网络攻防技术-木马的防范

项目五木马攻击与防范【项目概述】木马是计算机病毒的一种，已经成为数量增长最快的计算机病毒。黑客通过灰鸽子、上线远控、Ghost木马等各种“肉鸡”控制工具，疯狂侵蚀着Internet安全。为了加强对木马的防范，网络安全公司决定根据木马的特征和主要攻击方式，对整个网络进行木马扫描，加强木马防范措施。【项目分析】木马也称特洛伊木马，名称来源于希腊神话《木马屠城记》。古希腊派大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装为作战马神，让精兵藏匿于巨大的木马中，大部队假装撤退而将木马摒弃于特洛伊城下。城中士兵得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全称饮酒狂欢。到午夜时分，全城军民尽入梦乡，藏于木马中的将士打开城门，四处放火，城外埋伏的士兵涌入，部队里应外合，攻下了特洛伊城。网络攻防中的木马指的是攻击者编写的一段恶意代码，它可以潜伏在被攻击者的计算机中。攻击者通过这个代码可以远程控制被攻击者的计算机，以窃取计算机上的信息或者操作计算机。从本质上讲，木马也是病毒的一种，因此很多用户也把木马称为病毒。在本项目中，将介绍木马工作的原理、典型的木马使用过程、木马的生成方法、木马免杀技术、木马防范技术，提高计算机用户对木马的认识，加强在网络使用中对木马的防范意识和措施，避免在网络使用中遭受木马攻击，造成损失。本项目主要内容如下：1.木马的使用。2.木马的生成。3.木马免杀。4.木马的防范。

项目主要内容：

任务一木马的使用任务二木马的生成任务三木马免杀任务四

木马的防范任务四木马的防范任务描述木马对网络安全造成极大危害，是造成隐私泄露、垃圾邮件和DDoS攻击的重要原因。一旦遭受木马攻击，将会对人们的正常工作和生活带来损失。因此，在日常工作生活中，加强对木马的防范，是预防木马攻击、加强个人信息保护的重要途径。任务分析木马通常是由JavaScript、VBScript、PHP、ASP、JSP和ActiveX等脚本语言编写，通过浏览器或磁盘等进行传播。由于木马具有隐蔽性和非法访问的特点，其服务程序会采用变形、压缩、脱壳、捆绑、取双后缀名等各种方法隐藏自己，然后与客户程序建立远程连接并且非法修改注册表、非法修改系统文件、控制鼠标和键盘等。尽管它们使用的技术千变万化，但是木马的攻击原理始终没有变化：通过客户程序向服务器程序发送指令；服务器程序接收控制指令后，根据指令在本地执行相应动作，并把执行结果返回给客户程序。针对不同类型的木马，我们可以了解其启动特点，在通常驻留的地方，即启动配置文件、启动组、注册表等位置重点检查与清除，通常加强日常上网中的防范意识，最终达到防范木马攻击的目的。任务实施1.冰河木马的手动清除。冰河木马在被攻击者计算机上运行的是服务端程序G-server.exe，一旦运行，该程序就会在“C：/Windows/system”目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和txt文件关联，如图5-3、5-4所示。要清除冰河木马，需要从这两个运行程序入手进行清除。步骤1打开Windows任务管理器，找到“Kernel32.exe”进程，并结束该进程，如图5-49所示。图5-49结束“Kernel32.exe”进程步骤2删除“C:\WINDOWS\system32”下的“Kernel32.exe”和“sysexplr.exe”文件。步骤3在“开始”—“运行”中输入“regedit”命令打开“注册表编辑器”，如图5-50所示。图5-50“注册表编辑器”对话框步骤4冰河会驻留在注册表“HKEY_LOCAL_MACHINE\software\microsoft\windows\Current\Version\Run”下，键值为“C:\windows\system32\kernel32.exe”，如图5-51所示，将其删除即可。图5-51冰河木马在注册表Run中的值步骤5在注册表的“HKEY_LOCAL_MACHINE\software\microsoft\windows\Current\Version\Runservices”下，还有键值为“C:\windows\system32\kernel32.exe”，如图5-52所示，也要将其删除。图5-52冰河木马在注册表Runservices中的值步骤6修改注册表“HKEY_CLASSES_ROOT\txtfile\shell\open\command”下的默认值，由中木马后的“C:\windows\system32\Sysexplr.exe%1”改为正常情况下的“C:\windows\notepad.exe%1”，即可恢复txt文件关联功能，如图5-53所示。图5-53冰河木马在注册表command中的值2.木马的检测。在上网过程中和进行一些计算机正常使用时，计算机速度明显发生变化、硬盘在不停地读写、鼠标不受控制、键盘无效、一些窗口在未得到允许的情况下被关闭、新的窗口被莫名其妙地打开。这一切不正常现象都可能是木马客户端在远程控制计算机，可以通过以下方法进行检测。（1）查看端口。木马启动后自然会打开端口，可以通过检查端口的情况来查看有无木马，但是这种方法无法查出“驱动程序/动态链接”类型木马。在命令提示符中输入命令“netstat-a”,查看当前系统中开启的端口，以及当前正在活动的网络连接的详细信息，如图5-54所示。例如，7626端口打开，可能是有名的冰河木马在运行。图5-54使用netstat命令查看端口状态（2）检查注册表。木马可以通过注册表进行启动，通过检查注册表可以发现木马在注册表中留下的痕迹。在注册表中的“HKEY_LOCAL_MACHINE\software\microsoft\windows\Current\Version\Runservices”（RunOnce、RunOnceEx、RunServices）,如图5-48所示。另外还有“HKEY_CURRENT_USER\software\microsoft\windows\Current\Version\Run”，查看这些键值中有没有不熟悉的文件，一般扩展名为exe，如netspy.exe或其他可疑的文件名，如果有，可能就是木马。图5-55木马在注册表中的位置（3）检查DLL类木马。DLL（DynamicLinkLibrary，动态链接库）木马，是嵌入型的木马，典型的DLL嵌入式木马有灰鸽子、波尔等。其工作原理是替换在SYSTEM32目录下负责网络通讯的的DLL文件，以达到控制电脑的目的。DLL类木马在进程中看不到，可以借助一些工具如IceSword（冰刃）查出DLL类木马。如图5-56所示为IceSword软件工作界面。图5-56IceSword软件工作界面3.木马的防御与清除。（1）软件的下载。木马一般都是通过E-mail和文件下载传播的，因此，要提高防范意识，不要打开陌生人邮件中的附件。另外，建议大家到正规网站去下载软件，这些网站的软件更新快，并且大部分都经过测试，可以放心使用。假如需要下载一些非正规网站上的软件，注意不要在在线状态下安装软件，一旦软件中含有木马程序，就有可能导致系统信息的泄露。对于学习实验练习使用的软件，建议在物理主机上安装虚拟机，将软件放置在虚拟机中进行实验，以防木马入侵物理主机。（2）病毒查杀。一旦发现了木马，最简单的方法就是使用杀毒软件。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能，如金山毒霸、瑞星、KV2008等，可以不定期地在脱机的情况下进行检查和清除。另外，有的杀毒软件还提供网络实时监控功能。这一功能可以在黑客从远端执行用户机器上的文件时提供报警或使得执行失败，使黑客向用户机器上传可执行文件后无法正确执行。新的木马不断出现，旧的木马变种也很快，有些需要手动查找并清除，有些木马程序有隐藏属性，必须在Windows窗口中选择“查看”—“文件夹选项”—“查看”—“隐藏文件”—“显示所有文件”命令，才能看到木马程序。由于木马种类繁多，各有特点，删除方法也不尽相同，需要根据每种木马的情况具体分析清除方法。（3）日常防范。1.及时升级浏览器，安装防病毒软件、修复系统漏洞，及时更新病毒库。2.不下载来历不明的文件，更不要运行这些文件。3.不浏览身份不明的网站，特别注意浏览网页时不安装不明的控制。4.收到来历不明的邮件后直接删除，不要打开或运行邮件中的文件。5.和他人进行网络聊天时，不打开来历不明的链接。【项目拓展】1.本项目介绍了木马的攻击技术与防范技术，请根据任务一内容，自行下载木马软件进