实验9木马攻击与防范.docx
- 文档编号:9201466
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:27
- 大小:1.26MB
实验9木马攻击与防范.docx
《实验9木马攻击与防范.docx》由会员分享,可在线阅读,更多相关《实验9木马攻击与防范.docx(27页珍藏版)》请在冰豆网上搜索。
实验9木马攻击与防范
贵州大学实验报告
学院:
计算机科学与技术学院专业:
信息安全班级:
姓名
学号
实验组
实验时间
2015.06.17
指导教师
蒋朝惠
成绩
实验项目名称
实验九木马攻击与防范
实验目的
1.掌握目前网络中常见的7种木马的检测及清除方法。
2.学会使用工具检测并清除木马。
实验要求
利用相应的实验环境独立完成实验报告,并完成思考题。
实验原理
1、木马的概念与发展历史
(1)第一代木马:
伪装型病毒
这种病毒通过伪装成一个合法性程序修片用户上当例如一个伪装成登陆界面的木马程序,当你把你的用户ID、密码输入一个和正常的登陆界面一模一样的伪登陆界面后,木马程序一面保存你的ID和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。
此时的第一代木马还不具备传染特征。
(2)第二代木马:
AIDS型木马
利用现实生活中的邮件进行散播,给其他人寄去一封封含有木马程序软盘的邮件。
之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品、价格、预防措施等相关信息。
软盘中的木马程序在运行后,虽不会破坏数据,但是它将硬盘加密锁死,然后提示受感染用户花钱消灾。
可以说第二代木马已具备了传播特征(尽管通过传统的邮件传递方式)。
(3)第三代木马:
网络传播型木马
随着因特网的普及,这一代的木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。
同时它还有新的特征:
①第一,添加了“后门”功能。
所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。
一旦被安装,这些程序就能够使攻击者绕过安全程序进入系统。
②添加了击键记录功能。
从名称上就可以知道,该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。
恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。
2、木马工作原理
(1)基础知识
一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。
①硬件部分:
建立木马连接所必需的硬件实体。
控制端:
对服务端进行远程控制的一方。
服务端:
被控制端远程控制的一方。
Internet:
控制端对服务端进行远程控制,数据传输的网络载体。
②软件部分:
实现远程控制所必需的软件程序。
控制端程序:
控制端用意远程控制服务器的程序。
木马程序:
潜入服务端内部,获取其操作权限的程序。
木马配置程序:
设置木马程序的端口号、触发条件、木马名称等,使其在服务端藏得更隐蔽的程序。
③具体连接部分:
通过Internet在服务端和控制端之间建立一条木马通道所必须的元素。
控制端IP,服务端IP:
即控制端,服务端的网络地址,也是木马进行数据传输的目的地。
控制端端口,木马端口:
即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序和木马程序。
(2)传播木马
①传播方式。
木马的转播方式主要有两种:
一种是通过E-mail,控制端将木马程序以附件的形式夹在邮件中发送出去,收件人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
②伪装方式。
木马设计者开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
常见的伪装方式有以下几种:
修改图标。
当在E-mail的附件中看到其中图标时,该图标可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标。
捆绑文件。
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。
至于被捆绑的文件一般是可执行文件。
出错显示。
木马设计者为木马提供了一个称为出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!
”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
定制端口。
控制端用户可以在1024~65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
自我销毁。
是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
木马更名。
允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
(3)运行木马
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。
首先将自身复制到WINDOWS的系统文件中(C:
\WINDOWS或C:
\WINDOWS\SYSTEM目录下),然后再注册表、启动组、非启动组中设置好木马的触发条件,这样木马的安装就完成了。
安装后就可以启动木马了,具体过程如下:
①由自启动激活木马。
②由触发式激活木马。
③木马运行过程。
(4)信息泄露
一般来说,设计成熟的木马都有一个信息反馈机制。
所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-mail,IRC或ICO的方式告知控制端用户。
从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统、系统目录、硬盘分区况、系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立连接。
(5)建立连接
一个木马连接的建立首先必须满足两个条件:
一个服务端已安装了木马程序;而是控制端、服务端都要在线。
在此基础上控制端可以通过木马端口与服务端建立连接。
(6)远程控制
控制端享有的控制权限:
①窃取密码:
一切以明文的形式,“*”形式或缓存在cache中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能。
②文件操作:
控制端可借由远程控制对服务端上的文件进行删除、新建、修改、上传、下载、运行、更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
③修改注册表:
有了这项功能控制端就可以禁止服务端软驱、光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置的更隐蔽。
④系统操作:
包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标、键盘,监视服务端桌面操作,查看服务端进程等,甚至可以随时给服务端发送信息。
3、隐形木马启动方式
①把木马文件改成BMP文件,然后配合你计算机的debug来还原成EXE,网上存在该木马20%;
②下载一个TXT文件道你的计算机中,然后里面藏有FTP程序,FTP连上其他有木马的计算机下载木马,网上存在该木马20%;
③第三种方式也是最常用的方式,下载一个HTA文件,然后用网页空间解释器来还原木马。
该木马在网上存在50%以上;
④采用JS脚本,用VBS脚本来执行木马文件,该型木马盗QQ号的比较多,盗游戏账号的少,大概占10%左右;
⑤ARP欺骗,利用ARP欺骗拦截局域网数据,攻击网关。
在数据包中插入木马。
解决方案,安装ARP防火墙。
4、木马防治
木马的一般防御方法:
①不要下载、接收、执行任何来历不明的软件或文件。
②不要随意打开邮件的附件,也不要点击邮件中的可疑图片。
对来历不明的电子邮件和插件不予理睬。
③将资源管理器配置成始终显示扩展名。
④尽量少用共享文件夹。
⑤运行反木马实时监控程序。
⑥经常升级系统。
⑦关闭所有磁盘的自动播放功能,避免插入带毒的优盘、移动硬盘、数码存储卡而中毒。
⑧安装个人防病毒软件、个人防火墙软件。
⑨经常去安全网站转一转,以便及时了解一些新木马的底细,做到知己知彼,百战不殆。
DDL木马简单防御方法:
DDL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常查看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。
如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。
对普通用户来说,最简单有效的放法还是用杀毒软件和防火墙来保护自己的计算机安全。
实验仪器
1.联网的计算机两台(安装Windows2000/XP操作系统)。
2.安装实验中需要检测的木马包括:
网络公牛、Netspy、SubSeven、冰河、网络神偷、广外女生等。
实验步骤、内容、数据
1.常见木马的检测和清除
(1)网络公牛(Netbull)
①木马特征。
网络公牛默认的连接端口为23444。
服务端程序newserver.exe运行后。
会自动脱壳成checkdll.exe,位于C:
\Windows\System下,下次开机后checkdll.exe将自动运行,具有较强的隐蔽性。
同时,服务端运行后会自动捆绑一下文件(Windows2000/XP下):
Notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe,winmine.exe。
服务器端运行后还会自动捆绑在开机时自动运行的第三方软件,如realplay.exe、QQ、ICQ等,同时会在注册表中建立键值。
网络公牛采用的是文件捆绑公牛,它和上面所列出的文件捆绑在一块,要清除非常困难。
用户通过判断文件长度是否发生变化,可肥西是否中了木马。
②清除方法:
删除网络公牛采用的自动启动程序C:
\Windows\Systerm\Checkdull.exe
把网络公牛在注册表中所建立的键值全部删除
检查上面列出的文件,如果发现文件的大小发生变化(大约增加了40K左右,可以通过与其他机子上的正常文件相比较而知),就删除它们,然后选择【开始】→【所有程序】→【所有程序】→【附件】→【系统工具】→【系统信息】→【工具】→【系统文件检查器】,在打开的对话框中【从安装软盘提取一个文件(E)】,在框中填入要提取的文件(前面删除的文件),单击【确定】,然后按屏幕提示将这些文件恢复即可。
如果是开机时自动运行的第三方软件,如realplay.exe、QQ、ICQ等,那就把浙西文件删除,再重新安装。
(2)Netspy(网络精灵)
①木马特征。
Mespy又称网络精灵,默认端口为7306。
客户端通过InternetExplore或Navigate就可以对服务器端进行远程监控。
服务器端程序被执行后,会在C:
\Windows\Systerm目录下生成netspy.exe文件。
同时在注册表HKEY_LOCOL_MACHINE\Software\Microsoft\Windows\Current\Version\Run下建立键值C:
\Windows\Systerm\netspy.exe,用于在系统启动时自动加载运行。
②清除方法
重新启动机器并在出现StarifigWindows提示时,按【F5】键进入命令状态,在C:
\Windows\Systerm目录下输入一下命令:
delnetspy.exe
进入HKEY_LOCOL_MACHINE\Software\Microsoft\Windows\Current\Version\Run,删除Netspy的键值,即可安全清除Netspy.
(3)SubSeven
①木马特征.SubSeven服务器端只有54.5KB,很容易被捆绑到其它软件上而不被发现,服务器端程序为server.exe,客户端为subserver.exe。
SubSeven服务器端呗执行后,每次启动的进程名都会发生变化,因此很难查找。
②清除方法:
打开注册表Regdit,进入HKEY_LOCOL_MACHINE\Software\Microsoft\Windows\Current\Version\Run和RunServer,如果有加载文件,就删除右边的项目:
加载器=“C:
\Windows\Systerm\***”。
注:
加载器和文件名是随意更改的。
打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有,则删除它。
打开systerm.ini,检查“shell=explore.exe”后有没有跟上某个文件,如有,则将后跟的删除。
重新启动Windows,删除相应的木马程序,一般在C:
\Windows\Systerm下。
(4)冰河
①木马特征。
这里介绍的是对其标准版的清楚,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河服务器端程序的为G-server.exe,客户端程序为G=client.exe,默认连接端口为7626.一旦运行G-server,那么程序就会在C:
\Windows\Systerm下生成Kernel32.exe和sy***ple.exe,并删除自身。
Kernel32.exe在系统启动时自动加载运行,sy***plr.exe和TXT文件关联。
即使删除了Kernel32.exe,但只要打开TXT文件,sy***plr.exe就会被激活,再次生成Kernel.exe。
②清除方法:
删除C:
\Windows\Systerm下的Kernel32.exe和Sy***plr.exe文件。
冰河会在注册表HKEY_LOCOL_MACHINE\Software\Microsoft\Windows\Current\Version\Run\扎根,键值为C:
\Windows\Systerm|Kernel32.exe,删除它。
在注册表HKKEY_CLASSES_ROOT\txtfile\shell\open\commend下的默认值,由表中木马后的C:
\Windows\Systerm|Sy***plr.exe%1改为C:
\Windows\Systerm32下notepad.exe%1,即可恢复TXT文件关联的功能。
(5)网络神偷(Nethief)
①木马特征:
“网络神偷”是个反弹端口型木马。
与一般的木马相反,反弹端口型木马的服务器端(被控制端)使用主动端口,客户端(客户端)使用被动端口。
为了隐蔽起见,客户端的监听端口一般开在80,这样即使客户使用端口扫描软件自己的端口,发现的也是类似“TCP服务器端的IP地址:
1026客户端的地址:
80ETSTABLISHED”的情况,稍微疏忽一点就会以为时自己在浏览网页。
②清除方法:
网络神偷会在哎注册表HKEY_LOCOL_MACHINE\Software\Microsoft\Windows\Current\Version\Run\下建立键值“internet”,其值为“internet.exe/s”,将该键值删除。
删除其自启动程序C:
\Windows\Systerm\internet.exe。
(6)广外女生
①木马特征。
“广外女生”是一种新出现的远程监控工具,破坏性很大,能实现远程上传、下载。
删除文件、修改注册表等功能。
而且“广外女生”服务器端呗执行后,会自发动检查进程中是否含有“金山毒霸”、“天网”等字样,如果发现就将该进程终止,使防火墙完全失去作用。
②清除方法:
启动纯DOS模式下,找到Systerm目录下的diagfg.exe,删除它。
找到Windows新目录中的注册表编辑器“Regdit.exe”,将它改名为“R”。
回到Windows模式下,运行Windows目录下的R程序。
找到HKKEY_CLASSES_ROOT\txtfile\shell\open\commend,将其默认键值改成“%1”%*。
删除注册表中名称为“DiagnosticConfigration”的键值。
关掉注册表编辑器,回到Windows目录,将R改为“Regdit.exe”.
(7)WAY2.4
①木马特征。
WAY2.4默认的连接端口是8011。
WAY2.4服务器端被运行后,在C:
\Windows\Systerm下生产msgsvc.exe文件,图标是文本文件的图标。
同时,WAY2.4在注册表HKEY_LOCOL_MACHINE\Software\Microsoft\Windows\Current\Version\Run\下建立串值Msgtask。
②清楚方法:
用进程管理工具查看,会发现进程CWAY,只要删除它在注册表中的键值,在删除C:
\Windows\Systerm下msgsvc.exe文件就可以了。
(8)灰鸽子
①木马特征。
灰鸽子木马分两部分:
客户端和服务器。
黑客操纵着客户端,利用客户端配置生产一个服务器程序。
服务器文件的默认名字为G_server.exe,然后黑客通过各种渠道传播这个木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。
进入安全模式的方法是:
启动计算机,在系统进入Windows启动画面前,按【F8】,在出现启动选项菜单中,选择【安全模式】。
第一步,由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。
打开【我的电脑】,选择【工具】→【文件夹选项】,在打开的对话框中选择【查看】,取消【隐藏受保护的操作系统文件】,并在【隐藏文件和文件夹】项中选择【显示所有文件和文件夹】,然后单击【确定】。
第二步,打开Windows的【搜索文件】,文件名输入*_hook.dll,搜索位置选择Windows的安全目录。
第三步,经过搜索,在Windows目录发现了一个名为G_server_Hook.dll的文件。
第四步,根据灰鸽子原理分析知道,G_server.dll文件。
打开Windows目录,果然有这两个文件。
但同时还有一个用于记录键盘操作的G_ServerKey.dll。
②清除方法。
会灰鸽子木马的清除要在安全模式下,主要有“清除灰鸽子服务”和“删除灰鸽子程序文件”两大步。
第一步,清除灰鸽子服务。
对于Windows2000/XP系统:
打开注册表编辑器(【开始】→【运行】),输入regedit.exe.单击【确定】,打开HKEY_LOCOL_MACHINE\SYSTERM\CurrentControlSet\Services注册表项。
选择【编辑】→【查找】,【查找目标】输入G_server.exe,单击【确定】,就可以找到灰鸽子的服务项。
对Windows98/ME:
在Windows9x下,灰鸽子启动项只有一个,因此清除较为简单。
运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Current\Version\Run项,立即可以看到名为G_server.exe的一项,将其删除即可。
第二步,删除灰鸽子程序文件。
删除灰鸽子程序文件较为简单,只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件。
然后重启计算机。
至此,灰鸽子已经被清理干净。
2.木马检测工具的使用
Anti-TrojanShield
实验总结
本次实验还是遇到一些困难,由于对木马的工作原理不太理解,所以花费了很长时间在这个上面。
实验并非每个木马都顺利完成,通过自己从网上搜索材料,加上同学们的帮助,遇到困难也都很快解决了。
通过本次实验,使我对木马的工作原理和消除方法有了一个全新的认识,基本掌握了目前网络中常见的7种木马的检测及清除方法,同时学会了使用工具检测并清除木马的方法。
指导教师意见
签名:
年月日
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 木马 攻击 防范