03网络攻击与防范资料

第3章网络攻击与防范本章内容网络攻击概述

3.1信息收集

3.2控制或破坏目标系统3.3网络后门技术

3.4引导案例:目前，网上一些利用“网络钓鱼”手法，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的帐户密码，从而窃取用户资金,诸如此类的违法犯罪活动不断增多。如何识别网络钓鱼网站和网络上潜在的威逼？本章将全面提示网络攻击和网站假冒钓鱼技术的真面目。日志清除技术3.5网络攻击概述3.1目前网络安全领域争论趋势越来越留意攻防结合，追求动态安全。形成了两个不同的角度和方向:攻击技术和防范技术,两者相辅相成，互为补充。争论黑客常用的攻击手段和工具必定为防范技术供给启发和新的思路,利用这些攻击手段和工具对网络进展模拟攻击,也可以找出目标网络的漏洞和弱点。3.1.1信息系统的弱点和面临的威逼信息系统的弱点和漏洞通常指各种操作系统和应用软件由于设计的疏忽、配置不当或编码的缺陷造成系统存在可以被黑客利用的“后门”或“入口”。没有确定安全的系统，任何系统都存在漏洞，黑客在攻击一个目标系统时，通常先承受各种手段去探测目标系统可能存在的漏洞。假设操作系统存在漏洞或弱点，往往特殊危急，大局部黑客攻击都利用了网络操作系统的漏洞，如IIS漏洞、UNICODE漏洞、输入法漏洞等。1.物理威逼偷窃、废物搜寻、间谍行为和身份识别错误。〔1〕偷窃。包括偷窃设备、偷窃信息和偷窃效劳等内容。〔2〕废物搜寻。在废物或垃圾箱中搜寻所需要的信息。〔3〕间谍行为。为了猎取有价值的机密，承受不道德的手段猎取信息的行为。〔4〕身份识别错误。非法建立文件或记录，企图把他们作为有效的、正式生产的文件或记录。口令圈套，口令破解，算法考虑不周和编辑口令。〔1〕口令圈套。是网络安全的一种阴谋，与冒名顶替有关。〔2〕口令破解。就像是猜测自行车密码锁的数字组合一样，在该领域中已形成很多能提高成功率的技巧。〔3〕算法考虑不周。在一些攻击入侵案例中，入侵者承受超长的字符串破坏了口令算法。〔4〕编辑口令。需要依靠操作系统漏洞。2.身份鉴别威逼〔1〕窃听。对通信过程进展窃听可到达收集信息的目的，这种电子窃听的窃听设备不需要确定安装在电缆上，可以通过检测从连线上放射出来的电磁辐射就能拾取所要的信号。〔2〕拨号进入。就像是猜测自行车密码锁的数字组合一样，在该领域中已形成很多能提高成功率的技巧。〔3〕冒名顶替。通过使用被人的密码和账号，获得对网络及其数据、程序的使用力气。3.线缆连接造成的威逼有害程序造成的威逼包括三个方面：病毒、代码炸弹和特洛伊木马。〔1〕病毒一种把自己的拷贝附着于机器上另一程序上的一段代码。通过这种方式，病毒可以进展自我复制，并随着它所附着的程序在机器间传播。〔2〕代码炸弹一种具有杀伤力的代码，其原理是一旦到达设定的时间或者条件，代码炸弹就被触发并开头产生破坏性的操作。〔3〕特洛伊木马这种程序一旦被装到机器上，便可按编制者的意图行事。能够摧毁数据，有时候伪装成系统已有的程序创立新的用户名和口令。4.有害程序造成的威逼在软件方面有两种选择：一是使用成熟的工具，如Sniffer，X-Scan软件；二是自己编制程序，如用C、C++等语言编程。编程时必需生疏两方面学问；一是两大主流的操作系统〔UNIX和WINDOWS〕；二是网络协议：TCP、IP、UDP、SMTP、POP、FTP。3.1.2网络攻击的方法及步骤黑客攻击五部曲1〕隐蔽IP：入侵“肉鸡“；做多级跳“Sock”代理。2〕信息收集：通过各种途径对所要攻击的目标进展多方面了解，扫描是信息收集的主要方法，其目的就是利用各种工具在目标IP地址或地址段的主机上查找漏洞。3〕把握或破坏目标系统：猎取系统把握权，到达攻击目的。4〕种植后门：在已经攻破的计算机上种植一些供自己访问的后门。5〕在网络中隐身。在入侵完毕后需要去除登录日志及其他相关日志。信息收集3.2入侵者在攻击目标系统前都会想方设法收集尽可能多的信息。无论目标网络规模有多大，安全指数有多高，只要是人设计的网络就必定缺陷。事实上入侵者获得的信息越多，他们觉察的缺陷就越多，入侵的可能性就越大。老练的黑客往往花费很多时间，信息收集、筛选、分析、再收集、在筛选、再分析。“没有无用的信息”。常用的信息收集方法：社交工程、DNS查询、搜寻引擎搜寻、扫描等。3.2.1社交工程社交工程其实是一种诈术，主要通过人工或网络间接猎取攻击对象的信息资料〔被攻击者的个人资料，所在单位的主要状况，网络使用状况，可能需要的网络拓扑图〕。一个好的社交工程师不要太高的学历和技术水平，只要有把握人心理的力气。1、端口扫描原理把没有开启端口号的计算机看做是一个密封的房间，密封的房间固然不行能承受外界的访问，当系统开启了一个可以让外界访问的程序后它自然需要在房间上开一个窗口来承受来自外界的访问，这个窗口就是端口，端口号是具有网络功能的应用软件的标识号。在端口扫描过程中，入侵者尝试与目标主机的某些端口建立连接，假设有回复，则说明该端口开放，即为“活动端口”。扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送建立连接恳求。3.2.2端口扫描技术〔1〕全TCP连接。使用三次握手与目标计算机建立标准的TCP连接。〔2〕半翻开式扫描〔SYN扫描〕。〔3〕FIN扫描。端口扫描的三种方式2.PortScan端口扫描使用工具软件PortScan、X-port、SuperScan可以得到对方计算机都开放了哪些端口。1.漏洞扫描原理依据工作模式，漏洞扫描器分为主机和网络漏洞扫描器。网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的效劳，记录目标赐予的应答来搜集目标主机上的各种信息，然后与系统的漏洞库进展匹配，假设满足匹配条件，则认为安全漏洞存在，或者通过模拟黑客的攻击手法对目标主机进展攻击，假设模拟攻击成功，则认为安全漏洞存在。3.2.3漏洞扫描主机漏洞扫描器则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进展监视扫描，搜集他们的信息，然后与系统的漏洞库进展比较，假设满足匹配条件，则认为安全漏洞存在。在匹配原理上，目前漏洞扫描器大都承受基于规章的匹配技术。漏洞扫描器通常以三种形式消逝：单一的扫描软件、基于C/S模式或B/S模式、其他安全产品组件。2.X-Scan漏洞扫描是一个完全免费的软件，由安全焦点在2023年公布。〔1〕系统要求〔2〕功能介绍承受多线程方式对指定IP地址段或单机进展安全漏洞检测，支持插件功能。扫描的主要内容包括：远程效劳类型、操作系统类型和版本、各种弱口令漏洞、后门、应用效劳漏洞、网络设备漏洞、拒绝效劳漏洞等等。X-Scan扫描结果保存在/log/名目中，index_*.htm为扫描结果索引文件。X-Scan主界面如图。可以选择菜单栏设置下的菜单项“扫描参数”，扫描参数的设置如图。下面需要确定扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”，如图设置完毕后，进展漏洞扫描，单击工具栏上的图标“开头”，扫描结果如图。1.网络监听的技术原理要让一台主机实现监听，捕获在整个网络上传输的数据，可将网卡置于混杂模式，全部的数据侦都将被网卡接收并交给上层协议软件处理分析。在通常的网络环境下，用户的全部信息都是以明文传输。网络监听常常需要监听主机保存大量捕获到的信息并进展大量的整理工作，因此，正在进监听的机器对用户的恳求响应很慢。要防监听，最终使用交换式网络或者将传输的数据进展加密。3.2.4网络监听技术2.Sniffer软件配置方法如下：〔1〕在进展流量捕获前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据，位置：File/SelectSettings，如图(2)报文捕获功能可以在报文捕获面板中进展(3)捕获过程中，可以通过查看如图面板来查看捕获报文的数量和缓冲区的利用率。〔4〕设置捕获条件。有两种条件，如图：链路层捕获：按源MAC和目的MAC地址进展捕获，输入方式为十六进制连续输入IP层捕获：按源IP和目的IP进展捕获。输入方式为点间隔方式，如：。假设选择IP层捕获条件则ARP等报文将被过滤掉。如图。在捕获侦长度条件下，可以捕获等于、小于、大于某个值的报文。在错误侦是否捕获栏，可以选择当网络上消逝某种错误时是否捕获。单击保存过滤规章条件按钮“Profiles”，可以将当前设置的过滤规章进展保存，在捕获主面板中，可以选择保存的捕获条件。〔5〕报文捕获。在图的Address下拉列表中，选择抓包的类型为IP。如图。〔6〕报文捕获查看。Sniffer软件供给了强大的分析力气和解码功能。对于捕获报文供给了一个专家分析系统进展分析，还有解码选项及图形和表格的统计信息。对于某项统计分析，可以双击此条件记录来查看具体统计信息且对于每一项都可以通过查看帮助来了解产生的缘由。图所示为对捕获报文进展解码的显示，通常分为三局部。通过前面所描述的各种信息收集和分析技术，找到目标系统的漏洞或弱点后，就可以有针对性地对目标系统进展各种攻击，对目标系统进展攻击最常见的手段是破解对方的治理员张号或绕过目标系统的安全机制进入并把握目标系统或让目标系统无法供给正常的效劳。控制或破坏目标系统3.33.3.1密码破译技术1.猎取治理员密码用户登录以后，全部的用户信息都存储在系统的“winlogon.exe”进程中，如以以下图。可以利用该程序将当前登录用户的密码破解出来。使用FindPass等工具可以对该进程进展解码，然后将当前用户的密码显示出来。将FindPass.exe复制到C盘根名目，执行该程序，将得到当前用户的登录名和密码。穷举测试是黑客试图利用计算机去测试全部可能的口令而破解系统密码的一种攻击方式。字典文件为暴力破的解供给了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统。一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。2.穷举测试此外，可以先用GetNTUser测试出目标系统中的全部的用户，然后设置好字典文件就可以对某一用户的口令进展破解，如图。现在可以进展穷举测试的软件很多，利用它们不仅可以破解操作系统的口令，同时也可以对一般软件系统进展口令破解。SMB〔SessionMessageBlock，会话消息块协议〕又叫做NetBIOS或LanManger协议，用于不同计算机之间文件、打印机、串口和通信的共享和用于windows平台上供给磁盘和打印机的共享。3.3.2SMB致命攻击下面介绍如何利用SMB协议让对方操作系统重新启动或蓝屏。使用的工具软件是SMBdieV1.0(对打了SP3\SP4补丁的计算机照旧有效,要完整防止攻击,计算机必需打SMB补丁)。攻击的需要两个参数：对方的IP地址和机器名。软件界面如以以下图。然后单击按钮“Kill”，对方计算机马上重启或蓝屏，目标系统立刻崩溃。缓冲区溢出是一种特殊普遍、危急的漏洞，在各种操作系统和应用软件中广泛存在，利用缓冲区溢出攻击可以导致程序运行失败、重新启动等后果。更为严峻是可以利用它执行非授权指令，甚至可以取得系统特权，进而进展各种非法操作。3.3.3缓冲区溢出攻击缓冲区溢出攻击原理voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}格式化字符串参数个数不固定造成访问越界数据intmain(void){inti=1,j=2,k=3;charbuf[]=“test“;printf(“%s%d%d%d\n“,buf,i,j,k);〔printf(“%s%d%d%d\n“,buf,i,j);〕return0;}利用%n格式符写入跳转地址intmain(void){intnum;inti=1,j=2,k=3;printf(“%d%d%d%n\n“,i,j,k,&num);printf(“%d\n“,num);return0;}利用Windows效劳器效劳存在缓冲区溢出漏洞，远程得到有治理员权限的shell，成功执行列出和删除文件。利用微软的特定版本的操作系统具有的漏洞进展缓冲区溢出攻击的，针对操作系统的这种攻击是影响范围最广、危害程度最大的一类攻击。操作系统由于其简洁性和普遍性，国际上的相关组织会定期公布操作系统的相关漏洞及解决方法，所以预防此类漏洞的方法是要准时升级操作系统的版本，为操作系统打补丁。SQL注入攻击是黑客对数据库进展攻击的常用手段之一。由于程序员的水平及阅历问题，很多程序员没有推断用户输入数据的合法性，从而存在隐患。用户可以提交一段数据库查询代码，依据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjection，即SQL注入。3.3.4SQL注入攻击一个经典的SQL注入漏洞首先看一段登录验证代码：<%onerrorresumenextifRequest(“name“)<>““andRequest(“psw“)<>““then DataName=“DB.db“ adm=Trim(Request(“name”))/*猎取用户名，没有经过过滤*/psw=Trim(Request(“psw“)) setconn=server.CreateObject(“adodb.connection“) connstr=“Provider=Microsoft.jet.oledb.4.0;datasource=“&server.MapPath(DataName) conn.openconnstr setrs=conn.execute(“select*from[ADM]whereadm=‘”&adm&“’andpsw=‘”&psw&“’”)/*把猎取的用户名密码带入SQL语句中查询*/ ifnot(rs.bofandrs.eof)then Response.Write(“登录成功!“) Response.end endifendif%>初看没有什么问题，应当输入正确的用户名密码才能进入得到治理授权，但是实际上我们在用户名和密码那里都填入‘OR’‘=’,一样会成功登陆到治理页面。为什么呢？我们把填入的‘OR’‘=’带入查询语句来看才觉察原来整个语句已经被构造成了：select*fromadminwhereadmin=””OR””=””andpassword=””OR””=”‘意思是当admin为空或者空等于空，password为空或者空等于空的时候整个查询语句就为真。很明显空等于空，所以语句为真，我们也就满足了程序的限制条件获得了治理授权。这个漏洞的成因很简洁，利用也很简洁，但是却道出了SQL注入技术的精华所在。那应当如何来修补漏洞呢？其实只需要过滤掉其中的特殊字符就可以解决问题了，这里我们就过滤掉其中的“‘”，即是把程序接收参数的两行改为：

adm=replace(Trim(Request(“name”)),“”“,““)psw=replace(Trim(Request(“psw“)),“”“,““)下面以某个网站的登录验证的SQL查询代码为例介绍SQL注入的过程。该网站由于程序员的疏忽无视了对输入的用户名和密码的长度的限制和特殊字符串的过滤。假设开发该网站的程序员所写的登录验证的SQL语句为:“SELECT*FROMusersWHERE(name=‘”+userName+”’)and(pw=‘”+passWord+”’);”在该网站登录的用户名和密码处输入如下恶意SQL代码：’ORl=l;在单击“登录”按钮后，会成功登录该网站，攻击成功！为什么仅输入几个奇异的字符就可以成功入侵一个网站呢？事实上，在输入恶意攻击代码后，该网站的用户身份验证的SQL语句被填为“SELECT*FROMusersWHERE(name=”ORl=l)and(pw=”ORl=l);”也就是实际上运行的SQL命令会变成下面这样的：“SELECT*FROMusers；“因此到达无帐号密码，也可登录网站。所以SQL注入攻击被俗称为黑客的填空玩耍。目前有很多特地针对此项技术的漏洞扫描软件和攻击软件。SQL注入攻击的防范与突破目前比较常用的方法有以下四种：(1)在效劳端正式处理之前对提交数据的合法性进展检查；(2)封装客户端提交信息；(3)替换或删除敏感字符/字符串；(4)屏蔽出错信息第一种应当是最根本的方法，在效劳端处理数据之前就进展严格的检查，觉察非法就不提交给效劳器端处理，返回错误信息。下面给出一个网络上比较通用的防注脚本。MicrosoftSQLServer2023桌面默认配置时用户名是sa，密码为空，假设数据库治理员没有准时更改默认配置或配置时过于简洁，该漏洞会被恶意利用。例如，通过瑞士军刀等扫描工具，查找到开有1433端口的主机，假设该主机承受的是系统默认的配置或者数据库登录的口令密码过于简洁则可以成功入侵。通过sa和空口令，利用相应工具获得了对方治理员级权限的shell，并使用这个shell上传、运行了文件，说明已经获得了对该机器的把握权。该攻击利用了对方系统默认用户假设口令的漏洞，并且该用户具有最高的权限，使得攻击者可以通过该漏洞轻易获得系统的最高把握权。3.3.5MicrosoftSQLServer2023假设口令攻击世界上第一个DoS攻击：1988年11月发生的Morris蠕虫大事。导致了5000多台主机瘫痪。1999年秋天，CMU大学的CERT中心公布消逝一种新的攻击：DDoS。2023年，世界上著名的电子商务网站：Yahoo、eBay、Amazon、CNN等都遭到了分布式拒绝效劳攻击。3.3.6拒绝效劳攻击拒绝效劳攻击(DoS)：就是利用网络协议本身的漏洞以及操作系统或应用程序软件实现的漏洞对计算机发动攻击，使计算机无法正常对外供给效劳。除了利用各种漏洞进展攻击，拒绝效劳攻击也可以利用合法的效劳恳求来占用过多的效劳资源，使效劳过载，从而无法响应其他用户的合法恳求。这些效劳资源包括网络带宽、系统文件空间、CPU处理力气、内存空间、连接的进程数。目的：使目标主机无法供给正常的效劳或是使目标主机崩溃。而其他类型攻击的目的都是为了猎取其把握权。拒绝效劳攻击是一种广泛存在的系统攻击，这种攻击的目的是使目标主机停顿网络效劳，而其他攻击的目的往往是欲猎取主机的把握权。这种攻击的危急性在于它可以在没有获得主机的任何权限的状况下进展，只要主机连接在网络上就可能受到攻击。攻击简洁、简洁到达目的、难于防止和追查困难1.DDos攻击方式〔1〕SYN/ACKFlood攻击。是最有效的经典DDos方法，通杀各种系统的网络效劳。〔2〕TCP全连接攻击。是为了绕过常规防火墙的检查而设计的。〔3〕CC攻击。实质是针对ASP、PHP、JSP等脚本程序，并调用MSSQLSERVER、MYSQLSERVER、ORACLE等数据库的网站系统而设计的。特征是和效劳器建立正常的TCP连接，并不断地向脚本程序提交查询、列表等大量消耗数据库资源的调用，典型的以小搏大的攻击方法。1.IP哄骗攻击原理IP哄骗是在效劳器不存在任何漏洞的状况下，通过利用TCP/IP协议本身存在的一些缺陷进展攻击的方法。3.3.7哄骗攻击IP哄骗攻击的实例假设同一网段内有两台主机A、B，另一网段内有主机X。B授予A某些特权，X为获得与A一样的特权，所做的哄骗攻击如下：首先，X冒充A，向主机B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。假设此时主机A已被主机X利用拒绝效劳攻击“漂移了”，导致主机A效劳失效，结果是主机A没有收到主机B发来的包。主机X利用TCP三次握手的漏洞，主动向主机B发送一个冒充主机A的应答包，其序列号等于主机B向主机A发送的序列号加1。此时主机X并不能检测到主机B的数据包〔由于不在同一个网段〕，只有利用TCP挨次号估算法来猜测应答包的挨次号并将其发送给目标主机B。假设序列号正确的话，B则认为收到的ACK来自内部主机A。此时X即获得了主机A在B上所享有的特权，并开头对这些效劳实施攻击。2.ARP哄骗攻击原理ARP〔AddressResolutionProtocol，地址解析协议〕是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。ARP协议的根本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进展。ARP攻击就是通过伪造IP地址和MAC地址实现ARP哄骗，能够在网络中产生大量的ARP通信量使网络堵塞，攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中不断或中间人攻击。ARP攻击主要存在于局域网中，局域网中假设有一台主机感染了ARP木马，则感染该ARP木马的机器将会试图通过“ARP哄骗”手段截获网络内其他计算机的通信信息，并因此造成网络内其他主机的通信故障。ARP攻击的实例〔1〕选择要攻击的主机。〔2〕选择治理方式。〔3〕确认无误后单击“开头”按钮，瞬间被攻击的主机就显示IP地址冲突。如P57图3-43所示。假设要对局域网的网关进展攻击的话，则会影响整个网络上的主机。此外，“网络执法官”软件主要功能是治理和维护网络，而不是恶意破坏，读者确定要留神使用，不要对正常上网的主机产生破坏。为了保持对就入侵的主机长期的把握,需要在主机上建立网络后门,以后可以直接通过后门入侵系统，可以通过建立效劳端口和克隆治理员帐户来实现。只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被治理员觉察的概率，只要是不简洁被觉察的后门都是好后门。留后门的原理和选间谍是一样的，就是让治理员看了感觉没有任何特殊的。网络后门技术3.43.4.1后门技术1、远程启动Telnet效劳利用主机上的该效劳，有治理员密码就可以登录到对方的命令行，进而操作对方的文件系统。假设该效劳关闭，就不能登录了〔Windows2023Server的该效劳是关闭的〕。可以在运行窗口中输入tlntadmn.exe命令启动本地Telnet效劳。在启动的DOS窗口中输入4，就可以启动本地Telnet效劳了。利用工具RTCS.vbe可以远程开启对方的Telnet效劳，命令语法为：“cscriptRTCS.vbex.x.x.xadministrator123456123”，入侵到对方主机并得到治理员口令后，就可以对主机进展长期入侵了，但是一个好的治理员会每隔半个月就会修改一次密码，这样入侵就不起作用了。利用软件Win2kPass.exe记录修改的新密码〔在Winnt\temp名目下的Config.ini文件或后缀名为ini的其他文件中〕。该软件有“自杀“功能，就是当执行完毕后，自动删除自己。2、记录治理员口令修改正程３、建立Web效劳和Telnet效劳使用工具软件wnc.exe可以在对方的主机上开启两个效劳：Web效劳〔808端口〕和Telnet效劳〔707端口〕。执行完毕后，利用命令“netstat-an”来查看开启的这两个端口。效劳端口开启成功后，可以连接该目标主机供给的这两个效劳了，如测试Web效劳的808端口，在扫瞄器地址栏中输入://x.x.x.x:808，消逝主机的盘符列表，即可以到Winnt\temp名目下查看对方密码修改记录文件。终端效劳是WINDOWS操作系统自带的，可以远程通过图形界面操纵效劳器。在默认的状况下终端效劳的端口号是3389。如图。3.4.2远程把握技术效劳默认的端口是3389，可以利用命令“nettat-an”来查看该端口是否开放。如以以下图。治理员为了远程操作便利，效劳器上的该效劳一般都是开启的。这就给黑客们供给一条可远程图形化操作主机的途径。利用该效劳，目前使用的有两种方法连接到对方主机：1〕使用Windows2023的远程桌面连接工具。2〕使用WindowsXP的远程桌面连接工具。木马来自于特洛伊木马(TrojanHorse)。特洛伊木马是指黑客用来远程把握目标计算机的特殊程序。但凡非法驻留在目标计算机里并执行预定的操作，窃取目标的私有信息，都属特洛伊木马。工作方式：多数为C/S模式，效劳器端安装在目标机里，监听等待攻击者发出的指令；客户端是用来把握目标机器的局部，放在攻击者机器上。木马“PasswdSender”(口令邮差)可以不需要客户端。3.4.2木马技术木马的伪装：冒充图象文件或玩耍程序；捆绑程序哄骗；将木马程序与正常文件捆绑为一个程序；伪装成应用程序扩展组件；木马名字为dll或ocx类型文件，挂在一个知名的软件中。后两种方式的哄骗性更大。木马的特点隐蔽性强：木马有很强的隐蔽性,在Windows中,假设某个程序消逝特殊,用正常的手段不能退出的时候,实行的方法是按“Ctrl＋Alt＋Del”键,跳出一个窗口,找到需要终止的程序,然后关闭它。早期的木马会在按“Ctrl＋Alt＋Del”显露出来,现在大多数木马已经看不到了。所以只能承受内存工具来看内存中是否存在木马。功能特殊：通常的木马的功能都是特殊特殊的，除了一般的文件操作以外，还有些木马具有搜寻cache中的口令、设置口令、扫描目标机器人的IP地址、进展键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程把握软件的功能固然不会有的，究竟远程把握软件是用来把握远程机器，便利自己操作而已，而不是用来黑对方的机器的。潜伏力气强：外表上的木马被觉察并删除以后,后备的木马在确定的条件下会跳出来。Glacier(冰河)有两个效劳器程序，挂在注册表的启动组中的是C:\Windows\System\Kernel32.exe,当电脑启动时装入内存,这是外表上的木马;另一个是:\Windows\System\Sysexplr.exe,也在注册表中,它修改了文本文件的关联,当点击文本文件的时候,它就启动了,它会检查Kernel32.exe是不是存在。当Kernel32.exe被删除以后,假设点击了文本文件,那么这个文本文件照样运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生成一个Kernel32.exe。特洛伊木马启动方式自动启动：木马一般会存在三个地方:注册表、win.ini、system.ini，由于电脑启动的时候，需要装载这三个文件。在autoexec.bat、config.sys、启动组中易被觉察。捆绑方式启动：木马phAse1.0版本和NetBus1.53版本就可以以捆绑方式装到目标电脑上,它可以捆绑到启动程序或一般常用程序上。捆绑方式是一种手动的安装方式。非捆绑方式的木马由于会在注册表等位置留下痕迹,所以,很简洁被觉察,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。修改文件关联。如用木马取代notepad.exe来翻开txt文件。木马效劳器存放位置及文件名木马的效劳器程序文件一般位置是在c:\windows和c:\windows\system中,由于windows的一些系统文件在这两个位置。木马的文件名总是尽量和windows的系统文件接近,比方木马SubSeven1.7版本的效劳器文件名是c:\windows\KERNEL16.DL,而windows由一个系统文件是c:\windows\KERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。常见的简洁的木马有NetBus远程把握、“冰河”木马、PCAnyWhere远程把握等。这里介绍一种最常见的木马程序“冰河”。冰河是国产的远程监控软件，可以运行在Windows环境下。功能可以与木马BO2023相媲美。冰河的主要功能：1．自动跟踪目标机屏幕变化，同时可完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中消逝过的口令信息，且1.2以上的版本中允许用户对该功能自行扩大，2.0以上版本还同时供给了击键记录功能；3．猎取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示区分率、物理及规律磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创立、上传、下载、复制、删除文件或名目、文件压缩、快速扫瞄文本文件、远程翻开文件〔供给了四中不同的翻开方式——正常方式、最大化、最小化和隐蔽方式〕等多项文件操作功能；6．注册表操作：包括对主键的扫瞄、增删、复制、重命名和对键值的读写等全部注册表操作功能；7．发送信息：以四种常用图标向被控端发送简短信息；8．点对点通讯：以谈天室形式同被控端进展在线交谈。冰河的主要组成文件冰河2.2正式版共有4个文件，它们是：G-client.exe 冰河客户端程序G-server.exe 效劳器端程序Readme.txt 自述文件Operate.ini 配置文件冰河的主要功能:连接效劳器五、特洛伊木马首先是连接目标效劳器，从菜单中选择文件添加主机。填写内容：a)

显示名称：显示在程序中的名称，只用于便利记忆。b)

主机地址：填入IP地址或域名。c)

访问口令：配置效劳器程序时输入的口令。d)监听端口：配置效劳器程序是确定的端口号冰河的主要命令口令类命令1〕系统信息及口令可以获得包括系统信息〔计算机名、用户名等〕，开机口令，缓存口令及其它口令在内的资料。2〕历史口令可以获得目标机器从启动开头的历史口令。3〕击键记录记录目标机器上的击键。把握类命令1〕捕获屏幕：得到目标机器当前的屏幕图象。屏幕把握。冰河除了把目标机器的屏幕图象显示到你的屏幕上之外，你还可以把它看作一个真正的屏幕。假设屏幕上显示对方开着一个IE窗口，你就可以点击它的关闭按钮，那么它在目标机器上就真被关闭了。2〕发送消息向目标计算机发送消息。目标计算时机弹出一个消息框，这个消息框的类型和内容都可以由你来设置3)把握目标主机的进程：点击查看进程按钮,就可以在按钮上方的列表框中看到目标机器上的全部进程。假设要终止某个进程，先选中它，再执行完毕进程命令。4)窗口把握：对目标计算机上的程序窗口进展远程把握。5〕系统把握：远程关机、重起计算机，重新加载冰河，卸载冰河。6)鼠标把握任凭锁定目标计算机上的鼠标，使其动弹不得。在你玩够之后，你也可以再解除锁定。7)其它把握网络类命令1)创立共享在目标机器上创立新的共享。共享名称及共享路径。2)删除共享在目标机器上删除指定的共享。3)网络信息：包括共享信息和连接信息。共享信息用来查看目标计算机上的共享资源。连接信息用来显示目标计算机的网络连接状况：包括与其连接的计算机名、用户名、通讯协议、当前状态等。文件类命令与文件治理器中的功能类似。1)

文本扫瞄2)

文件查找3)

文件压缩4)

文件复制5)

文件删除6)

文件翻开7)

名目增删8)

名目复制、注册表读写如何应付木马1.使用杀毒软件。2.提高防范意识,不翻开生疏人信中的附件，不任凭下载软件。3.认真阅读readme.txt。很多人出于争论目的下载了一些特洛伊木马程序的软件包,往往错误地执行了效劳器端程序4.在删除木马之前,重要的一项工作是备份,需要备份注册表,备份你认为是木马的文件。如何应付木马1〕端口扫描2〕查看连接：netstat–a命令上述两种方法对驱动程序/动态