網(wǎng)絡(luò)攻防技術(shù)-木馬的防范

項(xiàng)目五木馬攻擊與防范【項(xiàng)目概述】木馬是計(jì)算機(jī)病毒的一種，已經(jīng)成為數(shù)量增長(zhǎng)最快的計(jì)算機(jī)病毒。黑客通過灰鴿子、上線遠(yuǎn)控、Ghost木馬等各種“肉雞”控制工具，瘋狂侵蝕著Internet安全。為了加強(qiáng)對(duì)木馬的防范，網(wǎng)絡(luò)安全公司決定根據(jù)木馬的特征和主要攻擊方式，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行木馬掃描，加強(qiáng)木馬防范措施?！卷?xiàng)目分析】木馬也稱特洛伊木馬，名稱來源于希臘神話《木馬屠城記》。古希臘派大軍圍攻特洛伊城，久久無法攻下。于是有人獻(xiàn)計(jì)制造一只高二丈的大木馬，假裝為作戰(zhàn)馬神，讓精兵藏匿于巨大的木馬中，大部隊(duì)假裝撤退而將木馬摒棄于特洛伊城下。城中士兵得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全稱飲酒狂歡。到午夜時(shí)分，全城軍民盡入夢(mèng)鄉(xiāng)，藏于木馬中的將士打開城門，四處放火，城外埋伏的士兵涌入，部隊(duì)里應(yīng)外合，攻下了特洛伊城。網(wǎng)絡(luò)攻防中的木馬指的是攻擊者編寫的一段惡意代碼，它可以潛伏在被攻擊者的計(jì)算機(jī)中。攻擊者通過這個(gè)代碼可以遠(yuǎn)程控制被攻擊者的計(jì)算機(jī)，以竊取計(jì)算機(jī)上的信息或者操作計(jì)算機(jī)。從本質(zhì)上講，木馬也是病毒的一種，因此很多用戶也把木馬稱為病毒。在本項(xiàng)目中，將介紹木馬工作的原理、典型的木馬使用過程、木馬的生成方法、木馬免殺技術(shù)、木馬防范技術(shù)，提高計(jì)算機(jī)用戶對(duì)木馬的認(rèn)識(shí)，加強(qiáng)在網(wǎng)絡(luò)使用中對(duì)木馬的防范意識(shí)和措施，避免在網(wǎng)絡(luò)使用中遭受木馬攻擊，造成損失。本項(xiàng)目主要內(nèi)容如下：1.木馬的使用。2.木馬的生成。3.木馬免殺。4.木馬的防范。

項(xiàng)目主要內(nèi)容：

任務(wù)一木馬的使用任務(wù)二木馬的生成任務(wù)三木馬免殺任務(wù)四

木馬的防范任務(wù)四木馬的防范任務(wù)描述木馬對(duì)網(wǎng)絡(luò)安全造成極大危害，是造成隱私泄露、垃圾郵件和DDoS攻擊的重要原因。一旦遭受木馬攻擊，將會(huì)對(duì)人們的正常工作和生活帶來損失。因此，在日常工作生活中，加強(qiáng)對(duì)木馬的防范，是預(yù)防木馬攻擊、加強(qiáng)個(gè)人信息保護(hù)的重要途徑。任務(wù)分析木馬通常是由JavaScript、VBScript、PHP、ASP、JSP和ActiveX等腳本語言編寫，通過瀏覽器或磁盤等進(jìn)行傳播。由于木馬具有隱蔽性和非法訪問的特點(diǎn)，其服務(wù)程序會(huì)采用變形、壓縮、脫殼、捆綁、取雙后綴名等各種方法隱藏自己，然后與客戶程序建立遠(yuǎn)程連接并且非法修改注冊(cè)表、非法修改系統(tǒng)文件、控制鼠標(biāo)和鍵盤等。盡管它們使用的技術(shù)千變?nèi)f化，但是木馬的攻擊原理始終沒有變化：通過客戶程序向服務(wù)器程序發(fā)送指令；服務(wù)器程序接收控制指令后，根據(jù)指令在本地執(zhí)行相應(yīng)動(dòng)作，并把執(zhí)行結(jié)果返回給客戶程序。針對(duì)不同類型的木馬，我們可以了解其啟動(dòng)特點(diǎn)，在通常駐留的地方，即啟動(dòng)配置文件、啟動(dòng)組、注冊(cè)表等位置重點(diǎn)檢查與清除，通常加強(qiáng)日常上網(wǎng)中的防范意識(shí)，最終達(dá)到防范木馬攻擊的目的。任務(wù)實(shí)施1.冰河木馬的手動(dòng)清除。冰河木馬在被攻擊者計(jì)算機(jī)上運(yùn)行的是服務(wù)端程序G-server.exe，一旦運(yùn)行，該程序就會(huì)在“C：/Windows/system”目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sysexplr.exe和txt文件關(guān)聯(lián)，如圖5-3、5-4所示。要清除冰河木馬，需要從這兩個(gè)運(yùn)行程序入手進(jìn)行清除。步驟1打開Windows任務(wù)管理器，找到“Kernel32.exe”進(jìn)程，并結(jié)束該進(jìn)程，如圖5-49所示。圖5-49結(jié)束“Kernel32.exe”進(jìn)程步驟2刪除“C:\WINDOWS\system32”下的“Kernel32.exe”和“sysexplr.exe”文件。步驟3在“開始”—“運(yùn)行”中輸入“regedit”命令打開“注冊(cè)表編輯器”，如圖5-50所示。圖5-50“注冊(cè)表編輯器”對(duì)話框步驟4冰河會(huì)駐留在注冊(cè)表“HKEY_LOCAL_MACHINE\software\microsoft\windows\Current\Version\Run”下，鍵值為“C:\windows\system32\kernel32.exe”，如圖5-51所示，將其刪除即可。圖5-51冰河木馬在注冊(cè)表Run中的值步驟5在注冊(cè)表的“HKEY_LOCAL_MACHINE\software\microsoft\windows\Current\Version\Runservices”下，還有鍵值為“C:\windows\system32\kernel32.exe”，如圖5-52所示，也要將其刪除。圖5-52冰河木馬在注冊(cè)表Runservices中的值步驟6修改注冊(cè)表“HKEY_CLASSES_ROOT\txtfile\shell\open\command”下的默認(rèn)值，由中木馬后的“C:\windows\system32\Sysexplr.exe%1”改為正常情況下的“C:\windows\notepad.exe%1”，即可恢復(fù)txt文件關(guān)聯(lián)功能，如圖5-53所示。圖5-53冰河木馬在注冊(cè)表command中的值2.木馬的檢測(cè)。在上網(wǎng)過程中和進(jìn)行一些計(jì)算機(jī)正常使用時(shí)，計(jì)算機(jī)速度明顯發(fā)生變化、硬盤在不停地讀寫、鼠標(biāo)不受控制、鍵盤無效、一些窗口在未得到允許的情況下被關(guān)閉、新的窗口被莫名其妙地打開。這一切不正?，F(xiàn)象都可能是木馬客戶端在遠(yuǎn)程控制計(jì)算機(jī)，可以通過以下方法進(jìn)行檢測(cè)。（1）查看端口。木馬啟動(dòng)后自然會(huì)打開端口，可以通過檢查端口的情況來查看有無木馬，但是這種方法無法查出“驅(qū)動(dòng)程序/動(dòng)態(tài)鏈接”類型木馬。在命令提示符中輸入命令“netstat-a”,查看當(dāng)前系統(tǒng)中開啟的端口，以及當(dāng)前正在活動(dòng)的網(wǎng)絡(luò)連接的詳細(xì)信息，如圖5-54所示。例如，7626端口打開，可能是有名的冰河木馬在運(yùn)行。圖5-54使用netstat命令查看端口狀態(tài)（2）檢查注冊(cè)表。木馬可以通過注冊(cè)表進(jìn)行啟動(dòng)，通過檢查注冊(cè)表可以發(fā)現(xiàn)木馬在注冊(cè)表中留下的痕跡。在注冊(cè)表中的“HKEY_LOCAL_MACHINE\software\microsoft\windows\Current\Version\Runservices”（RunOnce、RunOnceEx、RunServices）,如圖5-48所示。另外還有“HKEY_CURRENT_USER\software\microsoft\windows\Current\Version\Run”，查看這些鍵值中有沒有不熟悉的文件，一般擴(kuò)展名為exe，如netspy.exe或其他可疑的文件名，如果有，可能就是木馬。圖5-55木馬在注冊(cè)表中的位置（3）檢查DLL類木馬。DLL（DynamicLinkLibrary，動(dòng)態(tài)鏈接庫）木馬，是嵌入型的木馬，典型的DLL嵌入式木馬有灰鴿子、波爾等。其工作原理是替換在SYSTEM32目錄下負(fù)責(zé)網(wǎng)絡(luò)通訊的的DLL文件，以達(dá)到控制電腦的目的。DLL類木馬在進(jìn)程中看不到，可以借助一些工具如IceSword（冰刃）查出DLL類木馬。如圖5-56所示為IceSword軟件工作界面。圖5-56IceSword軟件工作界面3.木馬的防御與清除。（1）軟件的下載。木馬一般都是通過E-mail和文件下載傳播的，因此，要提高防范意識(shí)，不要打開陌生人郵件中的附件。另外，建議大家到正規(guī)網(wǎng)站去下載軟件，這些網(wǎng)站的軟件更新快，并且大部分都經(jīng)過測(cè)試，可以放心使用。假如需要下載一些非正規(guī)網(wǎng)站上的軟件，注意不要在在線狀態(tài)下安裝軟件，一旦軟件中含有木馬程序，就有可能導(dǎo)致系統(tǒng)信息的泄露。對(duì)于學(xué)習(xí)實(shí)驗(yàn)練習(xí)使用的軟件，建議在物理主機(jī)上安裝虛擬機(jī)，將軟件放置在虛擬機(jī)中進(jìn)行實(shí)驗(yàn)，以防木馬入侵物理主機(jī)。（2）病毒查殺。一旦發(fā)現(xiàn)了木馬，最簡(jiǎn)單的方法就是使用殺毒軟件?，F(xiàn)在國(guó)內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能，如金山毒霸、瑞星、KV2008等，可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除。另外，有的殺毒軟件還提供網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控功能。這一功能可以在黑客從遠(yuǎn)端執(zhí)行用戶機(jī)器上的文件時(shí)提供報(bào)警或使得執(zhí)行失敗，使黑客向用戶機(jī)器上傳可執(zhí)行文件后無法正確執(zhí)行。新的木馬不斷出現(xiàn)，舊的木馬變種也很快，有些需要手動(dòng)查找并清除，有些木馬程序有隱藏屬性，必須在Windows窗口中選擇“查看”—“文件夾選項(xiàng)”—“查看”—“隱藏文件”—“顯示所有文件”命令，才能看到木馬程序。由于木馬種類繁多，各有特點(diǎn)，刪除方法也不盡相同，需要根據(jù)每種木馬的情況具體分析清除方法。（3）日常防范。1.及時(shí)升級(jí)瀏覽器，安裝防病毒軟件、修復(fù)系統(tǒng)漏洞，及時(shí)更新病毒庫。2.不下載來歷不明的文件，更不要運(yùn)行這些文件。3.不瀏覽身份不明的網(wǎng)站，特別注意瀏覽網(wǎng)頁時(shí)不安裝不明的控制。4.收到來歷不明的郵件后直接刪除，不要打開或運(yùn)行郵件中的文件。5.和他人進(jìn)行網(wǎng)絡(luò)聊天時(shí)，不打開來歷不明的鏈接?！卷?xiàng)目拓展】1.本項(xiàng)目介紹了木馬的攻擊技術(shù)與防范技術(shù)，請(qǐng)根據(jù)任務(wù)一內(nèi)容，自行下載木馬軟件進(jìn)