红盟木马攻防基础知识讲义.doc

红盟木马攻防基础知识 作者：fooying（H.U.C） 木马一词的来源 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。 围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的 木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城 中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。 后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里 应外的活动。 《荷马史诗》的特洛伊战记，故事说的是希腊人围攻特洛伊城十年后仍不能得手，于 是阿迦门农受雅典娜的启发:把士兵藏匿于巨大无比的木马中,然后佯作退兵。当特洛伊人 将木马作为战利品拖入城内时，高大的木马正好卡在城门间，进退两难。夜晚木马内的士 兵爬出来，与城外的部队里应外合而攻下了特洛伊城。 我们所说的电脑木马的取名就来自于这典故。缘于两者都是伪装欺骗，最终达到敲开城门的目的，不同的是我们电脑木马 敲开的是电脑用户的门。 木马的定义及发展 木马是一种基于远程控制的黑客工具，其实就我个人而言认为其就是特殊的远程控制软件，它具有隐蔽性和非授权性。 可以很容易理解，隐蔽性指的是种马者（控制端，或称服务端）为了不让被种马机（客户端）发现，会采用一定的手段对木马进行隐藏，从而避免被发现。至于非授权性，我想这就是它不同于远程控制的地方了，远程控制是在双方同意基础上进行连接控制（如QQ的远程协助），而木马是控制者在被控制者（肉鸡或客户端）不知情，至少是不同意的基础上进行种入运行操作，从而达到控制对方电脑的目的。 木马没有复制能力，它的特点就是伪装自己，可以伪装成实用工具或者捆绑在正常 的文件上，用来迷惑我们（具体的木马伪装在讲义的后面会进行介绍），之后我们在被迷惑的情况下点击运行伪装的木马或被捆绑木马的正常文件，木马就会运行，在我们的电脑里安装个木马服务端，而黑客在远程使用木马客户端进行连接，如果我们无法查杀卸载服务端，那么我们的电脑就会成为该黑客的肉鸡（之所以叫做肉鸡是因为被中马的电脑就像砧板上的肉鸡，任人宰割），对方使用那个连接的客户端能对我们的电脑进行本地操作一样方便的操作。 从木马的发展来看，基本可以分为两个阶段。木马产生于很早的时代，当初电脑平台还处于以UNIX平台。那时候的木马功能也相对简单，往往是将一段程序嵌入系统文件中，用跳转指令来执行一些远程控制功能。这个时候的木马制作和使用者大多是一些技术人员，必须具备相当的网络和编程知识。随着Windows平台的普及，一些图形化木马出现，使得木马得到普及，即使是对技术不大懂的人也可以轻易使用木马，于是木马攻击的事就经常出现。 木马的结构 一个完整的木马由软体部分、硬件部分和具体连接部分等组成。 硬件部分指建立木马连接所必须的硬件实体，一般有控制端（现在的木马一般为服务端，部分木马除外，如冰河）、被控端以及连接需要的Iternet。 软体部分指实现远程控制所需要的软件程序，一般有客户端、服务端对应的控制程序，还有客户端配置程序（冰河等木马称为服务端配置程序）。 具体连接部分指通过Internet连接建立木马通道所必须的元素，一般含有两个端的IP以及对应连接端口。 木马的特性 木马具有隐蔽性、自动运行、欺骗性、自动恢复、自动打开端口、功能特殊等性质。 作为一种算是恶意软件，通常种马者（控制端）给别人种马都是在对方不知情或不愿意的情况下进行的，且一般种马者想达到长久的控制，所以要求木马具有隐蔽性，从而避免木马被被控端发现；而现在的木马一般情况下为了绕过防火墙，采用被控端主动连接的方式，即变换冰河木马的服务端和客户端的方式（冰河木马采用的是被控端为服务端，控制端为客户端，所以需要控制端远程连接服务端，而现在大部分木马采取相反的方式，即被控端设置为客户端，控制端设置为服务端，采用被控端自动连接控制端的方式），所以如果被控端不连接，那么控制端无法控制，所以要求其具有自动运行性质，在系统启动的同时自动运行，主动连接控制端，避免关机下次无法连接，达到长久控制的目的；而欺骗性，同样是为了达到长久控制的目的，如木马文件伪装成系统文件、木马进程或服务伪装成正常系统进程、服务等，从而避免被发现；至于自动恢复，就是为了避免被破坏，从而失去控制，保证不被删除等；自动打开端口是由于木马的功能需要，需要打开相应的端口进行与控制端的连接及信息传递，从而实现功能；而特殊功能性，如木马的键盘记录等功能，就是为了满足控制者不同的目的需要。 因为木马的这些特性，造就了它是木马而非远程控制软件，这也可作为一种分辨远程控制和木马的标准吧。 木马的连接技术 木马可以算使一种特殊的远程控制软件，需要基于网络才能实现，而远程控制技术，始于DOS时