第十四讲计算机木马（二）.ppt

计算机木马 木马的连接方式 第一代和第二代木马属于传统的连接方式：远程主机开放监听端口等待外部连接，成为服务器端；当入侵者需要与远程主机连接时，发送连接请求。 第三代木马开始使用了“反弹端口”技术，连接不再由客户端发起，而是服务器端来完成。 反弹窗口技术需要在配置服务器时指明入侵者的ip地址和连接端口，因此不适用于动态上网的入侵者 反弹窗口的连接方式 无中间代理的连接 引入中间代理的连接 灰鸽子简介 灰鸽子是国内第三代木马的典型代表 除了可以使用传统连接方式，可以使用反弹窗口的连接方式，方便的控制动态IP地址和局域网内的远程主机 在使用灰鸽子时，可以利用灰鸽子自带的工具，申请免费域名提供的动态IP映射实现代理功能 第四代木马——广外男生 简介：广外男生同广外女生一样，是广东外语外贸大学的作品。 特色： 客户端模仿Windows资源管理器：除了全面支持访问远程服务器文件系统，也同时支持通过对方的“网上邻居”，访问对方内部网其他机器 运用了“反弹窗口”技术 使用了“线程插入”技术：服务器运行时没有进程，所有网络操作均插入到其他应用程序的进程中完成。即便受控端安装的防火强有“应用程序访问权限”的功能，也不能对广外男生的服务器进行有效警告和拦截。 不再支持传统的连接方式 广外男生使用实例 客户端设置：打开广外男生客户端（gwboy092.exe），选择“设置”—“客户端设置”，打开“广外男生客户端设置程序”。 其中最大连接数一般使用默认的30台，客户端使用端口一般设置成80。 广外男生使用实例 本次实验使用固定IP地址的主机进行实验，因此选择“客户端处于静态IP” 点击“下一步”，再点击“完成”按钮结束客户端的设置。 广外男生使用实例 服务端设置：进行服务端设置时，选择“设置”—“服务器设置”，打开“广外男生服务端生成向导” 广外男生使用实例 选择“同意”之后，点击下一步，开始进行服务端常规设置 广外男生使用实例 设置完成后点击“下一步”，进行“网络设置”。根据实际网络环境，选择静态IP选项进行实际网络的设置 广外男生使用实例 设置完成点击“下一步”，填写生成服务器端的目标文件的名称，然后点击“完成”，结束服务器端的配置 广外男生使用实例 广外男生使用实例 广外男生使用实例 广外男生木马的清除 1、检测广外男生木马的有效方法为使用“netstat -na”查看目标主机的网络连接情况，如果端口8225开放，那么该主机可能已经中了广外男生木马。 2、打开注册表编辑器，展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，删除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”，删除ID为{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其下所有子键和键值。 3、点击 “编辑”菜单中的 “查找”，在注册表编辑器中搜索gwVboydl1。dll，找到所有和它有关的注册表项，全部删除。 4、删除system32目录下的gwboy.exe。然后进入DOS模式下，输入del winnt\system32\gwVboydll.dll命令，删除system32目录中的gwboydll.dll文件。 木马的加壳与脱壳 虽然木马的功能非常强大，甚至使得入侵者可以为所欲为，但是有了良好的杀毒工具，木马难免会被查杀 一个程序写完后，并不是把写好的程序直接提供给用户进行使用，而是需要通过一些软件对应用程序进行处理，这个处理的过程被称作“加壳”。处理的目的有两个： 一个是为了保护程序源代码、防止被修改和破坏 通过加壳后，可以减小程序的体积 木马的加壳与脱壳 木马通过加壳后可以实现避免被杀毒软件的查杀，这些加壳的软件常见的有ASPACK、UPX、WWPACK等 与加壳相反的过程称为“脱壳”，目的是把加壳后的程序恢复成毫无包装的可执行代码，这样未授权者便可以对程序进行修改。 脱壳与加壳需要使用相同的软件进行，例如，使用UPX对木马程序进行加壳之后，如果需要脱壳，仍然需要使用UPX进行脱壳过程。 木马的加壳实例 我们可以使用Language2000这种检测工具发现程序加壳所使用的软件类型 使用Language2000检测得到的冰河木马软件服务器端的加壳内容，其中Program一项的值ASPack说明被检测的冰河软件采用的加壳工具是ASPack。 木马的加壳实例 首先，我们使用Language 2000检测冰河木马程序客户端的加壳结果，客户端并没有经过加壳处理。 木马的加壳实例 使用诺顿检查冰河木马客户端文件可以看到，木马客户端被杀毒软件杀掉