木马的原理及攻防.docVIP

班级：10监理 学号姓名：杨甫磊 木马的原理与攻防 一、实验目的 1.熟悉木马的原理和使用方法，学会配制服务器端及客户端程序。 2.掌握木马防范的原理和关键技术。 二、实验原理 1.木马攻击：特洛伊木马（以下简称木马），英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能类似，如Manteca的anywhen，但木马有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，用户从不正规的网站上下载和运行了带恶意代码的软件，或者不小小心点击了带恶意代码的邮件附件。 大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户一运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号、程序启动时机。如何发出调用、如何隐身、是否加密。另外，攻击者还可以设置登录服务器的密码，确定通信方式。木马攻击者既可以随心所欲的查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。 木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很难找到并清除它。木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。常见的木马，例如Back Orifice和Sub Seven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些木马可以当做键记录器、远程登录控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置木马监听端口、运行方式，以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其他攻击者开发附加的功能。 木马程序中最著名的当属Back Orifice（BO2K）以多功能，代码简洁而著称。BO2K程序主要分成以下三个部分。 （1）bo2k.Exe：这是服务器程序，它的作用就是负责执行入侵者的命令。 （2）bo2kgui.Exe：这是BO2K的客户端程序，其主要作用就是用来控制服务器程序执行。 （3）bo2kcfg.exe：这是服务器设置程序，在使用bo2k.exe服务器程序之前，有一些相关的功能必须通过它来进行设置，如使用的TCP/IP端口、程序名称、密码等。 2.木马防范：为了防止用户发现，木马程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏，这是最基本的。只要把Form的Visible属性设为False、Taskbar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以伪装自己。当然它也会悄无声息的启动，木马会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，木马都会用上，如启动组、win.Bini、system.Bini、注册表等都是木马藏身的好地方。 目前除了上面介绍的隐身技术外，更隐藏的方法已经出现，那就是驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般木马不同，它基本上摆脱了原有的木马模式——监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀），不需要打开新的端口（所以不能用端口监视的方法查杀），没有新的进程（所以使用进程查看的方法发现不了它，也不能用杀掉进程的方法终止它的运行）。在正常运行时木马几乎没有任何的症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。 知道了木马的攻击原理和隐身方法，就可以采取措施进行防御了。 1.端口扫描；2.查看连接；3.检查注册表；4.查找文件。 三、实验工具 Windows操作系统，网络环境，BO2K软件，The cleaner软件。 四、实验步骤 任务一 木马的安装和使用 配置BO2K服务器 BO2K服务器的配置相当简单，你只要根据其配置向导进行选择就可以了。向导会指导用户进行几个设置，包括服务器文件名(可执行文件)、网络协议(TCP或UDP)、端口、密码等。 用鼠标双击BO2K服务器配置程序bo2kcfg.exe文件，出