第4章：木马攻击与防御技术.ppt

* 网络入侵与防范讲义 * 搜索到9 * 网络入侵与防范讲义 * 冰河的使用(续) 得到9中有木马服务器。下面便可对这台计算机进行操作了。 冰河的功能非常强大，它有“文件管理器”和“命令控制台”两个选项卡。 点击“文件管理器”可以管理被入侵的电脑的硬盘。如下页图所示。 * 网络入侵与防范讲义 * 文件管理器 * 网络入侵与防范讲义 * 文件管理器—下载文件 * 网络入侵与防范讲义 * 冰河的使用(续) 单击“命令控制台标签”，可以看到这里有众多的功能，如下页图所示。 * 网络入侵与防范讲义 * 冰河的命令控制台 * 网络入侵与防范讲义 * 获得系统信息和口令 * 网络入侵与防范讲义 * 捕获对方屏幕 * 网络入侵与防范讲义 * 向对方发送信息 * 网络入侵与防范讲义 * 管理对方的进程 * 网络入侵与防范讲义 * 控制对方系统 * 网络入侵与防范讲义 * 注册表管理 * 网络入侵与防范讲义 * 甚至可以对桌面等其它信息设置 * 网络入侵与防范讲义 * 冰河的使用(总结) 可以看出，冰河的功能非常强大。几乎可以对入侵的计算机进行完全的控制。 可以看出，冰河可以当作一个远程管理工具使用。 新木马介绍-敲诈者木马 修改用户系统致用户无法登录 修改用户文件致用户无法使用 替换系统驱动或系统DLL(4) 需要注意的是，微软对Windows系统中重要的动态库有一定的保护机制。在Windows system32目录下有一个dllcache的目录，下面存放着大量DLL文件和重要的.exe文件，Windows系统一旦发现被保护的DLL文件被改动，它就会自动从dllcache中恢复这个文件。所以在替换系统DLL文件之前必须先把dllcache目录下的对应的系统DLL文件也替换掉。但是，如果系统重新安装、安装补丁、升级系统或者检查数字签名等均会使这种木马种植方法功亏一篑。 动态嵌入技术 另一种利用DLL隐藏木马的方法是动态嵌入技术，也就是将木马程序的代码嵌入到正在运行的进程中 Windows系统中的每个进程都有自己的私有内存空间，一般不允许别的进程对其进行操作。但可以通过窗口hook（钩子函数）、挂接API、远程线程等方法进入并操作进程的私有空间，使木马的核心代码运行于其它进程的内存空间。这种方法比DLL替换技术有更好的隐藏性。 * 网络入侵与防范讲义 * 4.2.5 连接技术 在网络客户端/服务器工作模式中，必须具有一台主机提供服务（服务器），另一台主机接受服务（客户端），这是最起码的硬件必需，也是“木马”入侵的基础。 建立连接时，木马的服务端会在目标主机上打开一个默认的端口进行侦听（Listen），如果有客户机向服务器的这一端口提出连接请求（Connect Request），服务器上的相关程序（木马服务器端）就会自动运行，并启动一个守护进程来应答客户机的各种请求。 * 网络入侵与防范讲义 * 连接技术(2) 其实现原理我们可以在VB中用Winsock控件来模仿实现：（G_Server和G_Client均为Winsock控件） 服务器： G_Server.LocalPort = 7626（木马计划打开的默认端口，可以按需改为别的值） G_Server.Listen（等待连接） * 网络入侵与防范讲义 * 连接技术(3) 客户端： G_Client.RemoteHost = ServerIP（设置远端地址为服务器地址） G_Client.RemotePort = 7626（设置远程端口为前面所设置的默认端口，在这里可以分配一个本地端口给，如果不分配，计算机将会自动分配一个） G_Client.Connect（调用Winsock控件的连接方法） * 网络入侵与防范讲义 * 连接技术(4) 一旦服务端接到客户的连接请求ConnectionRequest，就接受连接： Public Sub G_Server_ConnectionRequest(ByValrequestID As Long) G_Server.Accept requested End Sub 客户机端用G_Client.SendData发送命令，而服务器在G_Server_DataArrive事件中连接并执行命令（很多木马功能都在这个事件处理程序中实现） * 网络入侵与防范讲义 * 连接技术(5) 如果客户断开连接，则关闭连接并重新侦听端口： Private Sub G_Server_Close G_Server.Close（关闭连接） G_Server.Listen（再次监听） End Sub 其他的部分用命令传递来进行，客户端上传一个命令，服务器解释并执行命令。 * 网络入侵与防范讲义 * 连接技术(6) 在建立连接过程中，