基于木马入侵防御(一基本原理)剖析.ppt

木马如何启动 修改文件关联 修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. 木马如何启动 捆绑文件 实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 具备自动恢复功能 现在很多的木马程序中的功能模块不再由单一的文件组成，而是具有多重备份，可以相互恢复。当你删除了其中的一个，以为万事大吉又运行了其他程序的时候，谁知它又悄然出现。像幽灵一样，防不胜防。 操作小任务4：在冰河木马的控制端重新配置一个服务器端程序，要求如下： 勾选“写入注册表启动项” 键名为自己名字的拼音。 勾选“关联” 关联类型为“txtfile”. 功能的特殊性 通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有有哪些信誉好的足球投注网站cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。 操作小任务5：把操作小任务4配置的木马服务器端程序在目标主机上运行，并验证配置，具体验证步骤和要求如下： 把进程中的木马停止运行，重新启动系统，再次查看木马服务器端程序是否再次运行，输入MSCONFIG.EXE命令查看系统启动选项，去掉木马启动的勾选，再次验证。 把进程中的木马服务器端进程停止运行，打开一个txt文件，查看它是否再次运行，验证关联启动。 ZJIPC 基于木马的入侵防御 木马原理 前言 入侵者在攻击成功以后，大多数种植一个自己的木马，已备以后方便进入系统。本章将介绍木马的种类和原理。 木马的组成 完整的木马程序一般由两个组成，一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。 木马的工作原理 实际就是一个C/S模式的程序（里应外合） 操作系统 被植入木马的PC（server程序） TCP/IP协议 端口 被植入木马的PC（client程序） 操作系统 TCP/IP协议 端口 控制端 端口处于监听状态 木马的工作原理 木马主要通过邮件、下载等途径传播 木马还可通过Script、ActiveX及ASP.CGI等交互脚本进行传播 一方面，木马的服务器端程序会尽可能地隐蔽行踪，同时监听某个端口，等待客户端连接；另一方面，服务器端程序通过修改注册表等方法实现自启动功能。 操作小任务1：打开冰河木马的控制端程序, 生成一个服务器端程序(即被控制端程序),要求配置具体信息如下: 安装路径为默认 文件名称为姓名拼音,如lili.exe 进程名称为姓名拼音。 访问口令自己定义。 监听端口自定义。 操作小任务2：验证操作小任务1的配置，把冰河木马的服务器段程序以某种方式放到目标主机上，并执行。逐一验证查看操作小任务1的配置，所有的验证要求截屏。 木马的种类 破坏型 密码发送型 远程访问型 键盘记录型 Dos攻击木马 代理木马 ftp木马 程序杀手木马 反弹端口型木马 破坏型 惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。 密码发送型 可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。 远程访问型 最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察受害者正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。 键盘记录木马 这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码 DoS攻击木马 随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的