木马的工作原理及其防范

单元二数据安全及病毒、木马的防范项目四木马的工作原理及其防范教学目标1．理解典型木马的概念、分类与原理；2．理解典型木马的检测与防范策略；3．掌握手间谍软件的防范策略，学会手工清除常见、顽固的计算机木马；4．木马专家、灰鸽子木马的安装、远程控制与操纵。教学要求1．认真听讲，专心操作,操作规范，认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯；2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业；3．教学环境：Windows7以及Windowsserver2003/2008以上操作系统。知识要点1．理解典型木马的概念、分类与原理；2．理解典型木马的检测与防范策略；技术要点1．掌握手工清除木马程序的基本操作，学会手工清除常见、顽固的计算机木马；2．木马专家、灰鸽子木马的安装、远程控制与操纵。技能训练一．讲授与示范正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。(一)木马(特洛伊木马)的工作原理木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具有破坏、删除和修改文件、发送密码、记录键盘、实施Dos攻击甚至完全控制计算机等特殊功能的后门程序。1．木马工作组成及原理服务器端、客户端及其运动平台或操作。工作原理：攻击者利用一种称为绑定程序的工具将服务器端程序绑定到某个合法软件上，诱使用户运行该合法软件，用户一旦运行该该合法软件，木马的服务器端程序就在用户毫无知觉的情况下完成安装。服务器端程序：服务器运行的IP端口号，程序启动时机，如何发出调用，隐身，加密，采用通信方式。2．木马分类破坏型：破坏和删除文件（DLL、INI、EXE）密码发送型：找到目标的隐藏密码，发给攻击者信箱远程访问型：在目标计算机上运行服务器端，前提是服务端的IP地址键盘记录木马：通过Log文件查找密码等，或记录受害者的键盘动作DoS攻击木马：通过植入木马，可以把受控主机当作一个个肉鸡，控制者可以操纵大量的肉鸡来同时对某个主机发起DoS攻击，随机生成各种各样主题的信件，对特定的邮箱不停的发送邮件，直到对方瘫痪。代理木马：攻击时又保护自己，被控制的计算机种上代理木马，作为跳板，就像操纵傀儡一般FTP木马：打开21端口，让每个FTP客户端不要密码就可连接到受控主机，随意窃取受害主机的文件程序杀手木马：关闭目标机上运行的木马查杀程序或病毒软件反弹端口型木马：对于有放火墙的受害者，木马可以通过反连端口的方式来达到操纵受害主机的目的，也就是说，木马自己穿越防火墙主动去连接控制者，因为一般木马会采用常用的端口，比如80端口，而且现在的防火墙往往采用严进宽出的方案，所以这种控制很有用。3．传播途径1）网页传播2）下载软件或提示诱导3）邮件传播4）利用系统漏洞4．木马攻击流程1）配置木马木马伪装：修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名2）传播木马采用邮件、文件下载、网页浏览3）运行木马自动安装、自启动、激活木马4）信息反馈◆通过信息反馈(ADSL是动态IP地址，但可确定一个地区的网络服务商的IP地址)◆IP地址扫描：主机的IP地址、植入端口、E-Mail5）木马连接◆获取服务端的木马程序端口和IP地址◆服务端已安装了服务端程序◆控制端、服务端都在网上6）远程控制窃取密码、文件操作、修改注册表、系统操作(二)木马的防范策略与检测1．木马的隐藏1）任务栏图标的隐藏Form（窗体）的Visible属性设置为False，ShowInTaskBar设为False配置木马传播木马运行木马远程控制木马连接信息反馈2）在任务管理器里隐藏通过Windows自带的任务管理器易发现木马，但可将木马程序配置成“系统服务”，便可骗过任务管理器。3）通信端口的隐藏使用1024以上的端口，因为底于1024端口可能造成端口冲突易暴露4）加载技术使用的隐藏技术：JavaScript、VBScript、ActiveX等的使用5）采用的陷阱技术非常适合木马，通过修改虚拟设备驱动程序(VXD)或动态链接库(DLL)来加载木马，并替换系统已知的DLL或VXD，并对所有的函数调用进行过滤，一旦被控制端的。请求就激活自身。这不增新文件，不需要新的端口，没有新的进程，使用常规方法监测不到。6）系统配置文件Win.ini、Config.sys、Boot.ini和System.ini等如”load=”和”run=”是空白的。Win.ini中加[windows]字段中有启动“load=”和“run=”，默认为空System.ini加[boot]字段的shell=explorer.exe，若为shell=explorer.exe*.exe，则有检查*.exe是否为木马System.ini加[386Enh]字段中的“driver=路径\程序名”也可自启动[drivers]、[mci]、[driver32]都可以加载文件autoexec.bat7）注册表的修改为了每次启动计算机都运行木马，修改注册表实现自动功能HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run2．激活木马1）随系统启动激活木马◆注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run◆系统配置文件Win.ini、Config.sys、Boot.ini和System.ini等如”load=”和”run=”是空白的。◆组策略Gpedit.msc→本地计算机策略→用户配置→管理模板→系统→登录→双击“在用户登录时运行这些程序”逻辑→设置→已启用→显示，即打开显示内容。可通过添加按钮，添加自动启动的程序路径。◆批处理命令Autoexec.bat◆启动菜单：开始→程序→启动2）随程序启动激活木马程序◆注册表HKEY_CLASSES_ROOT\文件类型\shell\open\command主键下查看其键值如：冰河木马将默认值C:\WINDOWS\notepad.exe%1修改为Sysexplr.exe。将双击原本启动记事本，变成启动木马程序Sysexplr.exe。◆捆绑文件通过聊天工具、电子邮件附件、下载文件传播、下载文件传播◆自动播放式：利用AutoRun.inf文件中的Open命令行启动3．木马的防范策略1）不要打开或执行任何可疑文件、邮件、文件夹和网页：网页欺骗、压缩包、邮件包2）显示文件扩展名：通过文件类型和图标3）运行反木马实时监控程序：常开病毒防火墙和网络防火墙4）升级到IE等浏览器4．木马的检测任务1木马的手动检测步骤：1）查看system.ini：若正常“shell=Explorer”或没有若Shell=Explorer*exewind0ws*exe，请注意wind0ws*exe很有可能就是木马服务端程序！2）查看Win.ini文件：查看“run=”和“load=”为空3）查看启动组：通过任务管理器查看netbus,netspy,bo等关键词◆启动组对应的文件夹为：C:\windows\startmenu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersStartup=C:\windows\startmenu\programs\startup。要注意经常检查这两个地方哦！◆Gpedit.msc→本地计算机策略→用户配置→管理模板→系统→登录→双击“在用户登录时运行这些程序”逻辑→设置→已启用→显示，即打开显示内容。可通过“删除”按钮，删除自动启动的程序路径。4)检查C:\windows\winstart*bat、C:\windows\wininit*ini、Autoexec*bat。木马很可能隐藏的地方。5）查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce查看启动文件项目：netbu、netspy、netserver，，有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。6)若是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。(三)网络间谍软件(Spyware)1．间谍软件的定义与危害定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。2．间谍软件的防范1）禁用InternetExplorer2）阻止下载3）备份和恢复创造一些恢复点也比清除间谍软件感染容易得多。4）加强Windows和IE完善对Windows和IE的漏洞打补丁，更新版本，阻止邮件可执行文件5）运行至少两种间谍软件清除程序做法是：清除系统，重新启动进入安全模式，然后，使用另一种工具进行清除，然后，再重新启动6）推荐Macintosh或Linux系统Windows允许任何用户（或间谍软件）把动态链接库装载至内核之中，Linux的系统访问却要求拥有与之相对应的管理员特权。7）健全管理规章和法律◆建立健全安全管理规章和法律，并严格执行相关要求与操作◆树立预防为主的思想◆保护帐户的安全◆做好各种应急准备工作二．课堂任务实践任务2手工清除常见木马程序步骤：1．清除“冰河”1）特点连接端口7626，G_server.exe、G_clinet.exe，运行生成Kernel32、sysexplr.exe。2）清除方法◆删除C:\Windows\system中的Kernel32.exe、sysexplr.exe◆HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的键值：c:\windows\Systems\Kernel32.exe◆HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices中的键值：c:\windows\Systems\Kernel32.exe◆将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command中的默认值c:\windows\system\sysexplr.exe改为C:\windows\notepad.exe。2．清除“网络神偷”1）特点监听端口为80，运用“反弹”和“HTTP隧道”技术，穿透包过滤型和代理型防火墙，不是远程控制，而是对磁盘文件系统的远程访问。2）清除方法◆HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的键值internet和internet.exe/s的项进行删除。◆删除自启动程序C:\windows\system\internet.exe3．“广外男生”木马1）特点◆连接端口8225，客户端模仿Windows资源管理器，支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。◆强大的文件操作功能。◆运用“反弹端口”与“线程插入”技术？2）清除方法①检查端口8225开放命令：netstat-na②打开注册表编辑器◆展开HK