其进程，
这样更有利于黑客隐藏身份，从而实现远程控制的目的。
2、木马是如何侵入系统的
我们知道：一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控
② 通过软件下载，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装了。
要想对方下载你放在网站上的软件，可以取一些特诱惑人的名称，如某某明星的图片，某某软件的破解版等让人易上当的名称，从而也让别人在不知不觉中种上木马，将端口开放给你，任你使用。
黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上
代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的
情况下使用Telnet，ICQ，IRC等程序，从而隐蔽自己的踪迹。
（9）程序杀手木马
忆功能，这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码，它们大多数会
在每次启动Windows时重新运行，而且多使用25号端口上送E-mail。如果目标机有隐藏密码，这些木马是非

木马

木马的基本原理
两个执行文件：客户端程序服务器端程序客户端程序是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥。服务器端程序即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上。木马攻击的第一步：把木马服务程序植入攻击对象（当然是联网的电脑) 木马攻击的第二步：把主机信息发送给攻击者
小结

今天的课程讲到这里我们来进行一个总结，这节课我们首先学习了计算机木马的定义、特征和分类，然后重点学习了计算机木马的原理，包括工作原理、感染原理和触发原理。最后我们学习了简单的计算机木马防治的知识。希望同志们通过这节课的学习，能够在我们工作和平时生活中接触到计算机的时候，通过我们的努力尽量防止木马入侵，并且能够及时地发现和处理已经侵入计算机的木马，保护我们计算机和网络环境的安全。
木马清除软件简介
（1）木马终结者（2）木马克星IPARMOR （3）THE CLEANER （4）奇虎360安全卫士（5）超级巡警（6）超级兔子
举例：冰河木马的清楚
（1）打开注册表编辑器，展开 HKEY_LOCAL_MACHINE\SOFTWARE\M ICROSOFT\WINDOWS\CURRENTVER SION\RUN和 HKEY_LOCAL_MACHINE\SOFTWARE\ MICROSOFT\WINDOWS\CURRENTVE RSION\RUNSERVICES,若其中存在 KERNE132.EXE键值，则将其删除
（2）打开资源管理器，执行“工具”“文件夹选项”，选择“文件类型”选项卡，在已注册的文件类型列表中找到“TXT文本文档”，从“详细信息”中查看器“打开方式”有无变化（一般为记事本文件）。如果不是，则单击“高级”，删除“操作” 列表中的OPEN选项（3）重启电脑进入DOS，删除 C”\WINDOWS\SYSTEM32下的 KERNET132.EXE和SYSXPLR.EXE文件

木马攻击技术的概述

目录一、木马概述 (3)1.木马的定义及特征 (3)1.1木马的定义 (3)1.2木马的特征 (3)2.木马的工作原理 (4)3.木马的分类 (5)4.木马的功能 (6)5.木马的工作过程 (7)二、木马的传播方式 (8)三、木马的清除 (9)四、如何避免木马攻击 (9)五、结语 (9)六、参考文献 (10)前言木马技术是最常见的网络攻击手段之一，它对网络环境中计算机信息资源造成了很大的危害。

文中介绍了木马程序的概念、基本原理和分类，针对常见的木马攻击方式提出了一些防范措施。

木马的危害，在于它能够远程控制你的电脑。

当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友，木马大量出现，在于它有着直接的商业利益。

一旦你的网上银行密码被盗，哭都来不及了。

正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。

木马与病毒相互配合、相得益彰，危害越来越大。

【关键词】：木马程序、攻击手段、防范技术、木马的危害一、木马概述1.木马的定义及特征1.1木马的定义在古罗马的战争中，古罗马人利用一只巨大的木马，麻痹敌人，赢得了战役的胜利，成为一段历史佳话。

而在当今的网络世界里，也有这样一种被称做木马的程序，它为自己带上伪装的面具，悄悄地潜入用户的系统，进行着不可告人的行动。

有关木马的定义有很多种，作者认为，木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。

木马程序一般由两部分组成的，分别是Server（服务）端程序和Client（客户）端程序。

其中Server 端程序安装在被控制计算机上，Client端程序安装在控制计算机上，Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。

电脑木马简介

电脑木马简介电脑木马介绍：一、木马的危害相信木马对于众多网民来说不算陌生。

它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。

一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私?不复存在!木马在黑客入侵中也是一种不可缺少的工具。

就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。

就是这小小的QAZ让庞大的微软丢尽了颜面!广大网民比较熟悉的木马当数国产软件冰河了。

冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

二、木马原理特洛伊木马属于客户/服务模式。

它分为两大部分，即客户端和服务端。

其原理是一台主机提供服务服务器，另一台主机接受服务客户机，作为服务器的主机一般会打开一个默认的端口进行监听。

如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。

这个程序被称为守护进程。

以大名鼎鼎的木马冰河为例，被控制端可视为一台服务器，控制端则是一台客户机，服务端程序G_Server.exe是守护进程，G_Client.exe是客户端应用程序。

为进一步了解木马，我们来看看它们的隐藏方式，木马隐藏方法主要有以下几种：1.在任务栏里隐藏这是最基本的。

如果在windows的任务来历出现一个莫名其妙的图标，傻子都会明白怎么回事。

在VB中，只要把form的Viseble属性设置为False，ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.在任务管理器里隐藏查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。

如果你按下ctrl+alt+del后可以看见一个木马程序在运行，那么这肯定不是什么好的木马。

木马和间谍常用工具

反黑风暴—— 反黑风暴—— 黑客与反黑工具使用详解黑客与反黑工具使用详解
木马和间谍常用工具
♂鬼神莫测的捆绑木马 ♂反弹型木马的经典：灰鸽子 ♂自动安装“后门程序”的间谍软件 ♂快速查杀木马与病毒
神鬼莫测的捆绑木马
1 2 利用“EXE文件捆绑机”制作捆绑木马极易上当的WinRAR捆绑木马
利用“EXE文件捆绑机”制作捆绑木马利用“EXE文件捆绑机” 文件捆绑机
利用“EXE文件捆绑机”制作捆绑木马的具体操作步骤如下：步骤 04单击【下一步】按钮，即可打开【指定保存路径】对话框，如图6-7所示。此时需要指定捆绑后文件的保存路径和名称，这里需要指定为第二个可执行文件名称。单击【点击这里指定保存路径】按钮，即可打开【另存为】对话框，如图 6-8所示。
利用“EXE文件捆绑机”制作捆绑木马利用“EXE文件捆绑机” 文件捆绑机
利用“EXE文件捆绑机”制作捆绑木马的具体操作步骤如下：步骤 06单击【下一步】按钮，即可打开【捆绑文件】对话框，如图6-11所示。单击【单击这里，开始捆绑文件】按钮，即可开始进行文件捆绑。待捆绑结束之后，即可看到【捆绑文件成功】提示框，如图6-12所示。单击【确定】按钮，即可结束文件的捆绑。
利用“EXE文件捆绑机”制作捆绑木马的具体操作步骤如下：步骤 05在设置完保存位置和名称后，单击【保存】按钮，即可在【指定保存路径】对话框中看到设置的保存路径，如图6-9所示。单击【下一步】按钮，即可打开【选择版本】对话框，在“版本类型”下拉列表中选择“普通版”选项，如图610所示。
利用“谍广告杀手：AD间谍广告杀手：AD-aware
具体的操作步骤如下：步骤 07在“Internet”栏目中勾选相应的复选框，单击【设置】按钮，即可清除浏览器隐私数据，如图6-78所示。

木马的原理与攻防

班级：10监理学号：10712048姓名：杨甫磊木马的原理与攻防一、实验目的1.熟悉木马的原理和使用方法，学会配制服务器端及客户端程序。

2.掌握木马防范的原理和关键技术。

二、实验原理1.木马攻击：特洛伊木马（以下简称木马），英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。

大多数木马与正规的远程控制软件功能类似，如Manteca的anywhen，但木马有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。

攻击者经常把木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。

最常见的情况是，用户从不正规的网站上下载和运行了带恶意代码的软件，或者不小小心点击了带恶意代码的邮件附件。

大多数木马包括客户端和服务器端两个部分。

攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户一运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。

通常，木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号、程序启动时机。

如何发出调用、如何隐身、是否加密。

另外，攻击者还可以设置登录服务器的密码，确定通信方式。

木马攻击者既可以随心所欲的查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。

木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很难找到并清除它。

木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。

常见的木马，例如Back Orifice和Sub Seven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。

这些木马可以当做键记录器、远程登录控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。

黑客常用的攻击方法-木马

主要内容
木马实施攻击的步骤
3. 启动木马被动地等待木马或者是捆绑木马的程序被执行自动拷贝到windows系统文件下中，并修改系统注册表启动项 4. 建立连接服务器端安装了木马双方均在线 5. 远程控制最终的目的
主要内容
例1：木马演示实验
正确配置服务器是关键！
主要内容
1.木马的定义
2.木马的分类
主要内容
传说中的木马（Trojan horse）
传说：木马（Trojan）这个名字来源
于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)
总结：里应外合
主要内容
1.木马的定义
2.木马的分类
3.木马的攻击步骤
4.木马的隐藏与伪装
5.木马的检测与清除
木马的检测与清除主要内容主要内容1文件的位置2文件的属性3捆绑到其他文件上4文件的名字5文件的扩展名6文件的图标木马未运行时的隐藏与伪装主要内容主要内容木马运行时的隐藏与伪装?木马运行中的隐藏与伪装1在任务栏里隐藏2在任务管理器里隐藏3隐藏端口主要内容1
计算机病毒
信息学院：刘丽
计算机病毒（Virus）
3.木马的攻击步骤
4.木马的隐藏与伪装
5.木马的检测与清除
主要内容
木马未运行时的隐藏与伪装
（1）文件的位置（2）文件的属性（3）捆绑到其他文件上（4）文件的名字（5）文件的扩展名（6）文件的图标
主要内容
木马运行时的隐藏与伪装
• 木马运行中的隐藏与伪装
–（1）在任务栏里隐藏 –（2）在任务管理器里隐藏 –（3）隐藏端口
主要内容
1.木马的定义

黑客常用的八种工具及其防御方法

黑客常用的八种工具及其防御方法本文将向您介绍中国黑客常用的八种工具及其防御方法。

需要说明的是，这些只是初级黑客、甚至是不算黑客的“黑客”所使用的工具。

在真正的黑客看来这些工具是很初级的，但这些黑客工具对我们普通用户的杀伤力却是非常大的，因此有必要介绍一下它们的特点及防御方法。

本文列出了几种有代表性的黑客工具，我们真正要掌握的当然不是如何使用这些黑客工具，而是通过它们了解黑客攻击手段，掌握防范黑客攻击的方法，堵住可能出现的各种漏洞。

冰河冰河是最优秀的国产木马程序之一，同时也是被使用最多的一种木马。

说句心里话，如果这个软件做成规规矩矩的商业用远程控制软件，绝对不会逊于那个体积庞大、操作复杂的PCanywhere，但可惜的是，它最终变成了黑客常用的工具。

冰河的服务器端(被控端)和客户端(控制端)都是一个可执行文件，客户端的图标是一把瑞士军刀，服务器端则看起来是个没什么大不了的微不足道的程序，但就是这个程序，足以让你的电脑成为别人的掌中之物。

某台电脑执行了服务器端软件后，该电脑的7626端口(默认)就对外开放了，如果在客户端输入这台电脑的IP地址，就能完全控制这台电脑。

由于个人电脑每次上网的IP地址都是随机分配的，所以客户端软件有一个“自动搜索”功能，可以自动扫描某个IP段受感染的电脑，一旦找到，这台电脑就尽在黑客的掌握之中了。

由于冰河程序传播比较广泛，所以一般情况下，几分钟之内就能找到一个感染了冰河的受害者。

防御措施:首先不要轻易运行来历不明的软件，只要服务器端不被运行，冰河再厉害也是有力使不出，这一点非常重要;其次由于冰河的广泛流行，使得大多数杀毒软件可以查杀冰河，因此在运行一个新软件之前用杀毒软件查查是很必要的。

但由于该软件变种很多，杀毒软件如果不及时升级，难免会有遗漏，因此要保证您使用的杀毒软件病毒库保持最新。

安装并运行防火墙，如此则能相对安全一些。

WnukeWnuke可以利用Windows系统的漏洞, 通过TCP/IP协议向远程机器发送一段信息，导致一个OOB错误，使之崩溃。

关于木马的基本知识

使用电子邮件的方式对攻击者来说并不是最好的一种选择，因为如果木马被发现，可以能过这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。
尽管资深的黑客不屑于使用木马，但在对以往网络安全事件的分析统计里，我们发现，有相当部分的网络入侵是通过木马来进行的，包括去年微软被黑一案，据称该黑客是通过一种普通的蠕虫木马侵入微软的系统的，并且窃取了微软部分产品的源码。
木马的危害性在于它对电脑系统强大的控制和破坏能力，窃取密码、控制系统操作、进行文件操作等等，一个功能强大的木马一旦被植入你的机器，攻击者就可以象操作自己的机器一样控制你的机器，甚至可以远程监控你的所有操作。
一般的木马执行文件非常小，大到都是几K到几十K，如果把木马捆绑到其它正常文件上，你很难发现的，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，在你执行这些下载的文件，也同时运行了木马。
木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入，由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传皤病毒和木马，甚至直接对浏览者电脑进行文件操作等控制，前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的Html页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制Cgi程序在攻击主机上执行木马目录
关于木马的基本知识
木马，也称特伊洛木马，名称源于古希腊的特伊洛马神话，此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

04木马攻击

木马的伪装方法
D.定制端口 D.定制端口很多老式的木马端口都是固定的, 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马, 来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能, 以在1024很多新式的木马都加入了定制端口的功能,控制端用户可以在1024--65535之间任选一个端口作为木马端口(一般不选1024以下的端 --65535之间任选一个端口作为木马端口一般不选1024以下的端 65535之间任选一个端口作为木马端口( 1024 这样就给判断所感染木马类型带来了麻烦。口)，这样就给判断所感染木马类型带来了麻烦。 E.自我销毁 E.自我销毁而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。助下，就很难删除木马了。
木马攻击
用木马这种黑客工具进行网络入侵，从过程上用木马这种黑客工具进行网络入侵，看大致可分为六步，看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。细阐述木马的攻击原理。
1、配置木马
一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，程序，从具体的配置内容看，主要是为了实现以下两方面功能：以下两方面功能： (1)木马伪装：木马配置程序为了在服务端尽 (1)木马伪装木马伪装：可能的好的隐藏木马，会采用多种伪装手段，可能的好的隐藏木马，会采用多种伪装手段，捆绑文件，自我销毁等。如修改图标，捆绑文件，自我销毁等。 (2)信息反馈：木马配置程序将以信息反馈的 (2)信息反馈信息反馈：方式或地址进行设置，方式或地址进行设置ቤተ መጻሕፍቲ ባይዱ如设置信息反馈的邮件地址，IRC号 ICQ号等等号等等。地址，IRC号，ICQ号等等。

木马后门攻击技术

3.2 用户态正向远程控制
（3）Radmin远程控制软件 Radmin（Remote Administrator）是一款功能强
大的远程主机控制软件。用户利用它可在本地监控远程主机的屏幕显示；在本地对远程主机进行控制；对受控主机进行telnet登录。 Radmin对远程连接进行了优化，安全、易用、高速，很多方面超过同类型远程控制软件。使用Radmin时，一般需要修改默认端口，并增加连接密码，以增强安全性。
本地主机响应，建立连接成功第三方服务器：IP+Port
远程主机（Server）
3.3 用户态反向远程控制
（2）反向连接的代码：灰鸽子。基本功能： ➢ 远程屏幕监视。 ➢ 远程系统控制。 ➢ 远程文件管理。 ➢ 远程注册表管理。 ➢ 远程视频监控。 ➢ 远程语音监控。 ➢ Telnet登录。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续）步骤7：远程连接访问控制设置——设定连接
密码、连接端口、允许远程连接的IP等。
3. 木马后门攻击技术
3.1 木马简介 3.2 用户态正向远程控制 3.3 用户态反向远程控制 3.4 木马常用攻击技术（缓冲区溢出） 3.5 木马检测和防御
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续）步骤4：启动Radmin客户端。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续）步骤5：设定服务器端IP及连接端口等参数。
3.2 用户态正向远程控制
（4）使用Radmin进行远程控制（续）步骤6：对服务器端进行远程控制和操作。
增删用户、调整用户所在的安全组、为用户增加/删除/更改密码等。
打开/关闭防火墙、更改防火墙设置。查看/杀死进程。开启/关闭特定服务。