木马入侵与清除技术

本章结束,谢谢观赏
使用“木马克星” 使用“木马克星”清除木马
使用“木马克星”清除木马的具体操作步骤如下： 步骤2：单击 按钮，即可打开【浏览文件夹】对话框，在其中选择要扫描的硬盘，如 图7-139所示。单击【扫描】按钮，即可开始扫描当前计算机是否有木马程序存在 ，如图7-140所示。
使用“木马克星” 使用“木马克星”清除木马
用网络精灵NetSpy实现远程监控 用网络精灵NetSpy实现远Biblioteka Baidu监控 NetSpy
具体的操作方法如下： 步骤4：在“网络精灵”客户端窗口中单击工具栏上的相应按钮，即可对目标主机进 行各种操作。单击【消息】按钮，即可打开【发送消息-aaddmm】对话框，在其中 可编辑向远程受控主机发送的消息，如图7-32所示。单击【确定】按钮，即可把 该消息发送给目标主机。 步骤5：单击【关机】按钮，即可打开【关闭系统】对话框，在其中可以选择对目标 计算机系统进行关机、重启等操作，如图7-33所示。另外，选中“网络精灵”客 户端窗口中的目标主机之后，选择【查看】→【刷新】菜单项，即可在下面区域 中显示目标主机的硬盘分区情况。
点拨1 点拨1：使用文件捆绑器生成一个扩展名为.jpg的文件，为什么该文件却无法打开？ 解答： 解答：尽管捆绑器可以捆绑txt、jpg等多种格式的文件，但捆绑器只能生成一种格式 的文件，即.exe文件。如果让捆绑器生成除.exe文件以外格式的文件，当然是打 不开的。 点拨2 点拨2：在使用网络神偷时，如何卸载已经运行的程序？ 解答： 解答：由于本软件原理与其他同类软件不同，其被控端只有生成它的主控端才能访问 ，其他用户是不可能访问的。如果主控端设置有误，则生成的被控端谁也不能访 问。因此，用户可在上网之后，看看在主控端的“被控端列表”里能否看到自己 ，如果能，则可以与自己连接上，再用工具栏中的【卸载被控端程序】选项，就 可以彻底清除。如果不能，则可再次生成并运行新的配置正确的被控端，把原被 控端覆盖掉之后再用上述方法卸载。当然，也可使用手工卸载实现这一功能，即 先删除注册表启动项(HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Windows\CurrentVersion\Run)中的键值并重启系统之后，再删 除系统文件夹（C:\Windows\System）中的服务端程序即可。
用网络精灵NetSpy实现远程监控 用网络精灵NetSpy实现远程监控 NetSpy
具体的操作方法如下： 步骤6：在“网络精灵”客户端的窗口中展开并右击C：\Windows\SYSTEM文件夹之后 ，在弹出菜单中选择“上传文件”选项，即可打开【打开】对话框，在其中选择 本地文件zip.dll，如图7-34所示。 步骤7：单击【打开】按钮，即可将zip.dll文件上传到受控主机上。在“网络精灵” 客户端中选择【文件】→【执行】菜单项，即可打开【执行命令】对话框，在其 中对受控主机进行操作，如图7-35所示。
伪装成网页
制作网页木马的具体操作步骤如下： 步骤4：单击【生成木马】按钮，即可看到【木马已生成成功】提示框，如图7-12所 示。单击【确定】按钮，即可成功成功生成网页木马。 步骤5：在“动鲨网页木马生成器”目录的“动鲨网页木马”文件夹中将生成 bbs003302.css、bbs003302.gif及index.htm等3个网页木马，其中index.htm是网 站的首页文件，而另外两个是条件文件，如图7-13所示。 步骤6：将生成的三个木马上传到设置存在木马的Web文件夹中，当浏览者一旦打开这 个网页，浏览器就会自动在后台下载指定的木马程序并开始运行了。
捆绑木马和反弹端口木马
1 2 3 4 5 使用WinRAR捆绑木马 用网络精灵NetSpy实现远程监控 使用“网络公牛”木马攻击 使用“广外女生”木马攻击 反弹端口木马：网络神偷
用网络精灵NetSpy实现远程监控 用网络精灵NetSpy实现远程监控 NetSpy
具体的操作方法如下： 步骤 1：下载并运行“网络精灵”客户端程序，即可打开其主窗口，如图7-30所示。 步骤 2：选择【计算机】→【添加】菜单项，即可打开【添加计算机】对话框，在其 中输入目标计算机的名称、IP地址、密码并使其他属性保持默认状态，如图7-31 所示。 步骤3：单击【确认】按钮，客户端程序即可与目标主机上的服务器端程序进行连接 。如果连接成功，则会在客户端窗口中显示目标主机的硬盘分区信息。
使用“北斗压缩”对木马服务端进行多次加壳 使用“北斗压缩”
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下： 步骤5：当有大量的木马程序需要进行压缩加壳时，可以使用“北斗程序压缩”的“ 目录”压缩功能。选择【目录压缩】选项卡，单击【打开】按钮，即可打开【浏 览文件夹】对话框，如图7-75所示。 步骤6：在选择一个文件夹之后，单击【确定】按钮返回到【目录压缩】选项卡，即 可看到添加的文件以及其子目录，如图7-76所示。 步骤7：在其中勾选“包含子目录”复选框和“使用格式过滤器”复选框后，单击【 压缩】按钮，即可完成对选中的程序的批量压缩加壳。
使用“木马克星”清除木马的具体操作步骤如下： 步骤3：在检测完成之后，如果发现了木马的服务端程序，则会给出提示信息，如图 7-141所示。单击【是】按钮，即可删除相应的木马服务端程序。选择【查看】→ 【生成hijackthis日志】菜单项，即可查看本次扫描的记录，如图7-142所示。
专家课堂（常见问题与解答） 专家课堂（常见问题与解答）
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下： 步骤1：先用常见的加壳工具ASPack给某个木马服务端进行加壳，再运行“北斗程序 压缩”软件，即可打开【北斗程序压缩】主窗口，如图7-71所示。 步骤2：选择【配置选项】选项卡，在其中有几个比较重要的参数（处理共享节、最 大程度压缩、使用Windows dll加载器等），如图7-72所示。
黑客攻防实战从入门到精通 （第2版）
木马入侵与清除技术
♂木马的伪装 ♂捆绑木马和反弹端口木马 ♂木马程序的免杀技术 ♂木马清除软件的使用
木马的伪装
1 2 3 4 伪装成可执行文件 伪装成网页 伪装图片木马 伪装成电子书木马
伪装成网页
制作网页木马的具体操作步骤如下： 步骤1：运行“动鲨最新网页木马生成器”主程序后，即可打开如图7-9所示对话框。 步骤2：单击“请选择要运行的EXE文件”文本框右侧【浏览】按钮，即可打开【打开 】对话框，如图7-10所示。 步骤3：在其中选择刚才准备的木马文件muma.exe，单击【打开】按钮，即可返回到 【动鲨最新网页木马生成器】对话框。在“输入存放木马的WEB文件夹路径”文本 框中输入相应的网址，如http://happy.my.bbs.good.com/，如图7-11所示。
木马程序的免杀技术
1 2 3 4 木马的脱壳与加壳的免杀 加花指令免杀木马 修改特征代码免杀木马 修改入口点免杀木马
木马的脱壳与加壳的免杀
1．使用ASPack进行加壳 2．使用“北斗压缩”对木马服务端进行多 次加壳 3．使用PE-Scan检测木马是否加过壳 4．使用ASPackdie进行脱壳
使用“北斗压缩”对木马服务端进行多次加壳 使用“北斗压缩”
使用“北斗压缩”对木马服务端进行多次加壳 使用“北斗压缩”
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下： 步骤3：在其中勾选相应参数前面的复选框后，选择“文件压缩”选项卡，单击【打 开】按钮，即可打开【选择一个文件】对话框，如图7-73所示。 步骤4：在其中选择一个可执行文件后，单击【打开】按钮，即可开始进行压缩，如 图7-74所示。经过“北斗程序压缩”加壳的木马程序，可以使用ASPack等加壳工 具进行再次加壳，这样就有了两层壳的保护。
木马清除软件的使用
1 2 3 4 5 用木马清除专家清除木马 使用Trojan Remover清除木马 用木马清道夫清除木马 使用“木马克星”清除木马 在“Windows进程管理器”中管理进程
使用“木马克星” 使用“木马克星”清除木马
使用“木马克星”清除木马的具体操作步骤如下： 步骤1：下载并安装木马克星软件，双击桌面上“木马克星”快捷图标，即可打开【 木马克星】窗口，如图7-137所示。单击【扫描硬盘】按钮，即可进入“扫描硬盘 ”设置界面，如图7-138所示。