木马的工作原理及其防范

项目四 木马的工作原理及其防范

教学目标

1．理解典型木马的概念、分类与原理；2．理解典型木马的检测与防范策略；

3．掌握手间谍软件的防范策略，学会手工清除常见、顽固的计算机木马；4．木马专家、灰鸽子木马的安装、远程控制与操纵。

教学要求

1．认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯；

2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业；

3．教学环境： Windows 7以及Windows server2003/2008以上操作系统。

知识要点

1．理解典型木马的概念、分类与原理；2．理解典型木马的检测与防范策略；

技术要点

1．掌握手工清除木马程序的基本操作，学会手工清除常见、顽固的计算机木马；2．木马专家、灰鸽子木马的安装、远程控制与操纵。

技能训练

一．讲授与示范

正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。

(一)木马( 特洛伊木马)的工作原理

木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具有破坏、删除和修改文件、发送密码、记录键盘、实施Dos攻击甚至完全控制计算机等特殊功能的后门程序。

1．木马工作组成及原理

服务器端、客户端及其运动平台或操作。

工作原理：攻击者利用一种称为绑定程序的工具将服务器端程序绑定到某个合法软件上，诱使用户运行该合法软件，用户一旦运行该该合法软件，木马的服务器端程序就在用户毫无知觉的情况下完成安装。

服务器端程序：服务器运行的IP端口号，程序启动时机，如何发出调用，隐身，加密，采用通信方式。

2．木马分类

破坏型：破坏和删除文件（DLL、INI、EXE）

密码发送型：找到目标的隐藏密码，发给攻击者信箱

远程访问型：在目标计算机上运行服务器端，前提是服务端的IP地址键盘记录木马：通过Log文件查找密码等，或记录受害者的键盘动作

DoS攻击木马：通过植入木马，可以把受控主机当作一个个肉鸡，控制者可以操纵大量的肉鸡来同时对某个主机发起DoS攻击，随机生成各种各样主题的信件，对特定的邮箱不停的发送邮件，直到对方瘫痪。

代理木马：攻击时又保护自己，被控制的计算机种上代理木马，作为跳板，就像操纵傀儡一般

FTP木马：打开21端口，让每个FTP客户端不要密码就可连接到受控主机，随意窃取受害主机的文件

程序杀手木马：关闭目标机上运行的木马查杀程序或病毒软件

反弹端口型木马：对于有放火墙的受害者，木马可以通过反连端口的方式来达到操纵受害主机的目的，也就是说，木马自己穿越防火墙主动去连接控制者，因为一般木马会采用常用的端口，比如80端口，而且现在的防火墙往往采用严进宽出的方案，所以这种控制很有用。

3．传播途径 1）网页传播

3）邮件传播

2）下载软件或提示诱导

配置木马

远程控制 4．木马攻击流程1）配置木马

传播木马 运行木马 4）利用系统漏洞

木马连接 信息反馈

木马伪装：修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名2）传播木马

采用邮件、文件下载、网页浏览3）运行木马

自动安装、自启动、激活木马4）信息反馈

◆ 通过信息反馈(ADSL是动态IP地址，但可确定一个地区的网络服务商的IP地址)◆ IP地址扫描：主机的IP地址、植入端口、E-Mail5）木马连接

◆ 获取服务端的木马程序端口和IP地址◆ 服务端已安装了服务端程序◆ 控制端、服务端都在网上

6）远程控制

窃取密码、文件操作、修改注册表、系统操作(二)木马的防范策略与检测

1．木马的隐藏

1）任务栏图标的隐藏

Form（窗体）的Visible属性设置为False，ShowInTaskBar设为False

2）在任务管理器里隐藏

通过Windows自带的任务管理器易发现木马，但可将木马程序配置成“系统服务”，便可骗过任务管理器。

3）通信端口的隐藏

使用1024以上的端口，因为底于1024端口可能造成端口冲突易暴露

4）加载技术使用的隐藏

技术：JavaScript、VBScript、ActiveX等的使用

5）采用的陷阱技术

非常适合木马，通过修改虚拟设备驱动程序(VXD)或动态链接库(DLL)来加载木马，并替换系统已知的DLL或VXD，并对所有的函数调用进行过滤，一旦被控制端的。

请求就激活自身。这不增新文件，不需要新的端口，没有新的进程，使用常规方法监测不到。

6）系统配置文件

Win.ini、Config.sys、Boot.ini和System.ini等 如”load=”和”run=”是空白的。Win.ini中加[windows]字段中有启动“load=”和“run=”，默认为空

System.ini加[boot]字段的shell=explorer.exe，若为shell=explorer.exe *.exe，则有检查*.exe是否为木马

System.ini加[386Enh]字段中的“driver=路径\\程序名”也可自启动[drivers] 、[mci] 、[driver32]都可以加载文件autoexec.bat

7）注册表的修改

为了每次启动计算机都运行木马，修改注册表实现自动功能

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run2．激活木马

1）随系统启动激活木马◆ 注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run ◆ 系统配置文件

Win.ini、Config.sys、Boot.ini和System.ini等 如”load=”和”run=”是空白的。◆ 组策略

Gpedit.msc → 本地计算机策略 → 用户配置 → 管理模板 → 系统 → 登录 → 双击“在用户登录时运行这些程序”逻辑 → 设置 → 已启用 → 显示，即打开显示内容。可通过添加按钮，添加自动启动的程序路径。

◆ 批处理命令Autoexec.bat

◆ 启动菜单：开始 → 程序 → 启动2）随程序启动激活木马程序◆ 注册表

HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键下查看其键值

如：冰河木马将默认值C:\\WINDOWS\\notepad.exe %1修改为 Sysexplr.exe 。

将双击原本启动记事本，变成启动木马程序Sysexplr.exe。◆ 捆绑文件

通过聊天工具、电子邮件附件、下载文件传播、下载文件传播◆ 自动播放式：利用AutoRun.inf文件中的Open命令行启动3．木马的防范策略

1）不要打开或执行任何可疑文件、邮件、文件夹和网页：网页欺骗、压缩包、邮件包2）显示文件扩展名：通过文件类型和图标

3）运行反木马实时监控程序：常开病毒防火墙和网络防火墙4）升级到IE等浏览器4．木马的检测

任务1 木马的手动检测

步骤：

1）查看system.ini：若正常“shell=Explorer”或没有

若Shell=Explorer*exewind0ws*exe，请注意wind0ws*exe很有可能就是木马服务端程序！

2）查看Win.ini文件：查看“run=”和“load=”为空

3）查看启动组：通过任务管理器查看netbus,netspy,bo等关键词

◆ 启动组对应的文件夹为：C:\\windows\\start menu\\programs\\startup，在注册表中的位置：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders

Startup=\"C:\\windows\\start menu\\programs\\startup\"。要注意经常检查这两个地方哦！

◆ Gpedit.msc → 本地计算机策略 → 用户配置 → 管理模板 → 系统 → 登录 → 双击“在用户登录时运行这些程序”逻辑 → 设置 → 已启用 → 显示，即打开显示内容。可通过“删除”按钮，删除自动启动的程序路径。

4) 检查C:\\windows\\winstart*bat、C:\\windows\\wininit*ini、Autoexec*bat。木马很可能隐藏的地方。

5）查看注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce查看启动文件项目：netbu、netspy 、netserver，，有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

6) 若是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。

(三)网络间谍软件(Spyware)

1．间谍软件的定义与危害

定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。

2．间谍软件的防范

1）禁用Internet Explorer 2）阻止下载

3）备份和恢复创造一些恢复点也比清除间谍软件感染容易得多。 4）加强Windows和IE完善

对Windows和IE的漏洞打补丁，更新版本，阻止邮件可执行文件5）运行至少两种间谍软件清除程序

做法是：清除系统，重新启动进入安全模式，然后，使用另一种工具进行清除，然后，再重新启动

6）推荐Macintosh或Linux系统

Windows允许任何用户（或间谍软件）把动态链接库装载至内核之中，Linux的系统访问却要求拥有与之相对应的管理员特权。

7）健全管理规章和法律

◆ 建立健全安全管理规章和法律，并严格执行相关要求与操作◆ 树立预防为主的思想

◆ 保护帐户的安全

◆ 做好各种应急准备工作

二．课堂任务实践

任务2 手工清除常见木马程序

步骤：

1．清除“冰河”1）特点

2）清除方法

连接端口7626 ，G_server.exe、G_clinet.exe，运行生成Kernel32、sysexplr.exe。

◆ 删除C:\\Windows\\system中的Kernel32.exe、sysexplr.exe

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中的键值： c:\\windows\\Systems\\Kernel32.exe

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 中的键值：

c:\\windows\\Systems\\Kernel32.exe

◆ 将注册表HKEY_CLASSES_ROOT\xtfile\\shell\\open\\command中的默认值c:\\windows\\system\\sysexplr.exe改为C:\\windows\\notepad.exe 。2．清除“网络神偷”1）特点

监听端口为80，运用“反弹”和“HTTP隧道”技术，穿透包过滤型和代理型防火墙，不是远程控制，而是对磁盘文件系统的远程访问。

2）清除方法

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中的键值internet和internet.exe/s的项进行删除。◆ 删除自启动程序C :\\windows\\system\\internet.exe3．“广外男生”木马1）特点

◆ 连接端口8225，客户端模仿Windows资源管理器，支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。

◆ 强大的文件操作功能。

◆ 运用“反弹端口”与“线程插入”技术？2）清除方法

① 检查端口8225开放命令：netstat -na

② 打开注册表编辑器

◆展开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中的gwboy.exe或gwgirl.exe。

◆展开HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSIDT，删除ID为

{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其所有子键和键值。

◆“编辑”→ 查找→ gwVboydll.dll，找到所有和它有关的注册表项，全部删除。◆ 删除system32目录下的gwboy.exe及gwVboydll.dll。4．“广外女生”木马1）特点

连接8225 ，是一种远程监控工具，能够远程上传、下载、删除文件、修改注册表，极强的破坏性，会自动检查进程中是否有“防火墙”等软件中的iparmor、tcmonitor、kill等关键字，若有则终止该进程，使防火墙失去作用。

2）清除方法

◆ 在DOS模式下删除system目录下的Diagfg.exe (所有exe文件都无法运行)◆ 将windows目录中的regedit.exe改名为regedit.com。◆ 运行regedit.com程序

◆将注册表HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command中的默认键值改成”%1”。

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices中的键值名为“Diagnostic Configuration”进行删除。

5．清除“黑洞2001”1）特点

连接端口2001，是典型的文件关联木马程序，与txt文件打开方式关联。具有杀进程功能，控制端可随意终止被控制的某个进程，服务端执行后生成S_Server.exe和Windows.exe。

2）清除方法

◆ 删除HKEY_CLASSES_ROOT\xtfile\\shell\\open\\command中的默认键值由S Server.exe改为c:\\windows\\Notepad.exe %1

◆ 将HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\xtfile\\shell\\open\\command中的默认键值由S Server.exe改为c:\\windows\\Notepad.exe %1

◆ 将HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 下windows进行删除

◆ 删除HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes下的主键Winvxd。

◆ 删除c:\\window\\system下的木马文件windows.exe和S_Server.exe。若无则在DOS方式下删除或

Windows.exe进程后删除。

6．清除“SubSeven”1）特点

连接端口27374，服务器端程序Server.exe，执行后会变化多端，进程名都有变化。2）清除方法

◆找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和Runservices ，若有加载文件，删除右边的项目：加载器=“c:\\windows\\System\\***”。加载器和文件名是变化的。

◆ 打开win.ini文件，检查“Run”后是否加上执行文件名，有则可删除。

◆ 打开System.ini文件，检查“Shell=explorer.exe”后是否有文件，有则删除。◆ 重新计算机，删除c:\\windows\\system下相应的木马程序。7．清除“网络精灵Netspy”1）特点

连接端口7306，具有注册表编辑和浏览器监控功能，通过浏览器进行远程监控制。服务端程序执行后，在C:\\windows\\System目录生成netspy.exe。

2）清除方法

◆ 启动计算机系统时，出现“Staring Windwos…”时按F5键进入命令行状态，删除metspy.exe命令：del metspy.exe

◆ 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下NetSpy的键值。

8．清除“聪明基因”1）特点

连接端口7511，文件关联木马程序，服务端程序是genueserver.exe，客户端程序genueclient.exe，前者伪装成HTM文件，运行后生成三个文件：c:\\windows\\Mbbmanager.exe、Explore32.exe和C:\\windows\\System\\Editor.exe。

Explore32.exe与HLP文件关联，Editor.exe和TXT文件关联，Mbbmanager.exe用记系统启动时加载木马程序。

2）清除方法

◆ 删除c:\\windows下的Mbbmanager.exe和Explore32.exe文件

◆ 删除C:\\windows\\system下的Editor.exe，在 纯DOS下直接删除

◆ 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下键值为c:\\windows\\Mbbmanager.exe的键名MainBroad BackManager项。

◆ 删除HKEY_CLASSES_ROOT\xtfile\\shell\\open\\command中的默认键值由Notepad.exe %1改为c:\\windows\\system\\editor %1 。

◆将HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\xtfile\\shell\\open\\command中的默认键值由c:\\windows\\system\\eidtor.exe %1改为c:\\windows\\system\\Notepad.exe %1 。

◆ 将HKEY_CLASSES_ROOT\\hlpfile\\shell\\open\\command下的默认值由C:\\windows\\explore32.exe %1改为C:\\windows\\winhlp32.exe %1 。

下的默认值由

◆将HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\hlpfile\\shell\\open\\commandC:\\windows\\explore32.exe %1改为C:\\windows\\winhlp32.exe %1 。

9．清除“网络公牛Netbull”1）特点

连接端口23444，服务器端程序Newserver.exe运行后，生在C:\\windows\\system下生成Checkdll.exe文件，计算机重启后自动启动Checkdll.exe，会自动捆绑文件如notepad.exe，regedit.exe，QQ.exe，realplay.exe等。

2）清除方法

◆ 删除自动启动程序C:\\windows\\System\\Checkdll.exe 。

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 下删除

“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 删除HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中的“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 删除HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中的“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 检查可能被捆绑的文件，若发现长度增加40K左右，则删除该文件。◆ 恢复被删除的文件。10．清除“无赖小子”1）特点

连接端口8011，又名火凤凰，对注册表有极强的操控功能，读写受控端的注册表和本地操作一样方便。服务器端程序运行后，在C:\\windows\\system下生成msgsvc.exe。

2）清除方法

◆ 删除C:\\windows\\system下的msgsvc.exe。

◆ 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中键值为

C:\\windows\\system\\msgsvc.exe的Msgtask项。

任务3 木马的防范

步骤：

1）木马专家的下载、安装与启动

QQ医生 → 软件管理 → 安全防护 → 木马专家下载并安装2）系统监控→ 扫描内存（并使用云鉴定全面分析系统）

观察“系统报告”各项内容，进程名或文件是否是系统或用正在使用的，以及最后一行是否发现可疑项目。

3）系统监控→ 扫描硬盘→ 系统信息

4）高级功能→ 隔离仓库、修复系统、增强卸载、漏洞修复等操作

5）其它功能→ 修复IE、网络状态、网络状态、监控日志，并打开U盘免疫功能6）注册更新→ 功能设置，完成相应的设置7）木马克星的下载、安装与启动

QQ医生 → 软件管理 → 安全防护 → 木马克星下载并安装，全面使用

任务4 “灰鸽子”木马程序使用与卸载

步聚：

1）下载并安装“VX鸽子2013”(关闭本机上的防火墙、杀毒软件，或者添加为“信任”)；

2）运行客户端程序“鸽子2013.exe”，主界面中“配置程序”→生成服务端→文件名：server+日期；

“配置程序”中生成连接密码若修改时则在主界面上当前连接中的连接密码要进行对应的修改，否则会在“命令广播”，如图1所示；

图1 图2

3）将生成服务端文件“server*.exe”传播到其他要控制的主机上，并自动运行；

4）在客户端界面“主机列表”显示上线主机，在“命令广播”显示“有主机上线了”并伴有声音提示如图2所示；

5）客户羰主机上“远程屏幕”、“远程监控”、“系统设置”、“文件管理器”、“主机管理”等操作；

说明：灰鸽子远程控制企业版和VIP版

三．课堂小结

1．本课的纪律评价。

2．实习操作情况分析及出现的常用操作强调。

3．提出要求：要积极参与，仔细理解，增加主动性，才能有所收获。四．作业

要求：完成顽固木马克星的安装、设置和使用？