课件8-木马攻击与防御

马攻击原理和防范技术是重要而必须的。
实训十：木马攻击与防御技术
木马攻击流程与防御
【相关知识】
1 特洛伊木马概述
概念：它实质上只是一种远程控制软件，但是木马 是未经用户授权的，通过网络攻击或欺骗手段安装 到目标计算机中。
结构模式：客户端/服务器（C/S：Client/Server） 模式，由两部分组成： 1）服务器程序：控制者传到目标计算机的部分； 2）控制器程序：用来控制目标主机的部分，它的作用是
4.2 启动木马
简单木马启动是被动地等待木马或捆绑木马的程序被主动运行； 大多数木马都是首先将自身复制到Windows的系统文件中，利 用修改windows系统文件和注册表来实现自动重启。 在window操作系统中木马自启动途径主要有： 1）利用配置文件（“system.ini”和“win.ini”文件）实现 自动启动； 2 ） 利 用 注 册 表 （ HKEY_CURRENT_USER/Software/Microsoft Windows/CurrentVersion项）实现自动启； 3）利用系统启动组实现自动启动； 4）利用Autoexec.bat和Config.sys文件实现。
4.1 植入木马
攻击者想要利用木马进行攻击，首先将木马伪装好， 然后要把木马程序植入到目标主机。攻击者将木马 植入目标主机的主要手段有：
利用系统漏洞直接攻击； 通过端口入侵； 通过网站上挂马和下载传播； 通过电子邮件传播； 在网络上发送超链接引诱用户点击。
实训十：木马攻击与防御技术
21端口，等待用户连接。 （8）程序杀手木马
程序杀手木马的功能就是关闭对方机器上运行的 防木马程序，让其他的木马更好地发挥作用。
实训十：木马攻击与防御技术
3 木马的分类
（9）反弹端口型木马 弹端口型木马使用的是系统信任的端口，系统会
认为木马是普通应用程序，而不对其连接进行检查。 反弹端口木马定时监测控制端的存在，发现控制端上 线，立即弹出端口主动连结控制端打开的主动端口。
实训十：木马攻击与防御技术
3 木马的分类
（5）Dos攻击木马 当你入侵了一台机器，给他种上DoS攻击木马，
那么日后这台计算机就成为你DoS攻击的最得力助 手了。
这种木马的危害不是体现在被感染计算机上， 而是体现在攻击者可以利用它来攻击一台又一台 计算机，给网络造成很大的伤害和带来损失。
实训十：木马攻击与防御技术
实训十：木马攻击与防御技术
5.5 加强防范意识
1）安装防病毒软件、防火墙软件和各种专门反黑软件加强 防护，养成经常查杀木马的良好习惯，尽量打开病毒监控， 并保持病毒库的更新。 2）不要随意打开不熟悉的邮件或不明的程序；不要随意点 击网站上的链接信息。
实训十：木马攻击与防御技术
6 冰河木马
1）冰河是一个非常有名的木马工具，它包括两个 可运行的程序G_Server和G_Client，其中前者 是木马的服务器端，就是用来植入目标主机的 程序，后者是木马的客户端，也就是木马的控 制台。
这种反弹端口的木马常常会采用固定IP的第三方 存储设备来进行IP地址的传递，从而使服务端获知控 制端的IP地址。
实训十：木马攻击与防御技术
4 木马攻击原理
当攻击者利用木马进行攻击时，一般会经 过以下一个过程：
植入木马 启动木马 木马隐藏 建立连接 远程控制
实训十：木马攻击与防御技术
实训十：木马攻击与防御技术
2）冰河木马主要功能： • 自动跟踪目标机屏幕变化(局域网适用) • 完全模拟键盘及鼠标输入(局域网适用) • 记录各种口令信息 • 获取系统信息 • 限制系统功能 • 远程文件操作 • 注册表操作 • 发送信息 • 点对点通讯
【实训环节】
实训环境要求
一台windows xp/2000操作系统（IP：192.168.1.10）作为木马 控制端，安装G_CLIENT.EXE，由黑客拥有； 一台装有windows xp/2000或windows server 2003操作系统的机 器 （ IP ： 192.168.1.1 ） 作 为 木 马 服 务 端 （ 感 染 木 马 程 序 G_Server.exe），由正常网络用户拥有。
指令 中间网站
结果
结果
指令
木马 客户端
木马 服务器端
【相关知识】
1 特洛伊木马概述
木马的危害
①自动搜索已中木马的计算机； ②管理对方资源，如复制文件、删除文件、查看文件内容、 上传文件、下载文件等； ③跟踪监视对方屏幕； ④直接控制对方的键盘、鼠标； ⑤随意修改注册表和系统文件； ⑥共享被控计算机的硬盘资源； ⑦监视对方任务且可终止对方任务； ⑧远程重启和关闭机器。
ntVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
实训十：木马攻击与防御技术
4.3 木马隐藏
木马想要在目标主机上存活下来，必须注意隐藏 自己，使自身不被目标主机用户发现。 主要的隐藏技术有：设置窗口不可见、把木马程 序注册为服务、欺骗查看进程的函数、使用可变 的高端口、使用系统驱动或系统DLL以及动态潜 入技术等。
实训十：木马攻击与防御技术
4.4 建立连接
连接木马服务器端程序，监视或控制远程计算机。
【相关知识】
1 特洛伊木马概述
原理： 1）直接通信时的木马工作原理
木马 客户端
指令
结果 木马
服务器端
（a）建立连接情况
木马 客户端
指令
结果 木马
服务器端
（b）不建立连接情况
【相关知识】
1 特洛伊木马概述
2）间接通信时的木马工作原理 为了防止被发现，木马服务器端与客户端也可不直 接通信，而是在服务器端与客户端之间加上“中转站” （如某个网站）后间接通信
实训十 木马攻击与防御技术
LOGO
实训十：木马攻击与防御技术
实训 目的
掌握木马的实现原理及攻击步骤 理解常见的木马攻击方式 掌握木马检测和清除的常用方法
理解冰河木马的攻击及防御方法
实训十：木马攻击与防御技术
随着网络技术的日益发展和完善，用户对
网络的依赖性越来越大，网络交易也成为人们 生活中必不可少的一部分，但是网络安全问题
实训十：木马攻击与防御技术
5.1 端口扫描和连接查看
端口扫描是检测木马最常用的办法，大部分的木马服务端会 在系统中监听某个端口，通过扫描系统上开启了哪些端口就 能有效地发现远程控制木马的踪迹。 端口扫描原理：扫描程序尝试连接某个端口，如果成功，则 说明端口开放；如果连接失败或超时，则说明端口关闭。 查看连接是在本机上通过netstat（或第三方程序）查看所有 的/动态链接木马。
实训十：木马攻击与防御技术
3 木马的分类
（2）键盘记录型木马 这种特洛伊木马记录受害者的键盘敲击并且在
LOG文件里查找可能的密码。 这种木马随着Windows的启动而启动，它们有在
线和离线记录这样的选项。 该类型的木马，邮件发送功能也是必不可少的。
实训十：木马攻击与防御技术
3 木马的分类
（3）破坏型木马 其惟一的功能就是破坏并删除被感染计算机的
3 木马的分类
常见的木马从实现功能角度上可分为以下几种： （1）密码访问型木马
密码发送型的木马是专门为了盗取被感染计算 机上的密码而编写的，木马一旦被执行，就会自动 搜索内存、Cache、临时文件夹以及各种敏感密码 文件，一旦搜索到有用的密码，木马就会利用免费 的电子邮件服务将密码发送到指定的邮箱。 这类木马大多使用25号端口发送E-mail
实训十：木马攻击与防御技术
4.5 远程控制
木马最终的目的是对服务器端进行远程控制，实 现窃取密码、文件操作、修改注册表、锁住服务 器端以及系统操作等。
实训十：木马攻击与防御技术
5 木马的防御技术
对付特洛伊木马程序攻击，可以采用以下的防御措施。 （1）端口扫描和连接查看 （2）检查注册表 （3）检查系统配置文件 （4）检查启动组 （5）使用杀毒软件和防火墙软件 （6）加强防范意识
实训十：木马攻击与防御技术
5.4 检查启动组
启动组对应的文件夹为： c:\windows\startmenu\ programs\startup 在注册表中位置是： HKEY_CURRENT_USER\Software\Microsoft\windows\current Version\Explorer\ShellFolderstartup=”c:\windows\startmenu \ programe\startup”。
ntVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\RunServicesOnce
实训十：木马攻击与防御技术
5.3 检查系统配置文件
统配置文件win.ini文件、system.ini文件也是木马喜欢隐藏的 地方，这些文件里记录了操作系统启动时需要启动和加载的 程序，查找一下看是否有异常程序出现。 主要查看“run=”、“load=”或是“shell=”后面所加载的程序， 如果所加载的程序有你不知道的程序，那就要小心了，这就 有可能是木马了。
一个木马连接的建立必须满足两个条件：一是服务器已安装了 木马程序；二是控制端、服务器端都要在线。 控制端与服务器建立连接的方法有： 1）控制端可以通过木马端口与服务器建立连接； 2）控制端根据提前配置的服务器地址、定制端口来建立连接； 3）使用扫描器，根据扫描结果中检测哪些计算机的某个端口开 放，从而知道该计算机里某类木马的服务器端在运行，然后建 立连接； 4）根据服务器端主动发回来的信息知道服务器端的地址、端口 ，然后建立连接。
3 木马的分类
（6）代理木马 给被控制的肉鸡种上代理木马，让其变成攻
击者发动攻击的跳板就是代理木马最重要的任务。 通过代理木马，攻击者可以在匿名的情况下使用 Telnet、ICQ、IRC等程序，从而隐蔽自己的踪迹。
实训十：木马攻击与防御技术
3 木马的分类
（7）FTP木马 这种木马是最简单的木马，唯一的功能就是打开
也越来越让人担忧。特洛伊木马就是网络安全
实
最为普遍的威胁，它通过多种方式植入用户电
训
脑或各种各样的伪装诱使用户不知情下安装在
背
主机上，这样攻击者将从中窃取自己需要的资
景
源或直接截取用户输入信息，使得个人用户面
临隐私信息泄露核经济损失的危险，也给电子
商务、银行等带来安全隐患。 因此，为了确保安全的网络环境，了解木
实训十：木马攻击与防御技术
5.1 端口扫描和连接查看
操作系统本身就提供了查看端口和连接状态的功能，在命令 提示符下键入“netstat -an”，查看结果如下图所示：
来自百度文库
实训十：木马攻击与防御技术
5.2 检查注册表
在 注 册 表 中 ， Run 、 RunOnce 、 RunOnceEx 、 RunServices 、 RunServicesOnce这些子键保存了Windows启动时自动运行的 程序。所以在注册表中，最有可能隐藏木马的地方是: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
文件系统（可以自动的删除电脑上的DLL、INI、EXE 文件），使其遭受系统崩溃或者重要数据丢失的巨 大损失。
实训十：木马攻击与防御技术
3 木马的分类
（4）远程控制型木马 使用这类木马，只需有人运行了服务端程序，
如果客户知道了服务端的IP地址，就可以实现远 程控制。它可以让攻击者完全控制被感染的计算 机，攻击者可以利用它完成一些甚至连计算机主 人本身都不能顺利进行的操作，其危害之大实在 不容小觑。
实训十：木马攻击与防御技术
2 特洛伊木马特点
一个典型的特洛伊木马程序通常具有以下几个特点：
（1）具有隐藏性； （2）具有自动运行性； （3）具有非授权性； （4）具有自动恢复功能和顽固性； （5）能自动打开特别端口； （6）易植入性； （7）具有欺骗性； （8）功能的特殊性
实训十：木马攻击与防御技术