项目4四代木马的应用

学习情境四：计算机病毒与木马项目4第四代木马的应用1项目4第四代木马的应用课题引入第四代木马的使用与防范木马的加壳与脱壳文件夹木马2课题引入－项目背景木马全称“特洛伊木马”，英文名称为TrojanHorse，它来源于《荷马史诗》中描述的一个古希腊故事。传说，有一次古希腊大军围攻特洛伊城，久攻不下。于是，一名古希腊谋士献计制造了一只高二丈的大木马，随后攻城数天之后，假装兵败，留下木马拔营而去。城中得到解围的消息，举城欢庆，并把这个奇异的战利品大木马搬入城内。当全城军民进入梦乡之时，藏于木马中的士兵从木马密门而下，打开城门引入城外的军队，攻下了特洛伊城。3课题引入－项目背景第一代和第二代木马属于传统的连接方式：远程主机开放监听端口等待外部连接，成为服务器端；当入侵者需要与远程主机连接时，发送连接请求。第三代木马开始使用了“反弹端口”技术，连接不再由客户端发起，而是服务器端来完成。反弹窗口技术需要在配置服务器时指明入侵者的ip地址和连接端口，因此不适用于动态上网的入侵者4课题引入－项目背景反弹窗口的连接方式无中间代理的连接引入中间代理的连接客户端远程主机中间代理（保存客户端IP、Port）更新IP、port获取客户端IP、Port5课题引入－项目背景灰鸽子是国内第三代木马的典型代表除了可以使用传统连接方式，可以使用反弹窗口的连接方式，方便的控制动态IP地址和局域网内的远程主机在使用灰鸽子时，可以利用灰鸽子自带的工具，申请免费域名提供的动态IP映射实现代理功能6课题引入－项目分析完成本项目需要解决的问题：第四代木马如何使用与防范？木马怎样加壳和脱壳？文件夹木马如何使用与防范？7课题引入－教学目标完成本项目需要实现的教学目标：第四代木马的使用与防范（重点掌握）木马的加壳与脱壳（理解）文件夹木马的使用与防范（掌握）8课题引入－应达到的职业能力熟练掌握第四代木马的使用与防范了解木马加壳与脱壳的含义掌握文件夹木马的使用与防范9项目问题1－第四代木马简介：广外男生同广外女生一样，是广东外语外贸大学的作品。特色：客户端模仿Windows资源管理器：除了全面支持访问远程服务器文件系统，也同时支持通过对方的“网上邻居”，访问对方内部网其他机器运用了“反弹窗口”技术使用了“线程插入”技术：服务器运行时没有进程，所有网络操作均插入到其他应用程序的进程中完成。即便受控端安装的防火强有“应用程序访问权限”的功能，也不能对广外男生的服务器进行有效警告和拦截。不再支持传统的连接方式10广外男生使用实例客户端设置：打开广外男生客户端（gwboy092.exe），选择“设置”—>“客户端设置”，打开“广外男生客户端设置程序”。其中最大连接数一般使用默认的30台，客户端使用端口一般设置成80。11广外男生使用实例本次实验使用固定IP地址的主机进行实验，因此选择“客户端处于静态IP”点击“下一步”，再点击“完成”按钮结束客户端的设置。12广外男生使用实例服务端设置：进行服务端设置时，选择“设置”—>“服务器设置”，打开“广外男生服务端生成向导”13广外男生使用实例选择“同意”之后，点击下一步，开始进行服务端常规设置14广外男生使用实例设置完成后点击“下一步”，进行“网络设置”。根据实际网络环境，选择静态IP选项进行实际网络的设置15广外男生使用实例设置完成点击“下一步”，填写生成服务器端的目标文件的名称，然后点击“完成”，结束服务器端的配置16广外男生使用实例17广外男生使用实例18广外男生使用实例19广外男生木马的清除1、检测广外男生木马的有效方法为使用“netstat-na”查看目标主机的网络连接情况，如果端口8225开放，那么该主机可能已经中了广外男生木马。2、打开注册表编辑器，展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，删除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”，删除ID为{5EAE4AC0-146E-11D2-A96E-9}的键及其下所有子键和键值。20广外男生木马的清除3、点击“编辑”菜单中的“查找”，在注册表编辑器中搜索gwVboydl1。dll，找到所有和它有关的注册表项，全部删除。4、删除system32目录下的gwboy.exe。然后进入DOS模式下，输入delwinnt\system32\gwVboydll.dll命令，删除system32目录中的gwboydll.dll文件。21项目问题2－木马的加壳与脱壳虽然木马的功能非常强大，甚至使得入侵者可以为所欲为，但是有了良好的杀毒工具，木马难免会被查杀一个程序写完后，并不是把写好的程序直接提供给用户进行使用，而是需要通过一些软件对应用程序进行处理，这个处理的过程被称作“加壳”。处理的目的有两个：一个是为了保护程序源代码、防止被修改和破坏通过加壳后，可以减小程序的体积22木马的加壳与脱壳木马通过加壳后可以实现避免被杀毒软件的查杀，这些加壳的软件常见的有ASPACK、UPX、WWPACK等与加壳相反的过程称为“脱壳”，目的是把加壳后的程序恢复成毫无包装的可执行代码，这样未授权者便可以对程序进行修改。脱壳与加壳需要使用相同的软件进行，例如，使用UPX对木马程序进行加壳之后，如果需要脱壳，仍然需要使用UPX进行脱壳过程。23木马的加壳实例我们可以使用Language2000这种检测工具发现程序加壳所使用的软件类型使用Language2000检测得到的冰河木马软件服务器端的加壳内容，其中Program一项的值ASPack说明被检测的冰河软件采用的加壳工具是ASPack。24木马的加壳实例首先，我们使用Language2000检测冰河木马程序客户端的加壳结果，客户端并没有经过加壳处理。25木马的加壳实例使用诺顿检查冰河木马客户端文件可以看到，木马客户端被杀毒软件杀掉26木马的加壳实例打开ASPack应用程序，点击Open按钮，然后打开冰河客户端应用程序。然后选择Compress选项卡，点击Go按钮27木马的加壳实例加壳完成后，再次使用杀毒软件对冰河客户端进行扫描，通过加壳之后，原来能够被查杀的木马客户端现在已经无法被杀毒软件识别了。28项目问题3－文件夹木马在windows系统中，文件夹采用了实现网页的方法来实现文件夹的样式，也就是说Windows中的文件夹支持HTML和javascript定义的一些动作通过编写javascript可以让文件夹在打开时自动执行程序文件夹木马的实现需要没有打补丁的IE5.0的支持29文件夹木马的实例步骤一：打开“文件夹选项”设置，将“隐藏受保护的操作系统文件”前面的勾去掉，同时设置现实所有文件和文件夹步骤二：新建一个文件夹，双击该文件后，选择“查看”—“自定义文件夹”。在“自定义文件夹向导”中选择“选择或编辑该文件夹的HTML模板”，然后单击“下一步”，进入“模板选择“30文件夹木马的实例步骤三：在“模板选择”对话框中选择标准，单击“下一步”，完成自定义文件夹。该文件夹会多出Foldersettings文件夹和desktop.ini文件步骤四：编写javascript代码31文件夹木马的实例步骤五：修改Folder.htt文件（在Foldersettings文件夹中），用记事本打开Folder.htt，然后在<style></style>后面加入编写的javascript代码，并保存步骤六：将木马或相应应用程序拷贝到Folderset