《信息安全技术基础》课件 7.2清除木马

第七单元病毒与木马主要内容任务2清除木马任务2清除木马小卫领导的电脑速度变得越来越慢，打开任务管理器发现有很多看不懂的进程，领导想要小卫帮他看看是不是这些进程在作怪。小卫查看任务管理器的进程，确实存在一些可疑进程。他进一步查看系统当前对外网络连接的服务和端口，发现也有一些可疑对外连接，小卫初步判断该电脑已经中了木马，需要进行木马排查和清除。【任务情境】任务2清除木马1、木马“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是服务端部分，而所谓的“黑客”正是利用控制端进入运行了服务端的电脑。运行了木马程序的服务端以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。【知识准备】任务2清除木马2、木马特征和原理一个完整的木马套装程序含了两部分：服务端和客户端。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。木马程序不能自动操作，一个木马程序是包含或者安装一个存心不良的程序的，它可能看起来是有用或者有趣（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，木马才会运行，信息或文档才会被破坏和遗失。木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。【知识准备】任务2清除木马木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的，运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行，或立刻自动变更文件名，甚至隐形，或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。【知识准备】任务2清除木马3、木马的伪装方式鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。 修改图标当你在邮件的附件中看到这个图标时，是否会认为这是个文本文件呢?但是我得告诉你,这也有可能是个木马程序，已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标，这有相当大的迷惑性，但是提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。 捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件（即EXE,COM一类的文件）。【知识准备】任务2清除木马 出错显示有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。 定制端口很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以很多新式的木马都加入了定制端口的功能，控制端用户可以在1024---65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样就给判断所感染木马类型带来了麻烦。【知识准备】任务2清除木马 自我销毁这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中（C:\Windows或者C:\Windows\system32目录下），一般来说原木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外），如果中了木马的朋友想查找删除木马，最简单办法就是只要在收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹中查找，只有文件名称、大小相同基本就可以判断是木马文件。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。 木马更名安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。所以有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。【知识准备】任务2清除木马本次任务以gh0st木马为例，一起完成木马的配置与生成，木马的清除等操作，了解和掌握木马手动查杀的一般步骤和方法，因为需要有控制端和服务端，所以需要两个虚拟机进行试验。（1）木马的配置与生成步骤1：打开gh0st木马配置程序，如下图。【任务实施】图7-13打开木马程序任务2清除木马步骤2：木马通常分为客户端和服务端。我们先完成服务端的生成和设置。点击Gh0st木马的主界面下方的Settinas选项卡，设置上线主机IP，也就是木马上线后要寻找和外联的IP（本机IP）。如下图。【任务实施】图7-14设置参数任务2清除木马步骤3：将“上线字串”的内容复制下来，后续需要用到。点击Gh0st木马的主界面下方的Build选项卡，点击生成服务端，如下图。【任务实施】图7-15生成木马任务2清除木马步骤4：点击生成服务端后，将会生成1个服务端程序。如下图。【任务实施】图7-16木马文件任务2清除木马步骤5：我们把生成好的服务端程序上传至被控目标系统中，如下图。【任务实施】图7-17木马上传任务2清除木马步骤6：在被控目标系统中双击运行服务端程序，程序文件即自动消失，木马就已经在后台成功运行了。步骤7：离开服务端，返回到控制端的gh0st木马配置程序，可以看到木马服务端已经上线运行了，如下图所示。【任务实施】图7-18查看木马状况任务2清除木马步骤8：右键点击IP，在弹出的菜单中显示有该木马程序所有的功能，如图所示。【任务实施】图7-19查看木马功能任务2清除木马步骤9：在弹出的菜单中选择文件管理，即打开文件管理窗口。可看到，窗口上半部分显示有控制端文件系统，窗口下半部分显示有被控目标系统的文件系统，可以在控制端和被控目标系统中随意点击打开或来回拖拽文件，实现对被控目标系统文件系统的控制权限，如图所示。【任务实施】图7-20查看目标机器任务2清除木马步骤10：我们也可以在之前弹出的木马功能菜单里，选择屏幕控制来监控目标被控电脑的屏，如下图。【任务实施】图7-21控制目标机器任务2清除木马步骤11：我们也可以在之前弹出的木马功能菜单里，选择键盘记录来获取被控目标系统的键盘记录，如下图。【任务实施】图7-22控制目标机器任务2清除木马（2）木马的清除步骤1：在服务端中打开cmd命令窗口。步骤2：输入netstat-anbo来查看当前系统的网络连接情况，可看到当前正在对外连接的程序或进程所用到的协议、本地地址、外部地址、状态和进程PID，如下图。【任务实施】图7-13打开木马程序任务2清除木马【任务实施】图7-23查看进程任务2清除木马步骤3：仔细查看网络连接情况列表，排查可疑连接。我们知道，windows的文件不管是dll文件还是exe文件的命名规则都是有规律的，而不是数字字母随意混合命名的。此次，我们发现列表中有一个比较特殊的dll文件，6to4ex.dll文件，如下图。【任务实施】图7-24定位木马文件任务2清除木马步骤4：记录6to4ex.dll进程的PID，如此处的1140。接下来，我们输入taskkill/f/pid1136来杀掉这个进程。【任务实施】图7-25删除木马进程任务2清除木马步骤5：这时离开服务端，回到控制端，可看到木马程序已经掉线了。重启虚拟机，发现该木马程序又自动上线。因此，我们需要把该服务和文件都彻底清除。在虚拟机的命令编辑窗口，使用命令netstop6to4来停止该木马的连接服务，如下图。【任务实施】图7-26终止木马远程连接任务2清除木马步骤6：在服务端的命令编辑窗口，使用命令scdelete6to4来删除该木马生成的服务名称，如下图。【任务实施】