网络安全(黑客攻防)-木马攻击

1、第3章 木马攻击1实验31：传统连接技术木马之一Netbus木马一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施2实验31：传统连接技术木马之一Netbus木马 木马分为客户端与服务器端。按照这两端的连接方式分可以分为传统连接技术木马和反弹式木马。 传统连接技术木马（即采用正向端口连接技术的木马），是采用C/S运行模式，分为客户端程序（控制端）和服务器端程序（受害端）。服务器端程序在目标主机上被执行后，打开一个默认的端口进行监听，当客户端（黑客机）向服务器端（受害主机）主动提出连接请示时，服务器端程序便会应答连接请求，从而建立连接。常见的有Netbus、冰河等。3一、实验目的 了解

2、传统木马的攻击原理，掌握传统木马攻击的方法和防御传统木马攻击的措施。4二、实验设备 2台XP/2000 Server/2003 Server的主机，Netbus1.70，均要关闭防火墙和杀毒软件。5三、实验步骤(1) 1、受害主机B运行黑客机A上Netbus压缩包中的Patch.exe，受害主机B的任务管理器中多了名为Patch.exe的进程，(图3-1 受害主机的任务管理器)。6三、实验步骤(2) 2、黑客机A上运行Netbus，在Netbus界面中输入受害主机IP，点击“Connet”钮，(图3-2 netbus木马的主界面)。7三、实验步骤(3) 3、黑客机A在Netbus界面可以对受害

3、主机B进行弹出光驱、交换鼠标左右键等控制操作。8三、实验步骤(4) 4、黑客机A在Netbus界面可运行受害主机B上的%Systemroot%System32Calc.exe或者Notepad.exe，(图3-3 远程运行受害主机上的计算器程序)。9三、实验步骤(5)5、黑客机A可在此界面进行端口重定向。（1）使用应用程序重定向将对方的Cmd.exe程序重新映射至对方100端口（Netbus的默认设置），(图3-4 端口重定向)。（2）使用端口重定向功能，在(图3-5 端口重定向)的界面中再用端口重定向打开23口。监听（Listen）口：23。主机：50（运行Netbus的受害主机IP）。重定

4、向TCP端口：100。（3）测试：在受害主机B上，点击开始任务栏运行Cmd并回车。黑客机A可以成功地利用Telnet拨入至受害主机B，而受害主机B上根本没启动Telnet服务，黑客机A通过端口重定向与应用程序重定向将Cmd.exe指派到23端口，又将23端口重定向至100端口，再Telnet至受害主机B，从而接管受害主机B系统的命令提示符窗口。10三、实验步骤(6) 6、浏览受害主机B的网页或者网站（黑客机A在IE的地址栏中输入50：100）。11三、实验步骤(7) 7、在黑客机A上点击Netbus界面中的“Listen”钮，受害主机B在键盘输入的内容全部显示到黑客机A。(图3-6 受害机上的

5、键盘输入情况)是受害机上的输入情况，(图3-7 黑客机上监听的情况)。12三、实验步骤(8) 8、键盘管理器（即Key Manager钮）：控制对方几个键或者主键盘区的全部键无法输入（但小键盘区不受控制），(图3-8 禁用受害主机的键盘)。13三、实验步骤(9) 9、远程关机，(图3-9 对受害主机进行关机)。14三、实验步骤(10) 10、查看受害主机窗口。在Netbus界面中点击“Active Wnds”钮，(图3-10 查看受害主机窗口)。15三、实验步骤(11) 11、让受害主机屏幕崩溃（类似死机状态）。在Netbus界面中点击“Screendump”钮，(图3-11 屏幕崩溃)。16

6、三、实验步骤(12) 12、用上传、下载文件：点击“”钮即可完成。 思考：受害机如何摆脱黑客机的控制？ 回答：受害机任务管理器中有Patch程序，将它结束掉，则受害机不再受控制。 补充：现在的木马采用的技术比Netbus更为先进，任务管理器中无法观察出新加的任务（或者发现了新增加的进程但无法结束该进程），只能通过Icesword之类的进（线）程查看器进行观察，发现危险进程或线程时禁用它。17四、实验小结 采用正向连接技术的木马的黑客机主动与受害主机相连，即木马的客户端程序主动连接服务器端程序。一旦受害主机开启防火墙，客户端与服务器端之间的通讯将被阻止。18五、防御措施 同时开启防火墙、杀毒软件

7、的实时监控。19实验3-2：传统连接技术木马之二冰河木马一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施20实验3-2：传统连接技术木马之二冰河木马 冰河是国产正向端口连接技术木马的鼻祖。作为一款流行的远程控制工具，在面世的初期，冰河就曾经以它简单的操作方法和强大的控制能力而闻名。冰河除了具有采用正向连接技术木马的特征（即黑客机主动与中木马的服务器端主机进行连接）外，还有自我保护机制。21一、实验目的 了解冰河木马的工作原理及冰河木马的功能，掌握冰河木马的使用。22二、实验设备 2台以上Windows主机（可以是2000 Server主机、2003 Server主机或者XP主机）。

8、23三、实验步骤(1) 1、A机作为黑客机，安装冰河（运行冰河压缩包中的G_Client.exe程序）。为了增加对受害主机的迷惑性，可以把冰河压缩包中的G_Server.exe程序改名为setup.exe。24三、实验步骤(2) 2、B机作为受害机，运行A机冰河压缩包中的setup.exe，此时查看B机的任务管理器，发现多了名为Kernel32.exe的进程。这个Kernel32.exe的进程是木马程序的服务器端运行之后的改名进程，这是冰河木马的自我隐藏机制。当冰河的G_Server.exe服务端程序在计算机上运行时，它不会有任何提示，而是在%Systemroot%/System32下建立应用

9、程序“Kernel32.exe”和“Sysexplr.exe”。25三、实验步骤(3) 3、A机上点击冰河界面中菜单“文件”下的“自动搜索”。（1）在“起始域”编辑框中输入要查找的IP地址。例如：欲搜索IP地址“”至“55”网段的计算机，应将“起始域”设为“192.168.0”，将“起始地址”和“终止地址”分别设为“1”和“255”，然后点“开始搜索”按钮。在右边列表框中显示检测到已经在网络中的计算机的IP地址，地址前面的“Err:”表示这台计算机无法控制，显示“OK:”则表示它曾经运行过G_Server.exe（即中冰河木马的主机），同时它的IP地址将在“文件管理器”里显示出来，（图3-12

10、 冰河主界面）。26三、实验步骤(3) 3、A机上点击冰河界面中菜单“文件”下的“自动搜索”。 （2）捕获屏幕。 单击“文件”菜单下的“捕获屏幕”，就会弹出一个窗口，让你选择图像格式。图像格式有BMP和JEPG两个选项，建议选JEPG格式，因为它比较小，便于网络传输。“图像色深”第一格为单色，第二格为16色，第三格为256色，依此类推。“图像品质”主要反应的是图像的清晰度。按“确定”钮后，便出现远程计算机的当前屏幕内容，（图3-13 冰河捕获受害机屏幕）。27三、实验步骤(3)3、A机上点击冰河界面中菜单“文件”下的“自动搜索”。（3）捕获控制。点击“文件”菜单下的“捕获控制”，设置好后按“确

11、定”钮，可以让被控制的计算机B的某些系统按键失去作用。28三、实验步骤(3)3、A机上点击冰河界面中菜单“文件”下的“自动搜索”。（4）冰河信使。点击“文件”菜单下的“冰河信使”，输入信息以后点“发送”即可，在被控制端的主机B就会出现消息窗口（这相当于一个聊天工具）。29三、实验步骤(4) 4、冰河的“命令控制台”。单击“命令控制台”按钮，冰河的核心部分就在这里。30（1）口令类命令。选择“系统信息及口令”项，点击“系统信息与口令”，可以得到受害主机的一些信息。这些信息包括处理器类型、Windows版本、计算机名、当前用户、硬盘驱动器总容量、目前剩余空间、冰河版本等。可以单击鼠标右键，选择“保

12、存列表”保存信息。此外，还有“开机口令”、“缓存口令”、“其他口令”等几个按钮，可以分别尝试。选择“历史口令”项可以看的密码就更多了，点击“查看”可能会找到很多信息。仔细查看，里面甚至还有OICQ之类软件的密码（一般不要选“清空”）。选择“击键记录”项后要点“启动键盘记录”，稍后在黑客机上点“终止键盘记录”，然后再点“查看键盘记录”，这段时间里对方的按键全部被记录下来。31（2）控制类命令。“捕获屏幕”前面已经叙述。“发送信息”主要是让操作者选择合适的“图标类型”和“按钮类型”，然后在“信息正文”里写上要发送的信息，按“预览”觉得满意后点“发送”即可。“进程管理”是“查看进程”，了解远程计算机

13、正在使用的进程，便于控制，（图3-14 查看受害主机进程）。“窗口管理”非常简单，（图3-15 窗口管理）。有刷新、子窗口、最大化、最小化、激活窗口、隐藏窗口、正常关闭、暴力关闭这几个命令。可以分别尝试，看看受害主机上的窗口有什么变化。“系统控制”可以实现“远程关机”和“远程重启”，（图3-16 实现系统控制）。 “鼠标控制”中的“鼠标锁定”是锁定远程计算机的鼠标，可以尝试使用。32（3）网络类命令。“创建共享”是把被控制的计算机的某个文件或文件夹进行共享。“删除共享”的功能与“创建共享”相反。“网络信息”中的“查看共享”可以把被控计算机B中共享文件的文件名，权限和密码查到。至于“文件类命令”

14、和“注册表读写”的操作可以自己去做。33（4）设置类命令。“更换墙纸”命令要配合上面“文件类命令”的“文件查找”找到*.bmp的位图文件，然后更换远程被监控计算机的墙纸。“更改计算机名”的命令使用后不会立即生效，不过重新启动计算机时会生效。“服务器端配置”通常采用默认设置，可以根据需要重新设置。34三、实验步骤(5)5、冰河的自我保护机制。（1）冰河界面中找到“文件”菜单设置服务器端配置，出现图3-17的窗口。点击“自我保护”标签卡，会出现图3-18的界面。图3-17 冰河服务器端的配置图3-18 冰河的自我保护功能35三、实验步骤(5)（2）冰河的文件关联。在图3-18的“关联类型”中可以选

15、择TxtFile。可以尝试:一旦想在受害主机上手工删除在%Systemroot%System32下的“Sysexplr.exe”和“Kernel32. exe”时，“Sysexplr.exe”可以删除，而删除“Kernel32. exe”时屏幕有时会提示“无法删除Kernel32. exe，指定文件正在被Windows使用”。即使删除成功，一旦受害主机上双击某个.txt文件，受害主机又很可能被黑客机重新控制。这是因为冰河木马将.txt文件的缺省打开方式由Notepad.exe修改为木马的启动程序。36三、实验步骤(5)（3）冰河的手工删除： 在“开始”“运行”中输入命令“regedit”，打开

16、注册表编辑器界面，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下面发现=“C:WINDOWSSYSTEM32Kernel32.exe”的存在，说明它是每次启动就自动执行的。只有将HKEY_LOCAL_MACHINEROOTtxtopencommand下的默认值由中冰河木马后的c:windowssystem32sysexplr.exe %1修改为c:windowssystem32notepad.exe%1才可。不过，笔者觉得还是使用杀病毒软件更加简洁、方便。37四、实验小结 冰河是国产木马的鼻祖，它的自我隐藏、自我保护机

17、制都给以后的木马提供了借鉴。38五、防御措施 不要轻易打开、运行网络上的任何应用程序。此外，还要保持自己主机的防火墙、杀病毒软件是最新版的。39实验3-3：反向端口连接技术木马广外男生一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施40实验3-3：反向端口连接技术木马广外男生 反向端口技术是在正向端口连接技术（传统木马技术）基础上发展起来的危害性更大的木马。因为服务器端主机安装的防火墙可以拦截黑客主动向该主机发出的连接请求（即传统木马技术），所以产生了由服务器端主机主动向黑客机发起连接的反向端口连接技术。虽然防火墙仍然处于实时监控状态，但由于防火墙默认对内部主机发起的连接请求一律放

18、行，所以该连接请求可以绕开防火墙。它分为两种方式：客户端静态IP和客户端动态IP。第一种方式需要黑客在设置服务器端程序的时候，指明客户端IP和待连接的端口。第二种方式则是入侵者在连接建立过程中利用“代理服务器”保存客户端的IP地址和待连接的端口，在客户端的IP为动态的前提下，只需入侵者更新“代理服务器”中存放的IP地址与端口，远程受害主机就可以通过先连接到“代理服务器”，查询最新木马客户端信息，再与黑客端进行连接。这种方法可以穿透更严密的防火墙，采用这种技术的木马有广外男生等。41一、实验目的 了解并掌握反向端口连接技术木马的工作原理。42二、实验设备 2台Windows主机，关闭防火墙、杀毒

19、软件。43三、实验步骤（1）1、客户端设置。A机为黑客机，运行广外男生的软件gwboy.exe，（图3-19 广外男生客户端程序界面）。（1）在“设置”菜单中选择“客户端设置”，（图3-20 广外男生客户端配置）。（2）在图3-20中按照默认进行设置，点击“下一步”。在（图3-21 设置广外男生的连接类型）所示的界面中，选择“客户端处于静态IP”，点击“下一步”，出现（图3-22 阅读并同意广外男生的条款）的界面选择“我已经阅读并同意”。（3）在（图3-23 设置客户端程序名）界面中按照默认进行配置，并选择“下一步”钮，（图3-24 设置广外男生的客户端IP）。（4）在图3-24的界面中，输入

20、客户端IP地址，点击“下一步”钮。（5）在（图3-25 选择即将生成的服务器端的名称和保存位置）界面中，选择生成的服务器端应用程序的保存位置（可以存在最后一个磁盘分区的根目录中）。将生成的服务器端应用程序命名为250.exe，（图3-26 确定服务端程序的名称和保存位置）。44三、实验步骤（2） 2、服务器端的程序运行。受害机运行主机E盘上的250.exe程序后，出现如图3-27和图3-28的界面。 图3-27 广外男生服务器端与客户端成功连接 图3-28 查看受害主机上的资源45三、实验步骤（3） 3、黑客机对受害机进行控制。 （1）在图3-28的界面中点击“文件共享”钮，出现图3-29的界

21、面。在图3-29界面的工具条中可以下载文件、上传文件、删除文件及运行文件命令等，如图3-30、图3-31、图3-32。在图3-32所在的界面中，运行notepad.exe，可以发现受害主机上最大化运行记事本程序。图3-29 将受害主机上的文件夹进行下载图3-30 将黑客本机的文件上传到受害主机图3-31 在黑客机上远程删除受害机上的文件图3-32 黑客在受害机上远程运行命令46三、实验步骤（3） （2）点击左边的“远程注册表”钮，如图3-33。可以对远程注册表进行增加、删除等操作。图3-33 黑客对受害主机的注册表进行远程修改47三、实验步骤（3） （3）点击左侧的“进程与服务”钮，可以看到受

22、害主机上任务管理器中的进程，可以对受害主机进行“远程结束进程”等操作，如图3-34、图3-35、图3-36、图3-37、图3-38、图3-39所示。 图3-34 黑客远程查看受害主机的进程图3-35 黑客远程隐藏受害机上的窗体图3-36 黑客远程在受害机上开启服务图3-37 黑客对受害主机进行重启图3-38 黑客对受害机进行远程关机图3-39 黑客机远程卸载受害主机上的服务器端程序48三、实验步骤（4） （4）在广外男生界面中点击左侧的“远程桌面”钮，再点击工具条最左边的“快照”钮，可以对受害主机桌面进行快照，如图3-40。图3-40 黑客机对受害主机进行远程快照49四、实验小结 广外男生属于

23、反向端口连接技术木马，它是服务器端主机中木马后主动与黑客所在的客户机连接。该技术利用服务器端主机防火墙默认情况下防外不防内的特性，连接请求不会被受害主机上的防火墙屏蔽掉。50五、防御措施 对付这种反向端口连接技术木马的方法只靠防火墙不行，受害主机要经常查看任务管理器中有无特殊进程。另外，受害主机不要随便运行网络中的应用程序。使用最新版本的杀毒软件是防御这类木马的一个好方法。51实验3-4：线程插入式技术木马灰鸽子一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施52实验3-4：线程插入式技术木马灰鸽子 任何一个程序运行后，都会在系统中产生一个进程，每个进程分别对应一个进程标识符。系统

24、会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作均会在这个虚拟内存空间中进行。一个进程可以对应多个线程，线程之间可以并发执行。绝大多数情况下，线程之间相互独立，某个线程出错不会影响整个进程的崩溃。线程插入就是利用这点，将木马程序作为一个线程插入至其它应用程序的地址空间。被该线程插入的应用程序是系统的正常程序，这样达到彻底隐藏的效果。系统运行时会有很多进程，每个进程又由很多线程组成，所以采用这种技术的木马不容易查杀，如“灰鸽子”等。53一、实验目的 了解线程插入式木马技术的原理，掌握灰鸽子木马的使用功能及特点。54二、实验设备 2台Windows主机（最好是XP/2k），B机上先启动

25、IE浏览器。55三、实验步骤（1）1、生成灰鸽子服务器端程序。（1）A机上运行灰鸽子软件，点击灰鸽子工具条上的“配置服务程序”钮，（图3-41 配置灰鸽子的服务端程序）。在“自动上线设置”标签卡中输入木马客户端的主机IP（或Http地址），选择木马服务器端程序的保存路径以及上线分组，这里用的是默认设置。（2）在“安装选项”标签卡中设置安装路径（一般采用默认），（图3-42 灰鸽子的默认安装路径）。（3）在“高级选项”标签卡中选择灰鸽子使用的进程（默认为IE进程），如果主机是2000或XP系统则可以选择“隐藏服务端进程”。在这里，还可以根据需要选择是否为服务器端程序加壳（即加密，防止灰鸽子服务器

26、端程序被杀毒软件查杀而使用的），（图3-43 灰鸽子的高级设置）。（4）点击“生成服务器”钮，出现（图3-44 服务端程序配置完毕）的提示。56三、实验步骤（2）2、受害主机中灰鸽子木马。（1）B机运行位于A机上F盘根目录下的Server_setup.exe程序（即刚才生成的灰鸽子服务器端程序），A机上的灰鸽子界面中“自动上线主机”已经有了反应，发现了运行Server_setup.exe程序的主机B。展开“自动上线主机”，位于灰鸽子中部的“文件管理器”标签卡，如图3-45。在图3-45的界面中可以对B机上的资源进行下载、复制、删除等操作。 图3-45 灰鸽子文件管理器的功能（2）查看B机的进程

27、，B机上没有弹出任何窗口。在B机上按下AltCtrlDel，进入任务管理器界面，没发现多出其它的进程。找到IEXPLORER进程，如图3-46。该进程就是灰鸽子线程插入的对象。任务管理器中点击“结束进程”钮，弹出如图3-47的提示，而正常情况下用此方法可以轻易结束掉IE进程。出现此现象的原因是因为灰鸽子木马采用了线程插入技术入侵并控制了IE进程，而且因木马程序已经启动并运行，该木马程序入侵并控制的IE进程处于一种锁定状态，用普通的任务管理器不能结束掉IE进程（但个别情况下该进程可以结束掉）。图3-46 受害主机的任务管理器图3-47 受害主机上结束IE浏览器时的提示57三、实验步骤（3）3、A机对B机实施远程控制。（1）A机上找到“注册表编辑器”