实验一木马攻击与防范全解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验1 木马攻击与防范
一、实验目的
通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理
木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性
木马程序为了实现其特殊功能,一般应该具有以下性质:
(1)伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2.木马的入侵途径
木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。
3.木马的种类
(1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒,将病毒伪装成一个合法的程序让用户运行,例如1986年的PC-Write木马;第2代木马是网络传播型木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制,例如B02000和冰河木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。
(2)按照功能分类,木马又可以分为:破坏型木马,主要功能是破坏并删除文件;密码发送型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文件;DoS攻击型木马,它将作为被黑客控制的肉鸡实施DoS 攻击;代理型木马,可使被入侵的计算机做为黑客发起攻击的跳板;远程控制型木马,可以使攻击者利用客户端软件进行完全控制。
4.木马的工作原理
下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。
(1)木马的传统连接技术一般木马都采用C/S运行模式,因此它分为两部分,即客户端和服务器端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端的木马程序就会自动运行,来应答客户端的请求,从而建立连接。C/S木马原理如图1-1所示。
第1代和第2代木马都采用的是C/S(客户机,服务器)连接方式,这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。
(2)木马的反弹端口技术随着防火墙技术的发展,它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接,第3代和第4代“反弹式”木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求,而客户端是被动的连接。根据客户端IP地址是静态的还是动态的,反弹端口连接可以有两种方式,如图1-2和图1-3所示。
图1-1 C/S木马原理
图1-2反弹端口连接方式一
图1-3反弹端口连接方式二
反弹端口连接方式一要求入侵者在设置服务器端的时候,指明客户端的IP地址和待连接端
口,也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。所以这种方式只适用于客户端IP地址是静态的情况。
反弹端口连接方式二在连接建立过程中,入侵者利用了一个“代理服务器”保存客户端的IP地址和待连接的端口,在客户端的IP地址是动态的情况下,只要入侵者更新“代理服务器”中存放的IP地址与端口号,远程被入侵主机就可通过先连接到“代理服务器”,查询最新木马客户端信息,再和入侵者(客户端)进行连接。因此,这种连接方式适用于客户端和服务器端都是动态IP地址的情况,并且还以穿透更加严密的防火墙。
表1-1总结了反弹端口连接方式一和反弹端口连接方式二的使用范围。
(3)线程插入技术我们知道,一个应用程序在运行之后,都会在系统之中产生一个进程,同时,每个进程分别对应了一个不同的进程标识符(Process ID,PID)。系统会分配一个虚拟的内存空间地址段给这个进程,一切相关的程序操作,都会在这个虚拟的空间中进行。一个进程可以对应一个或多个线程,线程之间可以同步执行。一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。“线程插入”技术就是利用了线程之间运行的相对独立性,使木马完全地融进了系统的内核。这种技术把木马程序作为一个线程,把自身插入其它应用程序的地址空间。而这个被插入的应用程序对于系统来说,是一个正常的程序,这样,就达到了彻底隐藏的效果。系统运行时会有许多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。
综上所述,由于采用技术的差异,造成木马的攻击性和隐蔽性有所不同。第2代木马,如“冰河”,因为采用的是主动连接方式,在系统进程中非常容易被发现,所以从攻击性和隐蔽性来说都不是很强。第3代木马,如“灰鸽子”,则采用了反弹端口连接方式,这对于绕过防火墙是非常有效的。第4代木马,如“广外男生”,在采用反弹端口连接技术的同时,还采用了“线程插入”技术,这样木马的攻击性和隐蔽性就大大增强了,可以说第4代木马代表了当今木马的发展趋势。
三、实验环境
两台运行Windows 2000/XP的计算机,通过网络连接。使用“冰河”和“广外男生”木马作为练习工具。
四、实验内容和任务
任务一“冰河”木马的使用
1.“冰河”介绍
“冰河”是国内一款非常有名的木马,功能非常强大。“冰河”一般是由两个文件组成:G_Client和G_Server,其中G_Server是木马的服务器端,就是用来植入目标主机的程序,G_Client是木马的客户端,就是木马的控制端,我们打开控制端G_Client,弹出“冰河”的主界面,如图1-4所示。