实验12 网页木马汇总

特洛伊木马
特洛伊木马（Trojan Horse）又称木马，是一种通过各种方法直接或者间接与远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序。

这个名称来源于希腊神话《木马屠城记》。

古希腊有大军围攻特洛伊城，久久无法攻下。

于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。

城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。

到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。

后世称这只大木马为“特洛伊木马”。

如今黑客程序借用其名，有“一经潜入，后患无穷”之意。

通常木马并不被当成病毒，因为它们通常不包括感染程序，因而并不自我复制，只是靠欺骗获得传播。

现在，随着网络的普及，木马程序的危害变得十分强大，概括起来，木马的危害有：窃取数据、接受非授权操作者的指令、篡改文件和数据、删除文件和数据、施放病毒、使系统自毁、远程运行程序、跟踪监视对方屏幕、直接屏幕鼠标控制，键盘输入控制、监视对方任务且可以中止对方任务、锁定鼠标键盘和屏幕、远程重启和关机、远程读取和修改注册表、共享被控制端的硬盘等。

远程控制概述。

要了解木马，首先应了解远程控制。

所谓远程控制，是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，联通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。

这里的远程不是字面意思的远距离，一般指通过网络控制远端电脑。

早期的远程控制往往指在局域网中的远程控制而言，随着互联网的普及和技术革新，现在的远程控制往往指互联网中的远程控制。

当操作者使用主控端电脑控制被控端电脑时，就如同坐在被控端电脑的屏幕前一样，可以启动被控端电脑的应用程序，可以使用或窃取被控端电脑的文件资料，甚至可以利用被控端电脑的外部打印设备（打印机）和通信设备（调制解调器或者专线等）来进行打印和访问外网和内网，就像利用遥控器遥控电视的音量、变换频道或者开关电视机一样。

不过，有一个概念需要明确，那就是主控端电脑只是将键盘和鼠标的指令传送给远程电脑，同时将被控端电脑的屏幕画面通过通信线路回传过来。

也就是说，控制被控端电脑进行操作似乎是在眼前的电脑上进行的，实质是在远程的电脑中实现的，不论打开文件，还是上网浏览、下载等都是存储在远程的被控端电脑中的。

远程控制必须通过网
络才能进行。

位于本地的计算机是操纵指令的发出端，称为主控端或客户端，非本地的被控计算机叫做被控端或服务器端。

“远程”不等同于远距离，主控端和被控端可以是位于同一局域网的同一房间中，也可以是连入Internet的处在任何位置的两台或多台计算机。

远程控制软件一般分客户端程序(Client)和服务器端程序(Server)两部分，通常将客户端程序安装到主控端的电脑上，将服务器端程序安装到被控端的电脑上。

使用时客户端程序向被控端电脑中的服务器端程序发出信号，建立一个特殊的远程服务，然后通过这个远程服务，使用各种远程控制功能发送远程控制命令，控制被控端电脑中的各种应用程序运行。

远程控制并不神秘，Windows XP系统中就提供了多种简单的远程控制手段，如远程桌面连接。

目前市场上有很多远程控制软件，如PCAnywhere就是一款功能强大的远程控制软件。

PCAnywhere是由赛门铁克(Symantec)公司出品的远程控制软件，它功能强大，几乎支持所有的网络连接方式与网络协议，利用PCAnywhere，计算机管理人员可以轻松地实现在本地计算机上控制远程计算机，使得两地的计算机可以协同工作。

在实现远程控制的同时，PCAnywhere 还拥有更为完善的安全策略与密码验证机制，从而保证了远程被控主机的安全。

远程控制虽然可以方便地操纵远程计算机，但它也可能给远程计算机带来安全隐患。

因为远程计算机一旦成为服务端后，其他人只要知道了这台计算机的IP地址和服务端口，就可以对其控制，带来安全隐患。

黑客正是利用了远程控制软件的这种特点，设计了木马程序。

其实木马程序的工作原理和远程控制软件是一样的，木马就是一种基于远程控制技术的黑客工具，只是它具有破坏性、隐藏性和非传播性等特点而异。

木马程序一般也是由两部分组成，分别是服务器端和客户端。

服务器端程序指的是运行在被控制的电脑的木马程序，该程序为.exe后缀的可执行文件。

客户端程序安装在控制端，客户端能够对服务器端的控制。

在Windows系统中，木马一般作为一个网络服务程序在中了木马的计算机后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有少数是5000以下的）。

当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立TCP连接，从而被客户端远程控制。

木马和常规远程控制软件的相同点：
1．常规远程控制软件和木马都是用一个客户端通过网络来控制服务端，控制端可以是WEB，也可以是手机，或者电脑，可以说控制端植入哪里，哪里就可以成为客户端，服务端也同样如此；
2．常规远程控制软件和木马都可以进行远程资源管理，比如文件上传下载修改；
3．常规远程控制软件和木马都可以进行远程屏幕监控，键盘记录，进程和窕口查看ဂ
木马和常规远程控制软件的区别：
1．木马有破坏性：比如DDOS攻击、下载者功能、格式化硬盘、肉鸡和代理功能；
2．木马有隐蔽性：木马最戾著的特征就是隐蔽性，也就是服务端是隐藏的，并不在被控者桌面显示，不被被控者察觉，这样一来无疑增加了木马的危害性，也为木马窃取密码提供了方便之门。

远程控制和木马在功能上非常相似，木马可以理解为加了恶意功能的远程控制软件。

木马的分类。

根据木马程序的具体功能，可以分为五类:
1．远程访问型木马。

远程访问型木马是现在最广泛的特洛伊木马。

这种木马起着远程控制的功能，用起来非常简单，只需先运行服务端程序，同时获得远程主机的IP地址，控制者就能任意访问被控制端的计算机。

这种木马可以使远程控制者在本地机器上做任何事情，比如键盘记录、上传和下载功能、发送一个“截取屏幕”等等。

这种类型的木马有著名的BO (Back Office)和国产的冰河等。

2．密码发送型木马。

密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。

大多数这类木马程序不会在每次系统重启时都自动加载，它们大多数使用25号端口发送电子邮件。

3．键盘记录型木马。

键盘记录型木马非常简单的，它只做一种事情，就是记录受害者的键盘敲击，并且在Log文件里做完整的记录。

这种木马程序随着系统的启动而启动，知道受害者在线并记录每一个用户事件，然后通过邮件或其他方式发送给控制者。

4．破坏型木马：大部分木马程序只窃取信息，不做破坏性的事件，但破坏型木马却以毁坏并且删除文件为目的。

它们可以自动删除受控计算机上所有的.ini.exe文件，甚至格式化受害者的硬盘，系统中的信息会在顷刻间“灰飞烟灭”。

5．FTP型木马：FTP 型木马打开被控制计算机的21号端口，使任何人无需密码就可以用一个FTP客户端程序连接到受控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。

根据木马的网络连接方向，可以分为两类:
1．正向连接型：发起通信的方向为控制端向被控制端发起，这是传统技术，其缺点是不能透过防火墙。

2．反向连接型：发起通信的方向为被控制端向控制端发起，其出现主要是为了解决从内向外不能发起连接的情况的通信要求，已经被较新的木马广泛采用。

黑客要控制远程计算机，必须先将木马程序的服务端程序植入远程计算机中。

目前黑客一般通过如下几种方式进行传播：
1．通过E-Mail附件传播；
2．通过网页传播；
3．通过文件传输；
4．通过系统漏洞直接种植。

12.1 网页木马
12.1.1 背景描述
随着信息技术的不断发展，互联网网站已经成为信息传播、流通、交换及存储的重要手段，但是由于承载网站的应用程序具有自身无法完全克服的漏洞问题，为黑客的入侵提供了可乘之机。

利用网站漏洞，尤其是WEB 应用程序漏洞：如 SQL 注入等，黑客能够得到 Web 服务器的控制权限，随意篡改网页内容或窃取重要内部数据，更为严重的则是在网页中植入恶意代码，既“网页挂马”。

通过这一行为，黑客可以控制网站的访问者甚至包括网站本单位的人员的计算机，从而实现盗取银行帐号、内部机密信息等各种不可告人的目的。

由于网页木马制作的简单性和网络漏洞存在的必然性，通过网站漏洞进行网页挂马已经成为当前最流行的网站攻击方法和最受黑客青睐的木马散播方式。

超级巡警团队、数据安全实验室(DSWLAB)等相关部门汇总数据表明：2008年上半年，网页木马急骤增长，专业化、团队式的木马制造者，在攫取巨额非法利益的同时，给广大网民的正常工作学习带来了很大的不便，使网友们的利益受到了极大的损失。

巨额利润、Web 应用程序漏洞、社会工程学成为2008年上半年的网页木马增长的主要条件。

很多流行病毒（如：机器狗、磁碟机、游戏盗号病毒等）除了利用程序自身的传播机制进行传播外，也都会利用各种网页木马来扩大其破坏范围。

图12-1-1网马增长曲线图
从图12-1-1中可以看出，短短十周的时间内国内网络上的网页木马竟达到了10多倍的增长。

由于一个网页木马对应着成百上千的，甚至是数以万计的计算机网络用户，所以通过网页木马被感染的计算机是放射性增长的。

超级巡警团队监控数据显示，在抽样调查所统计的时间内，被感染的网页数量达到1449034，几乎是平均每个网民每天至少会浏览到一个恶意链接。

被感染的网页增长走势如下图12-1-2：
图12-1-2被感染网页增长曲线图
根据瑞星“云安全”数据中心的统计数据(见图12-1-3和图12-1-4)表明，2009年上半年，瑞星“云安全”系统拦截到的挂马网页数累计达2.9亿个，共有11.2亿人次网民遭木马攻击，平均每天有622万余人次网民访问挂马网站；其中大型网站、流行软件被挂马的有35万个（以域名计算）。

网民被挂马网站攻击成功时使用的软件，主要是各种浏览器，以及内嵌了网页的流行软件。

根据以上瑞星公司的统计研究表明，目前的互联网非常脆弱，各种热点新闻、流行软件、社交（SNS）网站、浏览器插件的漏洞层出不穷，为黑客提供了大量入侵和攻击的机会。

网页取代网络成为攻击活动的主要渠道，“挂马网页”已经成为黑客传
播病毒的主要手段。

目前90%以上的木马病毒通过“挂马”方式传播，这些几乎都源于系统漏洞、后台服务器存在不安全设置、网站实现代码缺陷（如SQL注入、论坛代码缺陷、跨站脚本等）、或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等隐患，给黑客可乘之机；其中访问量越大的网站越有被挂马的可能，因为此类网站被黑客关注程度较高；另外就是政府机关网站、各大中型企业网站，由于专业性技术人员缺乏，网站大多由第三方公司外包开发，存在缺陷较多，也最容易被挂马。

图12-1-3 2009年上半年截获木马网站数量统计
图12-1-4 2009年上半年挂马网站攻击次数统计
另据中国教育和科研计算机网计算机安全应急相应组2010年6月的统计，挂马网站数量仍呈上升趋势，并且占当月攻击事件总和的39%，如图12-1-5所示。

图12-1-5 2010年05月～06月CERNET安全投诉事件统计
网页木马作为打开网络上计算机的“弹头”，它会通过各种系统漏洞或应用程序漏洞，率先获取网络终端计算机的某种权限。

通过已经获得的权限，去指定的服务器下载回来“有效载荷”。

而这些“有效载荷”就是数十个盗取各种游戏软件、即时通讯软件、邮箱等密码或敏感信息的木马。

12.1.2 工作原理
1.网页木马的基本概念
网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

“网页木马”并非万能的，它一般是通过系统中的漏洞（例如浏览器的漏洞、浏览器插件的漏洞等）来对用户的主机进行攻击，进而获取用户主机中的敏感数据，例如QQ号、网银账号、游戏ID等。

如果主机已经安装了最新的安全补丁，大多数网页木马都无法对该主机造成伤害。

但是，也有不少网页木马是通过系统未公开的漏洞来攻击用户主机，即是说，即使用户主机安装齐全所有安全补丁，也无法做到100%免疫。

2.网页木马流行的原因。

（1）网页木马在各种网络威胁中技术含量相对来说属于较低的类型。

这就意味着他便于制作推广；
（2）免费空间的增多和个人建站的流行，给网页木马客观附带的造就了很大的生存空
间；
（3）国内上网人数的奇迹般的递增，使网页木马的受众层增多；
（4）国内上网人群目前普遍安全意识较低，很多人使用盗版系统，有时候无法更新补丁或及时更新补丁，使针对ie漏洞型的网页木马生存时间延长；
（5）网页木马见效快；
（6）很多间接推动网络安全，擅长脚本技术的人很及时地推出了众多简便式的网页木马生成器或网页木马程式。

3.网页木马的攻击原理
打开一个网页，IE浏览器不会自动下载程序和运行程序，这是因为，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

下面列举一些IE浏览器等存在的漏洞来分别说明为什么利用网页木马可以下载程序和运行程序。

（1）下载可执行文件
index里有一个代码漏洞< LINK href="ray.exe" rel=stylesheet type=text/css >，IE会把可执行文件误认为CSS样式表而下载到IE的临时文件目录。

可以利用< SCRIPT LANGUAGE="icyfoxlovelace" src="< A href= '/1.exe">< /SCRIPT'>/1.exe">< /SCRIPT>这段代码，把这段代码插入到网页源代码的…之间,运行后就会发现在IE的临时目录Temporary Internet Files下，已经下载了1.exe这个病毒文件。

（2）自动运行程序
< SCRIPT LANGUAGE="javascript" type="text/javascript"> var shell=new ActiveXObject("shell.application");space("c:\\Windows\\").items().ite m("Notepad.exe").invokeverb(); < /SCRIPT>
把这段代码插入到网页源代码的…之间，然后用IE打开该网页，这段代码可以在IE 中自动打开记事本。

这段代码使用了shell.application控件，该控件能使网页获得执行权限，替换代码中的“Notepad.exe”（记事本）程序，就可以用它自动运行本地电脑上的任意程序。

通过以上的例子可以看出，利用IE的漏洞，在网页中插入相关的代码，IE完全可以自动下载和运行程序。

不过，IE一旦打了相关补丁，这些代码就会失去作用。

另外，这些代码要运行和下载程序，有些杀毒软件的网页监控会视它们为病毒，为了逃
避追杀，黑客可能会使用一些工具对网页的源代码进行加密处理。

4.网页木马的基本工作流程：
（1）受众打开含有网页木马代码的网页；
（2）网页木马利用ie漏洞或者一些脚本功能下载一个可执行文件或脚本。

5.网页木马的防范：
只靠杀毒软件和蓝盾防火墙等是远远不够的，因为一旦黑客使用了反弹端口的个人版木马（个人反汇编的一些杀毒软件无法识别的木马），那么杀毒软件和防火墙就无可奈何，所以，网页木马的防范要从它的原理入手，从根本上进行防范。

（1）即时安装安全补丁。

经常到相关网站去下载并安装最新的安全补丁是防范网页木马比较有效的办法。

（2）提高IE的安全级别，禁用脚本和ActiveX控件。

网页木马是利用IE脚本和ActiveX控件上的一些漏洞下载和运行木马的，只要禁用了脚本和ActiveX控件，就可以防止木马的下载和运行。

然而，禁用脚本和ActiveX控件会使一些网页的功能和效果失去作用，所以是否禁用，要根据自己对安全的需要来定。

除此之外，还应该做到：（1）加强服务器的安全管理，避免被黑客入侵或者感染病毒。

（2）安装ARP防火墙，避免受局域网内ARP欺骗程序、ARP病毒的影响。

12.1.3 实验列表
【实验一】网页木马实验
【实验分析】
实验目的：
●掌握网页木马的基本概念与木马的特点。

●了解网页木马的流行原因。

●理解网页挂马技术的整个详细流程。

●掌握网页木马的防范策略。

场景描述：
图12-1-6 实验拓扑图
本实验可以在虚拟机环境下完成，实验拓扑图如图12-1-6所示，对应IP地址与角色如表12-1-1所示。

实验思路是攻击主机将捆绑了木马的工具放到web服务器上，让受害主机从web服务器下载捆绑了木马的工具并执行。

表12-1-1 对应IP地址与角色
实验工具：万能文件免杀捆绑器、灰鸽子2008。

【实验步骤】
1．攻击源机器网络配置如下（图12-1-7）：
图12-1-7 攻击源网络配置
2．受害机器网络配置如下（图12-1-8）：
图12-1-8 受害主机网络配置
3．WEB服务器的网络配置如下（图12-1-9）：
图12-1-9 WEB服务器的网络配置
4．运行灰鸽子软件，准备生成灰鸽子木马服务端程序（图12-1-10）：
图12-1-10灰鸽子2008主界面
5．点击“配置服务程序”,在说明栏中输入“192.168.228.177”（图12-1-11）
图12-1-11 配置服务端程序
6．选择“安装选项”，在“程序安装成功后提示安装成功”前打上勾；
7．在“高级选项中”，“使用UPX加壳”，点击“生成服务器”（图12-1-12），生成
灰鸽子木马程序文件“Server.exe”，将Server.exe复制到“连连看”文件夹；
8．运行Files.exe万能文件免杀捆绑器（图12-1-13）；
9．添加捆绑文件“llk46jzb.exe”和“Server.exe”（图12-1-14）；
图12-1-14 点击右侧的“添加文件”选项后，添加要捆绑的文件10．点击“捆绑文件”，保存生成了被捆绑了木马程序的游戏程序文件。

（注意给捆绑木
马修改个名字如：游戏之类的）（图12-1-15）；
图12-1-15 点击“捆绑文件”按钮进行文件捆绑
11．打开攻防实验室，点击“网页挂马”，将文件上传到“网页挂马”（图12-1-16）；
图12-1-16 打开实验页面并上传捆绑木马文件
`12.打开实验页面，点击“连连看游戏点击下载”并安装游戏（图12-1-17）；
图12-1-17 点击“连连看游戏点击下载”安装游戏；
13.在受害主机里，在网页上下载游戏并运行，哪么捆绑在一起的木马程序也将自动运行，下载连连看游戏并安装。

安装完成后提示安装成功。

运行“连连看”游戏，也能正常运行。

14.回到攻击主机，灰鸽子上显示中了木马的机器已经上线，这下就可以控制这台中马的机器了，在攻击源机器上的灰鸽子软件上可以看到目标机器的相关信息情况（图12-1-18）；
图12-1-18 在攻击端连接目标成功
15.可以远程登陆到受害主机的桌面，也可以在命令行下查看远程机器的网络配置（图12-1-19）。

图12-1-19 远程登录目标主机桌面。