电子商安全实务课件8木马攻击与防御.ppt

实训十：木马攻击与防御技术 1）冰河是一个非常有名的木马工具，它包括两个可运行的程序G_Server和G_Client，其中前者是木马的服务器端，就是用来植入目标主机的程序，后者是木马的客户端，也就是木马的控制台。 6 冰河木马 实训十：木马攻击与防御技术 2）冰河木马主要功能： 自动跟踪目标机屏幕变化(局域网适用) 完全模拟键盘及鼠标输入(局域网适用) 记录各种口令信息 获取系统信息 限制系统功能 远程文件操作 注册表操作 发送信息 点对点通讯 一台windows xp/2000操作系统（IP：0）作为木马控制端，安装G_CLIENT.EXE，由黑客拥有； 一台装有windows xp/2000或windows server 2003操作系统的机器（IP：）作为木马服务端（感染木马程序G_Server.exe），由正常网络用户拥有。 【实训环节】 实训环境要求 通过winrar自解压程序将木马的服务端程序与常规文件捆绑，生成伪装文件。 1、将冰河木马服务器程序G_Server.exe和图片sunset.jpg放在文件夹test中，选中这两个文件后单击鼠标右键，选择“添加到test.rar”命令。 2、打开test.rar文件，单击“自解压格式”按钮，并在弹出的窗口中单击“高级自解压选项”按钮打开高级自解压选项对话框。 【实训环节】 1 木马程序的伪装 【实训环节】 10-1 高级自解压设置 3、单击“设置”选项，并在在“解压后运行”文本框中输入木马的服务器端程序“G_Server.exe”，在“解压运行前”文本框输入图片文件“sunset.jpg”，如图10-1所示。 【实训环节】 图10-2 模式设置 图10-3 更新设置 4、分别单击“模式”选项和“更新”选项进行设置，具体设置如图10-2、3所示。 【实训环节】 图10-4 文件捆绑后结果 5、单击“确定”按钮，关闭WinRAR窗口后就可以创建自解压文件，结果如图10-4所示。 运行test.exe文件时，系统调用默认关联的图片管理器打开sunset.jpg文件，并在用户毫不知情下运行了木马服务端程序G_Server.exe 1、客户端控制程序的使用及配置 1）双击运行客户端控制程序“G_CLIENT.EXE”，冰河client主界面如图10-5所示。 【实训环节】 2 冰河木马的使用 图10-5 主界面 2）控制端可以进行添加/删除主机、自动搜索、捕获屏幕、屏幕控制、配置服务器程序等操作功能，如图10-6所示。 【实训环节】 图10-5 冰河功能模块 3）选择“文件”菜单下“配置服务器程序”或点击“配置本地服务器程序”图标按钮，打开并进入服务器配置界面进行设置，该功能是在安装前对“G_Server.exe”进行配置。如图10-6所示。 【实训环节】 图10-6 服务器配置界面 自我保护设置可以实现在服务器端的隐藏，如图10-7所示 【实训环节】 图10-7 自我保护设置 攻击者如果想通过邮件获取被控制方的相关信息，可以对邮件通知选项进行配置，如图10-8所示 【实训环节】 图10-8 邮件通知设置 4）搜索目标主机（搜索前需要运行服务端程序） 【实训环节】 ①选择“文件”下“自动搜索”或点击自动搜索 图标 ②在“搜索范围”选项区域按需求添加I要搜索的IP范围 ③单击“开始搜索”，在右边列表框中将显示检测到的正在网上的计算机的IP地址信息，如图10-9所示。 图 10-8 搜索目标主机 “OK：”表示目标主机运行过G_Server.exe，并可以进行控制； “ERR：”则表示这台计算机没有受木马攻击，无法受控制端控制 2、对目标主机的控制。 1）文件管理控制 【实训环节】 2 冰河木马的使用 图10-9 对目标主机的文件控制 2）命令控制台操作 口令类命令可以控制目标主机的系统图信息及口令、历史口令以及击键记录 【实训环节】 图10-10 对目标主机的口令类命令控制 2）命令控制台操作 控制类命令 可以对目标主机进行以下操作：屏幕捕获、进程管理、窗口管理、鼠标控制等操作。 【实训环节】 图 10-11 对目标主机的屏幕捕捉控制 G_Server.exe服务端程序在计算机上被运行后，它不会有任何提示信息，而是会将自身删除，但是在Windows\System32目录下会生成Kernel32.exe和Sysexplr.exe两个文件。Kernel32.exe在开机启动时自动启动，它是木马的主程序，用来和客户端连接；Sysexplr.exe通过修改注册表与扩展名为.txt文件进行关联，双击打开任何一个.txt文件后，该程序就会被执行一遍，再由它生成一个Kernel32.exe文件，并让其随系统启动。 【实训环节】 3