7木马攻防实战解析.pptVIP

第8章 木马攻防实战 木马全称“特洛伊木马”，主要有以下特点： ◆伪装性 ◆不易删除 ◆潜伏性 ◆通用性 ◆隐蔽性 主要有以下功能： ◇随系统启动 ◇屏幕监视 ◇入侵无需系统认证 ◇支持邮件发送 ◇远程控制 ◇密码截取 ◇部分还有主动连接功能 8.1 木马的工作原理 一般来说，木马程序包括客户端与服务端两部分。 目前木马主要通过邮件、下载等途径传播，也可以通过Script、ActiveX及Asp.CGI等交互脚本进行传播。 绝大多数木马使用的是TCP/IP协议，也有使用UDP协议的。 木马的隐藏 木马是如何启动的 1、通过启动组实现自启动 2、在System.ini、Win.ini启动 3、修改注册表 4、修改文件关联 5、捆绑文件 6、篡改文件名 黑客如何欺骗用户运行木马 1、捆绑欺骗 2、邮件冒名欺骗 3、压缩包伪装 4、网页欺骗 5、利用net send命令欺骗 8.2 木马的种类 1、破坏型 2、密码发送型 3、远程访问型 4、键盘记录木马 5、DoS攻击木马 6、代理木马 7、FTP木马 8、程序杀手木马 9、反弹端口型木马 8.3 木马的演变 从木马的发展过程来看，有人把木马分为五代。 第一代：如Netspy等，功能简单。 第二代：如BO2000、冰河等，提供几乎所有远程控制操作。 第三代：如灰鸽子木马，完善连接与文件传输技术，增加了穿透防火墙功能。 第四代：如广外幽灵，应用了远程线程插入技术。 第五代：如黑暗天使，功能更全面，应用动态链接技术，不用生成新文件，已经可以嵌入任何线程中。 8.4 第二代木马 主要功能： 1．屏幕监视； 　　 2．记录各种口令信息：包括开机口令、屏保口令及绝大多数在对话框中出现过的口令信息； 　　 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 　　 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 　　 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 　　 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 　　 7．发送信息：以四种常用图标向被控端发送简短信息； 　　 8．点对点通讯：以聊天室形式同被控端进行在线交谈。 应用操作： 冰河的文件包括： G_Client.exe: 监控端执行程序，用于监控远程计算机和配置服务器程序。 G_Server.exe: 被监控端后台监控程序(运行一次即自动安装，可任意改名)，在安装前可以先通过G_Client的配置本地服务器程序功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等) 默认连接端口为7626。 一旦运行G-server，那么该程序就会在C:/Windows /system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 清除方法： 1、删除C:/Windows/system下的Kernel32.exe和Sysexplr.exe文件。 　　 2、冰河会在注册表HKEY_LOCAL_MACHINE/ software/microsoft/windows/ CurrentVersion Run下扎根，键值为C:/windows/system/Kernel32.exe，删除它。 　　 3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。 　　 4、最后，改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。 8.4 第二代木马 广外女生与其他同类软件相比，其主要特点是： 1.服务端程序体积小，大家熟悉的“冰河”是260多