应急预案评审和备案所使用的表格

实验七第四代木马的防御【实验目的】●了解第四代木马的特点；●了解反弹技术及连接方式；●掌握第四代木马广外男生的防范技术；【实验设备】●操作系统平台：Win2000或WinXp。●木马工具：广外男生。【实验原理】广外男生同广外女生一样，是广东外语外贸大学的作品，是一个专业级的远程控制及网络监控工具。广外男生除了具有一般普通木马应该具有的特点以外，还具备以下特色：客户端模仿Windows资源管理器：除了全面支持访问远程服务器端的文件系统，也同时支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。强大的文件操作功能：可以对远程机器进行建立文件夹，整个文件夹的一次删除，支持多选的上传、下载等基本功能。同时支持对远程文件的高速查找，并且可以对查找的结果进行下载和删除操作。运用了“反弹端口”与“线程插入”技术：使用了目前流行的反弹端口的木马技术，可以在互联网上访问到局域网里通过NAT代理上网的电脑，轻松穿越防火墙。“线程插入”技术是指在服务器端运行时没有进程，所有网络操作均插入到其它应用程序的进程中完成。因此，服务器端的防火墙无法进行有效的警告和拦截。“反弹端口”技术是指，连接的建立不再由客户端主动要求连接，而是由服务器端来完成，这种连接过程正好与传统连接方式相反。当远程主机被种植了木马之后，木马服务器在远程主机上线之后主动寻找客户端建立连接，客户端的开放端口在服务器的连接请求后进行连接、通信。【实验步骤】一、广外男生的基本使用1、打开广外男生客户端（gwboy092.exe），选择“设置”—“客户端设置”，打开“广外男生客户端设置程序”2.其中最大连接数一般使用默认的30台，客户端使用端口一般设置成803、点击“下一步”，再点击“完成”按钮结束客户端的设置4、服务端设置：进行服务端设置时，选择“设置”—“服务器设置”，打开“广外男生服务端生成向导5.选择“同意”之后，点击下一步，开始进行服务端常规设置，其中，EXE文件名是安装木马后生成的程序名称，DLL文件名是安装木马后生成的DLL文件的名称6、设置完成后点击“下一步”，进行“网络设置”。根据实际网络环境，选择静态IP选项进行实际网络的设置7、设置完成点击“下一步”，填写生成服务器端的目标文件的名称，然后点击“完成”，结束服务器端的配置8、种植木马：将生成的目标文件发送到远程主机，然后在远程主机运行。命令方式：Copygwboy0092.exe\\192.168.59.131\c$9、重新启动远程主机，在客户端进行观察等待远程主机的连接，并对远程主机的运行进行监控。可见服务器与客户端连接成功；客户端看到的远程主机的文件系统；通过客户端看到的远程主机的注册表、广外男生木马的清除1、检测广外男生木马的有效方法为使用“netstat-na”查看目标主机的网络连接情况，如果端口8225开放，那么该主机可能已经中了广外男生木马。2、打开注册表编辑器，展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，删除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”，删除ID为{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其下所有子键和键值why没有重启后，2003中继续运行，2000中任然没有客户端也没有【实验报告】1、简述第一代到第四代木马的显著特征。答：第一代木马：伪装型病毒，还不具备传染特征，简单的密码窃取、发送等；第二代木马：AIDS型木马，已具备了传播特征（尽管通过传统的邮递方式）通过修改注册表，让系统自动加载并实施远程控制；第三代木马：网络传播性木马，添加了“后门”功能，加了击键记录功能，利用畸形报文传递数据，增加了查杀的难度；第四代木马：在进程隐藏方面，做了大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程，或者挂接在P5API中，实现木马程序的隐藏，甚至在windowsNT／2000下，都达到了良好的隐藏效果。2、简述木马的功能和防护方法。答：1功能：远程监控，可以控制对方的鼠标、键盘和监视对方屏幕；记录密码；取得电脑主机的信息资料；远程控制；发送信息。2防护：第一，安装杀毒软件和个人防火墙，并及时升级。第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。第三，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。第四，如果使用IE浏览器，应该安装安全助手或安全浏览器，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。远程控制的木马有：冰河，灰鸽子，上兴，PCshare，网络神偷，FLUX等，DLL木马的最高境界是线程插入技术，线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术，让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好地保护自己。