木马与远程控制技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
控制端将鼠标信息发送给被控制端,控制端调用 mouse_event或SendInput产生虚拟的鼠标操作。
09.12.2020
可编辑ppt
第10页
计算机病毒分析与防治教程
虚拟键盘的操作
清华大学出版社
虚拟键盘的操作是指在控制端的键盘操作,被控 制端进行同样的操作。如PCAnywhere和QQ都提 供了同样的功能。使用键盘钩子可以捕获控制端 的键盘操作,调用SendInput可以在被控制端产生 虚拟的键盘操作。
套接字API函数
清华大学出版社
socket 建立套接字 bind 将套接字和本地ip地址绑定 connect 和一个套接字建立连接 accept 接受一个套接字的连接请求 listen 服务端套接字侦听连接请求 send 向一个套接字发送数据 recv 从一个套接字接收数据 setsockopt 设置套接字选项
09.12.2020
可编辑ppt
第5页
计算机病毒分析与防治教程
6.2 木马分类介绍
从通信方式上分 从存在方式上分 从破坏方式上分
清华大学出版社
09.12.2020
可编辑ppt
第6页
计算机病毒分析与防治教程
ping的结果
清华大学出版社
09.12.2020
可编辑ppt
第7页
计算机病毒分析与防治教程
清华大学出版社
控制命令的传送
控制命令是控制端向被控制端发出的要求
执行的命令。从图6-5界面可看出,命令有
“取窗口”、“鼠标操作”、“取进程”、
“删进程”、“看文件”、“删文件”、
可编辑ppt
第2页
计算机病毒分析与防治教程
教学重点
套接字与网络编程 远程控制的通信的实现 远程控制的控制技术 木马技术揭露 木马的清除方法
清华大学出版社
09.12.2020
可编辑ppt
第3页
计算机病毒分析与防治教程
6.1 预备知识
清华大学出版社
09.12.2020
可编辑ppt
第4页
计算机病毒分析与防治教程
09.12.2020
可编辑ppt
第9页
计算机病毒分析与防治教程
清华大学出版社
虚拟鼠标的操作
wk.baidu.com
鼠标操作过程是当控制端产生某种鼠标操作如移动鼠标, 按左键或右键时,在被控制端产生相应的鼠标操作。
控制端鼠标的捕获使用窗口消息和消息函数,主要有 WM_LBUTTONDOWN、WM_LBUTTONDBLCLK、WM_RBUTTONDOWN、 WM_RBUTTONDBLCLK等消息和它们对应的消息函数。消息函 数中还包含了鼠标的位置信息。
09.12.2020
可编辑ppt
第14页
计算机病毒分析与防治教程
木马程序的安装
利用系统漏洞 利用浏览网页 冒名欺骗 捆绑下载
清华大学出版社
09.12.2020
可编辑ppt
第15页
计算机病毒分析与防治教程
木马的启动
集成到程序中 隐藏在配置文件中 潜伏在Win.ini中 伪装在普通文件中 内置到注册表中 隐形于启动组中 捆绑在启动文件中
09.12.2020
可编辑ppt
清华大学出版社
第16页
计算机病毒分析与防治教程
清华大学出版社
举例:文件关联启动
木马通过修改注册表,例如若让扩展名 为.txt的文件和木马程序关联,那么木马 程序会启动。木马程序再调用记事本再打 开被双击的文件,这样木马就悄悄地被启 动且用户还难以发觉。
09.12.2020
09.12.2020
可编辑ppt
第11页
计算机病毒分析与防治教程
清华大学出版社
钩子
是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的 消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即 钩子函数先得到控制权。钩子的种类很多,每种钩子可以截获并处理 相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启 动和关闭应用程序的消息等。远程控制实现键盘同步时使用键盘钩子 捕获键盘信息,某些木马也用键盘钩子来窃取键盘信息。
可编辑ppt
第17页
计算机病毒分析与防治教程
木马的隐藏技术分析
远线程技术 使用注册表插入DLL 反向连接技术 隐藏在回收站
清华大学出版社
09.12.2020
可编辑ppt
第18页
计算机病毒分析与防治教程
清华大学出版社
6.5 一个完整的远程控制程序
09.12.2020
可编辑ppt
第19页
计算机病毒分析与防治教程
09.12.2020
可编辑ppt
第12页
计算机病毒分析与防治教程
进程管理
列举进程 删除进程 执行程序 控制系统
清华大学出版社
09.12.2020
可编辑ppt
第13页
计算机病毒分析与防治教程
清华大学出版社
6.4 木马技术揭露
因为木马是未经授权而使用的远程控制程 序,因此,木马还要使用一些正常远程控 制程序所不使用的方法,以达到其目的。 主要表现在窃取键盘信息、欺骗用户安装、 执行和隐藏等。窃取键盘信息所使用的钩 子技术已经在上节介绍,本节主要介绍木 马安装、执行和隐藏。
清华大学出版社
6.3 远程控制的控制技术
屏幕的截取 键盘操作 鼠标操作 进程管理 系统管理和文件操作
09.12.2020
可编辑ppt
第8页
计算机病毒分析与防治教程
屏幕的截取
清华大学出版社
截取屏幕或窗口要用到图形操作函数。 API函数有CreateCompatibleDC、 StretchBlt等。类CDC封装了这些函数。
计计算算机机病病毒毒分分析析与与防防治治教教程程
清清华华大大学学出出版版社社
第6章 木马与远程控制技术
教学目标 教学重点 教学过程
09.12.2020
可编辑ppt
第1页
计算机病毒分析与防治教程
教学目标
木马的网络通信 木马的隐藏技术 木马的控制技术 发现和清除木马的方法
清华大学出版社
09.12.2020
在Windows中,键盘钩子程序表现为dll文件形式,为主程序调用。主程 序使用函数SetWindowsHookEx安装钩子,其中其中,第一个参数是钩 子的类型,键盘钩子可以是WH_KEYBOARD,第二个参数是钩子函数的 地址,第三个参数是包含钩子函数的模块句柄,第四个参数指定监视 的线程。
SendInput可以产生虚拟的键盘或鼠标信息,它的第二个参数是一个 INPUT结构指针。注意,按下一个按钮和释放一个按钮是两个不同的 动作,所以必须创建两个不同的INPUT结构。
09.12.2020
可编辑ppt
第10页
计算机病毒分析与防治教程
虚拟键盘的操作
清华大学出版社
虚拟键盘的操作是指在控制端的键盘操作,被控 制端进行同样的操作。如PCAnywhere和QQ都提 供了同样的功能。使用键盘钩子可以捕获控制端 的键盘操作,调用SendInput可以在被控制端产生 虚拟的键盘操作。
套接字API函数
清华大学出版社
socket 建立套接字 bind 将套接字和本地ip地址绑定 connect 和一个套接字建立连接 accept 接受一个套接字的连接请求 listen 服务端套接字侦听连接请求 send 向一个套接字发送数据 recv 从一个套接字接收数据 setsockopt 设置套接字选项
09.12.2020
可编辑ppt
第5页
计算机病毒分析与防治教程
6.2 木马分类介绍
从通信方式上分 从存在方式上分 从破坏方式上分
清华大学出版社
09.12.2020
可编辑ppt
第6页
计算机病毒分析与防治教程
ping的结果
清华大学出版社
09.12.2020
可编辑ppt
第7页
计算机病毒分析与防治教程
清华大学出版社
控制命令的传送
控制命令是控制端向被控制端发出的要求
执行的命令。从图6-5界面可看出,命令有
“取窗口”、“鼠标操作”、“取进程”、
“删进程”、“看文件”、“删文件”、
可编辑ppt
第2页
计算机病毒分析与防治教程
教学重点
套接字与网络编程 远程控制的通信的实现 远程控制的控制技术 木马技术揭露 木马的清除方法
清华大学出版社
09.12.2020
可编辑ppt
第3页
计算机病毒分析与防治教程
6.1 预备知识
清华大学出版社
09.12.2020
可编辑ppt
第4页
计算机病毒分析与防治教程
09.12.2020
可编辑ppt
第9页
计算机病毒分析与防治教程
清华大学出版社
虚拟鼠标的操作
wk.baidu.com
鼠标操作过程是当控制端产生某种鼠标操作如移动鼠标, 按左键或右键时,在被控制端产生相应的鼠标操作。
控制端鼠标的捕获使用窗口消息和消息函数,主要有 WM_LBUTTONDOWN、WM_LBUTTONDBLCLK、WM_RBUTTONDOWN、 WM_RBUTTONDBLCLK等消息和它们对应的消息函数。消息函 数中还包含了鼠标的位置信息。
09.12.2020
可编辑ppt
第14页
计算机病毒分析与防治教程
木马程序的安装
利用系统漏洞 利用浏览网页 冒名欺骗 捆绑下载
清华大学出版社
09.12.2020
可编辑ppt
第15页
计算机病毒分析与防治教程
木马的启动
集成到程序中 隐藏在配置文件中 潜伏在Win.ini中 伪装在普通文件中 内置到注册表中 隐形于启动组中 捆绑在启动文件中
09.12.2020
可编辑ppt
清华大学出版社
第16页
计算机病毒分析与防治教程
清华大学出版社
举例:文件关联启动
木马通过修改注册表,例如若让扩展名 为.txt的文件和木马程序关联,那么木马 程序会启动。木马程序再调用记事本再打 开被双击的文件,这样木马就悄悄地被启 动且用户还难以发觉。
09.12.2020
09.12.2020
可编辑ppt
第11页
计算机病毒分析与防治教程
清华大学出版社
钩子
是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的 消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即 钩子函数先得到控制权。钩子的种类很多,每种钩子可以截获并处理 相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启 动和关闭应用程序的消息等。远程控制实现键盘同步时使用键盘钩子 捕获键盘信息,某些木马也用键盘钩子来窃取键盘信息。
可编辑ppt
第17页
计算机病毒分析与防治教程
木马的隐藏技术分析
远线程技术 使用注册表插入DLL 反向连接技术 隐藏在回收站
清华大学出版社
09.12.2020
可编辑ppt
第18页
计算机病毒分析与防治教程
清华大学出版社
6.5 一个完整的远程控制程序
09.12.2020
可编辑ppt
第19页
计算机病毒分析与防治教程
09.12.2020
可编辑ppt
第12页
计算机病毒分析与防治教程
进程管理
列举进程 删除进程 执行程序 控制系统
清华大学出版社
09.12.2020
可编辑ppt
第13页
计算机病毒分析与防治教程
清华大学出版社
6.4 木马技术揭露
因为木马是未经授权而使用的远程控制程 序,因此,木马还要使用一些正常远程控 制程序所不使用的方法,以达到其目的。 主要表现在窃取键盘信息、欺骗用户安装、 执行和隐藏等。窃取键盘信息所使用的钩 子技术已经在上节介绍,本节主要介绍木 马安装、执行和隐藏。
清华大学出版社
6.3 远程控制的控制技术
屏幕的截取 键盘操作 鼠标操作 进程管理 系统管理和文件操作
09.12.2020
可编辑ppt
第8页
计算机病毒分析与防治教程
屏幕的截取
清华大学出版社
截取屏幕或窗口要用到图形操作函数。 API函数有CreateCompatibleDC、 StretchBlt等。类CDC封装了这些函数。
计计算算机机病病毒毒分分析析与与防防治治教教程程
清清华华大大学学出出版版社社
第6章 木马与远程控制技术
教学目标 教学重点 教学过程
09.12.2020
可编辑ppt
第1页
计算机病毒分析与防治教程
教学目标
木马的网络通信 木马的隐藏技术 木马的控制技术 发现和清除木马的方法
清华大学出版社
09.12.2020
在Windows中,键盘钩子程序表现为dll文件形式,为主程序调用。主程 序使用函数SetWindowsHookEx安装钩子,其中其中,第一个参数是钩 子的类型,键盘钩子可以是WH_KEYBOARD,第二个参数是钩子函数的 地址,第三个参数是包含钩子函数的模块句柄,第四个参数指定监视 的线程。
SendInput可以产生虚拟的键盘或鼠标信息,它的第二个参数是一个 INPUT结构指针。注意,按下一个按钮和释放一个按钮是两个不同的 动作,所以必须创建两个不同的INPUT结构。