计算机安全技术TOOLS教程课件5.10.5 实例：反向连接木马的传播.docVIP

5.10.5 实例：反向连接木马的传播 1．实验环境 实验环境如图5-59所示。 图5-59 实验环境 2．生成木马的服务器端 第1步：下载并安装灰鸽子。 第2步：配置反向连接木马。 运行灰鸽子，主界面如图5-60所示，单击【配置服务程序】，弹出如图5-61所示的对话框，选择【自动上线设置】选项卡，在此需要强调的是，由于是配置反向连接木马，所以一定要在IP栏中输入黑客（客户端）的IP地址“192.168.10.5”，其他配置信息根据界面提示进行设置，如图5-62～图5-64所示。“HKFX2008_OK.exe”是最终生成的反向连接木马服务器端。 图5-60 灰鸽子主界面 图5-61 自动上线设置 图5-62 安装选项 图5-63 启动项设置 图5-64 高级选项 3．把木马服务器端植入他人的电脑 木马的传播方式主要有两种。 一种是通过电子邮件，控制端将木马程序以邮件附件的形式发出去，收信人只要打开附件，系统就会感染木马。 另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 本实验主要介绍黑客是如何使用木马程序来控制被入侵电脑的，所以直接将反向连接木马服务器端“HKFX2008_OK.exe”复制到了被入侵电脑（192.168.10.1，ZTG2003）中。 接下来运行HKFX2008_OK.exe，反向连接木马就会自动进行安装，首先将自身复制到C:\WINDOWS或C:\WINDOWS\SYSTEM目录下，然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。 图5-65 远程控制“ZTG2003”—文件管理器 4．黑客进行远程控制 由于是反向连接木马，所以服务器端上线后就会自动连接客户端（黑客），在主界面中（如图5-65）可以看到“ZTG2003”已经与黑客电脑连接了，即被黑客控制。 在图5-65中的【文件管理器】选项卡中，可以像使用【Windwos资源管理器】一样来新建、删除、重命名、下载被入侵电脑中的文件。 在图5-66中的【远程控制命令】选项卡中，可以查看被入侵电脑的系统信息；可以查看、终止被入侵电脑的进程；可以启动、关闭被入侵电脑的服务等。 在图5-67中的【命令广播】选项卡中，可以向所有被入侵电脑发送相同的命令。 图5-66 远程控制“ZTG2003”—远程控制命令 图5-67 远程控制“ZTG2003”—命令广播 5．手工清除灰鸽子 确认灰鸽子的服务进程名称，假如是“HKFX2008_OK”，在桌面右键单击【我的电脑】图标，在右键菜单中选择【服务】，在弹出的【服务】窗口中，禁止“HKFX2008_OK”服务，右键单击该服务，在右键菜单中选择【属性】，在属性对话框中得到该服务文件的位置，将其删除即可。