1、實(shí)驗(yàn)指導(dǎo)5木馬攻擊與防范實(shí)驗(yàn).實(shí)驗(yàn)?zāi)康睦斫夂驼莆漳抉R傳播和運(yùn)行的機(jī)制，掌握檢查和刪除木馬的技巧，學(xué)會(huì)防御木馬的相關(guān)知識(shí)，加深對(duì)木馬的安全防范意識(shí)。.預(yù)備知識(shí)木馬及木馬技術(shù)的介紹（1）木馬概念介紹很多人把木馬看得很神秘，其實(shí)，木馬就是在用戶不知道的情況下被植入用戶計(jì)算機(jī)，用來(lái)獲取用戶計(jì)算機(jī)上敏感信息（如用戶口令，個(gè)人隱私等）或使攻擊者可以遠(yuǎn)程控制用戶主機(jī)的一個(gè)客戶服務(wù)程序。這種客戶/服務(wù)模式的原理是一臺(tái)主機(jī)提供服務(wù)（服務(wù)器），另一臺(tái)主機(jī)使用服務(wù)（客戶機(jī)）。作為服務(wù)器的主機(jī)一般會(huì)打開(kāi)一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽(tīng)（Listen）,如果有客戶機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求（ConnectRequest）

2、，服務(wù)器上的相應(yīng)守護(hù)進(jìn)程就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答客戶機(jī)的請(qǐng)求。通常來(lái)說(shuō)，被控制端相當(dāng)于一臺(tái)服務(wù)器，控制端則相當(dāng)于一臺(tái)客戶機(jī)，被控制端為控制端提供預(yù)定的服務(wù)。（2）木馬的反彈端口技術(shù)由于防火墻對(duì)于進(jìn)入的鏈接往往會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾，但是對(duì)于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端（被控制端）使用主動(dòng)端口，客戶端（控制端）使用被動(dòng)端口。木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動(dòng)連結(jié)控制端打開(kāi)的主動(dòng)端口；為了隱蔽起見(jiàn)，控制端的被動(dòng)端口一般開(kāi)在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似TCPUserIP:1026ControllerIP:8

3、0ESTABLISHED的情況，稍微疏忽一點(diǎn)，你就會(huì)以為是自己在瀏覽網(wǎng)頁(yè)。（3）線程插入技術(shù)木馬程序的攻擊性有了很大的加強(qiáng)，在進(jìn)程隱藏方面，做了較大的改動(dòng)，不再采用獨(dú)立的EXE可執(zhí)行文件形式，而是改為內(nèi)核嵌入方式、遠(yuǎn)程線程插入技術(shù)、掛接PSAPI等。這樣木馬的攻擊性和隱藏性就大大增強(qiáng)了。木馬攻擊原理特洛伊木馬是一個(gè)程序，它駐留在目標(biāo)計(jì)算機(jī)里，可以隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口進(jìn)行偵聽(tīng)，在對(duì)接收的數(shù)據(jù)識(shí)別后，對(duì)目標(biāo)計(jì)算機(jī)執(zhí)行特定的操作。木馬，其實(shí)質(zhì)就是一個(gè)通過(guò)端口進(jìn)行通信的網(wǎng)絡(luò)客戶/服務(wù)程序。(1)基本概念網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺(tái)主機(jī)提供服務(wù)(服務(wù)器)，另一臺(tái)主機(jī)接受服務(wù)(客戶機(jī))。作為服務(wù)

4、器的主機(jī)一般會(huì)打開(kāi)一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽(tīng)(Listen)如果有客戶機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求(ConnectRequest)服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答客戶機(jī)的請(qǐng)求，這個(gè)程序稱為守護(hù)進(jìn)程UNIX的術(shù)語(yǔ)，不過(guò)已經(jīng)被移植到修系統(tǒng)七。對(duì)于特洛伊木馬,被控制端就成為一臺(tái)服務(wù)器空制端則是一臺(tái)客戶成守護(hù)進(jìn)程，G.client是客戶端應(yīng)用程序。(2)實(shí)現(xiàn)木馬的控制功能由于Win98開(kāi)放了所有的權(quán)限給用戶，因此，以用戶權(quán)限運(yùn)行的木馬程序幾乎可以控制一切，下面僅對(duì)木馬的主要功能進(jìn)行簡(jiǎn)單的概述，主要是使用WindowsAP函數(shù)。遠(yuǎn)程監(jiān)控(控制對(duì)方鼠標(biāo)、鍵盤(pán)，并監(jiān)視對(duì)方屏)幕keybd_even模

5、擬一個(gè)鍵盤(pán)動(dòng)作。mouse_even模擬一次鼠標(biāo)事件mouse_event(dwFlagdx,dy,eButtonsdwExtralnfo)dwFlags:MOUSEEVENTF_ABSOLU指定鼠標(biāo)坐標(biāo)系統(tǒng)中的一個(gè)絕對(duì)位置MOUSEEVENTF_MOV動(dòng)鼠標(biāo)MOUSEEVENTF_LEFTDO橫擬鼠標(biāo)左鍵按下MOUSEEVENTF_LEFT嘿擬鼠標(biāo)左鍵抬起MOUSEEVENTF_RIGHTDO橫擬鼠標(biāo)右鍵按下MOUSEEVENTF_RIGHT膜擬鼠標(biāo)右鍵按下dx,dy:MOUSEEVENTF_ABSOLl中的鼠標(biāo)坐標(biāo)。記錄各種口令信息keylogbegi：n將擊鍵記錄在一個(gè)文本文件里,同時(shí)還

6、記錄執(zhí)行輸入的窗口名。獲取系統(tǒng)信息a.取得計(jì)算機(jī)名GetComputerNameb.更改計(jì)算機(jī)名SetComputerNamec.當(dāng)前用戶GetUserNamed.系統(tǒng)路徑e.取得系統(tǒng)版本f.當(dāng)前顯示分辨率限制系統(tǒng)功能a.遠(yuǎn)程關(guān)機(jī)或重啟計(jì)算機(jī)，使用WinAPI中的如下函數(shù)可以實(shí)現(xiàn)。ExitWindowsEx(UINTuFlags，DWORDdwReserved)當(dāng)uFlags=EWX_LOGOFF中止進(jìn)程，然后注銷=EWX_SHUTDOWN關(guān)掉系統(tǒng)但不關(guān)電源=EWX_REBOOT重新引導(dǎo)系統(tǒng)二EWX_FORCE強(qiáng)迫中止沒(méi)有響應(yīng)的進(jìn)程=EWX_POWERDOWN關(guān)掉系統(tǒng)及關(guān)閉電源b.鎖定鼠標(biāo)，C

7、lipCursor(lpRectAsRECT)可以將指針限制到指定區(qū)域，或者用ShowCursor(FALSE)把鼠標(biāo)隱藏起來(lái)也可以，RECT是定義的一個(gè)矩形。c.讓對(duì)方掉線RasHangUpd.終止進(jìn)程ExitProcesse.關(guān)閉窗口利用FindWindow函數(shù)找到窗口并利用SendMessage函數(shù)關(guān)閉窗口遠(yuǎn)程文件操作刪除文件：Filedelete拷貝文件：Filecopy共享文件：Exportlist(列出當(dāng)前共享的驅(qū)動(dòng)器、目錄、權(quán)限及共享密碼)注冊(cè)表操作在VB中只要SetRegEdit=CreateObject()就可以使用以下的注冊(cè)表功能：刪除鍵值:RegKey增加鍵值:RegKe

8、y，RegValue獲取鍵值:(Value)木馬的防范建議A.不要隨意打開(kāi)來(lái)歷不明的郵件現(xiàn)在許多木馬都是通過(guò)郵件來(lái)傳播的，當(dāng)你收到來(lái)歷不明的郵件時(shí)，請(qǐng)不要打開(kāi)，應(yīng)盡快刪除。并加強(qiáng)郵件監(jiān)控系統(tǒng)，拒收垃圾郵件。B.不要隨意下載來(lái)歷不明的軟件最好是在一些知名的網(wǎng)站下載軟件，不要下載和運(yùn)行來(lái)歷不明的軟件。在安裝軟件的同時(shí)最好用殺毒軟件查看有沒(méi)有病毒，之后才進(jìn)行安裝。C.及時(shí)修補(bǔ)漏洞和關(guān)閉可疑的端口一般木馬都是通過(guò)漏洞在系統(tǒng)上打開(kāi)端口留下后門(mén)，以便上傳木馬文件和執(zhí)行代碼，在把漏洞修補(bǔ)上的同時(shí)，需要對(duì)端口進(jìn)行檢查，把可疑的端口關(guān)閉。D.盡量少用共享文件夾如果必須使用共享文件夾，則最好設(shè)置帳號(hào)和密碼保護(hù)。注

9、意千萬(wàn)不要將系統(tǒng)目錄設(shè)置成共享，最好將系統(tǒng)下默認(rèn)共享的目錄關(guān)閉。Windows系統(tǒng)默認(rèn)情況下將目錄設(shè)置成共享狀態(tài)，這是非常危險(xiǎn)的。E.運(yùn)行實(shí)時(shí)監(jiān)控程序在上網(wǎng)時(shí)最好運(yùn)行反木馬實(shí)時(shí)監(jiān)控程序和個(gè)人防火墻，并定時(shí)對(duì)系統(tǒng)進(jìn)行病毒檢查。F.經(jīng)常升級(jí)系統(tǒng)和更新病毒庫(kù)。3.實(shí)驗(yàn)環(huán)境1）預(yù)備知識(shí)要求了解網(wǎng)絡(luò)的基本知識(shí)；熟練使用windows操作系統(tǒng)；充分理解木馬攻擊原理；熟悉緩沖溢出攻擊。2）下載和運(yùn)行木馬軟件期間，請(qǐng)關(guān)閉殺毒軟件的自動(dòng)防護(hù)功能以及防火墻,否則程序會(huì)被當(dāng)作病毒而強(qiáng)行終止。運(yùn)行環(huán)境1）需要下載的其它的工具軟件有：:tftp服務(wù)程序，用來(lái)傳輸“冰河”木馬服務(wù)端程序:緩沖溢出攻擊反向連接服務(wù)程序（參見(jiàn)

10、“緩沖區(qū)溢出攻擊與防范實(shí)驗(yàn)”）;:緩沖溢出攻擊工具（參見(jiàn)“緩沖區(qū)溢出攻擊與防范實(shí)驗(yàn)”）;冰河木馬.exe:冰河木馬程序；:“廣外男生”木馬程序。2）本實(shí)驗(yàn)需要用到虛擬機(jī)，因此每臺(tái)實(shí)驗(yàn)主機(jī)都通過(guò)安裝軟件WMwareWorkstation分割出虛擬機(jī)。真實(shí)主機(jī)P1的配置為：操作系統(tǒng)Windows2000server或者windowsxpsp2,并且安裝緩沖區(qū)溢出攻擊軟件，“冰河”木馬，“廣外男生”木馬。虛擬機(jī)P2配置為:操作系統(tǒng)Windows2000Server（沒(méi)有打補(bǔ)丁，存在ms05039漏洞，并且安裝了1衛(wèi)組件）。3）實(shí)驗(yàn)環(huán)境拓?fù)淙鐖D1所示：圖1實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D請(qǐng)根據(jù)實(shí)驗(yàn)環(huán)境將IP地址填入下表

11、，攻防實(shí)驗(yàn)服務(wù)器IPP1:本機(jī)IPP2:本機(jī)上的虛擬機(jī)IPP3:表1實(shí)驗(yàn)IP實(shí)驗(yàn)中，可把真實(shí)機(jī)P2作為攻擊機(jī)，安裝上“冰河”木馬程序，和“廣外男生”；虛擬機(jī)P3作為被攻擊主機(jī)，安裝IIS組件。4.實(shí)驗(yàn)內(nèi)容和步驟實(shí)驗(yàn)任務(wù)一：“冰河”木馬本實(shí)驗(yàn)需要把真實(shí)主機(jī)作為攻擊機(jī)，虛擬機(jī)作為靶機(jī)。即首先利用ms05039溢出工具入侵虛擬機(jī)，然后利用“冰河”木馬實(shí)現(xiàn)對(duì)虛擬機(jī)的完全控制。最后對(duì)木馬進(jìn)行查殺。A.“冰河”使用：冰河是一個(gè)基于TCP/IP協(xié)議和Windows操作系統(tǒng)的網(wǎng)絡(luò)工具，所以首先應(yīng)確保該協(xié)議已被安裝且網(wǎng)絡(luò)連接無(wú)誤，然后配置服務(wù)器程序（如果不進(jìn)行配置則取默認(rèn)設(shè)置），并在欲監(jiān)控的計(jì)算機(jī)上運(yùn)行服務(wù)器端

12、監(jiān)控程序即可。主要文件包括：a.:被監(jiān)控端后臺(tái)監(jiān)控程序（運(yùn)行一次即自動(dòng)安裝，可任意改名），在安裝前可以先通過(guò)G_Client”的配置本地服務(wù)器程序功能進(jìn)行一些特殊配置，例如是否將動(dòng)態(tài)IP發(fā)送到指定信箱、改變監(jiān)聽(tīng)端口、設(shè)置訪問(wèn)口令等）；b.:監(jiān)控端執(zhí)行程序，用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器程序。具體功能操作包括：a.添加主機(jī)：將被監(jiān)控IP地址添加至主機(jī)列表，同時(shí)設(shè)置好訪問(wèn)口令及端口，設(shè)置將保存在文件中，以后不必重輸。如果需要修改設(shè)置，可以重新添加該主機(jī)，或在主界面工具欄內(nèi)重新輸入訪問(wèn)口令及端口并保存設(shè)置。b.刪除主機(jī)：將被監(jiān)控端IP地址從主機(jī)列表中刪除。自動(dòng)搜索：搜索指定子網(wǎng)內(nèi)安裝有冰河的計(jì)算機(jī)。

13、查看屏幕：查看被監(jiān)控端屏幕。屏幕控制：遠(yuǎn)程模擬鼠標(biāo)及鍵盤(pán)輸入。“冰河”信使：點(diǎn)對(duì)點(diǎn)聊天室。修改遠(yuǎn)程配置：在線修改訪問(wèn)口令，監(jiān)聽(tīng)端口等服務(wù)器程序設(shè)置，不需要重新上傳整個(gè)文件，修改后立即生效。B.在對(duì)“冰河”有所了解之后，我們進(jìn)入攻防實(shí)驗(yàn)階段一一使用“冰河”對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行控制：在目標(biāo)主機(jī)（虛擬機(jī)）上植入木馬，即在此主機(jī)上運(yùn)行G_Sever，作為服務(wù)器端；在攻擊機(jī)上運(yùn)行G_Client，作為控制端。分別運(yùn)行這兩個(gè).exe文件后，我們進(jìn)入控制端主界面，按照以下步驟來(lái)實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的控制。步驟1：入侵準(zhǔn)備工作1）下載和安裝木馬軟件前，關(guān)閉殺毒軟件的自動(dòng)防護(hù)功能，避免程序會(huì)被當(dāng)作病毒而強(qiáng)行終止。2）運(yùn)行

14、，如圖2；女伴舊特輯舊還置回幫眈W女伴舊特輯舊還置回幫眈W當(dāng)前朝：而礪/ZI謝口：丁訪問(wèn)口號(hào)（_j文件首電器電曲等控制臺(tái)|二I*河VU_4NEWFUN皆用J圖2“冰河”運(yùn)行主界面3）選擇菜單“設(shè)置”-“配置服務(wù)程序”，如圖3；圖3設(shè)置木馬服務(wù)4）設(shè)置訪問(wèn)口令為“1234567”，其它為默認(rèn)值，點(diǎn)擊“確定”生成木馬的服務(wù)端程序。5）將生成的木馬服務(wù)程序拷貝到tftp服務(wù)的目錄即C:攻防tftp32,如圖4。后退-魚(yú)I微矍索|a文件夾曾|嗡電x堂|國(guó)，Ktlt（D）叵匚:攻防忡p32文件夾X的桌面-文件夾X的桌面-且我的電腦+$3,5軟盤(pán)3：-，本地橙盤(pán)仁)DocumenzsandSettirFO

15、UND.LOUProgramFilestmp1AlNNT攻防二l-Jf七L口tftp32選定項(xiàng)目可以查看三說(shuō)明.另請(qǐng)參閱：我的文檔網(wǎng)上鄰居我的電腦叵|於G_5erver.exetftpd32,exetftp32_J冰河+_J本地催盤(pán)tftp32_J冰河+_J本地催盤(pán)(D),.11.圖4將拷貝到目錄5攻防tftp326）運(yùn)行，務(wù)程序。如圖5。保持此程序一直開(kāi)啟，用于等待攻擊成功后傳輸木馬服圖5tftp服務(wù)運(yùn)行步驟2：進(jìn)行攻擊，將木馬放置在被攻擊端1）對(duì)靶機(jī)P3進(jìn)行攻擊，首先運(yùn)行nc-vv-l-p99接著再開(kāi)一個(gè)dos窗口，運(yùn)行ms05039991（注意：此次IP地址請(qǐng)根據(jù)實(shí)際IP地址修改）2）攻

16、擊成功后，在運(yùn)行nc-vv-l-p99的dos窗口中出現(xiàn)如圖6提示，若攻擊不成功請(qǐng)參照“緩沖區(qū)溢出攻擊與防范實(shí)驗(yàn)”，再次進(jìn)行攻擊。CsIND0S33FiSi：B32kcd.cse-nc-w-1-d99UindLnusKFT5-1.2600版權(quán)Et有19B52001MicrosoftGurpBC：%J)ocumcnitsandScttingsMuablc.liicdC=onsffanarCsgorincvu1p99listenino1onLa.1151J9號(hào)HHHCDnnectfpninC0hmH0R-76.fiiC96C192_168_3,15011B32MlcpnanftUindLaus20

17、0rUeFslnm5_2iS53版權(quán)所有1T85-200BMicrosoftCofd.C：HHTSsy即n32.圖6攻擊成功示意3）在此窗口中運(yùn)行tftp-iget將木馬服務(wù)程序上傳到靶機(jī)P3上，并直接輸入使之運(yùn)行，如圖7。圖7上載木馬程序并運(yùn)行步驟3：運(yùn)行木馬客戶程序控制遠(yuǎn)程主機(jī)1）打開(kāi)程序端程序，單擊快捷工具欄中的“添加主機(jī)”按扭，如圖8所示。“顯示名稱”：填入顯示在主界面的名稱“target“主機(jī)地址”：填入服務(wù)器端主機(jī)的IP地址20.23”。“訪問(wèn)口令”：填入每次訪問(wèn)主機(jī)的密碼，這里輸入“1234567”。“監(jiān)聽(tīng)端口”：“冰河”默認(rèn)的監(jiān)聽(tīng)端口是7626,控制端可以修改它以繞過(guò)防火墻。圖

18、8添加主機(jī)單擊“確定”按扭，即可以看到主機(jī)面上添加了主機(jī)，如圖16。圖9添加主機(jī)后主界面這時(shí)我們就可以像操作自己的電腦一樣操作遠(yuǎn)程目標(biāo)電腦，比如打開(kāi)C:WINNTsystem32config目錄可以找到對(duì)方主機(jī)上保存用戶口令的SAM文件。點(diǎn)擊鼠標(biāo)右鍵，可以發(fā)現(xiàn)有上傳和下載功能。即可以隨意將虛擬機(jī)器上的機(jī)密文件下載到本機(jī)上，也可以把惡意文件上傳到該虛擬機(jī)上并運(yùn)行。可見(jiàn)，其破壞性是巨大的。2)“文件管理器”使用。點(diǎn)擊各個(gè)驅(qū)動(dòng)器或者文件夾前面的展開(kāi)符號(hào)，可以瀏覽目標(biāo)主機(jī)內(nèi)容。如圖17所示，通過(guò)瀏覽可以發(fā)現(xiàn)目標(biāo)主機(jī)的敏感信息，如“銀行賬號(hào)”等。二口2s.文件口編輯匡15HEG幫助國(guó),孰圈里|Q|回量君

19、|。修當(dāng)前連接：“七ZJ淌=i：運(yùn)二訪向口令：|*|應(yīng)用叵acnbdok餛行貼號(hào)文件名稱口.狗工仔塊七包建行tKt二口國(guó)后做施施磁幼后圖acnbdok餛行貼號(hào)文件名稱口.狗工仔塊七包建行tKt二口國(guó)后做施施磁幼后圖磁包磁G:Itl-Fl-E.,E-!凹，0-EFFlFl-E-K-:凹！凹；.：E田支件大小與節(jié))最后更撕時(shí)間9S200G-G-2312:03:5640200日-日-231?050hacknrnunashiyzTi即百KECYCLER銜回逾立年周交流鎖定泵統(tǒng)無(wú)或網(wǎng)絡(luò)安嚏學(xué)習(xí)瞟件2個(gè)對(duì)象.圖9瀏覽至敏感信息然后選中文件，在右鍵菜單中選中“下載文件至.”，在彈出的對(duì)話框中選好本地存儲(chǔ)路徑

20、，點(diǎn)擊“保存”。下載成功是界面如圖10。文怦編強(qiáng)舊諼置段幫助田當(dāng)箭連搔：七文怦編強(qiáng)舊諼置段幫助田當(dāng)箭連搔：七3七，端口：rszB訪同口令：*仙*應(yīng)用匡日文伴管理器也命令控制告ILEUlCLER廚儡闞口徐徐酶陶000ILEUlCLER廚儡闞口徐徐酶陶000國(guó)陶今0曲，.尹旺.0-,4!尹日0-,旺；旺.尹0-0-;.4巴日&：gII國(guó)一文件傳送完畢7圖10成功下載文件后界面2)“命令控制臺(tái)”使用。單擊“命令控制臺(tái)”的標(biāo)簽，彈出命令控制臺(tái)界面，如圖11，驗(yàn)證控制的各種命令。口等英命令當(dāng)前連接：.j文件莒理器%口等英命令當(dāng)前連接：.j文件莒理器%命令控制吉建制二的作網(wǎng)絡(luò)第命令文件類飾除注冊(cè)賽法寫(xiě)諛匿

21、手前吟詰從左則列表中選擇相關(guān)能等圖11命令控制臺(tái)a.口令類命令：展開(kāi)“口令類命令”，如圖12當(dāng)前連接：七江3士|文件營(yíng)理錨電命雷控制臺(tái)Q口令類由金泵統(tǒng)信息及口令歷史口令擊槌記錄拴判匪出臺(tái)當(dāng)前連接：七江3士|文件營(yíng)理錨電命雷控制臺(tái)Q口令類由金泵統(tǒng)信息及口令歷史口令擊槌記錄拴判匪出臺(tái)網(wǎng)絡(luò)類命令文件類布令fiQ,注冊(cè)表讀寫(xiě)十片L設(shè)置類命令;I6壬應(yīng)計(jì)牛.i內(nèi)布受克C:蔭如日.器IW【目目機(jī)僉用用內(nèi)向宛高任,!，魂對(duì)苴lln冊(cè)前任項(xiàng)面面ID.II:錄戶戶-fr存度度PniijdWindowsSTC加:EHTlc/-.imirrkEYEtQms1.C:匚口叫八虹懵BI、1.COM.LO匚ALSNLTmf

22、%COMN01DR-766C90A-Iministrator2GTH211HMB4O4S0KEZJJ前SIM.lS97.23O015：i44M440.EBBL3ZB1Z5W開(kāi)機(jī)口等繳存口令其它口令數(shù)據(jù)沅報(bào)收完畢.圖12口令類命令“系統(tǒng)信息及口令”可以查看遠(yuǎn)程主機(jī)的系統(tǒng)信息，開(kāi)機(jī)口令，緩存口令等。“歷史口令”可以查看遠(yuǎn)程主機(jī)以往使用的口令。“擊鍵記錄”可以記錄遠(yuǎn)程主機(jī)用戶擊鍵記錄，以次可以分析出遠(yuǎn)程主機(jī)的各種帳號(hào)和口令或各種秘密信息。b.控制類命令：展開(kāi)“控制類命令”，如圖13。當(dāng)前這按：，皓口：當(dāng)前這按：，皓口：T626訪問(wèn)口令：厘用見(jiàn)_3文件管理器電命等控劉告C1口令類命令-0控制類命令捕獲

23、屏幕發(fā)送情思i進(jìn)程首理,窗口管理本統(tǒng)控制鼠標(biāo)控制.11:.11:田；因.由屏后控制0b網(wǎng)絡(luò)類命令【三文性類命令C1注冊(cè)表讀寫(xiě)口1誑查類命全屏后控制捕獲區(qū)域：全屏色海口一口二nn：傳輸格式：|enf三品質(zhì)口-10口：15圖13控制類命令“捕獲屏幕”可以使控制端使用者查看遠(yuǎn)程主機(jī)的屏幕。“發(fā)送信息”可以向遠(yuǎn)程計(jì)算機(jī)發(fā)送Windows標(biāo)準(zhǔn)的各種信息。“進(jìn)程管理”可以使控制者查看遠(yuǎn)程主機(jī)上所有的進(jìn)程，如圖14。單擊“查看進(jìn)程”按鈕，就可以看到遠(yuǎn)程主機(jī)上存在的進(jìn)程，甚至還可以終止某個(gè)進(jìn)程，只要選中相應(yīng)的進(jìn)程，然后單擊“終止進(jìn)程”就可以了。A,I口令英前會(huì)IzIt控制莞命等,捕乘屏耳A,I口令英前會(huì)IzI

24、t控制莞命等,捕乘屏耳發(fā)送信息9進(jìn)程后理吉口言理率藐控制,鼠標(biāo)控制,其它控制同降莞前生當(dāng)前連拉：卜皿,七二口揣口：眄函一訪問(wèn)口令：阿否匚應(yīng)用國(guó)臺(tái)文件管理器與命令拄制白Sys-aiplrSysF.d4rSysFtderletDBEVinddwsWindowsCSCJ(otificb.fiqtis.hindjou出遍去.CorifL4cti4RS7r4YHIEServerWindow3YSFEMAJGEHTEHfiIJiTOlYHIMNotifyCallbtckFIEk亡buhwoHI4niior銀行以MFrogrsitiFJandgor由：田：田：田耀止進(jìn)程數(shù)一流扭收完畢_二圖14遠(yuǎn)程主機(jī)進(jìn)程控

25、制“窗口管理”可以使遠(yuǎn)程主機(jī)上的窗口進(jìn)行刷新，最大化，最小化，激活，隱藏等。“系統(tǒng)管理”可以使遠(yuǎn)程主機(jī)進(jìn)行關(guān)機(jī)，重啟，重新加載“冰河”，自動(dòng)卸載“冰河”的操作。“鼠標(biāo)控制”可以使遠(yuǎn)程主機(jī)上的鼠標(biāo)鎖定在某個(gè)范圍內(nèi)。“其他控制”可以使遠(yuǎn)程主機(jī)上進(jìn)行自動(dòng)撥號(hào)禁止，桌面隱藏，注冊(cè)表鎖定等操作。c網(wǎng)絡(luò)類命令展開(kāi)“網(wǎng)絡(luò)類命令”，如圖15:“創(chuàng)建共享”在遠(yuǎn)程主機(jī)上創(chuàng)建自己的共享。“刪除共享”在遠(yuǎn)程主機(jī)上刪除某個(gè)特定的共享。“網(wǎng)絡(luò)信息”可以看到遠(yuǎn)程主機(jī)上的IPC$，C$，人口忖小$等共享。d文件類命令：展開(kāi)“文件類命令”，文件瀏覽，“文件查找”，“文件壓縮”,“文件刪除”，“文件打開(kāi)”等。e注冊(cè)表讀寫(xiě)：展開(kāi)“

26、注冊(cè)表讀寫(xiě)”f設(shè)置類命令：展開(kāi)“設(shè)置類命令”圖15網(wǎng)絡(luò)命令步驟4：刪除“冰河”木馬刪除“冰河”木馬的方法：A.客戶端的自動(dòng)卸載功能，在“控制命令類”中的“系統(tǒng)控制”里面就有自動(dòng)卸載功能，執(zhí)行這個(gè)功能，遠(yuǎn)程主機(jī)上的木馬就自動(dòng)卸載了。B.手動(dòng)卸載，查看注冊(cè)表，打開(kāi)windows注冊(cè)編輯器。打開(kāi)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun如圖16。在目錄中發(fā)現(xiàn)了一個(gè)默認(rèn)的鍵值C:WINNTSystem32,這就是“冰河”木馬在注冊(cè)表中加入的鍵值，將它刪除。打開(kāi)HKEY_LOCAL_MACHINESOFTWAREMicrosof

27、tWindowsCurrentVesionRunservices,如圖17。在目錄中也發(fā)現(xiàn)了一個(gè)默認(rèn)的鍵值C:WINNTSystem32,這也是“冰河”在注冊(cè)表中加入的鍵值，將它刪除。上面兩個(gè)注冊(cè)表的子鍵目錄Run和Runservices中存放的鍵值是系統(tǒng)啟動(dòng)時(shí)自啟動(dòng)的程序，一般病毒程序，木馬程序，后門(mén)程序等都放在這些子鍵目錄下，所以要經(jīng)常檢查這些目錄下的程序。圖16注冊(cè)表編輯-l-n-r-n-nmu-n-n-r-l回回：廠爭(zhēng)辦r曲：L;廠甲由；廠甲辦：廠甲,廠廠廠甲廠品由分，：甲甲GroupPolicyH323T5PnstalernternetSektngsntlRjunLntlRun-l-

28、n-r-n-nmu-n-n-r-l回回：廠爭(zhēng)辦r曲：L;廠甲由；廠甲辦：廠甲,廠廠廠甲廠品由分，：甲甲GroupPolicyH323T5PnstalernternetSektngsntlRjunLntlRun,口匚PLcrFMSPPCcnFT5PM8ModuteUsacpM5-DC6ErnulabDnNetCchepliersREli.=bifitvRunRunGTCBRunOrceERjunServfcesSetupSharadDLLsLFLTW力氏鼠5kll我的電腦1HKE5nager32h.eceSyDcniar圖17注冊(cè)表編輯然后再進(jìn)入C:WINNTSystem32目錄，找到“冰河”的

29、兩個(gè)可執(zhí)行文件和文件，將它們刪除，如圖18。文件編輯但查看的收藏（由工具幫助CW文件編輯但查看的收藏（由工具幫助CW仁后退一,回I四搜索I芻文件夾|四喏X筋|國(guó)地址（9|Isystems2文件夾-十十本地磁盅（C。Document?and5ettlrLJiProgramFlies臣WINNTaddinsAppPatch文件夾-十十本地磁盅（C。Document?and5ettlrLJiProgramFlies臣WINNTaddinsAppPatchassemblyConfigConnectionWizarCurscrsDebugDownloadedInst-：DoAnluadedProgDri

30、verCache!田：選定Z個(gè)對(duì)象蛆es.dll回mpg4d32.次喻raemuntr.dllvwow：32jdll布COMDLG3?.DLL/msjtes4O.dll/cscui.dll嘮qmgr.dll可M5FLXGR.D.OCK至|lcnri3Z.dll但localsec.dl嘮5trmdll.dll至|msie HYPERLINK Ftp.dll司inetcfg.dllM5RD2X35,DLL5Z0KB望sizesrvjzlll司rriE-.-crt2U.dllh323.tspwebchtackudll司rri5h263.dr-,竺rristesH-O.dll司|WINSR1-7.DL

31、L言LOCAL5PL.DLL聞sortkey.nIs啕QTFhjglri.uizx啕P15DATGRD.OC；：啕d:：rnrtp.dllddraAi.dllddeF2dnrvE/M-I5err1.Id口qpwhVprlLr-ll-prllzvk包回包回包包包包*包包型包且我的電腦圖18刪除木馬程序修改文件關(guān)聯(lián)也是木馬常用的手段，“冰河”將txt文件的缺省打開(kāi)方式由改為木馬的啟動(dòng)程序，除此之外，html,exe，zip，com等都是木馬的目標(biāo)。所以，最后還需要恢復(fù)注冊(cè)表中的txt文件關(guān)聯(lián)功能，只要將注冊(cè)表中的HKEY_CLASSES_ROOTtxtfileshellopencommand下的默

32、認(rèn)值，改為C:Windows%1，即可，如圖19。這樣，再次重啟計(jì)算機(jī)我們就完全刪除了“冰河”木馬。C.殺毒軟件查殺大部分殺毒軟件都有查殺木馬的功能，可以通過(guò)這個(gè)功能對(duì)主機(jī)進(jìn)行全面掃描來(lái)去除木馬，就徹底把木馬文件刪除了。htfle口AdUo：fiiihl由htfle口AdUo：fiiihl由匚J日犯郵違T,.jjrtswThS-gl中里F*m口力叫1忖閨on非圖i映出白掰%dE工三二本次和的命jH#：q!E帝iWd?口口口口口自口口口口口自s口口口口呂q日THExim&4.fdLpTA.Llut.GUiTksLM聞黯r_Bt.F*dEngiTn_ec固國(guó)飄5rM61Tn_Bh%l/AckaQ*

33、injstk腎聲dWgL11聞JluPUrrTlLSt加罩gi跛由拈I百萌f(wàn)1r_Bt.、*d*tfuir.LIS囪bHTSHtK.T.TSH&jRb-I.L13lrt3ffnpaT：fiTOfrMnlwnpTiLTSLV.1SLY15LV.13-V.LMisttfHaCTx.T”歷士魚(yú)匚Ci咕5眈圖19去除關(guān)聯(lián)實(shí)驗(yàn)任務(wù)二：“廣外男生”木馬本實(shí)驗(yàn)將真實(shí)機(jī)作為攻擊機(jī)，虛擬機(jī)作為靶機(jī)。真實(shí)機(jī)利用“廣外男生”木馬對(duì)虛擬機(jī)進(jìn)行攻擊，最終完全取得虛擬機(jī)的控制權(quán)。最后學(xué)習(xí)木馬的查殺。1）“廣外男生”的連接運(yùn)行，打開(kāi)“廣外男生”的主程序，主界面如圖20。圖20“廣外男生”主界面進(jìn)行客戶端設(shè)置。依次單擊“設(shè)置

34、”“客戶端設(shè)置”，彈出客戶端設(shè)置界面如圖21。我們可以看到它采用“反彈窗口線程插入技術(shù)”的提示。在“客戶端最大連接數(shù)”中填入允許多少臺(tái)客戶端主機(jī)來(lái)控制服務(wù)器端，注意不要太多，否則容易造成服務(wù)器端主機(jī)死機(jī)。在“客戶端使用端口”填入服務(wù)器端連接到客戶端的那個(gè)端口，這是迷惑遠(yuǎn)程服務(wù)器端主機(jī)管理員和防火墻的關(guān)鍵，填入一些常用端口，會(huì)使遠(yuǎn)程主機(jī)管理員和防火墻誤以為連接的是個(gè)合法的程序。比如使用端口80（此例中，為避免端口沖突，我們使用1500端口）。選擇“只允許以上地址連接”選項(xiàng)，使客戶端主機(jī)IP地址處于默認(rèn)的合法控制IP地址池中。圖21客戶端設(shè)置程序（2）設(shè)置木馬的連接類型，如果使用反彈端口方式二則在

35、彈出對(duì)話框中選中“使用HTTP網(wǎng)頁(yè)IP通知”如果使用反彈端口方式一，則選擇“客戶處于靜態(tài)IP（固定IP地址）”，如圖22。此處我們選擇后者。單擊“下一步”，和“完成”，結(jié)束客戶端設(shè)置。圖22木馬連接類型設(shè)置（4）進(jìn)行服務(wù)器端設(shè)置。依次單擊“設(shè)置”“生成服務(wù)器端”，這時(shí)彈出“廣外男生”服務(wù)器端生成向?qū)В苯訂螕簟跋乱徊健保瑥棾龀Ｒ?guī)設(shè)置界面，如圖23。圖23服務(wù)器端設(shè)置在“EXE文件名”和“DLL文件名”中填入加載到遠(yuǎn)程主機(jī)系統(tǒng)目錄下的可執(zhí)行文件和動(dòng)態(tài)鏈接庫(kù)文件，在“注冊(cè)表項(xiàng)目”中填入加載到遠(yuǎn)程主機(jī)注冊(cè)表中的Run目錄下的鍵值名。這些文件名都是相當(dāng)重要的，因?yàn)檫@是迷惑遠(yuǎn)程主機(jī)管理員的關(guān)鍵所在，如果

36、文件名起的非常隱蔽，如，那么就算管理員發(fā)現(xiàn)了這些文件也不肯定這些文件就是木馬而輕易刪除。注意：把“服務(wù)器端運(yùn)行時(shí)顯示運(yùn)行標(biāo)志并允許對(duì)方退出”前面的對(duì)勾去掉，否則服務(wù)器端主機(jī)的管理員就可以輕易發(fā)現(xiàn)自己被控制了。（5）進(jìn)行網(wǎng)絡(luò)設(shè)置，如圖24選擇“靜態(tài)IP”，在“客戶端IP地址”中填入入侵者的靜態(tài)IP地址（即真實(shí)機(jī)IP），“客戶端用端口”填入在客戶端設(shè)置中選則的連接端口。圖24網(wǎng)絡(luò)設(shè)置（6）生成代理文件，在“目標(biāo)文件”中填入所生成服務(wù)器端程序的存放位置，如E:gwboy092A,這個(gè)文件就是需要植入遠(yuǎn)程主機(jī)的木馬文件。單擊“完成”即可完成服務(wù)器端程序的設(shè)置，這時(shí)就生成了一個(gè)文件名為的可執(zhí)行文件，如圖

37、25，并將該文件拷貝到虛擬機(jī)桌面上圖25生成代理文件（7）進(jìn)行客戶端與服務(wù)器連接。在虛擬機(jī)上執(zhí)行木馬程序，等待一段時(shí)間后客戶端主機(jī)“廣外男生”顯示連接成功，如圖26。這時(shí)，就可以和使用第2代木馬“冰河”一樣控制遠(yuǎn)程主機(jī)，主要的控制選項(xiàng)有“文件共享”，“遠(yuǎn)程注冊(cè)表”，“進(jìn)程與服務(wù)”，“遠(yuǎn)程桌面”等。1&S黑于電）文件信息1&S黑于電）文件信息圖26客戶端與服務(wù)器連接成功2）命令行下“廣外男生”的檢測(cè)（1）由于使用了“線程插入技術(shù)”，所以在windows系統(tǒng)中采用任務(wù)管理器查看線程是發(fā)現(xiàn)不了木馬的蹤跡的，只能看到一些正常的線程在運(yùn)行，所以需要用到另外兩個(gè)工具：fport和tlist。fport是第

38、三方提供的一個(gè)工具，可以查看某個(gè)具體的端口被哪個(gè)進(jìn)程所占用，并能查看PIDtlist是windows資源工具箱中提供的工具，功能非常強(qiáng)大，我們利用它查看進(jìn)程中有哪些動(dòng)態(tài)鏈接庫(kù)正在運(yùn)行，這對(duì)于檢測(cè)插入在某個(gè)正常進(jìn)程中的線程是非常有用的。【問(wèn)題2】：什么是“線程插入技術(shù)”（2）在服務(wù)器端主機(jī)（虛擬機(jī)）上依次單擊“開(kāi)始”一“運(yùn)行”輸入cmd,進(jìn)入命令行提示符，在這里輸入口0$土-an，查看網(wǎng)絡(luò)端口占用狀態(tài)，如圖27。在顯示結(jié)果中，發(fā)現(xiàn)可疑IP地址（就是客戶端IP地址）與本機(jī)建立了連接，這是我們需要注意的地方，記住本機(jī)用于連接的端口號(hào)1231，1232，1233，1234。F：netstat-anAc

39、tiueConnectionsProtoTCPTCPTCPTCPTCPTCPTCPTCPTCPLocalAddressForeignAddressB_H_I3.B_S_0.00.0u.：ProtoTCPTCPTCPTCPTCPTCPTCPTCPTCPLocalAddressForeignAddressB_H_I3.B_S_0.00.0u.：135:445:1025：ises：1S8151082S1B8350=139192.1G8.3.150=1390.B_s.ia：s0a0.0.0：00a0_0.0：:0:0:0192.Its,3.163=1342StateLISTENINGLISTENING

40、L1STEM1NGLISTENINGLISTENINGLISTENINCLISTENINGLISTENINGESTflDLISHEDUDPUDPUDPIIDFUDPUDPUDPUDPUDPIIDFUDPUDPTCP192.160.：3.i5e：ieee192.16B.3.163:1500ESTABLISHTer192.1G8.：3.502108163:1500ESTALISHTer192.1G8.：3.50510823-150=1083192.1G8.3.163=1500ESTALISHLISHTCP192.168.：63;1500ESTA0.0.0,0;13:44:1026192,168,3

41、.150:137192,168,3.150:13850=50B圖27命令行下鍵入netstatan命令（3）接著在提示符下輸入fport（注意，要在有的目錄中運(yùn)行fport）,在顯示結(jié)果中找到以上端口號(hào)，發(fā)現(xiàn)木馬插入的進(jìn)程是，記住此進(jìn)程的PID號(hào)728,如圖28。1_325-2195.6692shUSP1GI_DLL408suchost8Systcn8408suchost8Systcn8Sijstein卻串七211224lease212sewIces：578503334011145C-XWINNTXsysten32Xsunhost.exeUDPUDPUDPC=INNT5F3tcnt32Sis.cxeC二WINNTsyst