木马病毒及其防治技术实践.docx

木马病毒及其防治技术实践.docx

《木马病毒及其防治技术实践.docx》由会员分享，可在线阅读，更多相关《木马病毒及其防治技术实践.docx（22页珍藏版）》请在冰豆网上搜索。

木马病毒及其防治技术实践

欺骗与拒绝服务攻防技术实践

摘要

在当今社会，信息技术的快速发展，使得以计算机、通信等技术变得日益更新，发展非常快，从而影响了政治经济和生活登各方各面领域的飞速发展，然而，网络是把双刃剑，在给人们生活带来便利的同时，网络的安全问题也日益突出和重要。

所以，网络是把双刃剑，在给人们带来便利的同时也给人们带来了危险，危险的例子也屡见不鲜，所以我们应该了解网络安全中面临的危险。

我们把文档分为四部分：

第一部分，我们小组内讨论并设计一个基于小组内讨论并设计一个基于社会工程学的攻击案例，诱使被攻击者在不知情的条件下将木马服务端下载安装至被攻击者主机上，并取得对方系统部分控制权。

第二部分，我们利用木马程序将被攻击者主机变为能利用的“肉鸡”。

窃取其机器上的管理员权限和密码，生成一个新的管理员，并不被用户在登录时发现。

利用木马盗取被攻击者主机上的个人隐私，QQ账号、邮箱账号等信息，并下载病毒，感染其主机。

第三部分，我们小组内研究并讨论被攻击者如何在不利用杀毒软件的前提下，通过手动方式，判断机器是否感染病毒或木马，并实现手动清除。

实验完毕，给出可行的木马病毒防御详细方案。

关键词：

网络安全，arp欺骗攻击，拒绝服务攻击

1绪论

计算机和信息技术的飞速发展，网络的日益普及，深刻地改变着人们的生活方式、生产方式与管理方式，加快了国家现代化和社会文化的发展。

21世纪的竞争是经济全球化和信息化的竞争，“谁掌握信息，谁就掌握了世界”，信息安全不仅关系到公民个人，企业团体的日常生活，更是影响国家安全，社会稳定的至关重要的因素之一。

今年来，我国网络安全事件发生的比例呈上升趋势，调查结果显示绝大多数网民的主机曾经感冒病毒，超过一半的网民经历过账号/个人信息被盗窃、被篡改，部分网民曾被仿冒网站欺骗。

在经济利益的驱使下，制造、贩卖病毒木马、进行网络盗窃或诈骗、教授网络攻击技术等形式的网络犯罪活动明显增多，造成了巨大的经济损失和安全威胁，严重影响了我国互联网事业的健康发展。

2冰河木马攻击

2.1木马概念

木马是隐藏在正常程序中的具有特殊功能恶意代码，是具备破坏，删除和修改文件，发送密码，记录键盘，实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。

它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

2.2木马攻击原理

木马的传统连接技术：

一般木马都采用C/S（client/server,即服务器/客户端）运行模式，因此它分为两部分，即客户端和服务前端木马程序。

其原理是，当服务器端程序在目标计算机上被执行后，一般会打开一个默认的端口进行监听，当客户端向服务器端主动提出连接请求，服务器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。

第一代和第二代木马就采用这种方式。

木马的反弹端口技术：

随着防火墙技术的发展，它可有效拦截从外部主动发起的连接的木马程序。

但防火墙对内部发起的连接请求则认为是正常连接，第三代第四代木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求，而客户端是被动的连接。

线程插入技术：

我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的进程标识符。

系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。

一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。

“线程插入”技术就是利用线程之间运行的相对独立性，使木马完全地融进了系统那个内核。

系统运行时会有很多的进程，而每个进程又有许多的线程，这就导致了查杀利用“线程插入”技术木马程序的难度。

2.2木马攻击实验

攻击者打开电脑，解压冰河软件，如图2-1所示。

学生单击“试验环境试验”按钮，出现如图2-1所示。

图1解压冰河软件

通过被攻击方的漏洞把G_SERVER发送给被攻击方，G_Server是木马的服务器端，即用来植入目标主机的程序。

如图2-2所示：

图2-2G_SERVER存在目录

同样，攻击方运行冰河客户端。

如图2-3所示：

图2-3G_CLIENT所在目录

打开控制端G_CLIENT后，弹出“冰河”的主界面，如图2-4所示：

图2-4 冰河主界面

单击快捷工具栏中的“添加主机”按钮，如图2-5所示

图2-5 添加主机按钮

则弹出如下窗口，如图2-6所示

图2-6 添加计算机

显示名称：

填入显示在主界面的名称，即VPC1的ip地址

主机地址：

填入服务器端主机的IP地址

访问口令：

填入每次访问主机的密码，“空”即可

监听端口：

冰河默认的监听端口是7626

获取VPC1的IP地址

在VPC1中点击开始——运行，即可出现如图2-7所示窗口

图2-7运行

在打开中输入cmd，点击确定，即可出现命令行界面，在窗口中输入“ipconfig”即可获取VPC1的IP地址，如图2-8窗口，此处VPC1的IP地址为192.168.12.47（此IP地址不固定）

图2-8 命令行窗口

填写VPC1的IP地址，并点击确定，即可以看到主机界面上添加了192.168.12.47的主机，如图2-9所示:

图2-9  添加192.168.12.47主机

单击192.168.12.47主机，如果连接成功，则会显示服务器端主机上的盘符。

这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开C:

\WINNT\

system32\config目录可以找到对方主机上保存用户口令的SAM文件。

命令控制台命令的使用方法口令类命令：

点击“命令控制台”，点击“口令类命令”前面的“+”即可图2-10所示界面。

图2-10 口令类命令

“系统信息及口令”：

可以查看远程主机的系统信息，开机口令，缓存口令等。

可看到非常详细的远程主机信息，这就无异于远程主机彻底暴露在攻击者面前。

“历史口令”：

可以查看远程主机以往使用的口令

“击键记录”：

启动键盘记录后，可以记录远程主机用户击键记录，一次可以分析出远程主机的各种账号和口令或各种秘密信息

控制类命令：

点击“命令控制台”，点击“控制类命令”前面的“+”即可图2-11所示界面：

图2-11控制类命令

“捕获屏幕”：

这个功能可以使控制端使用者查看远程主机的屏幕，好像远程主机就在自己面前一样，这样更有利于窃取各种信息，单击“查看屏幕”按钮，然后就染成了远程主机的屏幕。

可以看到，远程主机屏幕上的内容就显示在本机上了，显示内容不是动态的，而是每隔一段时间传来一幅。

 “发送信息”：

这个功能可以使你向远程计算机发生Windows标准的各种信息，在“信息正文”中可以填入要发给对方的信息，在图表类型中，可以选择“普通”，“警告”，“询问”，“错误”等类型。

按钮类型可以选择“确定”“是”“否”等类型。

“进程管理”：

这个功能可以使控制着查看远程主机上所有的进程

“窗口管理”：

这个功能可以使远程主机上的窗口进行刷新，最大化，最小化，激活，隐藏等操作。

“系统管理”：

这个功能可以使远程主机进行关机，重启，重新加载“冰河”自动卸载“冰河”的操作

“鼠标控制”：

这个功能可以使远程主机上的鼠标锁定在某个范围内

“其他控制”：

这个功能可以使远程主机进行自动拨号禁止，桌面隐藏，注册表锁定等操作

网络类命令点击“命令控制台”，点击“网络类命令”前面的“+”即可展开网络类命令，如图2-12所示

图2-12 网络类命令

“创建共享”：

在远程主机上创建自己的共享

“删除共享”：

在远程主机上删除某个特定的共享

“网络信息”：

查看远程主机上的共享信息

文件类命令点击“命令控制台”，点击“文件类命令”前面的“+”即可展开“文件类命令”:

图2-13 文件类命令

“文件浏览”，“文件查找”，“文件压缩”，“文件删除”，“文件打开”等菜单可以查看，查找，压缩，删除，打开远程主机上某个文件。

“目录增删”，“目录复制”，可以增加，删除，复制远程主机上的某个目录。

注册表读写点击“命令控制台”，点击“注册表读写”前面的“+”即可展开“注册表读写”如图2-14所示:

图2-14 注册表读写

注册表读写提供了“键值读取”，“键值写入”,“键值重命名”，“主键浏览”，“主键增删”“主键复制”的功能

设置类命令点击“命令控制台”，点击“设置类命令”前面的“+”即可展开“设置类命令”，设置类命令提供了“更换墙纸”，“更改计算机名”“服务器端配置”的功能，如图2-15所示:

图2-15设置类命令

3木马获取系统信息

3.1窃取管理员权限和密码，生成新的管理员

使用冰河软件远程控制：

打开命令行界面：

添加用户test并加入组织管理员：

使用PwDump7把系统的密码hash导入到an.txt文件

使用cain软件获取到管理员的密码是123456

4手工检测木马病毒

4.1查看开启端口

由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。

具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分--proto（连接方式）、localaddress（本地连接地址）、foreignaddress（和本地建立连接的地址）、state（当前端口状态）。

通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

如下图是攻击后的图片：

图攻击后端口

4.2查看系统进程

查看系统进程，发现多出来的进程：

4.3检查系统启动项

我们在发现计算机有异常情况时，（如经常自动重启，密码信息泄露时）就应该怀疑是否已经中了木马，这时我们应该查看注册表，在“开始”的“运行”里面输入regedit，打开Windows注册表编辑器，依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,

在目录中发现了一个默认的键值C:

\WINNT\System32\kernel32.exe，这就是“冰河”密码在注册表中加入的键值，选中它，右键，点击删除，即可把它删除，如图所示。

图21 删除冰河木马

然后依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Runservices，如下图所示：

注册表Runservices子键目录

在目录中也发现了一个默认的键值C:

\WINNT\System32\kernel32.exe，这也是“冰河”木马在注册表中加入的键值，将它删除。

上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自动起订的程序，一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些子键目录下的程序，如果有不明程序，要着重进行分析。

4.4检查系统启动项

然后我们再进入C:

\WINNT\System32目录，找到“冰河”木马的两个可执行文件Kernel32.exe和Sysexplr.exe文件，将它们删除，如下图所示：

图Kernel32.exe文件

图23Sysexplr.exe文件

4.5查看文件关联性

修改文件关联也是木马常用的手段，“冰河”木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，除此之外，html,exe,zip,com等也都是木马的目标，所以，在最后需要回复注册表中的txt文件关联功能。

找到注册表的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的默认值，选中“（默认）”，右键——修改，如图所示:

图修复txt文件关联功能

即可出现如下窗口，将数值数据C:

\Windows\System32\Sysexplr.exe%1改为正常情况下的C:

\Windows\notepad.exe%1即可，如图所示

图修复内容

5总结

如何避免系统被木马病毒入侵，我们应该做到如下几点：

一、一般新装的系统，都具有系统默认的自带防火墙。

打开开始菜单→控制面板→系统和安全→Windows防火墙。

可以查看到防火墙是否开启。

二、然后我们的电脑一般都没有安装安全软件，安全软件的品牌有很多，我们可以多尝试几个，如XX卫士，360，腾讯管家，等等。

三、一般安装安全软件，用软件都可以检测出来系统漏洞，新装的系统一定要给电脑打补丁，修复漏洞。

四、众所周知，现在腾讯QQ等聊天软件盛行，许多木马都是从这些聊天软件散布的。

那么，怎样才能不被QQ上的木马中招呢？

很简单。

坏人都是通过聊天软件给你发文件，然后你接收了或者是接收了以后还不知所谓的打开这个文件，也许你就中招了。

所以千万不要随意接收你的好友发过来的文件。

五、也许大家在有需要用到什么软件的时候，软件库里没有而要到网上搜索下载，这个时候我们一定要选择绿色的网站。

因为网页也并不是安全的，有些网页带有木马网页，有些网站上的软件是捆绑了木马病毒的，它会在不知不觉中蚕食我们的电脑。

如果你看到网页上方有如下所示的图，那么你要当心了，你下载下来的软件很可能已经捆绑了木马了。