第八章-计算机木马防范课件

第八讲计算机木马防范第八讲计算机木马防范本讲的目标了解计算机木马的工作原理掌握查杀计算机木马的方法（手动方式、专用工具）；本讲的目标了解计算机木马的工作原理授课建议了解计算机木马的工作原理掌握查杀计算机木马的方法（手动方式、专用工具）；授课建议了解计算机木马的工作原理木马程序的利用与监测

“木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。木马原则上和Laplink、PCanywhere等程序一样，只是一种远程管理工具木马本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)木马程序的利用与监测“木马”指一些程序设计人员在其可从网络计算机木马种类键盘记录型木马主要用来截取用户的密码资料信息，类似于QQ、msn、魔兽世界等大多网游或即使通讯程序的密码，当然，对于用户网上银行的资料记录，这类木马也能够记录下来。远程监控型木马Dos攻击木马计算机木马种类键盘记录型木马木马技术的发展第一代木马个将自己伪装成特殊的程序或文件的软件，如本身伪装成一个用户登陆窗口，当用户运行了木马伪装的登陆窗口，输入用户名与密码后，木马将自动记录数据并转发给供给者，入侵者借此来获得用户的重要信息，达到自己的目的。第二代木马有能够进行的远程控制操作第三代木马由原来的服务端被动连接变为服务端主动连接第四代木马远程线程插入技术，将木马线程插入DLL线程中，增加了隐藏进程技术典型的C/S结构，隐蔽性差隐藏、自启动和操纵服务器等技术上有长足进步

隐藏、自启动和数据传递技术上有根本性进步，出现了以ICMP进行数据传输的木马

采用改写和替换系统文件的做法

木马技术的发展第一代木马典型的C/S结构，隐藏、自启动和操纵木马连接方式

传统方式端口反弹方式木马连接方式

传统方式端口反弹方式计算机木马工作原理

运行机制木马运行机制第一步：木马客户端会将自己的IP地址以及监听端口发送给一个“中间机器”，如某网页文件，/ip.txt，第二步：木马服务端会连接“中间机器”，获取服务端目前的IP地址和端口信息。第三步：木马服务端主动向客户端发出连接请求，直至双方建立连接成功计算机木马工作原理

运行机制木马运行机制计算机木马的工作原理

欺骗方式捆绑欺骗把木马服务端和某个游戏，或者flash文件捆绑成一个文件邮件冒名欺骗压缩包伪装网页欺骗利用netsend欺骗计算机木马的工作原理

欺骗方式捆绑欺骗木马隐藏在任务栏里隐藏任务栏中隐藏文件图标在任务管理器隐藏把木马设置为“系统服务”，通信端口的隐藏加载方式最新隐身技术通过修改虚拟设备驱动程序(VXD)或修改动态链接库(DLL)来加载木马木马隐藏在任务栏里隐藏特洛伊木马隐身方法主要途径有躲避（改成重要的系统文件名）绑定器（将木马和合法程序混合在一起产生一个可执行的程序）在任务栏中隐藏自己“化妆”为驱动程序使用动态链接库技术特洛伊木马隐身方法主要途径有木马启动方式在win.ini中启动在system.ini中启动通过启动组实现自启动*.ini修改文件关联捆绑文件反弹技术木马启动方式在win.ini中启动木马潜伏时的常见症状网速突然很慢，系统性能显著下降系统进程中出现陌生进程浏览器经常弹出网页窗口计算机莫名重启或关机木马潜伏时的常见症状网速突然很慢，系统性能显著下降手工查杀木马1.查看计算机启动时启动的所有程序有无陌生进程2.查看系统服务，有无非自身安装的服务。3.找到上述两种方式查找出的木马以及其相关程序路径。4.结束木马进程，删除木马启动项以及木马本身。手工查杀木马1.查看计算机启动时启动的所有程序有无陌生进程灰鸽子的特征灰鸽子木马使用了“线程插入”技术以及“Rootkit隐藏”技术。其进程在“任务资源管理器”上无法被发现。其次在“服务”列表中也隐藏了起来。灰鸽子木马的客户端在执行后，会将其自身拷贝到系统目录（C:\windows\system32）下，紧接着，会释放出两个dll文件。比如我们设定的客户端名称是Setup.exe，那么运行该客户端后，会在系统目录下新增Setup.exe、Setup.dll、Setup_Hook.dll三个文件。其中，Setup.exe是灰鸽子服务端主程序，Setup.dll文件实现后门功能，与灰鸽子控制端进行通信。Setup_Hool.dll则是通过拦截API调用来隐藏病毒。因此，中了灰鸽子后，我们看不到灰鸽子文件，也看不到灰鸽子在注册表以及服务项里的键值。随着灰鸽子服务端设置的不同，Hook.dll会插入explorer.exe（或者Iexplore.exe）进程中。由于灰鸽子拦截了API调用，在常规下，木马程序文件和它注册的服务项均被隐藏，即使用户设置了“显示所有隐藏文件”，在系统目录下你也看不到它们。所以，要清除灰鸽子，用户首先得进入安全模式下。灰鸽子的特征灰鸽子木马使用了“线程插入”技术以及“Rootk手动清除灰鸽子木马清除灰鸽子的服务；删除灰鸽子程序文件，重启系统，进入“安全模式”设置显示所有文件在系统目录下，找到Setupdll.dll和Setupapi.dll修改注册表值HKEY_LOCAL_MACHING\SYSTEM\CurrentControlSet\Services，以点击查找找到灰鸽子对应的服务选项(GrayPigeon)来删除灰鸽子的自启动服务。手动清除灰鸽子木马清除灰鸽子的服务；木马查杀工具－IceSword木马查杀工具－IceSword木马查杀工具——AVGAnti-Spyware木马查杀工具——AVGAnti-Spyware木马防御方法总结

端口扫描扫描程序尝试连接某个端口，如果成功，则说明端口开放；否则关闭。但对于驱动程序/动态链接木马，扫描端口不起作用查看连接在本地机上通过netstat-a查看所有的TCP/UDP连接查看启动文件AUTOEXEC.BAT,CONFIG.SYS,WIN.BAT,SYSTEM.INI,WIN.INI检查注册表通过检查注册表来发现木马在注册表里留下的痕迹查看内存查找文件木马的特征文件，特殊端口木马防御方法总结端口扫描第八讲计算机木马防范第八讲计算机木马防范本讲的目标了解计算机木马的工作原理掌握查杀计算机木马的方法（手动方式、专用工具）；本讲的目标了解计算机木马的工作原理授课建议了解计算机木马的工作原理掌握查杀计算机木马的方法（手动方式、专用工具）；授课建议了解计算机木马的工作原理木马程序的利用与监测

“木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。木马原则上和Laplink、PCanywhere等程序一样，只是一种远程管理工具木马本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)木马程序的利用与监测“木马”指一些程序设计人员在其可从网络计算机木马种类键盘记录型木马主要用来截取用户的密码资料信息，类似于QQ、msn、魔兽世界等大多网游或即使通讯程序的密码，当然，对于用户网上银行的资料记录，这类木马也能够记录下来。远程监控型木马Dos攻击木马计算机木马种类键盘记录型木马木马技术的发展第一代木马个将自己伪装成特殊的程序或文件的软件，如本身伪装成一个用户登陆窗口，当用户运行了木马伪装的登陆窗口，输入用户名与密码后，木马将自动记录数据并转发给供给者，入侵者借此来获得用户的重要信息，达到自己的目的。第二代木马有能够进行的远程控制操作第三代木马由原来的服务端被动连接变为服务端主动连接第四代木马远程线程插入技术，将木马线程插入DLL线程中，增加了隐藏进程技术典型的C/S结构，隐蔽性差隐藏、自启动和操纵服务器等技术上有长足进步

隐藏、自启动和数据传递技术上有根本性进步，出现了以ICMP进行数据传输的木马

采用改写和替换系统文件的做法

木马技术的发展第一代木马典型的C/S结构，隐藏、自启动和操纵木马连接方式

传统方式端口反弹方式木马连接方式

传统方式端口反弹方式计算机木马工作原理

运行机制木马运行机制第一步：木马客户端会将自己的IP地址以及监听端口发送给一个“中间机器”，如某网页文件，/ip.txt，第二步：木马服务端会连接“中间机器”，获取服务端目前的IP地址和端口信息。第三步：木马服务端主动向客户端发出连接请求，直至双方建立连接成功计算机木马工作原理

运行机制木马运行机制计算机木马的工作原理

欺骗方式捆绑欺骗把木马服务端和某个游戏，或者flash文件捆绑成一个文件邮件冒名欺骗压缩包伪装网页欺骗利用netsend欺骗计算机木马的工作原理

欺骗方式捆绑欺骗木马隐藏在任务栏里隐藏任务栏中隐藏文件图标在任务管理器隐藏把木马设置为“系统服务”，通信端口的隐藏加载方式最新隐身技术通过修改虚拟设备驱动程序(VXD)或修改动态链接库(DLL)来加载木马木马隐藏在任务栏里隐藏特洛伊木马隐身方法主要途径有躲避（改成重要的系统文件名）绑定器（将木马和合法程序混合在一起产生一个可执行的程序）在任务栏中隐藏自己“化妆”为驱动程序使用动态链接库技术特洛伊木马隐身方法主要途径有木马启动方式在win.ini中启动在system.ini中启动通过启动组实现自启动*.ini修改文件关联捆绑文件反弹技术木马启动方式在win.ini中启动木马潜伏时的常见症状网速突然很慢，系统性能显著下降系统进程中出现陌生进程浏览器经常弹出网页窗口计算机莫名重启或关机木马潜伏时的常见症状网速突然很慢，系统性能显著下降手工查杀木马1.查看计算机启动时启动的所有程序有无陌生进程2.查看系统服务，有无非自身安装的服务。3.找到上述两种方式查找出的木马以及其相关程序路径。4.结束木马进程，删除木马启动项以及木马本身。手工查杀木马1.查看计算机启动时启动的所有程序有无陌生进程灰鸽子的特征灰鸽子木马使用了“线程插入”技术以及“Rootkit隐藏”技术。其进程在“任务资源管理器”上无法被发现。其次在“服务”列表中也隐藏了起来。灰鸽子木马的客户端在执行后，会将其自身拷贝到系统目录（C:\windows\system32）下，紧接着，会释放出两个dll文件。比如我们设定的客户端名称是Setup.exe，那么运行该客户端后，会在系统目录下新增Setup.exe、Setup.dll、Setup_Hook.dll三个文件。其中，Setup.exe是灰鸽子服务端主程序，Setup.dll文件实现后门功能，与灰鸽子控制端进行通信。Setup_Hool.dll则是通过拦截API调用来隐藏病毒。因此，中了灰鸽子后，我们看不到灰鸽子文件，也看不到灰鸽子在注册表以及服务项里的键值。随着灰鸽子服务端设置的不同，Hook.dll会插入explorer.exe（或者Iexplore.exe）进程中。由于灰鸽子拦截了API调用，在常规下，木马程序文件和它注册的服务项均被隐藏，即使用户设置了“显示所有隐藏文件”，在系统目录下你也看不到它们。所以，要清除灰鸽子，用户首先得进入安全模式下。灰鸽子的特征灰鸽子木马使用了“线程插入”技术以及“Rootk手动清除灰鸽子木马清除灰鸽子的服务；删除灰鸽子程序文件，重启系统，进入“安全模式”设置显示所有文件在系统目录下，找到Setupdll.dll和Setupapi.dll修改注册表值HKEY_LOCAL_MACHING\SYSTEM\CurrentControlSet\Services，以点击查找找到灰鸽子对应的服务选项(GrayPigeon)来删除灰鸽子的自启动服务。手动清除灰鸽子木马清除灰鸽子的服务；木马查杀工具－IceSword木马查杀工具－IceSword木马查杀工具——AVG