信息安全原理與技術(shù)第七次實(shí)驗(yàn)：木馬攻擊與防范

• 前言
• 一、實(shí)驗(yàn)?zāi)康?/li>
• 二、實(shí)驗(yàn)原理
• 三、實(shí)驗(yàn)環(huán)境
• 四、實(shí)驗(yàn)內(nèi)容
• 五、思考題

前言

為了幫助同學(xué)們完成痛苦的實(shí)驗(yàn)課程設(shè)計(jì)，本作者將其作出的實(shí)驗(yàn)結(jié)果及代碼貼至CSDN中，供同學(xué)們學(xué)習(xí)參考。如有不足或描述不完善之處，敬請(qǐng)各位指出，歡迎各位的斧正！

一、實(shí)驗(yàn)?zāi)康?/h1>

1．掌握目前網(wǎng)絡(luò)中常見(jiàn)的七種木馬的檢測(cè)及清除方法；
2．學(xué)會(huì)使用工具檢測(cè)并清除木馬。

二、實(shí)驗(yàn)原理

1．木馬的概念與發(fā)展歷史
計(jì)算機(jī)世界中的特洛伊木馬病毒的名字由《荷馬史詩(shī)》的特洛伊戰(zhàn)記得來(lái)。故事說(shuō)的是希臘人圍攻特洛伊城十年后仍不能得手，于是阿迦門農(nóng)受雅典娜的啟發(fā):把士兵藏匿于巨大無(wú)比的木馬中,然后佯作退兵。當(dāng)特洛伊人將木馬作為戰(zhàn)利品拖入城內(nèi)時(shí)，高大的木馬正好卡在城門間，進(jìn)退兩難。夜晚木馬內(nèi)的士兵爬出來(lái)，與城外的部隊(duì)里應(yīng)外合而攻下了特洛伊城。而計(jì)算機(jī)世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊 Dos 等特殊功能的后門程序。
木馬是指通過(guò)一段特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端，即控制端，另一個(gè)是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開(kāi)，使黑客可以利用這些打開(kāi)的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無(wú)保障了！木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表，更改計(jì)算機(jī)配置等。
（1）第一代木馬：偽裝型病毒
這種病毒通過(guò)偽裝成一個(gè)合法性程序誘騙用戶上當(dāng)。世界上第一個(gè)計(jì)算機(jī)木馬是出現(xiàn)在 1986 年的 PC-Write 木馬。它偽裝成共享軟件 PC-Write 的 2.72 版本（事實(shí)上，編寫 PC-Write的 Quicksoft 公司從未發(fā)行過(guò) 2.72 版本），一旦用戶信以為真運(yùn)行該木馬程序，那么他的下場(chǎng)就是硬盤被格式化。在我剛剛上大學(xué)的時(shí)候，曾聽(tīng)說(shuō)我校一個(gè)前輩牛人在 WAX 機(jī)房上用BASIC 作了一個(gè)登錄界面木馬程序，當(dāng)你把你的用戶 ID，密碼輸入一個(gè)和正常的登錄界面一模一樣的偽登錄界面后后，木馬程序一面保存你的 ID 和密碼，一面提示你密碼錯(cuò)誤讓你重新輸入，當(dāng)你第二次登錄時(shí)，你已成了木馬的犧牲品。此時(shí)的第一代木馬還不具備傳染特征。
（2）第二代木馬：AIDS 型木馬
繼 PC-Write 之后，1989 年出現(xiàn)了 AIDS 木馬。由于當(dāng)時(shí)很少有人使用電子郵件，所以AIDS 的作者就利用現(xiàn)實(shí)生活中的郵件進(jìn)行散播，給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個(gè)名稱是因?yàn)檐洷P中包含有 AIDS 和 HIV 疾病的藥品，價(jià)格，預(yù)防措施等相關(guān)信息。軟盤中的木馬程序在運(yùn)行后，雖然不會(huì)破壞數(shù)據(jù)，但是他將硬盤加密鎖死，然后提示受感染用戶花錢消災(zāi)?？梢哉f(shuō)第二代木馬已具備了傳播特征（盡管通過(guò)傳統(tǒng)的郵遞方式）。
（3）第三代木馬：網(wǎng)絡(luò)傳播性木馬
隨著 Internet 的普及，這一代木馬兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合 TCP/IP 網(wǎng)絡(luò)技術(shù)四處泛濫。同時(shí)他還有新的特征：
①第一，添加了“后門”功能。
所謂后門就是一種可以為計(jì)算機(jī)系統(tǒng)秘密開(kāi)啟訪問(wèn)入口的程序。一旦被安裝，這些程序就能夠使攻擊者繞過(guò)安全程序進(jìn)入系統(tǒng)。該功能的目的就是收集系統(tǒng)中的重要信息，例如，財(cái)務(wù)報(bào)告、口令及信用卡號(hào)。此外，攻擊者還可以利用后門控制系統(tǒng)，使之成為攻擊其它計(jì)算機(jī)的幫兇。由于后門是隱藏在系統(tǒng)背后運(yùn)行的，因此很難被檢測(cè)到。它們不像病毒和蠕蟲那樣通過(guò)消耗內(nèi)存而引起注意。
②第二，添加了擊鍵記錄功能。
從名稱上就可以知道，該功能主要是記錄用戶所有的擊鍵內(nèi)容然后形成擊鍵記錄的日志文件發(fā)送給惡意用戶。惡意用戶可以從中找到用戶名、口令以及信用卡號(hào)等用戶信息。這一代木馬比較有名的有國(guó)外的 BO2000（BackOrifice）和國(guó)內(nèi)的冰河木馬。它們有如下共同特點(diǎn)：基于網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序。具有搜集信息、執(zhí)行系統(tǒng)命令、重新設(shè)置機(jī)器、重新定向等功能。當(dāng)木馬程序攻擊得手后，計(jì)算機(jī)就完全在黑客控制的傀儡主機(jī)，黑客成了超級(jí)用戶，用戶的所有計(jì)算機(jī)操作不但沒(méi)有任何秘密而言，而且黑客可以遠(yuǎn)程控制傀儡主機(jī)對(duì)別的主機(jī)發(fā)動(dòng)攻擊，這時(shí)候背俘獲的傀儡主機(jī)成了黑客進(jìn)行進(jìn)一步攻擊的擋箭牌和跳板。隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來(lái)越大，尤其是一些木馬程序采用了極其狡猾的手段來(lái)隱蔽自己，使普通用戶很難在中毒后發(fā)覺(jué)。
2．木馬工作原理
（1）基礎(chǔ)知識(shí)
在介紹木馬的原理之前有一些木馬構(gòu)成的基礎(chǔ)知識(shí)我們要事先加以說(shuō)明,因?yàn)橄旅嬗泻芏嗟胤綍?huì)提到這些內(nèi)容。
一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。
①硬件部分：建立木馬連接所必須的硬件實(shí)體?？刂贫?#xff1a;對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。服務(wù)端：被控制端遠(yuǎn)程控制的一方。INTERNET：控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。
②軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。
③具體連接部分：通過(guò) INTERNET 在服務(wù)端和控制端之間建立一條木馬通道所必須的元素?？刂贫?IP，服務(wù)端 IP：即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍？刂贫硕丝?#xff0c;木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過(guò)這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬程序。
用木馬這種黑客工具進(jìn)行網(wǎng)絡(luò)入侵，從過(guò)程上看大致可分為六步，下面我們就按這六步來(lái)詳細(xì)闡述木馬的攻擊原理。
一般來(lái)說(shuō)一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)以下兩方面功能：
①木馬偽裝：木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬，會(huì)采用多種偽裝手段，如修改圖標(biāo)，捆綁文件，定制端口，自我銷毀等，我們將在“傳播木馬”這一節(jié)中詳細(xì)介紹。
②信息反饋：木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，IRC 號(hào)，ICO 號(hào)等等，具體的我們將在“信息反饋”這一節(jié)中詳細(xì)介紹。
(2)傳播木馬
①傳播方式:
木馬的傳播方式主要有兩種:一種是通過(guò) E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去,收信人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。
②偽裝方式:
鑒于木馬的危害性,很多人對(duì)木馬知識(shí)還是有一定了解的,這對(duì)木馬的傳播起了一定的抑制作用,這是木馬設(shè)計(jì)者所不愿見(jiàn)到的,因此他們開(kāi)發(fā)了多種功能來(lái)偽裝木馬,以達(dá)到降低用戶警覺(jué),欺騙用戶的目的。常見(jiàn)的偽裝方式有以下幾種。
修改圖標(biāo)
當(dāng)你在 E-MAIL 的附件中看到這個(gè)圖標(biāo)時(shí),是否會(huì)認(rèn)為這是個(gè)文本文件呢?但是我不得不告訴你,這也有可能是個(gè)木馬程序,現(xiàn)在已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT,ZIP 等各種文件的圖標(biāo),這有相當(dāng)大的迷惑性,但是目前提供這種功能的木馬還不多見(jiàn),并且這種偽裝也不是無(wú)懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。
捆綁文件
這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上,當(dāng)安裝程序運(yùn)行時(shí),木馬在用戶毫無(wú)察覺(jué)的情況下,偷偷的進(jìn)入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即 EXE,COM 一類的文件)。
出錯(cuò)顯示
有一定木馬知識(shí)的人都知道,如果打開(kāi)一個(gè)文件,沒(méi)有任何反應(yīng),這很可能就是個(gè)木馬程序,木馬的設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷,所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù)端用戶打開(kāi)木馬程序時(shí),會(huì)彈出一個(gè)的錯(cuò)誤提示框,錯(cuò)誤內(nèi)容可自由定義,大多會(huì)定制成一些諸如“文件已破壞，無(wú)法打開(kāi)的！”之類的信息，當(dāng)服務(wù)端用戶信以為真時(shí),木馬卻悄悄侵入了系統(tǒng)。
定制端口
很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來(lái)了方便,只要查一下特定的端口就知道感染了什么木馬,所以現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可以在 1024—65535 之間任選一個(gè)端口作為木馬端口(一般不選 1024 以下的端口)，這樣就給判斷所感染木馬類型帶來(lái)了麻煩。
自我銷毀
這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。我們知道當(dāng)服務(wù)端用戶打開(kāi)含有木馬的文件后，木馬會(huì)將自己拷貝到 WINDOWS 的系統(tǒng)文件夾中(C:\WINDOWS 或 C:\WINDOWS\SYSTEM 目錄下)，一般來(lái)說(shuō)原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬的朋友只要在近來(lái)收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小去系統(tǒng)文件夾找相同大小的文件, 判斷一下哪個(gè)是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來(lái)源，在沒(méi)有查殺木馬的工具幫助下，就很難刪除木馬了。
木馬更名
安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章, 按圖索驥在系統(tǒng)文件夾查找特定的文件,就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。
（3）運(yùn)行木馬
服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后,木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然后在注冊(cè)表,啟動(dòng)組, 非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件,這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了，具體過(guò)程見(jiàn)下文：
①由自啟動(dòng)激活木馬
自啟動(dòng)木馬的條件,大致出現(xiàn)在下面 6 個(gè)地方:
1）注冊(cè)表:打開(kāi) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下的五個(gè)以 Run 和 RunServices 主鍵,在其中尋找可能是啟動(dòng)木馬的鍵值。
2）WIN.INI:在 C:\WINDOWS 目錄下有一個(gè)配置文件 win.ini，用文本方式打開(kāi)，在[windows]字段中有啟動(dòng)命令 load=和 run=,在一般情況下是空白的,如果有啟動(dòng)程序,可能是木馬。
3)SYSTEM.INI:在 C:\WINDOWS 目錄下有個(gè)配置文件 system.ini，用文本方式打開(kāi)，在[386Enh],[mic]，[drivers32]中有命令行,在其中尋找木馬的啟動(dòng)命令。
4）Autoexec.bat 和 Config.sys:在 C 盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都 需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行。
5）**.INI:即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了。
6）啟動(dòng)菜單:在“開(kāi)始—程序—啟動(dòng)”選項(xiàng)下也可能有木馬的觸發(fā)條件。
②由觸發(fā)式激活木馬
1）注冊(cè)表:打開(kāi) HKEY_CLASSES_ROOT 文件類型\shellopencommand 主鍵,查看其鍵值。舉個(gè)例子,國(guó)產(chǎn)木馬“冰河”就是修改 HKEY_CLASSES_ROOT\xtfileshellopencommand 下的鍵值,將“C:WINDOWS NOTEPAD.EXE %1”改為“C:WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，這時(shí)你雙擊一個(gè) TXT 文件后，原本應(yīng)用 NOTEPAD 打開(kāi)文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。還要說(shuō)明的是不光是 TXT 文件，通過(guò)修改 HTML，EXE，ZIP 等文件的啟動(dòng)命令的鍵值都可以啟動(dòng)木馬，不同之處只在于“文件類型”這個(gè)主鍵的差別，TXT 是 txtfile,ZIP 是 WINZIP，大家可以試著去找一下。
2）捆綁文件:實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了。
3)自動(dòng)播放式:自動(dòng)播放本是用于光盤的，當(dāng)插入一個(gè)電影光盤到光驅(qū)時(shí)，系統(tǒng)會(huì)自動(dòng)播放里面的內(nèi)容，這就是自動(dòng)播放的本意，播放什么是由光盤中的 AutoRun.inf 文件指定的，修改 AutoRun.inf 中的 open 一行可以指定在自動(dòng)播放過(guò)程中運(yùn)行的程序。后來(lái)有人用于了硬盤與 U 盤，在 U 盤或硬盤的分區(qū)，創(chuàng)建 Autorun.inf 文件，并在 Open 中指定木馬程序，這樣，當(dāng)你打開(kāi)硬盤分區(qū)或 U 盤時(shí)，就會(huì)觸發(fā)木馬程序的運(yùn)行。
木馬作者還在不斷尋找“可乘之機(jī)”這里只是舉例，又有不斷的自啟動(dòng)的地方被挖掘出來(lái)。
③木馬運(yùn)行過(guò)程
木馬被激活后，進(jìn)入內(nèi)存，并開(kāi)啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用戶可以在 MS-DOS 方式下，鍵入 NETSTAT-AN 查看端口狀態(tài)，一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口開(kāi)放的，如果有端口開(kāi)放，你就要注意是否感染木馬了。下面是電腦感染木馬后，用 NETSTAT 命令查看端口的兩個(gè)實(shí)例：
其中一是服務(wù)端與控制端建立連接時(shí)的顯示狀態(tài)，二是服務(wù)端與控制端還未建立連接時(shí)的顯示狀態(tài)。在上網(wǎng)過(guò)程中要下載軟件，發(fā)送信件，網(wǎng)上聊天等必然打開(kāi)一些端口，下面是一些常用的端口：
1–1024 之間的端口：這些端口叫保留端口，是專給一些對(duì)外通訊的程序用的，如FTP 使用 21，SMTP 使用 25，POP3 使用 110 等。只有很少木馬會(huì)用保留端口作為木馬端口的。
1025 以上的連續(xù)端口：在上網(wǎng)瀏覽網(wǎng)站時(shí)，瀏覽器會(huì)打開(kāi)多個(gè)連續(xù)的端口下載文字，圖片到本地硬盤上，這些端口都是 1025 以上的連續(xù)端口。
4000 端口：這是 QQ 的通訊端口。
6667 端口：這是 IRC 的通訊端口。除上述的端口基本可以排除在外，如發(fā)現(xiàn)還有其它端口打開(kāi)，尤其是數(shù)值比較大的端口，那就要懷疑是否感染了木馬，當(dāng)然如果木馬有定制端口的功能，那任何端口都有可能是木馬端口。
(4)信息泄露
一般來(lái)說(shuō)，設(shè)計(jì)成熟的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過(guò) E-MAIL，IRC 或 ICO 的方式告知控制端用戶。
從反饋信息中控制端可以知道服務(wù)端的一些軟硬件信息，包括使用的操作系統(tǒng)，系統(tǒng)目錄，硬盤分區(qū)況，系統(tǒng)口令等，在這些信息中，最重要的是服務(wù)端 IP，因?yàn)橹挥械玫竭@個(gè)參數(shù)，控制端才能與服務(wù)端建立 連接，具體的連接方法我們會(huì)在下一節(jié)中講解。
(5)建立連接
這一節(jié)我們講解一下木馬連接是怎樣建立的。一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是服務(wù)端已安裝了木馬程序；二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過(guò)木馬端口與服務(wù)端建立連接。
假設(shè) A 機(jī)為控制端，B 機(jī)為服務(wù)端，對(duì)于 A 機(jī)來(lái)說(shuō)要與 B 機(jī)建立連接必須知道 B 機(jī)的木馬端口和 IP 地址，由于木馬端口是 A 機(jī)事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲得B 機(jī)的 IP 地址。獲得 B 機(jī)的 IP 地址的方法主要有兩種：信息反饋和 IP 掃描。對(duì)于前一種已在上一節(jié)中已經(jīng)介紹過(guò)了，不再贅述，我們重點(diǎn)來(lái)介紹 IP 掃描，因?yàn)?B 機(jī)裝有木馬程序，所以它的木馬端口 7626 是處于開(kāi)放狀態(tài)的，所以現(xiàn)在 A 機(jī)只要掃描 IP 地址段中 7626 端口開(kāi)放的主機(jī)就行了，例如圖中 B 機(jī)的 IP 地址是202.102.47.56，當(dāng) A 機(jī)掃描到這個(gè) IP 時(shí)發(fā)現(xiàn)它的 7626 端口是開(kāi)放的，那么這個(gè) IP 就會(huì)被添加到列表中，這時(shí) A 機(jī)就可以通過(guò)木馬的控制端程序向 B 機(jī)發(fā)出連接信號(hào)，B 機(jī)中的木馬程序收到信號(hào)后立即作出響應(yīng)，當(dāng) A 機(jī)收到響應(yīng)的信號(hào)后，開(kāi)啟一個(gè)隨即端口 1031 與 B 機(jī)的木馬端口 7626 建立連接，到這時(shí)一個(gè)木馬連接才算真正建立。值得一提的要掃描整個(gè) IP 地址段顯然費(fèi)時(shí)費(fèi)力，一般來(lái)說(shuō)控制端都是先通過(guò)信息反饋獲得服務(wù)端的 IP 地址，由于撥號(hào)上網(wǎng)的 IP 是動(dòng)態(tài)的，即用戶每次上網(wǎng)的IP 都是不同的，但是這個(gè) IP 是在一定范圍內(nèi)變動(dòng)的，如圖中 B 機(jī)的 IP 是 202.102.47.56，那么 B 機(jī)上網(wǎng) IP 的變動(dòng)范圍是在202.102.000.000—202.102.255.255，所以每次控制端只要搜索這個(gè) IP 地址段就可以找到 B 機(jī)了。
應(yīng)當(dāng)注意，近來(lái)一些新木馬（如灰鴿子）采用了反彈主動(dòng)連接技術(shù)。這類木馬與傳統(tǒng)的遠(yuǎn)程控制軟件相反，進(jìn)行 C/S（客戶端/服務(wù)器）的反向連接。當(dāng)木馬服務(wù)端被種植到他人的機(jī)器中，服務(wù)端運(yùn)行后，會(huì)動(dòng)態(tài)分配一個(gè)端口，主動(dòng)連接客戶端（黑客）的 80 端口，如果你用“netstat-a”命令檢查，將顯示“TCP 本機(jī) IP:2513 遠(yuǎn)程 IP：80 ESTABLISHED”類似的數(shù)據(jù)，好象是在瀏覽網(wǎng)頁(yè)，因此防火墻也不會(huì)阻擋這種非法連接，給木馬的防范帶來(lái)了困難。
(6)遠(yuǎn)程控制
木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道。
控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。下面我們就介紹一下控制端具體能享有哪些控制權(quán)限，這遠(yuǎn)比你想象的要大。
①竊取密碼：一切以明文的形式，*形式或緩存在 CACHE 中的密碼都能被木馬偵測(cè)到，此外很多木馬還提供有擊鍵記錄功能，它將會(huì)記錄服務(wù)端每次敲擊鍵盤的動(dòng)作，所以一旦有木馬入侵，密碼將很容易被竊取。
②文件操作：控制端可藉由遠(yuǎn)程控制對(duì)服務(wù)端上的文件進(jìn)行刪除,新建,修改,上傳,下載, 運(yùn)行,更改屬性等一系列操作,基本涵蓋了 WINDOWS 平臺(tái)上所有的文件操作功能。
③修改注冊(cè)表：控制端可任意修改服務(wù)端注冊(cè)表，包括刪除，新建或修改主鍵，子鍵，鍵值。有了這項(xiàng)功能控制端就可以禁止服務(wù)端軟驅(qū)，光驅(qū)的使用，鎖住服務(wù)端的注冊(cè)表，將服務(wù)端上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級(jí)操作。
④系統(tǒng)操作：這項(xiàng)內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開(kāi)服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù)端的鼠標(biāo)，鍵盤，監(jiān)視服務(wù)端桌面操作，查看服務(wù)端進(jìn)程等，控制端甚至可以隨時(shí)給服務(wù)端發(fā)送信息，想象一下，當(dāng)服務(wù)端的桌面上突然跳出一段話，不嚇人一跳才怪。
3．隱形木馬啟動(dòng)方式
大家所熟知的木馬程序一般的啟動(dòng)方式有：加載到“開(kāi)始”菜單中的“啟動(dòng)”項(xiàng)、記錄到注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]項(xiàng)中，更高級(jí)的木馬還會(huì)注冊(cè)為系統(tǒng)的“服務(wù)”程序，以上這幾種啟動(dòng)方式都可以在“系統(tǒng)配置實(shí)用程序”(在“開(kāi)始→運(yùn)行”中執(zhí)行“msconfig”)的“啟動(dòng)”項(xiàng)和“服務(wù)”項(xiàng)中找到它的蹤跡。
另一種鮮為人知的啟動(dòng)方式，是在“開(kāi)始→運(yùn)行”中執(zhí)行“Gpedit.msc”。打開(kāi)“組策略”，可看到“本地計(jì)算機(jī)策略”中有兩個(gè)選項(xiàng)：“計(jì)算機(jī)配置”與“用戶配置”，展開(kāi)“用戶配置→管理模板→系統(tǒng)→登錄”，雙擊“在用戶登錄時(shí)運(yùn)行這些程序”子項(xiàng)進(jìn)行屬性設(shè)置，選定“設(shè)置”項(xiàng)中的“已啟用”項(xiàng)并單擊“顯示”按鈕彈出“顯示內(nèi)容”窗口，再單擊“添加”按鈕，在“添加項(xiàng)目”窗口內(nèi)的文本框中輸入要自啟動(dòng)的程序的路徑，如圖所示，單擊“確定”按鈕就完成了。
重新啟動(dòng)計(jì)算機(jī)，系統(tǒng)在登錄時(shí)就會(huì)自動(dòng)啟動(dòng)你添加的程序，如果剛才添加的是木馬程序，那么一個(gè)“隱形”木馬就這樣誕生了。因?yàn)橛眠@種方式添加的自啟動(dòng)程序在系統(tǒng)的“系統(tǒng)配置實(shí)用程序”是找不到的，同樣在我們所熟知的注冊(cè)表項(xiàng)中也是找不到的，所以非常危險(xiǎn)。
通過(guò)這種方式添加的自啟動(dòng)程序雖然被記錄在注冊(cè)表中，但是不在我們所熟知的注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)內(nèi)，而是在冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項(xiàng)。如果你懷疑你的電腦被種了“木馬”，可是又找不到它在哪兒，建議你到注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項(xiàng)里找找吧，或是進(jìn)入“組策略”的“在用戶登錄時(shí)運(yùn)行這些程序”看看有沒(méi)有啟動(dòng)的程序。
現(xiàn)在網(wǎng)頁(yè)木馬無(wú)非有以下幾種方式中到你的機(jī)器里：
（1）把木馬文件改成 BMP 文件，然后配合你機(jī)器里的 DEBUG 來(lái)還原成 EXE，網(wǎng)上存在該木馬 20% ；
（2）下載一個(gè) TXT 文件到你機(jī)器，然后里面藏有 FTP 程序，FTP 連上他們有木馬的機(jī)器下載木馬，網(wǎng)上存在該木馬 20% ；
（3）也是最常用的方式，下載一個(gè) HTA 文件，然后用網(wǎng)頁(yè)控件解釋器來(lái)還原木馬。該木馬在網(wǎng)上存在 50%以上；
（4）采用 JS 腳本，用 VBS 腳本來(lái)執(zhí)行木馬文件，該型木馬偷 QQ 的比較多，偷傳奇賬號(hào)的少，大概占 10%左右；
（5）ARP 欺騙，利用 ARP 欺騙攔截局域網(wǎng)數(shù)據(jù)，攻擊網(wǎng)關(guān)。在數(shù)據(jù)包中插入木馬。解決方案，安裝 ARP 防火墻。
4.木馬防治
雖然木馬程序手段越來(lái)越隱蔽，但是蒼蠅不叮無(wú)縫的蛋，只要加強(qiáng)個(gè)人安全防范意識(shí)，還是可以大大降低“中招”的幾率。
木馬的一般防防范方法：
（1）不要下載、接收、執(zhí)行任何來(lái)歷不明的軟件或文件。很多木馬病毒都是通過(guò)綁定在其他的軟件或文件中來(lái)實(shí)現(xiàn)傳播的，一旦運(yùn)行了這個(gè)被綁定的軟件或文件就會(huì)被感染，因此在下載的時(shí)候需要特別注意，一般推薦去一些信譽(yù)比較高的站點(diǎn)。在軟件安裝之前一定要用反病毒軟件檢查一下，建議用專門查殺木馬的軟件來(lái)進(jìn)行檢查，確定無(wú)毒和無(wú)馬后再使用。
（2）不要隨意打開(kāi)郵件的附件，也不要點(diǎn)擊郵件中的可疑圖片。(后邊另外介紹一個(gè)關(guān)于郵件的例子，大家注意收看)對(duì)不明來(lái)歷的電子郵件和插件不予理睬。
（3）將資源管理器配置成始終顯示擴(kuò)展名。將 Windows 資源管理器配置成始終顯示擴(kuò)展名，一些文件擴(kuò)展名為 vbs、shs、pif 的文件多為木馬病毒的特征文件，如果碰到這些可疑的文件擴(kuò)展名時(shí)就應(yīng)該引起注意。
（4）盡量少用共享文件夾。如果因工作等原因必須將電腦設(shè)置成共享，則最好單獨(dú)開(kāi)一個(gè)共享文件夾，把所有需共享的文件都放在這個(gè)共享文件夾中，注意千萬(wàn)不要將系統(tǒng)目錄設(shè)置成共享。
（5）運(yùn)行反木馬實(shí)時(shí)監(jiān)控程序。木馬防范重要的一點(diǎn)就是在上網(wǎng)時(shí)最好運(yùn)行反木馬實(shí)時(shí)監(jiān)控程序，PC 萬(wàn)用精靈等軟件一般都能實(shí)時(shí)顯示當(dāng)前所有運(yùn)行程序并有詳細(xì)的描述信息。此外如加上一些專業(yè)的最新殺毒軟件、個(gè)人防火墻等進(jìn)行監(jiān)控基本就可以放心了。
（6）經(jīng)常升級(jí)系統(tǒng)。很多木馬都是通過(guò)系統(tǒng)漏洞來(lái)進(jìn)行攻擊的，微軟公司發(fā)現(xiàn)這些漏洞之后都會(huì)在第一時(shí)間內(nèi)發(fā)布補(bǔ)丁，很多時(shí)候打過(guò)補(bǔ)丁之后的系統(tǒng)本身就是一種最好的木馬防范辦法。
（7）關(guān)閉所有磁盤的自動(dòng)播放功能，避免插入帶毒 U 盤，移動(dòng)硬盤，數(shù)碼存儲(chǔ)卡中毒。
（8）安裝個(gè)人防病毒軟件、個(gè)人防火墻軟件。
（9）經(jīng)常去安全網(wǎng)站轉(zhuǎn)一轉(zhuǎn)，以便及時(shí)了解一些新木馬的底細(xì)，做到知己知彼，百戰(zhàn)不殆。
木馬防范的方法那就是把 windows\system\mshta.exe 文件改名，改成什么自己隨便(xp 和 win2000 是 在 system32 下 )HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility\下為 Active Setup controls 創(chuàng)建一個(gè)基于 CLSID 的新鍵值{6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新鍵值下創(chuàng)建一個(gè) REG_DWORD 類型的鍵 Compatibility，并設(shè)定鍵值為0x00000400即可。
還有 windows\command\debug.exe 和 windows\ftp.exe 都給改個(gè)名字(或者刪除)，這對(duì)一些最新流行的木馬是有效的防御。比如網(wǎng)絡(luò)上流行的木馬 smss.exe 這個(gè)是其中一種木馬的主體潛伏在 Windows 98/ME/XP 的 c:\windows 目錄下或 Windows 2000 的 c:\winnt … 下。假如你中了這個(gè)木馬，首先我們用進(jìn)程管理器結(jié)束正在運(yùn)行的木馬 smss.exe 然后在C:\windows 或 c:\winnt\目錄下創(chuàng)建一個(gè)假的 smss.exe 并設(shè)置為只讀屬性（如果 2000/XP是 NTFS 的磁盤格式的話那就更好，可以用“安全設(shè)置”將其屬性設(shè)置為讀取），這樣木馬沒(méi)了以后也不會(huì)在感染了。
“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過(guò)將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開(kāi)被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦?！澳抉R”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒(méi)有很強(qiáng)的隱蔽性的話，那就是“毫無(wú)價(jià)值”的。
隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來(lái)越大，尤其是一些木馬程序采用了極其狡猾的手段來(lái)隱蔽自己，使普通用戶很難在中毒后發(fā)覺(jué)。防治木馬的危害，應(yīng)該采取以下措施：
第一，安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)。
第二，把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)。
第三，可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四，如果使用 IE 瀏覽器，應(yīng)該安裝卡卡安全助手，防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。
遠(yuǎn)程控制的木馬有：冰河、灰鴿子、上興、Pcshare、網(wǎng)絡(luò)神偷、FLUX、網(wǎng)絡(luò)公牛、Netspy、SubSeven、廣外女生等，現(xiàn)在通過(guò)線程插入技術(shù)的木馬也有很多?，F(xiàn)在的木馬程序常常和DLL 文件息息相關(guān)，被很多人稱之為“DLL 木馬”。DLL 木馬的最高境界是線程插入技術(shù)，線程插入技術(shù)指的是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。理論上說(shuō)，在 Windows中的每個(gè)進(jìn)程都有自己的私有內(nèi)存空間，別的進(jìn)程是不允許對(duì)這個(gè)私有空間進(jìn)行操作的，但是實(shí)際上，我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存，因此也就擁有了那個(gè)遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限。無(wú)論怎樣，都是讓木馬的核心代碼運(yùn)行于別的進(jìn)程的內(nèi)存空間，這樣不僅能很好地隱藏自己，也能更好地保護(hù)自己。
DLL 不能獨(dú)立運(yùn)行，所以要想讓木馬跑起來(lái)，就需要一個(gè) EXE 文件使用動(dòng)態(tài)嵌入技術(shù)讓DLL 搭上其他正常進(jìn)程的車，讓被嵌入的進(jìn)程調(diào)用這個(gè) DLL 的 DllMain 函數(shù)，激發(fā)木馬運(yùn)行，最后啟動(dòng)木馬的 EXE 結(jié)束運(yùn)行，木馬啟動(dòng)完畢。啟動(dòng) DLL 木馬的 EXE 是個(gè)重要角色，它被稱為 Loader，Loader 可以是多種多樣的，Windows 的 Rundll32.exe 也被一些 DLL 木馬用來(lái)作為 Loader，這種木馬一般不帶動(dòng)態(tài)嵌入技術(shù)，它直接注入 Rundll32 進(jìn)程運(yùn)行，即使你殺了Rundll32 進(jìn)程，木馬本體還是存在的。利用這種方法除了可以啟動(dòng)木馬之外，不少應(yīng)用程序也采用了這種啟動(dòng)方式，一個(gè)最常見(jiàn)的例子是“3721 網(wǎng)絡(luò)實(shí)名”。
“3721 網(wǎng)絡(luò)實(shí)名”就是通過(guò) Rundll32 調(diào)用“網(wǎng)絡(luò)實(shí)名”的 DLL 文件實(shí)現(xiàn)的。在一臺(tái)安裝 了 網(wǎng) 絡(luò) 實(shí) 名 的 計(jì) 算 機(jī) 中 運(yùn) 行 注 冊(cè) 表 編 輯 器 ， 依 次 展 開(kāi)“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，發(fā)現(xiàn)一個(gè)名為“CnsMin”的啟動(dòng)項(xiàng)，其鍵值為“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”，CnsMin.dll 是網(wǎng)絡(luò)實(shí)名的 DLL 文件，這樣就通過(guò) Rundll32 命令實(shí)現(xiàn)了網(wǎng)絡(luò)實(shí)名的功能。
DLL 木馬簡(jiǎn)單防御方法：
DLL 木馬的查殺比一般病毒和木馬的查殺要更加困難，建議用戶經(jīng)?？纯聪到y(tǒng)的啟動(dòng)項(xiàng)中有沒(méi)有多出莫名其妙的項(xiàng)目，這是 DLL 木馬 Loader 可能存在的場(chǎng)所之一。如果用戶有一定的編程知識(shí)和分析能力，還可以在 Loader 里查找 DLL 名稱，或者從進(jìn)程里看多掛接了什么陌生的 DLL。對(duì)普通用戶來(lái)說(shuō)，最簡(jiǎn)單有效的方法還是用殺毒軟件和防火墻來(lái)保護(hù)自己的計(jì)算機(jī)安全?，F(xiàn)在有一些國(guó)外的防火墻軟件會(huì)在 DLL 文件加載時(shí)提醒用戶，比如 Tiny、SSM等，這樣我們就可以有效地防范惡意的 DLL 木馬了。

三、實(shí)驗(yàn)環(huán)境

聯(lián)網(wǎng)的 PC 機(jī) 2 臺(tái)（安裝 Windows 2003/XP 操作系統(tǒng)）。
安裝實(shí)驗(yàn)中需要檢測(cè)的木馬包括：網(wǎng)絡(luò)公牛、Netspy、冰河、廣外女生、灰鴿子和 anti。

四、實(shí)驗(yàn)內(nèi)容

1.常見(jiàn)木馬的檢測(cè)和清除
（1）網(wǎng)絡(luò)公牛（Netbull）①木馬特征：









網(wǎng)絡(luò)公牛默認(rèn)的連接端口為 23444。服務(wù)端程序 newserver.exe 運(yùn)行后，會(huì)自動(dòng)脫殼成checkdll.exe，位于 C:\Windows\System 下，下次開(kāi)機(jī)后 checkdll.exe 將自動(dòng)運(yùn)行，具有較強(qiáng)的隱蔽性。同時(shí)，服務(wù)端運(yùn)行后會(huì)自動(dòng)捆綁以下文件（Window 2000/XP 下）：
Notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe，winmine.exe





服務(wù)端運(yùn)行后還會(huì)捆綁在開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行的第三方軟件，如 realplay.exe、QQ、ICQ 等，同時(shí)會(huì)在注冊(cè)表中建立鍵值。
網(wǎng)絡(luò)公牛采用的是文件捆綁功能，它和上面所列出的文件捆綁在一塊，要清除非常困難。用戶通過(guò)判斷文件長(zhǎng)度是否發(fā)生變化，可分析是否中了木馬。

②清除方法：
刪除網(wǎng)絡(luò)公牛的自啟動(dòng)程序 C:\Windows\System32\Checkdll.exe
把網(wǎng)絡(luò)公牛在注冊(cè)表中所建立的鍵值全部刪除
檢查上面列出的文件，如果發(fā)現(xiàn)文件長(zhǎng)度發(fā)生變化（大約增加了 40 KB 左右，可以通過(guò)與其他機(jī)子上的正常文件比較而知），就刪除它們。然后點(diǎn)擊“開(kāi)始”→“所有程序”→“附件”→“系統(tǒng)工具”→“系統(tǒng)信息”→“工具”→“系統(tǒng)文件檢查器”，在彈出的對(duì)話框中選中“從安裝軟盤提取一個(gè)文件（E）”，在框中填人要提取的文件（前面刪除的文件），點(diǎn)“確定”按鈕，然后按屏幕提示將這些文件恢復(fù)即可。如果是開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行的第三方軟件，如 realplay.exe、QQ、ICQ 等被捆綁上了，那就把這些文件刪除，再重新安裝。


（2）Netspy 網(wǎng)絡(luò)精靈
①木馬特征：Nespy 又名網(wǎng)絡(luò)精靈，默認(rèn)連接端口為 7306。客戶端通過(guò) IE 或 Navigate 就可以對(duì)服務(wù)器端進(jìn)行遠(yuǎn)程監(jiān)控。服務(wù)器端程序被執(zhí)行后，會(huì)在 C:\Windows\System 目錄下生成 netspy.exe文件。同時(shí)在注冊(cè)表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Vesion\Run\下建立鍵值 C:\Windows\System\netspy.exe，用于在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)，由于版本過(guò)老，沒(méi)有相應(yīng)控制端，Netspy 部分了解即可。
②清除方法：
重新啟動(dòng)機(jī)器并在出現(xiàn) Starifig Windows 提示時(shí)，按 F5 鍵進(jìn)入命令行狀態(tài)。在C:\Windows\System\目錄下輸入以下命令：

del netspy.exe

進(jìn)入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Vesion\Run\ ，刪除 Netspy 的鍵值，即可安全清除 Netspy。
（4）廣外女生
①木馬特征：
“廣外女生”是一種新出現(xiàn)的遠(yuǎn)程監(jiān)控工具，破壞性很大，能實(shí)現(xiàn)遠(yuǎn)程上傳、下載。刪除文件、修改注冊(cè)表等功能。而且“廣外女生”服務(wù)器端被執(zhí)行后，會(huì)自動(dòng)檢查進(jìn)程中是否含有“金山毒霸”、“天網(wǎng)”等字樣，如果發(fā)現(xiàn)就將該進(jìn)程終止，使防火墻完全失去作用。









②清除方法：
從任務(wù)管理器中刪除 diagcfg.exe 進(jìn)程，找到 System32 目錄下的 diagfg.exe，刪除它（由于刪除后會(huì)導(dǎo)致 exe 文件無(wú)法運(yùn)行，先打開(kāi)注冊(cè)表編輯器再刪）。
找 到 HKEY_CLASSES_ROOT\exefile\shell\open\command ， 將 其 默 認(rèn) 鍵 值 改 成“%1” %*。
找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current-Version\RunServices，刪除注冊(cè)表中名稱為“Diagnostic Configuration”的鍵值。（ctr+F Diagnostic Configuration）












（3）冰河
①木馬特征：
這里介紹的是對(duì)其標(biāo)準(zhǔn)版的清除，掌握了如何清除標(biāo)準(zhǔn)版，再來(lái)對(duì)付變種冰河就很容易了。冰河的服務(wù)器端程序?yàn)?G-server.exe。，客戶端程序?yàn)?G-client.exe，默認(rèn)連接端口為 7626。一旦運(yùn)行 G-server，那么該程序就會(huì)在C:\Windows\System32 目錄下生成 Kernel32.exe 和sy***plr.exe，并刪除自身。Kernel32.exe 在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sy***plr.exe 和 TXT 文件關(guān)聯(lián)。即使刪除了 Kernel32.exe，但只要打開(kāi) TXT 文件，sy***plr.exe 就會(huì)被激活，再次生成 Kernel32.exe。


②清除方法：
刪除 C:\Windows\System32 下的 Kernel32.exe 和 Sy***plr.exe 文件。
冰 河 會(huì) 在 注 冊(cè) 表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Vesion\Run\下扎根，鍵值為C:\Windows\System\Kernel32.exe，刪除它
在注冊(cè)表的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Vesion\Runservices 下，還有鍵值為 C:\Windows\System\ Kernel32.exe 的，也要?jiǎng)h除。
修改注冊(cè)表 HKEY_CLASSES_ROOT\txtfile\shell\open\command 下的默認(rèn)值，由表中木馬后的 C:\Windows\System\Sy***plr.exe %1 改為正常的 C:\Windows\System\notepad.exe %1，即可恢復(fù) TXT 文關(guān)聯(lián)功能。










2.木馬檢測(cè)工具的使用
Anti-Trojan Shield 是一款享譽(yù)歐洲的專業(yè)木馬偵測(cè)、攔截及清除軟件。讀者可以從http://www.atshield.com/index.php?r=download 下載試用版。
（1）從上面的網(wǎng)站下載安裝軟件 atsl.exe。
（2）雙擊該軟件，根據(jù)提示完成安裝。
（3）運(yùn)行 Anti-Trojan Shield，如圖 7.42 所示。






圖 7.42 Anti-Trojan Shield 運(yùn)行圖
（4）選擇掃描對(duì)象，然后點(diǎn)擊“Start”，開(kāi)始對(duì)目標(biāo)進(jìn)行掃描，如圖 7.43 所示。

圖 7.43 掃描示意圖
（5）如果軟件找到木馬會(huì)提示，并把該木馬顯示出來(lái)，如圖 7.44 所示。

圖 7.44 報(bào)警示意圖
此時(shí)，可以根據(jù)實(shí)際情況選擇“Delete”刪除或“Quarantine”隔離該木馬。
如圖 7.45 所示，讀者還可以根據(jù)需要，在“setup”標(biāo)簽下勾選“scan archives”選項(xiàng)，這樣就可以對(duì) ZIP、RAR、ARJ 和 CAB 等壓縮包內(nèi)部進(jìn)行掃描。勾選“Use Program code analysis”，可以對(duì)程序進(jìn)行代碼分析，查找出未知的木馬程序，這有點(diǎn)類似于反病毒軟件中的“啟發(fā)式查毒”，但是掃描速度會(huì)減慢。
另外，默認(rèn)選擇“Min [high speed]”項(xiàng)，則只對(duì)可執(zhí)行文件進(jìn)行掃描，建議選擇“Max[low speed]”，對(duì)所有文件都進(jìn)行掃描。

圖 7.45 木馬處理
（5）灰鴿子
①木馬特征：
灰鴿子木馬分兩部分：客戶端和服務(wù)端。黑客（姑且這么稱呼吧）操縱著客戶端，利用客戶端配置生成一個(gè)服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為 G_Server.exe，然后黑客通過(guò)各種渠道傳播這個(gè)木馬（俗稱種木馬或者開(kāi)后門）。
由于灰鴿子病毒變種繁多，其文件名也很多變，近來(lái)發(fā)現(xiàn)的以(Backdoor.GPigeon.sgr)類型居多，不易對(duì)付，在被感染的系統(tǒng)%Windows%目錄下生成三個(gè)病毒文件，分別是G_Server.exe，G_Server.dll，G_Server_Hook.dll。
G_Server.exe 運(yùn)行后將自己拷貝到 Windows 目錄下(98/xp 下為系統(tǒng)盤的 windows 目錄，2k/NT 下為系統(tǒng)盤的 Winnt 目錄)，然后再?gòu)捏w內(nèi)釋放 G_Server.dll 和 G_Server_Hook.dll 到windows 目錄下。G_Server.exe、G_Server.dll 和 G_Server_Hook.dll 三個(gè)文件相互配合組成了灰鴿子服務(wù)端，有些灰鴿子會(huì)多釋放出一個(gè)名為 G_ServerKey.dll 的文件用來(lái)記錄鍵盤操作。同時(shí)注意，G_Server.exe 這個(gè)名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe 時(shí)，生成的文件就是 A.exe、A.dll 和 A_Hook.dll。
Windows 目錄下的 G_Server.exe 文件將自己注冊(cè)成服務(wù)（9X 系統(tǒng)寫注冊(cè)表啟動(dòng)項(xiàng)），每次開(kāi)機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng) G_Server.dll 和 G_Server_Hook.dll 并自動(dòng)退出。G_Server.dll 文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信；G_Server_Hook.dll 則通過(guò)攔截API 調(diào)用來(lái)隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊(cè)的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll 有時(shí)候附在 Explorer.exe 的進(jìn)程空間中，有時(shí)候則是附在所有進(jìn)程中。
灰鴿子病毒其特點(diǎn)是“三個(gè)隱藏”——隱藏進(jìn)程、隱藏服務(wù)、隱藏病毒文件。









由于正常模式下灰鴿子會(huì)隱藏自身，因此檢測(cè)灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是：啟動(dòng)計(jì)算機(jī)，在系統(tǒng)進(jìn)入 Windows 啟動(dòng)畫面前，按下 F8 鍵，在出現(xiàn)的啟動(dòng)選項(xiàng)菜單中，選擇“安全模式”。
第一步：由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置 Windows 顯示所有文件。打開(kāi)“我的電腦”，選擇菜單“工具”→“文件夾選項(xiàng)”，點(diǎn)擊“查看”，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾，并在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”，然后點(diǎn)擊“確定”。
第二步：打開(kāi) Windows 的“搜索文件”，文件名稱輸入“*_hook.dll”，搜索位置選擇 Windows的安裝目錄（默認(rèn) 98/xp 為 C:\windows，2k/NT 為 C:\Winnt）。
第三步 ： 經(jīng)過(guò)搜索，在Windows 目錄 （不包含子目錄）下發(fā)現(xiàn)了一個(gè)名為G_Server_Hook.dll 的文件。
第四步：根據(jù)灰鴿子原理分析我們知道，G_Server_Hook.dll 是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會(huì)有 G_Server.exe 和 G_Server.dll 文件。打開(kāi) Windows 目錄，果然有這兩個(gè)文件，同時(shí)還有一個(gè)用于記錄鍵盤操作的 G_ServerKey.dll 文件。
經(jīng)過(guò)這幾步操作基本就可以確定這些文件是灰鴿子木馬了。
②清除方法：
對(duì)灰鴿子木馬可以目前一些流行的殺病毒軟件查殺，也可以進(jìn)行手動(dòng)清除。下面介紹一種手工清除方法。清除灰鴿子仍然要在安全模式下操作，主要有“清除灰鴿子的服務(wù)”和“刪除灰鴿子程序文件”兩大步。注意：此操作需在安全模式下進(jìn)行，為防止誤操作，清除前一定要做好備份。
第一：刪除相應(yīng)木馬程序
首先在 windows 中找到配置服務(wù)器時(shí)的名稱（默認(rèn)：Hacker.com.cn.exe）,進(jìn)行刪除。












由于在刪除程序在執(zhí)行時(shí)會(huì)偽裝成 IEEXPLORE 進(jìn)程，所以進(jìn)程管理器結(jié)束進(jìn)程再刪除文件。
第二：刪除遺留的注冊(cè)表信息
1）打開(kāi)注冊(cè)表編輯器（點(diǎn)擊“開(kāi)始”→“運(yùn)行”，輸入“Regedit.exe”，確定。）。
2）點(diǎn)擊菜單“編輯”→“查找”，“查找目標(biāo)”輸入“Hacker.com.cn”，點(diǎn)擊確定，我們就可以找到灰鴿子的服務(wù)項(xiàng)。
3）刪除整個(gè) G_server.exe 鍵值所在的服務(wù)項(xiàng)。
即完成灰鴿子的刪除。

五、思考題

惡意軟件入侵流程可歸納為怎么樣的一個(gè)過(guò)程？
答：通過(guò)對(duì)用戶在網(wǎng)絡(luò)下載軟件的捆綁，將帶有惡意代碼的客戶端或服務(wù)端發(fā)送至用戶，當(dāng)用戶運(yùn)行時(shí)，即可控制用戶電腦。

現(xiàn)今的常見(jiàn)惡意軟件的隱藏方式有哪些？請(qǐng)舉例說(shuō)明。
答：反-反匯編和調(diào)試器(保護(hù)器)、Rootkit、代碼，進(jìn)程和DLL注入等。

總結(jié)

以上是生活随笔為你收集整理的信息安全原理与技术第七次实验：木马攻击与防范的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。