木马病毒及其防治技术实践

欺骗与拒绝效劳攻防技术实践摘要在当今社会，信息技术的快速开展，使得以计算机、通信等技术变得日益更新，开展非常快，从而影响了政治经济和生活登各方各面领域的飞速开展，然而，网络是把双刃剑，在给人们生活带来便利的同时，网络的平安问题也日益突出和重要。所以，网络是把双刃剑，在给人们带来便利的同时也给人们带来了危险，危险的例子也屡见不鲜，所以我们应该了解网络平安中面临的危险。我们把文档分为四局部：第一局部，我们小组内讨论并设计一个基于小组内讨论并设计一个基于社会工程学的攻击案例，诱使被攻击者在不知情的条件下将木马效劳端下载安装至被攻击者主机上，并取得对方系统局部控制权。第二局部，我们利用木马程序将被攻击者主机变为能利用的“肉鸡”。窃取其机器上的管理员权限和密码，生成一个新的管理员，并不被用户在登录时发现。利用木马盗取被攻击者主机上的个人隐私，QQ账号、邮箱账号等信息，并下载病毒，感染其主机。第三局部，我们小组内研究并讨论被攻击者如何在不利用杀毒软件的前提下，通过手动方式，判断机器是否感染病毒或木马，并实现手动去除。实验完毕，给出可行的木马病毒防御详细方案。关键词：网络平安，arp欺骗攻击，拒绝效劳攻击1绪论计算机和信息技术的飞速开展，网络的日益普及，深刻地改变着人们的生活方式、生产方式与管理方式，加快了国家现代化和社会文化的开展。21世纪的竞争是经济全球化和信息化的竞争，“谁掌握信息，谁就掌握了世界”，信息平安不仅关系到公民个人，企业团体的日常生活，更是影响国家平安，社会稳定的至关重要的因素之一。今年来，我国网络平安事件发生的比例呈上升趋势，调查结果显示绝大多数网民的主机曾经感冒病毒，超过一半的网民经历过账号/个人信息被盗窃、被篡改，局部网民曾被仿冒网站欺骗。在经济利益的驱使下，制造、贩卖病毒木马、进行网络盗窃或诈骗、教授网络攻击技术等形式的网络犯罪活动明显增多，造成了巨大的经济损失和平安威胁，严重影响了我国互联网事业的健康开展。2冰河木马攻击2.1木马概念木马是隐藏在正常程序中的具有特殊功能恶意代码，是具备破坏，删除和修改文件，发送密码，记录键盘，实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。2.2木马攻击原理木马的传统连接技术：一般木马都采用C/S(client/server,即效劳器/客户端)运行模式，因此它分为两局部，即客户端和效劳前端木马程序。其原理是，当效劳器端程序在目标计算机上被执行后，一般会翻开一个默认的端口进行监听，当客户端向效劳器端主动提出连接请求，效劳器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。第一代和第二代木马就采用这种方式。木马的反弹端口技术：随着防火墙技术的开展，它可有效拦截从外部主动发起的连接的木马程序。但防火墙对内部发起的连接请求那么认为是正常连接，第三代第四代木马就是利用这个缺点，其效劳器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是效劳器端主动发起连接请求，而客户端是被动的连接。线程插入技术：我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。“线程插入”技术就是利用线程之间运行的相对独立性，使木马完全地融进了系统那个内核。系统运行时会有很多的进程，而每个进程又有许多的线程，这就导致了查杀利用“线程插入”技术木马程序的难度。2.2木马攻击实验攻击者翻开电脑，解压冰河软件，如图2-1所示。学生单击“试验环境试验”按钮，出现如图2-1所示。图1解压冰河软件通过被攻击方的漏洞把G_SERVER发送给被攻击方，G_Server是木马的效劳器端，即用来植入目标主机的程序。如图2-2所示：图2-2G_SERVER存在目录同样，攻击方运行冰河客户端。如图2-3所示：图2-3G_CLIENT所在目录翻开控制端G_CLIENT后，弹出“冰河”的主界面，如图2-4所示：图2-4冰河主界面单击快捷工具栏中的“添加主机”按钮，如图2-5所示图2-5添加主机按钮那么弹出如下窗口，如图2-6所示图2-6添加计算机显示名称：填入显示在主界面的名称，即VPC1的ip地址主机地址：填入效劳器端主机的IP地址访问口令：填入每次访问主机的密码，“空”即可监听端口：冰河默认的监听端口是7626获取VPC1的IP地址在VPC1中点击开始——运行，即可出现如图2-7所示窗口图2-7运行在翻开中输入cmd，点击确定，即可出现命令行界面，在窗口中输入“ipconfig”即可获取VPC1的IP地址，如图2-8窗口，此处VPC1的IP地址为2.47〔此IP地址不固定〕图2-8命令行窗口填写VPC1的IP地址，并点击确定，即可以看到主机界面上添加了2.47的主机，如图2-9所示:图2-9添加2.47主机单击192.168.12.47主机，如果连接成功，那么会显示效劳器端主机上的盘符。这时我们就可以像操作自己的电脑一样操作远程目标电脑，比方翻开C:\WINNT\system32\config目录可以找到对方主机上保存用户口令的SAM文件。命令控制台命令的使用方法口令类命令：点击“命令控制台”，点击“口令类命令”前面的“+”即可图2-10所示界面。图2-10口令类命令“系统信息及口令”：可以查看远程主机的系统信息，开机口令，缓存口令等。可看到非常详细的远程主机信息，这就无异于远程主机彻底暴露在攻击者面前。“历史口令”：可以查看远程主机以往使用的口令“击键记录”：启动键盘记录后，可以记录远程主机用户击键记录，一次可以分析出远程主机的各种账号和口令或各种秘密信息控制类命令：点击“命令控制台”，点击“控制类命令”前面的“+”即可图2-11所示界面：图2-11控制类命令“捕获屏幕”：这个功能可以使控制端使用者查看远程主机的屏幕，好似远程主机就在自己面前一样，这样更有利于窃取各种信息，单击“查看屏幕”按钮，然后就染成了远程主机的屏幕。可以看到，远程主机屏幕上的内容就显示在本机上了，显示内容不是动态的，而是每隔一段时间传来一幅。“发送信息”：这个功能可以使你向远程计算机发生Windows标准的各种信息，在“信息正文”中可以填入要发给对方的信息，在图表类型中，可以选择“普通”，“警告”，“询问”，“错误”等类型。按钮类型可以选择“确定”“是”“否”等类型。“进程管理”：这个功能可以使控制着查看远程主机上所有的进程“窗口管理”：这个功能可以使远程主机上的窗口进行刷新，最大化，最小化，激活，隐藏等操作。“系统管理”：这个功能可以使远程主机进行关机，重启，重新加载“冰河”自动卸载“冰河”的操作“鼠标控制”：这个功能可以使远程主机上的鼠标锁定在某个范围内“其他控制”：这个功能可以使远程主机进行自动拨号禁止，桌面隐藏，注册表锁定等操作网络类命令点击“命令控制台”，点击“网络类命令”前面的“+”即可展开网络类命令，如图2-12所示图2-12网络类命令“创立共享”：在远程主机上创立自己的共享“删除共享”：在远程主机上删除某个特定的共享“网络信息”：查看远程主机上的共享信息文件类命令点击“命令控制台”，点击“文件类命令”前面的“+”即可展开“文件类命令”:图2-13

文件类命令“文件浏览”，“文件查找”，“文件压缩”，“文件删除”，“文件翻开”等菜单可以查看，查找，压缩，删除，翻开远程主机上某个文件。“目录增删”，“目录复制”，可以增加，删除，复制远程主机上的某个目录。注册表读写点击“命令控制台”，点击“注册表读写”前面的“+”即可展开“注册表读写”如图2-14所示:图2-14注册表读写注册表读写提供了“键值读取”，“键值写入”,“键值重命名”，“主键浏览”，“主键增删”“主键复制”的功能设置类命令点击“命令控制台”，点击“设置类命令”前面的“+”即可展开“设置类命令”，设置类命令提供了“更换墙纸”，“更改计算机名”“效劳器端配置”的功能，如图2-15所示:图2-15设置类命令3木马获取系统信息3.1窃取管理员权限和密码，生成新的管理员使用冰河软件远程控制：翻开命令行界面：添加用户test并参加组织管理员：使用PwDump7把系统的密码hash导入到an.txt文件使用cain软件获取到管理员的密码是1234564手工检测木马病毒4.1查看开启端口由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat

-an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个局部--proto(连接方式)、localaddress(本地连接地址)、foreignaddress(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。如下列图是攻击后的图片：图攻击后端口4.2查看系统进程查看系统进程，发现多出来的进程：4.3检查系统启动项我们在发现计算机有异常情况时，〔如经常自动重启，密码信息泄露时〕就应该疑心是否已经中了木马，这时我们应该查看注册表，在“开始”的“运行”里面输入regedit，翻开Windows注册表编辑器，依次翻开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这就是“冰河”密码在注册表中参加的键值，选中它，右键，点击删除，即可把它删除，如下图。图21

删除冰河木马然后依次翻开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices，如下列图所示：注册表Runservices子键目录在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这也是“冰河”木马在注册表中参加的键值，将它删除。上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自动起订的程序，一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些子键目录下的程序，如果有不明程序，要着重进行分析。4.4检查系统启动项然后我们再进入C:\WINNT\System32目录，找到“冰河”木马的两个可执行文件Kernel32.exe和Sysexplr.exe文件，将它们删除，如下列图所示：图Kernel32.exe文件图23Sysexplr.exe文件4.5查看文件关联性修改文件关联也是木马常用的手段，“冰河”木马将txt文件的缺省翻开方式由notepad.exe改为木马的启动程序，除此之外，html,exe,zip,com等也都是木马的目标，所以，在最后需要回复注册表中的txt文件关联功能。找到注册表的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的默认值，选中“〔默认〕”，右键——修改，如下图:图修复txt文件关联功能即可出现如下窗口，将数值数据C:\Windows\System32\Sysexplr.exe%1改为正常情况下的C:\Windows\notepad.exe%1即可，如下图图修复内容总结如何防止系统被木马病毒入侵，我们应该做到如下几点：一、一般新装的系统，都具有系统默认的自带防火墙。翻开开始菜单→控制面板→系统和平安→Windows防火墙。可以查看到防火墙是否开启。二、然后我们的电脑一般都没有安装平安软件，平安软件的品牌有很多，我们可以多尝试几个，如百度卫士，360，腾讯管家，等等。三、一般安装平安软件，用软件都可以检测出来系统漏洞，新装的系统一定要给电脑打补丁，修复漏洞。四、众所周知，现在腾讯QQ等聊天软件盛行，