实验6 特洛伊木马

合集下载

木马攻击实验

木马攻击实验应用场景计算机病毒是一个程序，一段可执行码,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。

就像生物病毒一样，计算机病毒有独特的复制能力。

计算机病毒可以很快地蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上。

当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。

轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。

通常就把这种具有破坏作用的程序称为计算机病毒。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。

当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。

若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。

病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

特洛伊木马的来由

帕里斯勾引了海伦，引发希腊联邦对特洛伊城邦的战争。

荷马史诗主要讲述的是十年战争的最后一段。

阿喀琉斯干掉了特洛伊的主将赫克托耳，但在攻城的时候被太阳神帮助的帕里斯偷袭射死，奥德修斯请示神谕，把阿喀琉斯的儿子带来参战，并做了一个巨大的木马，几乎所有残存的名将都躲到里面，外面留下一个名叫西农的人看守，然后舰队退到外海。

第天早上，特洛伊人看到木马，想要烧毁，但西农说是献给宙斯的，特洛伊人信以为真，拆毁一段城墙把木马拉进城，全城庆祝战争胜利。

深夜西农点起火把把舰队引来，希腊军杀进特洛伊进行屠城，结束十年的战争。

特洛伊木马原理介绍

1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯，是借自"木馬屠城記"中那只木馬的名稱。

古希臘有大軍圍攻特洛伊城，逾年無法攻下。

有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。

城中得到解圍的消息，及得到"木馬"這個奇異的戰利品，全城飲酒狂歡。

到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。

後世稱這只木馬為"特洛伊木馬"，現今電腦術語借用其名，意思是"一經進入，後患無窮"。

特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣，只是一種遠端管理工具。

而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。

原因是如果有人不當的使用，破壞力可以比病毒更強。

iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。

木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。

e2/基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。

作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。

對於特洛伊木馬，被控制端就成為一台伺服器。

特洛伊木马

前言:特洛伊木馬是木馬屠城記裡記載著的那隻希臘軍隊用來攻破特洛伊城的大木馬。

而木馬屠城記則是古希臘詩人 - 荷馬，在其兩部著作伊利亞特與奧德賽裡所記載的特洛伊戰爭的一部份。

木馬屠城記一直被後人視為神話故事，直至十九世紀時，業餘考古學者蘇利曼才證實木馬屠城記真有此事。

目錄1 戰爭起因2 戰爭經過3 對其他地方的影響4 重新發掘5 參看資料6 外部連結據荷馬與希臘神話所載，這個故事的起因是源自一個金蘋果。

這個故事的開端，就是海洋女神忒提斯（Thetis）與希臘國王佩琉斯（Peleus）的婚禮，原本宙斯與忒提斯相戀，但那時傳說忒提斯的兒子（也就是未來的阿基里斯(Achilles)）會比他的父親還強大，宙斯害怕當年推翻他父親的事重演，於是將她嫁給了著名英雄珀琉斯，避免影響他的政權。

婚禮上邀請了很多神，唯獨麻煩女神愛伊絲（Eris）沒有被邀請。

她很生氣，便拋出一個金蘋果，刻著「獻給最美麗的女神」。

智慧女神雅典娜、愛神阿佛洛狄德和天后希拉都認為自己最有資格冠上蘋果上最美麗女神的美譽。

為了解決這個難題，最後她們飛到艾達山請求特洛伊王子帕里斯仲裁。

三個女神都試圖賄賂帕里斯：雅典娜答應讓帕里斯成為世界上最睿智的學者；希拉答應讓帕里斯成為天底下最有權勢的君王；阿佛洛狄德則以世界上最美麗的女子作為賄賂。

最後帕里斯忠於感官天性選擇了阿佛洛狄德。

作為回報，阿佛洛狄德施行魔咒,讓斯巴達王國的王后，公認為世界上最漂亮的女人海倫和帕里斯共墮愛河。

海倫為了愛情拋棄了她的家鄉,丈夫莫內勞斯還有稚女。

帕里斯的行動惹怒了斯巴達國王莫內勞斯，其怒不可抑,於是向兄長阿加曼農求援,並聯合希臘各城邦向特洛伊宣戰。

↑戰爭經過:斯巴達國王美內勞斯因為其太太海倫被帕里斯所帶走，因此向希臘各城邦求助，共同出兵特洛伊。

總計有一千艘希臘戰船及五萬名士兵參戰。

這場戰爭一打就是十年。

但特洛伊因為有亞馬遜女戰士和黎明女神兒子梅農的幫忙，與維納斯暗中協助，所以能抵抗希臘聯軍。

特洛伊木马物理数学

特洛伊木马物理数学特洛伊木马，这个故事大家应该都听过吧，古代希腊那些英雄们为了攻下特洛伊城，想出了一个绝妙的主意，真是让人拍手称赞。

想想看，居然能用一座大木马来欺骗敌人，这可真是出乎意料。

那些希腊人真是聪明绝顶，像猴子一样灵活，居然能想到用这种方式。

你说，平时打仗就得拼个你死我活，结果竟然来了一场“兵不血刃”的戏码，这心机，简直让人佩服得五体投地。

那么这木马到底有什么魔力呢？那可是个庞然大物，外表看上去就是个艺术品，特洛伊人看到这玩意儿，心里肯定想着：“哎呀，这可真是个礼物啊，快来看看。

”就像你路过一家店，看到一个新出的玩具，心里忍不住想买回家，结果却没想到这是个圈套。

这一招可真是把敌人给迷得神魂颠倒。

想象一下，木马里面藏着一群希腊战士，个个心里直打鼓，想要一跃而出。

真是让人捏一把汗啊。

不过说到这，木马本身其实也是个很有意思的物理问题。

想象一下，那种巨大的木头结构，是不是得考虑到很多力学的原理？木头的密度、抗压能力、重量的分配，这些都得想得周到。

要不然，一旦出现点小问题，希腊战士就得变成“木头人”了。

像个沙包一样，被人一戳就崩了，真是哭笑不得。

再说了，特洛伊人也是太天真了，看到这么大的木马，居然没想到里面会藏人。

就像你家门口放了个大箱子，你偏偏没打算打开，觉得反正是送来的，怎么会有什么问题呢？这种心理，简直是“看见树木不见森林”，真是要笑死个人。

要是我在那儿，肯定得先把箱子打开，看看里面是不是藏着个猛兽，或是有什么阴险的东西，绝对不能掉以轻心。

想想那个场景，特洛伊人庆祝胜利，把木马拖进城里，正准备开庆祝派对，结果没过多久，木马里面的战士们就出来了，嘿！这一下子，真是让人措手不及。

古代人打仗，可没现代科技那么发达，所有的战斗都是近身肉搏。

一下子就被希腊人给扑了个措手不及。

像极了我们现在打游戏，明明占了上风，结果却被一波操作给翻盘，心里那个怨气，真是无法言喻。

特洛伊木马的故事告诉我们，面对看似无害的东西，永远不能掉以轻心。

特洛伊木马可生存性研究及攻防实践

信息安全研究不应仅限于安全产品的研究还应包括对攻击技术的研究做到知己知彼从攻击中寻找防御才能在网络对抗攻防转换中占据主动否则很难真正应对攻同时从国家战略考虑信息已成为国家的经济命脉如何能占取更多的信息资源控制和限制别国的信息将成为和平时期各国竞争的重要内容和战争时马简称木马）（技术是最常见的网络攻击技术之一，在网络攻击过程中占据着重要的地位。木马成功植入系统后，它通常利用各种手段来隐藏痕迹，
重庆大学硕士学位论文
ｈｒｎｍｄＴ，ｃｅｂｄｔｓｓｍｒｖｂｔｍｉｅｉｉｄａｏｅｅＭＡＨｗｉｍｏｙｙｔｓｖａｉｙｆｔｎｒｖｕｌｓａｈｈｈｅｅｕｉｌｒｈｎｎｉｉｏｅｄ
基于ＭＡＨ模型的木马原型。该原型利用多代理间的分工与协同，将内核级的深Ｔ度隐藏与应用级的强大远程控制功能相结合，改变了当前绝大多数木马采用被动隐藏，确保其可生存性的不利局面。并在实施全面、深度隐藏的基础上，从消除保护、主动消除等方面，提高木马原型的可生存性。行为对抗研究和木马原型仿真实验发现：当前检测工具的个体行为无法对抗来自ＭＴＡＨ模型木马的群体行为。对木马检测方法的研究，应注重检测工具群体协同行为的研究，实现群体对抗，才能有效弥补检测行为单一的缺陷，否则将在未来攻防对抗中，于被动地位。处最后，本文对木马检测技术进行了分析和总结。论文的主要创新之处在于：（）从行为对抗的角度，对木马的可生存性进行１研究。木马可生提出存度的概念，初步建立了木马可生存度的计算方法。２提（）出了木马模型ＭＴ，新的ＡＨ该模型体现的是个体内部行为对抗特性，个体与个体间分工协同的系统可生存性观点．３在攻防技术交替上升中，改进现有检测工（）具的工作方式，提出多代理协同工作的思想，增强其检测能力。

特洛伊木马

特洛伊木马
古希腊人攻打特洛伊城，很久打不下来，希腊人奥德赛想出了木马计，旷日持久的特洛伊战争才得以结束。

当时，希腊人制造了一匹巨大的木马，在马腹内藏着一批勇士。

随后他们就装出战败撤退的样子，慌忙逃到海边上了船，然后驶入附近的一个海湾躲藏了起来。

特洛伊人不知道这是敌人的计谋，以为希腊人厌战了，追出城外，发现了一个大木马，便把它作为战利品拉进城内。

深夜，在特洛伊人毫无戒备的时候，希腊勇士们，从大木马的肚子里跳了出来，他们打开城门，发出了信号，这时从海上隐蔽悄悄返回的希腊人，在城中同伴的配合下，里应外合，迅速地夺取了特洛伊城。

实验6 木马攻击

2
特洛伊木马病毒概念
特洛伊木马(Trojan)病毒：是指隐藏在正常程序中的一段具有特殊功能的恶意代码----具备破坏和删除文件、发送密码、记录键盘和Dos攻击等功能。
特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。
3
木马的组成

一个完整的木马程序由两部分组成
木马攻击
特洛伊木马传说
古希腊传说，特洛伊王子帕里斯访问希腊，诱惑走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。
防御措施

不随便运行来历不明的可执行程序及时更新杀毒软件安装木马查杀工具（Icesword） Icesword可以进行线程监视，发现并结束危险进程。
防范措施
对于个人用户而言还应做好以下几点： 1）使用正版防毒软件，并及时更新防毒病毒码； 2）及时打上系统和软件补丁； 3）不要访问色情、黑客等不良网站； 4）不要轻易相信“朋友”发来的链接和程序，对于下载的软件应该先查毒，然后才能运行； 5）陌生人的邮件勿轻易打开； 6）定期更新密码，尤其是银行账号、游戏账号等的密码； 7) 使用防毒软件定期扫描系统。

8
常就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机
9
TROJ_WIDGET.046
1. 用户从互联网下载免费软件

计算机反病毒实验6 特洛伊木马

《反病毒技术》实验报告
实验名称特洛伊木马
实验时间实验地点东六E301
专业班级信安0901 学号20092077 姓名赵杨
实验过程记录
特洛伊木马的配置步骤
1）生成服务端
2）发送服务端
将木马服务端发送出去
3）控制服务端
木马受害者上线以后，控制端可以控制木马受害者的文件，远程控制命令，控制注册表，以及屏幕等。

进城控制
截获屏幕
分析思考
1.实验中的木马与现实中的木马有哪些区别?
实验中的木马没有遇到杀毒软件的检测和阻拦，能够轻松的对目标主机发起攻击，取得对目标主机的控制，而现实中，木马需要伪装自己，避免被杀毒软件发现，并通过其他途让目标主机使用者运行该木马程序，这是主要困难。

2.如何预防木马？
一、检测网络连接，如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

二、禁用不明服务直接输入“netstart”来查看服务，再用“netstopserver”来禁止服务。

三、经常检查账户，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。

第六章特洛伊木马

Server端功能——操作硬件
• mciSendString（―set cdaudio door open‖， NULL， 0， NULL）; //弹出光驱的托盘
• mciSendString（"Set cdaudio door closed wait"， NULL， 0， NULL）; //收入光驱的托盘
• 特洛伊木马(Trojan Horse)
– 是一种与远程计算机之间建立起连接，使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。
• 木马的组成
– 硬件：控制端、服务端、Internet – 软件：控制端程序、木马程序、木马配置程序 – 连接：控制、服务端IP, 控制、服务端Port
Server端功能——实现View命令
• int Read_Num=fread(temp_content, 1, 300, fp); • //从目标文件中读入前300个字符 • while(Read_Num==300) • { • strResult += (CString)temp_content; • //strResult的内容加上刚才的字符 • for(int i=0;i<300;i++) temp_content[i]='\0'; • Read_Num=fread(temp_content, 1, 300, fp); • //重复 • };
Socket技术
客户机
请求
服务器
进程通讯设施
请求
响应响应
服务器客户机 socket( ) socket( ) bind( ) readfrom( )
阻塞，等待客户数据

第六章-特洛伊木马

•
• registry->SetValue(SystemPath+"\\Tapi32.exe", "crossbow" );
2021/4/9
16
Server端功能——命令接收
• 接下来就是启动Server端的Socket来接收客户端的命令。
• Port 777
• 核心代码：
– pSocket->Receive( lpBuf, 1000); – //接收客户端数据
SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid); • tkp.PrivilegeCount = 1; • tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; • AdjustTokenPrivileges(hToken, FALSE, &tkp,
–
OnExit();
– }//退出木马程序
2021/4/9
17
• 将要实现的功能： CMD
执行应用程序
!SHUT
退出木马
FILEGET 获得远端文件
EDITCONF 编辑配置文件
LIST
列目录
VIEW
察看文件内容
CDOPEN 关CD
CDCLOSE 开CD
REBOOT 重启远端机器
2021/4/9
18
–
lpRegisterServiceProcess
=(LPREGISTERSERVICEPROCESS)GetProcAddress(
– hDLL,"RegisterServiceProcess");
–
//得到RegisterServiceProcess()函数的地址

第六章特洛伊木马

•
• registry->SetValue(SystemPath+"\\Tapi32.exe", "crossbow" );
第16页，共82页。
Server端功能——命令接收
• 接下来就是启动Server端的Socket来接收客户端的命令。
• Port 777
• 核心代码：
– pSocket->Receive( lpBuf, 1000); – //接收客户端数据
•
if ( finder.IsDots() || finder.IsDirectory() ){
•
strResult = "Dire: ";来自•}else{
•
strResult = "File: ";
•
}
•
strResult += finder.GetFileName();
•
strResult += "\n";
–
lpRegisterServiceProcess =(LPREGISTERSERVICEPROCESS)GetProcAddress(
– hDLL,"RegisterServiceProcess");
–
//得到RegisterServiceProcess()函数的地址
–
lpRegisterServiceProcess(GetCurrentProcessId(),1);
• 发送命令的代码如下： • m_ptrComSocket->Send((void *)m_msg,
m_msg.GetLength() );
• 从服务器端获取反馈信息

实验6 特洛伊木马

木马攻击实验

特洛伊木马的来由

特洛伊木马原理介绍

特洛伊木马

特洛伊木马物理数学

特洛伊木马可生存性研究及攻防实践

特洛伊木马

实验6 木马攻击

计算机反病毒 实验6 特洛伊木马

第六章 特洛伊木马

第六章-特洛伊木马

第六章特洛伊木马

计算机反病毒实验6 特洛伊木马

第六章特洛伊木马