计算机病毒及其防范技术(第2版) 课件-特洛伊木马.ppt

* 要不要演示木马克星 或 木马清道夫等 木马实例 ——BO2K BO(Back Orifice)是典型的远程访问型木马。这种木马借着远程控制的功能，用起来非常简单，只需先运行服务端程序，同时获得远程主机的IP地址，控制者就能任意访问被控制的计算机。这种木马可以使远程控制者在本地机器上任意的事情，比如键盘记录、上传和下载功能、发送一个截取屏幕等等。 BO2K的代码分析 接上页 BO2K的功能（精简） Ping：给一台计算机发个数据包看它能否被访问 Query：返回服务器上的BO的版本号 Reboot Machine：重启动服务器 Lock-up Machine：冻住服务器，要他重启动 List Passwords：取得服务器上的用户和密码 Get System Info：取得Machine Name--机器名、Current User--当前用户、Processor--CPU型号、Operating system version (SP version)--操作系统版本号（补丁版本）、Memory (Physical and paged)--内存（物理内存和虚拟内存）、All fixed and remote drives--所有的固定存储器和远程驱动器 Log Keystrokes：把按键记录到一个文件里，要指定一个文件存储输出结果 End Keystroke Log：停止记录按键 View Keystroke Log：察看按键记录文件 Delete Keystroke Log：删除按键记录文件 System Message Box：在服务器的屏幕上显示一个有文本框的窗口，窗口的标题和文本可定制 Map Port - Other IP：把服务器上一个端口的网络流通数据重定向到另一个IP地址和端口 Map Port - TCP File Receive：从一个指定的端口收取文件，要指定端口号和文件名，详细路径 BO2K演示 木马的检测、清除、防范 已知木马的端口列表（简略） 木马名称 端口 木马名称 端口 BO jammerkillahV 121 Remote Grab 7000 NukeNabber 139 NetMonitor 7300 Hackers Paradise 456 NetMonitor 1.x 7301 Stealth Spy 555 NetMonitor 2.x 7306 Phase0 555 NetMonitor 3.x 7307 NeTadmin 555 NetMonitor 4.x 7308 Satanz Backdoor 666 Qaz 7597 Attack FTP 666 ICQKiller 7789 AIMSpy 777 InCommand 9400 木马检测及清除实验 示例程序利用开放主机端口号和各个木马程序使用端口的对应关系，判断主机是否已中木马，中了何种木马（目前能查找一百余种），并能根据所中木马的类型，对其中的二十几种进行杀灭。此外，用户可自行追加数据库，增加能查找病毒的种类。 开始 读取保存开放端口文件，判断中何木马 是否能打开木马数据库文件 No Yes 结束 Scan开放的端口，结果保存到文件 此木马能否被杀灭 调用函数杀除木马 Yes No 关键数据结构 本程序的数据文件Trojan.txt使用了TROJAN结构来保存木马的名称，对应打开端口号和查杀代码 字段名称 字段类型 字段说明 nPort 数字 该木马所使用的端口号。 TroName 字符串 该木马的名称。 nKillno 数字 该木马的查杀号，杀除函数调用。 pnext 指针 用于构成链表结构指针 木马名称 木马使用特征端口号 查杀号 在Trojan.txt中，每行为一个木马项，格式为 使用端口扫描方法查看有那些端口开放 该方法存在问题： 无法应对隐藏端口 没采用多线程扫描 消除木马进程的步骤 第一步：提升权限 提升本程序权限得目的是，使其能够杀除木马进程，主要是通过AdjustTokenPrivileges函数来完成。 BOOL AdjustTokenPrivileges( HANDLE TokenHandle, //用于修改权限的句炳 BOOL DisableAllPrivileges, //修改方式 PTOKEN_PRIVILEGES NewState, //修改后的值 DWORD BufferLength, //修改值的长度 PTOKEN_PRIVILEGES PreviousState, //修改前状态 PDWORD ReturnLength //返回长度 ); 第二步：枚举进程，获得木马进程的进程号码。 首先通过EnumProcesse