木马工作原理与其防范.docVIP

单元二 数据安全及病毒、木马的防范 项目四　木马的工作原理及其防范 教学目标 1．理解典型木马的概念、分类与原理； 2．理解典型木马的检测与防范策略； 3．掌握手间谍软件的防范策略，学会手工清除常见、顽固的计算机木马； 4．木马专家、灰鸽子木马的安装、远程控制与操纵。 教学要求 1．认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯； 2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业； 3．教学环境： Windows 7以及Windows server2003/2008以上操作系统。 知识要点 1．理解典型木马的概念、分类与原理； 2．理解典型木马的检测与防范策略； 技术要点 1．掌握手工清除木马程序的基本操作，学会手工清除常见、顽固的计算机木马； 2．木马专家、灰鸽子木马的安装、远程控制与操纵。 技能训练 一．讲授与示范 正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。 (一)木马(?特洛伊木马)的工作原理 木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具有破坏、删除和修改文件、发送密码、记录键盘、实施Dos攻击甚至完全控制计算机等特殊功能的后门程序。 1．木马工作组成及原理 服务器端、客户端及其运动平台或操作。 工作原理：攻击者利用一种称为绑定程序的工具将服务器端程序绑定到某个合法软件上，诱使用户运行该合法软件，用户一旦运行该该合法软件，木马的服务器端程序就在用户毫无知觉的情况下完成安装。 服务器端程序：服务器运行的IP端口号，程序启动时机，如何发出调用，隐身，加密，采用通信方式。 2．木马分类 破坏型：破坏和删除文件（DLL、INI、EXE） 密码发送型：找到目标的隐藏密码，发给攻击者信箱 远程访问型：在目标计算机上运行服务器端，前提是服务端的IP地址 键盘记录木马：通过Log文件查找密码等，或记录受害者的键盘动作 DoS攻击木马：通过植入木马，可以把受控主机当作一个个肉鸡，控制者可以操纵大量的肉鸡来同时对某个主机发起DoS攻击，随机生成各种各样主题的信件，对特定的邮箱不停的发送邮件，直到对方瘫痪。 代理木马：攻击时又保护自己，被控制的计算机种上代理木马，作为跳板，就像操纵傀儡一般 FTP木马：打开21端口，让每个FTP客户端不要密码就可连接到受控主机，随意窃取受害主机的文件 程序杀手木马：关闭目标机上运行的木马查杀程序或病毒软件 反弹端口型木马：对于有放火墙的受害者，木马可以通过反连端口的方式来达到操纵受害主机的目的，也就是说，木马自己穿越防火墙主动去连接控制者，因为一般木马会采用常用的端口，比如80端口，而且现在的防火墙往往采用严进宽出的方案，所以这种控制很有用。 3．传播途径 1）网页传播 配置木马传播木马运行木马 配置木马 传播木马 运行木马 远程控制 木马连接 信息反馈 3）邮件传播 4）利用系统漏洞 4．木马攻击流程 1）配置木马 木马伪装：修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名 2）传播木马 采用邮件、文件下载、网页浏览 3）运行木马 自动安装、自启动、激活木马 4）信息反馈 ◆ 通过信息反馈(ADSL是动态IP地址，但可确定一个地区的网络服务商的IP地址) ◆ IP地址扫描：主机的IP地址、植入端口、E-Mail 5）木马连接 ◆ 获取服务端的木马程序端口和IP地址 ◆ 服务端已安装了服务端程序 ◆ 控制端、服务端都在网上 6）远程控制 窃取密码、文件操作、修改注册表、系统操作 (二)木马的防范策略与检测 1．木马的隐藏 1）任务栏图标的隐藏 Form（窗体）的Visible属性设置为False，ShowInTaskBar设为False 2）在任务管理器里隐藏 通过Windows自带的任务管理器易发现木马，但可将木马程序配置成“系统服务”，便可骗过任务管理器。 3）通信端口的隐藏 使用1024以上的端口，因为底于1024端口可能造成端口冲突易暴露 4）加载技术使用的隐藏 技术：JavaScript、VBScript、ActiveX等的使用 5）采用的陷阱技术 非常适合木马，通过修改虚拟设备驱动程序(VXD)或动态链接库(DLL)来加载木马，并替换系统已知的DLL或VXD，并对所有的函数调用进行过滤，一旦被控制端的。 请求就激活自身。这不增新文件，不需要新的端口，没有新的进程，使用常规方法监测不到。 6）系统配置文件 Win.ini、Config.sys、Boot.ini和System.ini等 如”load=”和”run=”是空白的。 Win.ini中加[windows]字段中有启动“