学习情境二主机入侵技术的应用与防护任务六木马的入侵与

1、学习情境二学习情境二 主机入侵技术主机入侵技术的应用与防护的应用与防护任务六任务六 木马的入侵与防护木马的入侵与防护 课程负责人：杨文虎课程负责人：杨文虎网络安全与防护网络安全与防护2.6 木马的入侵与防护教学的实施过程教学的实施过程任务规划任务规划学生探究学生探究师生析疑师生析疑完成任务完成任务检查评测检查评测综合创新综合创新思考、探讨完成任务需要思考、探讨完成任务需要的相关资料，搜集资料，的相关资料，搜集资料，制定工作计划制定工作计划 明确需要完成的工作明确需要完成的工作任务；任务；教师进行点评、确定教师进行点评、确定最终的实施方法；对最终的实施方法；对技术问题进行讲授和技术问题进行讲授和

2、答疑。答疑。学生进入网络实训室，根学生进入网络实训室，根据工作计划完成每个工作据工作计划完成每个工作项目，完成每个项目实施项目，完成每个项目实施日志和心得总结日志和心得总结 学生分组相互检查任务完学生分组相互检查任务完成情况，分析不足，给出成情况，分析不足，给出评价；教师对学生的日志评价；教师对学生的日志和总结进行分析，给出评和总结进行分析，给出评价。价。根据本任务中掌握的方根据本任务中掌握的方法，探索更多的木马防法，探索更多的木马防范的方法，搜索相关工范的方法，搜索相关工具，并在虚拟网络或网具，并在虚拟网络或网络实训室中进行验证。络实训室中进行验证。网络安全与防护网络安全与防护2.6 木马的

3、入侵与防护什么是计算机木马？计算机木马的危害有哪些？常见的计算机木马如何防范。问题引领问题引领网络安全与防护网络安全与防护2.6 木马的入侵与防护项目一、项目一、木马的概述木马的概述 （一）木马产生的背景l木马全称“特洛伊木马”，英文名称为Trojan Horse，它来源于荷马史诗中描述的一个古希腊故事。l传说，有一次古希腊大军围攻特洛伊城，久攻不下。于是，一名古希腊谋士献计制造了一只高二丈的大木马，随后攻城数天之后，假装兵败，留下木马拔营而去。城中得到解围的消息，举城欢庆，并把这个奇异的战利品大木马搬入城内。当全城军民进入梦乡之时，藏于木马中的士兵从木马密门而下，打开城门引入城外的军队，攻下

4、了特洛伊城。网络安全与防护网络安全与防护2.6 木马的入侵与防护项目一、木马的概述项目一、木马的概述 (二)木马的概述l在网络中的“特洛伊木马”没有传说中的那样庞大，它们是一段精心编写的计算机程序。 l定义：特洛伊木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，它具备破坏和删除文件、发送密码、记录键盘和用户操作、破坏用户系统甚至瘫痪的功能。 l木马设计者将这些木马程序插入到软件、邮件等宿主中，网络用户执行这些软件时，在毫不知情的情况下，木马就进入了他们的计算机，进而盗取数据，甚至控制系统。 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 木马可以被分成良性木马和恶性木马两种。

5、良性的木马本身没有什么危害，关键在于控制该木马的是什么样的人。 如果是恶意的入侵者，那么木马就是用来实现入侵目的的 如果是网络管理员，那么木马就是用来进行网络管理的工具l 恶性木马则可以隶属于“病毒”家族，这种木马被设计出来的目的就是用来进行破坏与攻击的项目一、木马的概述项目一、木马的概述 网络安全与防护网络安全与防护2.6 木马的入侵与防护(三)木马的表现l 机器有时死机，有时又重新启动 l 在没有执行什么操作的情况下，拼命读写硬盘 l 系统莫明其妙地对软驱进行搜索 l 没有运行大的程序，而系统的速度越来越慢，系统资源占用很多 l 用任务管理器调出任务表，发现有多个名字相同的程序在运行，而且

6、可能会随时间的增加而增多 项目一、项目一、木马的概述木马的概述 网络安全与防护网络安全与防护2.6 木马的入侵与防护(四)木马与病毒的区别l 特洛伊木马与前面介绍的病毒或蠕虫是有一定的区别的 ，因为它不会自行传播 如果恶意代码将其自身的副本添加到文件、文档或者磁盘驱动器的启动扇区来进行复制，则被认为是病毒 如果恶意代码在无需感染可执行文件的情况下进行复制，那这些代码被认为是某种类型的蠕虫 l 如果恶意代码进行自我的复制操作，那就不是特洛伊木马 项目一、项目一、木马的概述木马的概述 网络安全与防护网络安全与防护2.6 木马的入侵与防护(五)特洛伊木马的种植l 木马病毒一般分成客户端和服务端两个部

7、分。对于木马而言，它的客户端和服务端的概念与传统的网络环境的客户端和服务端的概念恰恰相反的。 l 要想将木马植入目标机器，首先需要进行伪装。 第一种将自己伪装成一般的软件。 第二种是把木马绑定在正常的程序上面 （winzip）。l 木马进行伪装之后就可以通过各种方式进行传播了。比如，将木马通过电子邮件发送给被攻击者、将木马放到网站上供人下载、通过其它病毒或蠕虫病毒进行木马的传播等等。项目一、项目一、木马的概述木马的概述 网络安全与防护网络安全与防护2.6 木马的入侵与防护(六)特洛伊木马的行为l 浏览文件系统，修改、删除、获取目标机器上的文件l 查看系统的进程信息，对该系统的进程进行控制 l

8、查看系统注册表，修改系统的配置信息 l 截取计算机的屏幕显示，发送给客户端 l 记录被攻击系统的输入、输出操作，盗取密码等个人信息 l 控制计算机的键盘、鼠标或其它硬件设备的动作 l 以被攻击者的计算机为跳板，攻击网络中的其它计算机 l 通过网络下载新的病毒文件项目一、项目一、木马的概述木马的概述 网络安全与防护网络安全与防护2.6 木马的入侵与防护（一）木马的分类l 自木马程序诞生至今，已经出现了多种类型，对它们进行完全的列举和说明是不可能的，更何况大多数的木马都不是单一功能的木马，它们往往是很多种功能的集成品，甚至有很多从未公开的功能在一些木马中也广泛地存在着。 远程控制木马 密码发送木马

9、 键盘记录木马 破坏性质的木马 DoS攻击木马 代理木马 FTP木马 项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护(二)木马的发展l 与病毒一样，木马也是从Unix平台上产生出来，在Windows操作系统上“发扬光大”的。 l 1986年出现了世界上第一个计算机木马。 l 1989年出现的木马更具戏剧性，它通过邮政邮件进行传播 l 计算机网络的快速发展给木马病毒的传播带来了极大的便利，木马的发展速度和破坏能力已经是以前的木马病毒无法比拟的了。 l 从木马的发展来看，大致可以将木马分成四代。项目二、木马的分类与发展项目二、木马的分类与发展

10、 网络安全与防护网络安全与防护2.6 木马的入侵与防护(三)第二代木马-冰河l 冰河与广外女生被认为是标准的第二代木马l 它们功能强大，操作方便，曾经占领了国内木马的半壁江山项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 冰河是一款优秀的国产木马。l 冰河含有两个文件：G_Server.exe：被监控端后台监控程序G_Client.exe：监控端执行程序，用于监控远程计算机和配置服务器程序项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护冰河的功能l 自动跟踪目标机器屏幕变化，进行远程

11、管理（局域网适用）l 记录各种口令信息l 获取系统信息：计算机名、当前用户、操作系统版本、物理及逻辑磁盘信息等l 限制系统功能：远程关机、重启、锁定鼠标、锁定系统热键、锁定注册表等l 远程文件操作l 注册表操作l 发送信息l 点对点通讯：以聊天形式同被控端进行在线交谈项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护冰河使用实例步骤一：打开冰河客户端（G_Client.exe）项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 步骤二：配置冰河服务器，选择“设置”配置服务器程序”，进行配置

12、木马服务器项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 步骤三：种植木马l 步骤四：远程控制，选择“文件”添加主机“，在添加主机对话框中填入IP地址和访问口令项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防

13、护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护(四)广外女生应用实例项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护步骤一：配置广外女生服务器端项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的

14、分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 步骤二：种植木马l 步骤三：添加远程主机项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目二、木马的分类与发展项目二、木马的分类与发展 网络安全与

15、防护网络安全与防护2.6 木马的入侵与防护(一) 灰鸽子木马l 灰鸽子是国内第三代木马的典型代表l 除了可以使用传统连接方式，可以使用反弹窗口的连接方式，方便的控制动态IP地址和局域网内的远程主机l 在使用灰鸽子时，可以利用灰鸽子自带的工具，申请免费域名提供的动态IP映射实现代理功能项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护1、木马的链接方式l 第一代和第二代木马属于传统的连接方式：远程主机开放监听端口等待外部连接，成为服务器端；当入侵者需要与远程主机连接时，发送连接请求。l 第三代木马开始使用了“反弹端口”技术，连接不再由客户端发起，而

16、是服务器端来完成。l 反弹窗口技术需要在配置服务器时指明入侵者的ip地址和连接端口，因此不适用于动态上网的入侵者项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护2、反窗口的链接方式l 无中间代理的连接l 引入中间代理的连接项目三、常见木马的应用项目三、常见木马的应用 获取客户端获取客户端IP、Port客户端客户端远程主机远程主机中间代理（保存客户端中间代理（保存客户端IP、Port）更新更新IP、port网络安全与防护网络安全与防护2.6 木马的入侵与防护(二) 广外男生木马l 简介：广外男生同广外女生一样，是广东外语外贸大学的作品。l 特色：

17、 客户端模仿Windows资源管理器：除了全面支持访问远程服务器文件系统，也同时支持通过对方的“网上邻居”，访问对方内部网其他机器 运用了“反弹窗口”技术 使用了“线程插入”技术：服务器运行时没有进程，所有网络操作均插入到其他应用程序的进程中完成。即便受控端安装的防火强有“应用程序访问权限”的功能，也不能对广外男生的服务器进行有效警告和拦截。 不再支持传统的连接方式项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护广外男生木马应用实例l 客户端设置：打开广外男生客户端（gwboy092.exe），选择“设置”“客户端设置”，打开“广外男生客户端设

18、置程序”。 其中最大连接数一般使用默认的30台，客户端使用端口一般设置成80项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 本次实验使用固定IP地址的主机进行实验，因此选择“客户端处于静态IP”l 点击“下一步”，再点击“完成”按钮结束客户端的设置。 项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 服务端设置：进行服务端设置时，选择“设置”“服务器设置”，打开“广外男生服务端生成向导” 项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护l

19、选择“同意”之后，点击下一步，开始进行服务端常规设置 项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 设置完成后点击“下一步”，进行“网络设置”。根据实际网络环境，选择静态IP选项进行实际网络的设置 项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 设置完成点击“下一步”，填写生成服务器端的目标文件的名称，然后点击“完成”，结束服务器端的配置 项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目三、常见木马的应用项目三、常见木马的应用 网络

20、安全与防护网络安全与防护2.6 木马的入侵与防护项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护广外男生木马的清除1、检测广外男生木马的有效方法为使用“netstat -na”查看目标主机的网络连接情况，如果端口8225开放，那么该主机可能已经中了广外男生木马。2、打开注册表编辑器，展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，删除字符串指gw

21、boy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”，删除ID为5EAE4AC0-146E-11D2-A96E-9的键及其下所有子键和键值。3、点击 “编辑”菜单中的 “查找”，在注册表编辑器中搜索gwVboydl1。dll，找到所有和它有关的注册表项，全部删除。4、删除system32目录下的gwboy.exe。然后进入DOS模式下，输入del winntsystem32gwVboydll.dll命令，删除system32目录中的gwboydll.dll文件。项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与

22、防护2.6 木马的入侵与防护（三）文件夹木马l 在windows系统中，文件夹采用了实现网页的方法来实现文件夹的样式，也就是说Windows中的文件夹支持HTML和javascript定义的一些动作l 通过编写javascript可以让文件夹在打开时自动执行程序l 文件夹木马的实现需要没有打补丁的IE5.0的支持项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 步骤一：打开“文件夹选项”设置，将“隐藏受保护的操作系统文件”前面的勾去掉，同时设置现实所有文件和文件夹l 步骤二：新建一个文件夹，双击该文件后，选择“查看”“自定义文件夹”。在“自定

23、义文件夹向导”中选择“选择或编辑该文件夹的HTML模板”，然后单击“下一步”，进入“模板选择”l 步骤三：在“模板选择”对话框中选择标准，单击“下一步”，完成自定义文件夹。该文件夹会多出Folder settings文件夹和desktop.ini文件l 步骤四：编写javascript代码项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护l 步骤五：修改Folder.htt文件（在Folder settings文件夹中），用记事本打开Folder.htt，然后在后面加入编写的javascript代码，并保存l 步骤六：将木马或相应应用程序拷贝到F

24、older settings文件夹中，便完成了制作过程l 步骤七：双击文件夹，测试结果项目三、常见木马的应用项目三、常见木马的应用 网络安全与防护网络安全与防护2.6 木马的入侵与防护（一）木马的加壳l 一个程序写完后，并不是把写好的程序直接提供给用户使用，而是需要通过一些软件对应用程序进行处理，处理的目的有两个，一个是为了保护程序源代码、防止被修改和破坏，另一个是通过加壳后，减小程序的体积，这个处理的过程被称作“加壳”。木马通过加壳后可以实现避免被杀毒软件的查杀，这些加壳的软件常见的有ASPack、UPX、WWPACK等。项目四、木马的加壳与解壳项目四、木马的加壳与解壳 网络安全与防护网络安

25、全与防护2.6 木马的入侵与防护（二）木马的解壳l 与加壳相反的过程称为“解壳”，目的是把加壳后的程序回复成毫无包装的可执行代码，这样未授权者便可以对程序进行修改。脱壳与加壳需要使用相同的软件进行，例如，使用UPX对木马程序进行加壳之后，如果需要解壳，仍然需要使用UPX进行解壳。项目四、木马的加壳与解壳项目四、木马的加壳与解壳 网络安全与防护网络安全与防护2.6 木马的入侵与防护（三）木马的加壳实例l 我们可以使用Language2000这种检测工具发现程序加壳所使用的软件类型l 使用Language2000检测得到的冰河木马软件服务器端的加壳内容，其中Program一项的值ASPack说明被检测的冰河软件采用的加壳工具是ASPack。项目四、木马的加壳与解