计算机病毒分析与防治简明教 教学课件 作者 978 7 302 16377 0 ch06.pptVIP

第6章 木马与远程控制技术 教学目标 木马的网络通信 木马的隐藏技术 木马的控制技术 发现和清除木马的方法 教学重点 套接字与网络编程 远程控制的通信的实现 远程控制的控制技术 木马技术揭露 木马的清除方法 6.1 预备知识 套接字API函数 socket 建立套接字 bind 将套接字和本地ip地址绑定 connect 和一个套接字建立连接 accept 接受一个套接字的连接请求 listen 服务端套接字侦听连接请求 send 向一个套接字发送数据 recv 从一个套接字接收数据 setsockopt 设置套接字选项 6.2 木马分类介绍 从通信方式上分 从存在方式上分 从破坏方式上分 6.3 远程控制的控制技术 屏幕的截取 键盘操作 鼠标操作 进程管理 系统管理和文件操作 虚拟鼠标的操作 鼠标操作过程是当控制端产生某种鼠标操作如移动鼠标，按左键或右键时，在被控制端产生相应的鼠标操作。 控制端鼠标的捕获使用窗口消息和消息函数，主要有WM_LBUTTONDOWN、WM_LBUTTONDBLCLK、WM_RBUTTONDOWN、WM_RBUTTONDBLCLK等消息和它们对应的消息函数。消息函数中还包含了鼠标的位置信息。 控制端将鼠标信息发送给被控制端，控制端调用mouse_event或SendInput产生虚拟的鼠标操作。 虚拟键盘的操作 虚拟键盘的操作是指在控制端的键盘操作，被控制端进行同样的操作。如PCAnywhere和QQ都提供了同样的功能。使用键盘钩子可以捕获控制端的键盘操作，调用SendInput可以在被控制端产生虚拟的键盘操作。 钩子 是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。钩子的种类很多，每种钩子可以截获并处理相应的消息，如键盘钩子可以截获键盘消息，外壳钩子可以截取、启动和关闭应用程序的消息等。远程控制实现键盘同步时使用键盘钩子捕获键盘信息，某些木马也用键盘钩子来窃取键盘信息。 在Windows中，键盘钩子程序表现为dll文件形式，为主程序调用。主程序使用函数SetWindowsHookEx安装钩子，其中其中，第一个参数是钩子的类型，键盘钩子可以是WH_KEYBOARD，第二个参数是钩子函数的地址，第三个参数是包含钩子函数的模块句柄，第四个参数指定监视的线程。 SendInput可以产生虚拟的键盘或鼠标信息，它的第二个参数是一个INPUT结构指针。注意，按下一个按钮和释放一个按钮是两个不同的动作，所以必须创建两个不同的INPUT结构。 进程管理 列举进程 删除进程 执行程序 控制系统 6.4 木马技术揭露 因为木马是未经授权而使用的远程控制程序，因此，木马还要使用一些正常远程控制程序所不使用的方法，以达到其目的。主要表现在窃取键盘信息、欺骗用户安装、执行和隐藏等。窃取键盘信息所使用的钩子技术已经在上节介绍，本节主要介绍木马安装、执行和隐藏。 木马程序的安装 利用系统漏洞 利用浏览网页 冒名欺骗 捆绑下载 木马的启动 集成到程序中 隐藏在配置文件中 潜伏在Win.ini中 伪装在普通文件中 内置到注册表中 隐形于启动组中 捆绑在启动文件中 举例：文件关联启动 木马通过修改注册表，例如若让扩展名为.txt的文件和木马程序关联，那么木马程序会启动。木马程序再调用记事本再打开被双击的文件，这样木马就悄悄地被启动且用户还难以发觉。 木马的隐藏技术分析 远线程技术 使用注册表插入DLL 反向连接技术 隐藏在回收站 6.5 一个完整的远程控制程序 控制命令的传送 控制命令是控制端向被控制端发出的要求执行的命令。从图6-5界面可看出，命令有“取窗口”、“鼠标操作”、“取进程”、“删进程”、“看文件”、“删文件”、“执行程序”、“上传”、“下载”、“关机”、“重启”、“注销”。控制命令用字符串表示，例如发送“*windows*”表示取窗口，发送“*process*”表示取进程信息。 文件与图象的传递 文件与图象属于长数据，发送和接收的时间比较长，需要使用多线程来完成。例如，当控制端要求取被控制端桌面，发送控制命令“*windows*”，同时启动一个子线程，在1801端口侦听，而被控制端收到命令后，也启动一个子线程，完成桌面截取，压缩，然后连接控制端的1801端口，将桌面数据发送过去。控制端收到后显示在控制端的界面上。 6.6 木马的清除方法 监视端口 监视文件 监视进程 监视进程模块 监