木马技术初级试验1.doc

木马技术初级实验1 实验目的 实践木马配置、木马控制的方法、并体会木马控制连接的实质。 学习和发现木马，研究检测木马的方法。 实验原理 1、木马/后门概述 特洛伊木马（Trojan Horse），简称木马，其名称源于古希腊神话特洛伊木马记，它是一种基于远程控制的恶意程序。一旦成功侵入用户计算机，就会隐蔽的在宿主计算机上运行，并在用户毫无察觉的情况下，使得远端的攻击者获得远程访问和控制系统的权限。木马从本质上讲是一种远程控制的工具，类似远程管理软件，如PCAnywhere。但与这种远程管理软件不同的是木马具有隐蔽性和非授权的特点。所谓隐蔽性是指木马的设计者为防止木马被杀毒软件和用户轻易发现采用多种手段隐藏木马。非授权性是指入侵用户计算机，对用户的计算机做的任何操作都不是得到过用户授权的，而是通过木马技术来得到。 木马和后门本来属于两类不同的恶意代码，但由于相互之间的功能和特点越来越模糊，这里就合并到一起来讲。 2、木马/后门的发展 木马在与杀毒软件的对抗中不断向前发展，至今已经经历了大致四代的演化： （1）第一代是最早也是最原始的木马。他们主要是简单的密码窃取，通过电子邮件等手段向外发送，完成了最基础的信息窃取，预备木马的最基本功能。 （2）第二代木马在功能上有了特别多的改进，具备了大量的功能，如屏幕观察控制，文件系统查看，进程管理，文件传输，远程控制等等。冰河就是这个时期的代表。这个时代的木马具备了一定的隐藏能力，并采用了网络端口扫描并正向连接的方法。 （3）第三代木马在与各种防毒软件和防火墙对抗时，在隐蔽性和反检测上做了较大的改进。采用插入线程和挂接PSAPI的方式隐藏进程。并采用反向连接的方法绕过防火墙的拦截。 （4）第四代木马在隐蔽性方面更是做到了驱动级，也就是常说的驱动级木马，采用了大量的Rootkit技术来达到深度隐藏的效果。 3、木马/后门实施网络入侵的基本步骤 木马进行网络入侵，从过程上看大致可分为六步： （1）木马配置 一般来说，一个成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下的功能：第一让木马程序更加隐蔽，比如隐蔽的文件名，文件图标，文件属性。第二就是设置信息反馈的方式，比如在窃取信息后，发送邮件到攻击者，或者上传至某处等等。第三就是如果是反向连接的木马，需要配置获得攻击者的IP并连接的具体方式。 （2）传播木马 根据配置生产木马后，需要将木马传播出去，比如通过邮件诱骗，漏洞攻击等。 （3）运行木马 在用户机器上木马程序一旦被运行后，木马便会安装并驻留在用户系统中。木马通过各种手段防止不被用户发现，并且随系统启动而启动，以求获得最长的生命期。并在这一期间会通过各种手段向攻击者发出反馈信息，表示木马已经获得运行。 （4）建立连接 无论是正向连接还是反向连接的木马，都会在入侵用户机器成功运行伺机与攻击者获得联系，正向连接的木马往往是开发一个特定的端口，然后由攻击者扫描到被攻击机器建立连接。如果是反向连接的木马，则是木马本身在一定的情况下获得攻击者的IP地址，并主动建立连接。 （5）远程控制 攻击者一端与被控端建立连接后，它们之间便架起了一条网络通讯的通道，攻击者通过向被控端发出各种请求操作实现远程控制。现在的木马程序功能都做的非常完善，操作远端机器就如同本地操作一样简单容易。 4、木马/后门的特点与技术 （1）木马隐蔽技术 木马的隐藏主要分为文件隐藏、进线程隐藏、端口隐藏、注册表隐藏等等。隐藏的手段也多种多样。并且这项技术是关乎木马本身生命周期的关键因素。通过编写驱动程序隐藏木马的方法已非常多见，用户在未使用一些更高级的工具之前是无法发现木马的存在的，对于防病毒软件来说清除难度也较大。 （2）传播 木马这种恶意代码本身并无传播能力，随着恶意代码各个种类的界限越来越模糊，木马也会具备一些传播的能力。 （3）自启动 自启动功能是木马的标准功能，因为需要在系统每次关机重启后都能再次获得系统的控制权。自启动的方法也是五花八门，种类繁多。 5、木马/后门配置 （1）IP地址交互 我们常提到的木马是基于C/S模式的，所以会存在一个服务端和客户端，并且通过对方IP地址和特定端口通信。我们将提供服务的一方称作服务端，将接受服务的一方称为客户端，所以我们称木马中的被控端为服务端，主控端为客户端。由于现在的木马连接方式多种多样，无论被控端主动发起连接还是主控端发起连接都需要明确双方主机在Internet网络的有效IP地址。所以相互的IP地址交互非常重要，这是建立双方连接并实现控制的第一步。 由于主控和被控存在的网络可能会非常复杂，两端的IP地址就不会非常容易得到，比如某一端是ADSL拨号上网，那么IP地址就会随着系统的重启发生变化，所以木马程序中的IP地址就不能硬编码，而是需要实时更新，否则可能一次有效，重启