木马的传播.ppt

《木马的传播.ppt》由会员分享，可在线阅读，更多相关《木马的传播.ppt（48页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、木马木马什么是木马？RFC1244（Request for Comments：1244）A Trojan Horse program can be a program that does something useful,or merely something interesting.It always does something unexpected,like steal passwords or copy files without your knowledge。特洛伊木马程序是一种程序程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道其他的功能，例如在你不了解的

2、情况下拷贝文件或窃取你的密码。分类远程控制远程控制密码窃取密码窃取为完成特定任务设计的木马为完成特定任务设计的木马分类-远程控制客户机请求服务器响应分类-密码窃取MSNICQMailinternetOh,I know your password!键盘记录键盘记录查找查找log文件文件查找内存查找内存分类-为特定任务而设计 为完成特定任务而设计。为完成特定任务而设计。1）拒绝服务攻击 2）窃取文件 3）执行破坏功能 4)工作已经预置在程序中，不需要控制工作已经预置在程序中，不需要控制 例如：试卷大盗会自动搜索受害者计算机，查找文件名中有“考题”、“考卷”、“试卷”等等字样的文档，自动发送到指定邮

3、箱 一般不返回信息或资料一般不返回信息或资料：除窃取数据木马返回窃取数据外，一般不返回其他数据，例如破坏型木马不会返回是否破坏成功，破坏结果等传播-主动攻击获得上传文件权限，上传木马程序控制远程系统控制远程系统Web方式计划任务注册表传播-主动攻击获得上传文件权限，上传木马程序控制远程系统控制远程系统Web方式计划任务注册表传播-邮件发送木马邮件控制远程系统控制远程系统系统漏洞用户警惕性欺骗性内容传播-伪装 出错显示：出错显示：用户打开某个带木马的程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开!”之类的信息，当用户信以为真时，木马在

4、后台执行。自我销毁：自我销毁：木马在执行前，将自己拷贝到Windows的系统文件夹中。等执行完成后木马将文件自动删除。木马更名：木马更名：木马改名为系统文件类似的文件名，例如有的木马把名字改为window.exe。更改一些后缀名，比如把dll改为dl等。修改图标：修改图标：伪装成伪装成TXTTXT、HTMLHTML等可能认为对系统没有多少危害的文件等可能认为对系统没有多少危害的文件图标，在图标，在“资源管理器资源管理器”中默认选中中默认选中“隐藏已知文件类型的隐藏已知文件类型的扩展名扩展名”，诱惑用户打开。，诱惑用户打开。捆绑文件：捆绑文件：将木马捆绑到一个安装程序上，当安装程序运行的时候，将

5、木马捆绑到一个安装程序上，当安装程序运行的时候，木马木马 在用户毫无觉察的情况下，在后台启动。被捆绑的程在用户毫无觉察的情况下，在后台启动。被捆绑的程序一般是有诱惑的小游戏、带附件的邮件。序一般是有诱惑的小游戏、带附件的邮件。传播-伪装传播-网页http 80浏览页面木马程序JavaScriptActiveXASPPHPXML传播-病毒型木马病毒型木马病毒型木马智能化可控制自我保护功能强传染性隐蔽性加载方式 开始菜单的启动项，基本上没有木马会用这种方式。开始菜单的启动项，基本上没有木马会用这种方式。在在Winstart.batWinstart.bat中启动。中启动。在在Autoexec.bat

6、Autoexec.bat和和Config.sysConfig.sys中加载运行。中加载运行。win.ini/system.iniwin.ini/system.ini：有部分木马采用，不太隐蔽。：有部分木马采用，不太隐蔽。注册表：隐蔽性强，多数木马采用。注册表：隐蔽性强，多数木马采用。服务：隐蔽性强，多数木马采用。服务：隐蔽性强，多数木马采用。修改文件关联。修改文件关联。加载方式-启动文件 Win.ini:Win.ini:Windows Windowsrun=run=c:windowsfile.exec:windowsfile.exeload=load=c:windowsfile.exec:wi

7、ndowsfile.exe System.ini System.ini：bootboot shell=shell=explorer.exe explorer.exe file.exefile.exe加载方式-启动文件%system32%GroupPolicyMachineScriptsStartup%system32%GroupPolicyMachineScriptsStartup目录下目录下scripts.iniscripts.ini文件文件:Startup Startup 0CmdLine=0CmdLine=admin.batadmin.bat 0Parameters=0Parameter

8、s=admin.bat:net user admin 12345678/add net localgroup administrators admin/add加载方式-注册表注册表启动项：注册表启动项：1.HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun2.HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce3.HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx4.HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun5

9、.HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce6.6.加载方式-服务单击单击单击单击“开始开始开始开始”-指向指向指向指向“设置设置设置设置”-然后单击然后单击然后单击然后单击“控制面板控制面板控制面板控制面板”-双击双击双击双击“管理工具管理工具管理工具管理工具”-然后双击然后双击然后双击然后双击“服务服务服务服务”：在列表框中显示的是系统可以使用的服务：在列表框中显示的是系统可以使用的服务：在列表框中显示的是系统可以使用的服务：在列表框中显示的是系统可以使用的服务 Windows XPWindows XP下可以在命令行中输入下可以在命令

10、行中输入下可以在命令行中输入下可以在命令行中输入services.mscservices.msc打开服务列表。打开服务列表。打开服务列表。打开服务列表。加载方式-服务 服务属性可以确定服务启服务属性可以确定服务启 动程序的全路径动程序的全路径 服务与注册表的关系：服务与注册表的关系：HKLMSYSTEMCurrentControlSetServicesHKLMSYSTEMControlSet002ServicesHKLMSYSTEMControlSet001Services加载方式-修改文件关联1.1.正常情况下正常情况下TXTTXT文件的打开方式是启动文件的打开方式是启动Notepad.EX

11、ENotepad.EXE来打开来打开TXTTXT文件。关联文件。关联木马通过修改关联方式来加载木马，则木马通过修改关联方式来加载木马，则TXTTXT文件打开方式就会被修改为用文件打开方式就会被修改为用木马程序打开。木马程序打开。2.2.打开注册表：打开注册表：路径：路径：HKEY_CLASSES_ROOTtxtfileshellopencommand 键名键名：（默认）：（默认）键值：键值：%SystemRoot%system32NOTEPAD.EXE%1 键值：键值：%path%3.3.当双击一个当双击一个TXTTXT文件，原本应用文件，原本应用Notepad.EXENotepad.EXE打

12、开的打开的TXTTXT文件，现在却变成文件，现在却变成启动木马程序。启动木马程序。加载方式-捆绑程序 木马将自身捆绑到应用程序中，当运行应用程序的同木马将自身捆绑到应用程序中，当运行应用程序的同时也将木马启动。时也将木马启动。实例：木马将自身捆绑到实例：木马将自身捆绑到notepad.exenotepad.exe中。中。捆绑例子！捆绑例子！加载方式-打开目录1.1.正常情况下，打开目录是显示目录下的文件和文件夹。当目正常情况下，打开目录是显示目录下的文件和文件夹。当目录下存在录下存在Desktop.iniDesktop.ini和和Folder.httFolder.htt文件，而且文件，而且De

13、sktop.iniDesktop.ini文件中存在以下内容：文件中存在以下内容：WebViewTemplate.NT5=file:/WebViewTemplate.NT5=file:/Folder.htt2.2.当打开这个目录，现在却变成启动启动当打开这个目录，现在却变成启动启动Folder.httFolder.htt文件里面文件里面的程序。的程序。例子：欢乐时光病毒。例子：欢乐时光病毒。工作机制 绕过防火墙技术反弹端口绕过防火墙技术反弹端口 无端口木马无端口木马 逃脱任务管理器监视逃脱任务管理器监视DLLDLL木马木马连接请求连接请求连接请求连接请求http工作机制-反弹端口木马WEBWEB

14、服务器服务器连接请求连接请求工作机制-无端口木马http icmphttp icmp，含有特定字符的包，含有特定字符的包临时端口 7000木马会选择一些常用的端口，如木马会选择一些常用的端口，如8080、23,23,有些非常先进的木马还可有些非常先进的木马还可以做到在占领以做到在占领HTTP(80)HTTP(80)端口后，收到正常的端口后，收到正常的HTTPHTTP请求仍然把它交与请求仍然把它交与WebWeb服务器处理，只有收到一些特殊约定的数据包后，才调用木马服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序。程序。工作机制-DLL木马应用程序winsock.dllwinsock.d

15、llMSWsock.dllMSWsock.dllWsock32.dllWsock32.dll winsock.dllwinsock.dllMSWsock.dllMSWsock.dllWsock32.dllWsock32.dll 应用程序winsock1.dllwinsock1.dllMSWsock1.dllMSWsock1.dllWsock321.dllWsock321.dll 相应动作自我保护机制 双进程监视双进程监视 木马备份木马备份自我保护-双进程采用双进程技术：一个为主进程，实习木马主要功能，一个采用双进程技术：一个为主进程，实习木马主要功能，一个为辅助进程，时刻监视主进程，一但主进程

16、被停掉，立即启为辅助进程，时刻监视主进程，一但主进程被停掉，立即启动备份或重起主进程动备份或重起主进程主程序被停止，主程序被停止，重新启动主程重新启动主程序序启动命令启动命令自我保护-木马备份木马备份：木马最常采用的技术，备份文件捆绑到木马备份：木马最常采用的技术，备份文件捆绑到.txt/exe/doc.txt/exe/doc等文件，一旦主程序被删除，当打开等文件，一旦主程序被删除，当打开捆绑的文件时，备份文件启动捆绑的文件时，备份文件启动我木马又回来我木马又回来了！了！打开打开txt文本文档文本文档检测和查杀 木马检测感觉木马检测感觉 木马检测系统功能木马检测系统功能 木马检测工具木马检测工

17、具 木马查杀技巧木马查杀技巧检测-中木马后的状况 没有打开浏览器，而览浏器突然自己打开，并且进入某个网站。正在操作电脑，突然一个警告框或者是询问框弹出来，问一些你从来没有在电脑上接触过的间题。Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有CD-ROM的自动运行配置。硬盘老没缘由地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象。检测-netstat检测-任务管理器检测-注册表及服务检测工具-Fport/sport检测工具-IceSwordFilemon:Filemon是一个用来监视并显示系统中所有文件的活动情况的程序。当这个程

18、序首次执行的时候，它会监视所有的本机硬盘。你可以用菜单，快捷键或工具栏来对窗口进行操作，选择或者不选择监视的对象，并将结果保存起来。Regmon:Regmon 是一个用来监视并显示系统中注册表活动情况的程序。当这个程序首次执行的时候，它会监视所有的本机硬盘。你可以用菜单，快捷键或工具栏来对窗口进行操作，选择或者不选择监视的对象，并将结果保存起来。Portmon:Portmon 是一个可以监视本机的串口和并口的使用情况和TCP/IP网络上的计算机的情况。其它工具其它工具TCPView:TCPView 是一个Windows程序，它可以显示出所有侦听到的TCP和UDP会话的详细情况，包括远程的地址和

19、TCP的连接状态。当你启动 TCPView，它会列举所有的活动中的TCP和UDP的终端，解析IP地址到域名。工具栏上的按纽可以用来使输出结果不显示名称，这在某些环境下比较有用，因为这样不需要发送请求到DNS服务器，从而节约了时间。组合键Ctrl-R就可以在显示机器名和IP地址之间进行切换。当下次运行的时候，它会保留上次的配置情况TDImon:TDImon 是一个可以让你查看本地系统的 TCP 和 UDP 活动的情况。Unlocker：用于删除“不能删除”文件的工具其它工具其它工具检测-技巧1 1、注意路径问题、注意路径问题 c:windowssystem32iexplore.exe(c:win

20、dowssystem32iexplore.exe(trojantrojan)c:Program FilesInternet Exploreriexplore.exe(c:Program FilesInternet Exploreriexplore.exe(rightright)2 2、注意类同程序、注意类同程序 svchsvcho ost.exe(st.exe(rightright)svch svch0 0st.exe(st.exe(trojantrojan)3 3、善用系统搜索功能、善用系统搜索功能 发现木马程序后搜索与木马程序同一天创建的程序发现木马程序后搜索与木马程序同一天创建的程序编辑

21、Win.ini文件，将Windows小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。编辑System.ini文件，将boot小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。在Windows XP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但有的木马程序被删除后会立即自动添上，这时，记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这

22、个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。木马通用排查技术木马通用排查技术防御时刻注意安全漏洞和补丁发布时刻注意安全漏洞和补丁发布定期分析日志系统，发现潜在攻击定期分析日志系统，发现潜在攻击注意账号和口令的安全问题注意账号和口令的安全问题注意观察系统异常注意观察系统异常安装检测软件（安装检测软件（AntiSpywareAntiSpyware）。使用安全防御软件（软件防火墙）。使用安全防御软件（软件防火墙）。管理员，才是关键管理员，才是关键!防御-系统安全配置 WINDOWS WINDOWS WINDOWS WINDOWS 系统安全配置系统安全配置系统安全配置系统

23、安全配置 安全安装安全安装安全安装安全安装 安全审核安全审核安全审核安全审核 访问控制访问控制访问控制访问控制 账号安全策略账号安全策略账号安全策略账号安全策略 管理员权限管理员权限管理员权限管理员权限 网络服务安全设置网络服务安全设置网络服务安全设置网络服务安全设置 文件系统的安全文件系统的安全文件系统的安全文件系统的安全 安全日志安全日志安全日志安全日志 其他安全设置其他安全设置其他安全设置其他安全设置防御-系统安全配置 WindowsWindowsWindowsWindows的默认安装是不开安全审核。的默认安装是不开安全审核。的默认安装是不开安全审核。的默认安装是不开安全审核。Windo

24、ws2000/XPWindows2000/XPWindows2000/XPWindows2000/XP下下下下 本地安全策略本地安全策略本地安全策略本地安全策略-帐户策略帐户策略帐户策略帐户策略-密码策略，打开相应的密码策略，打开相应的密码策略，打开相应的密码策略，打开相应的审核，推荐的审核是：审核，推荐的审核是：审核，推荐的审核是：审核，推荐的审核是：密码必须符合复杂性要求密码必须符合复杂性要求密码必须符合复杂性要求密码必须符合复杂性要求 启用启用启用启用 密码长度最小值密码长度最小值密码长度最小值密码长度最小值 10 10 10 10 密码最长使用期限密码最长使用期限密码最长使用期限密码最

25、长使用期限 7 7 7 7 密码最短使用期限密码最短使用期限密码最短使用期限密码最短使用期限 7 7 7 7 强制密码历史强制密码历史强制密码历史强制密码历史 3 3 3 3防御-系统安全配置 WindowsWindowsWindowsWindows的默认安装是不开安全审核。的默认安装是不开安全审核。的默认安装是不开安全审核。的默认安装是不开安全审核。Windows2000/XPWindows2000/XPWindows2000/XPWindows2000/XP下下下下 本地安全策略本地安全策略本地安全策略本地安全策略-帐户策略帐户策略帐户策略帐户策略-帐户锁定策略，打开相帐户锁定策略，打开相

26、帐户锁定策略，打开相帐户锁定策略，打开相应的审核，推荐的审核是应的审核，推荐的审核是应的审核，推荐的审核是应的审核，推荐的审核是：复位帐户锁定计数器复位帐户锁定计数器复位帐户锁定计数器复位帐户锁定计数器 10101010分钟分钟分钟分钟 帐户锁定时间帐户锁定时间帐户锁定时间帐户锁定时间 10101010分钟分钟分钟分钟 帐户锁定阈值帐户锁定阈值帐户锁定阈值帐户锁定阈值 3 3 3 3次次次次防御-系统安全配置 WindowsWindowsWindowsWindows的默认安装是不开安全审核。的默认安装是不开安全审核。的默认安装是不开安全审核。的默认安装是不开安全审核。Windows2000/X

27、PWindows2000/XPWindows2000/XPWindows2000/XP下下下下 本地安全策略本地安全策略本地安全策略本地安全策略-审核策略，打开相应的审核，推荐审核策略，打开相应的审核，推荐审核策略，打开相应的审核，推荐审核策略，打开相应的审核，推荐的审核是的审核是的审核是的审核是：账户管理账户管理账户管理账户管理 成功成功成功成功 失败失败失败失败 登录事件登录事件登录事件登录事件 成功成功成功成功 失败失败失败失败 对象访问对象访问对象访问对象访问 失败失败失败失败 策略更改策略更改策略更改策略更改 成功成功成功成功 失败失败失败失败 特权使用特权使用特权使用特权使用 失败

28、失败失败失败 系统事件系统事件系统事件系统事件 成功成功成功成功 失败失败失败失败 目录服务访问目录服务访问目录服务访问目录服务访问 失败失败失败失败 账户登录事件账户登录事件账户登录事件账户登录事件 成功成功成功成功 失败失败失败失败 查杀灰鸽子手工查杀步骤：1.使用IceSword工具查看可疑的进程。2.查看服务，查找可疑的服务。3.使用netstat、sport、Active Ports工具查看端口和程序的关联，寻找可疑的程序。4.查看注册表中的启动项。5.确认木马文件，在资源管理器中定位木马文件。6.使用IceSword工具终止木马进程。7.删除木马文件，如果在Windows下删除不了

29、，在DOS环境下删除木马文件,或者使用unlocker。8.删除注册表中的木马启动项。9.对系统进行安全加固。AVG Anti-Spyware TrojanHunter木马查杀软件木马查杀软件实验目的：通过使用和观察灰鸽子了解远程控制型木马的特征和行为实验环境：安装有Windows XP的电脑一台，该电脑安装有VPC虚拟机，虚拟机系统为Windows XP或者Windows 2003 server，木马客户端运行于Windows XP机上，生成的服务端放入虚拟机运行实验步骤：1.配置灰鸽子的服务端（注意配置自动上线的IP和端口，了解什么是反弹型木马）2.虚拟机机中运行灰鸽子的服务端，观察灰鸽子木马的行为特征（提示：运行后是否删除安装文件？进程里是否能够观察到灰鸽子的进程？是否有其它的异常？）3.服务端自动上线4.进行屏幕监控和远程控制思考题：什么是反弹性木马？实验：远程控制性木马实验：远程控制性木马