简单木马植入过程

计算机病毒与防治课程小组
木马自启动途径
3 加入系统启动组
在启动文件夹[Windir]\start menu\programs\startup\中 添加程序或快捷方式，也可修改册表的位置：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\Shell Folders Startup]="windows\start menu\programs\startup"
计算机病毒与防治课程小组
木马入侵
通过缓冲区溢出植入木马
上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str 的长度大于16就会造成buffer的溢出，使程序运行出错。存在象strcpy这 样的问题的标准函数还有strcat(),sprintf(), vsprintt(), gets(), scanf()，以及在循环内的getc(), fgetc(), getchar()等。当然，随便 往缓冲区中填东西造成它溢出一般只会出现Segmentation fault错误，而 不能达到攻击的目的。 如果在溢出的缓冲区中写入我们想执行的代码，再覆盖函数返回地址的 内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。
通过电子邮件传播是一种最简单有效的方法，黑客通常给 用户发电子邮件，而这个加在附件中的软件就是木马的服务器 端程序。
缓冲区溢出攻击是植入木马最常用的手段。据统计，通过 缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
计算机病毒与防治课程小组
木入侵
通过缓冲区溢出植入木马
缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段， 通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从 而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例 如下面程序： void function(char *str)｛ char buffer[16]; strcpy(buffer,str); }

计算机病毒计算机病毒的定义、分类计算机病毒是一些能够自我复制的代码段，它能附着在应用程序或系统的其他可执行部分。

在宿主程序执行的某些阶段，它能够获得执行控制权。

广义上讲，计算机病毒可以指所有对系统有干扰或破坏作用的代码。

计算机病毒按寄生的方式不同，可分为系统引导型病毒、文件型病毒和复合型病毒三种；按其破坏、危害程度可分为良性病毒和恶性病毒；按传染途径可分为驻留内存型病毒和非驻留型病毒。

病毒的潜伏和激活大多数病毒在感染后不留下它们存在的外部特征，被感染的程序保持原功能不变，有时可以没有任何感染特征地运行数月，甚至数年，在此期间病毒只是静静地进行自身复制，处于潜伏状态；病毒内部有基于某种算法的激活条件，当满足这一条件时，病毒激活(发作)，这时将引起各种明显的系统混乱或破坏。

计算机病毒的传播被动传播方式通过计算机存储介质、通信网络等传播介质。

主动传播方式完全替换宿主附着于宿主外部附着插入计算机病毒的运行机制通常，病毒在刚开始进人计算机的过程中，要进行自身定位、置某些标志的初值等一系列动作。

以后，它还要经常判断其传染或表现的条件是否成熟，从而相应地进行传染及表现活动，因此病毒代码可以分成初始化、控制、传染及表现四个部分。

计算机病毒具有以下特点：修改了载体程序驻留内存修改中断传统计算机病毒惯用特性分析攻击对象趋于混合型对可执行文件和系统引导区同时感染，在病毒源码的编制、反跟踪调试、程序加密、隐秘性、攻击能力等方面的设计都呈现了许多不同一般的变新。

采用反动态跟踪技术为反这种动态跟踪，目前的病毒程序中一般都嵌人一些破坏单步中断int 1h和中断点设置中断int 3h的中断向量的代码，从而使动态跟踪难以完成。

DONG病毒驻留内存后，巧妙地覆盖了的int 1h中断向量，使单步中断后，系统自检重新启动。

还有的病毒通过对键盘进行封锁，以禁止单步跟踪，主要通过两种方式实现：使用键盘封锁指令屏蔽键盘中断int 9h降低代码可阅读性(1) 改写返回地址如新世纪病毒中有段程序：CS：0B9A PUSH AX ；此前已将代码段始址赋给AXCS：0B9B MOV AX，0BA0CS：9B9E PUSH AXCS：0B9F RETF ；返下条指令继续执行CS：0BA0 XOR AX，AXCS：0BA2 INT 13(2) 修改程序段从中截断执行有些病毒将类似功能都调用一个子程序完成，但对实现各功能，其相应的子程序的指令略有不同，为解决公用的目的，病毒将建立一个公用子程序原型，然后在具体调用时，针对不同的调用，动态修改该子程序的几字节指令码以实现相应功能。

接着把DOC和EXE合并：copy/banyname.doc＋anyname.exeanyname.doc。打开这个DOC文档，隐藏在其中的木马就会自动运行。不过还需要满足一个条件HKEY＿CURRENT＿USER＼Software＼Microsoft＼Office＼9.0＼Word＼Security中的Level值必须是1或者0。
DLL文件的特点决定了这种实现形式的木马的可行性和隐蔽性。首先，由于DLL文件映像可以被映射到调用进程的地址空间中，所以它能够共享宿主进程（调用DLL的进程）的资源，进而根据宿主进程在目标主机中的级别未经授权地访问相应的系统资源。其次，因为DLL没有被分配独立的进程地址空间，也就是说DLL的运行并不需要创建单独的进程，所以从系统的进程列表里看不见DLL的运行踪迹，从而可以避免在目标主机中留下木马进程踪迹，因此满足了隐蔽性的要求。
[AutoRun]//这是AutoRun部分开始，必须输入
Icon＝E：＼sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标
Open＝E：＼sexual.exe//指定要运行程序的路径和名称，在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序，那我们的电脑就危险了。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马，也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程，继续进入休眠状况。

木马伪装植入的方法如果我们要想把自己的木马植入到别人的计算机上，首先就要伪装好自己。

一般来讲，木马主要有两种隐藏手段：①把自己伪装成一般的软件很多用户可能都遇到过这样的情况，在网站上得到一个自称是很好玩或是很有用的小程序，拿下来执行，但系统报告了内部错误，程序退出了。

一般人都会认为是程序没有开发好，不会疑心到运行了木马程序这上面。

等到运行自己的QQ等程序时，被告知密码不对，自己熟得不能再熟的密码怎么也进不去，这时才会想起检查自己的机器是否被人安装了木马这回事情。

提示：这种程序伪装成正常程序，实质是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。

②把自己绑定在正常的程序上面对于那些老到的黑客来说，他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件，然后用户在安装该正版程序时，就神不知鬼不觉地被种上木马了。

伪装之后，木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了，或者是放在网站上供人下载。

黑客还会为它们加上一些动人的话语来诱惑别人，像“最新火辣辣小电影！”、“CuteFTP5.0完全解密版！！！”等。

一点不骗人，在安装了这个CuteFTP之后，你的机器就被“完全解密”了，那些喜欢免费盗版的朋友们也要小心了！下面介绍几种常见的伪装植入木马的方法：修改木马图标将木马服务端程序更改图标，如设为图片图标，并将其扩展名设置为***.jpg.exe格式，直接发给对方，由于Windows的默认设置是隐藏已知文件的扩展名，所以对方收到后就会轻易相信这就是一幅图片。

对方运行后，结果毫无反应（运行木马后的典型表现），对方说：“怎么打不开呀!”，回答：“哎呀，不会程序是坏了吧?”，或者说：“对不起，我发错了!”，然后把正确的东西（正常游戏、图片等）发给对方，他收到后只顾高兴就不想刚才为什么会出现那种情况了。

虽然有些木马制作工具中带有修改图标的功能，但是黑客还常常使用其他辅助工具来修改图标。

木马种植的方法是什么相信很多朋友都听说过木马程序，总觉得它很神秘、很高难，但事实上随着木马软件的智能化，很多骇客都能轻松达到攻击的目的。

下面是店铺精心为你整理的木马种植的方法，一起来看看。

木马种植的方法现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。

你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。

为了避免不熟悉木马的用户误运行服务端，现在流行的木马都没有提供单独的服务端程序，而是通过用户自己设置来生成服务端，黑洞2004也是这样。

首先运行黑洞2004，点击“功能/生成服务端”命令，弹出“服务端配置”界面。

由于黑洞2004采用了反弹技术(请参加小知识)，首先单击旁边的“查看”按钮，在弹出的窗口中设置新的域名，输入你事先申请空间的域名和密码，单击“域名注册”，在下面的窗口中会反映出注册的情况。

域名注册成功以后，返回“服务端配置”界面，填入刚刚申请的域名，以及“上线显示名称”、“注册表启动名称”等项目。

为了迷惑他人，可以点“更改服务端图标”按钮为服务端选择一个图标。

所有的设置都完成后，点击“生成EXE型服务端”就生成了一个服务端。

在生成服务端的同时，软件会自动使用UPX为服务端进行压缩，对服务端起到隐藏保护的作用。

服务端生成以后，下一步要做的是将服务端植入别人的电脑?常见的方法有，通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带，把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹，通过P2P软件(比如PP 点点通、百宝等)，让网友在毫无防范中下载并运行服务端程序。

由于本文主要面对普通的网络爱好者，所以就使用较为简单的Email夹带，为大家进行讲解。

我们使用大家经常会看到的Flash动画为例，建立一个文件夹命名为“好看的动画”，在该文件夹里边再建立文件夹“动画.files”，将木马服务端软件放到该文件夹中假设名称为“abc.exe”，再在该文件夹内建立flash文件，在flash文件的第1帧输入文字“您的播放插件不全，单击下边的按钮，再单击打开按钮安装插件”，新建一个按钮组件，将其拖到舞台中，打开动作面板，在里边输入“on (press) {getURL("动画.files/abc.exe");}”，表示当单击该按钮时执行abc这个文件。

深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号：大中小订阅为了学习转的：第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马，也称特伊洛木马，英文名称为Trojan。

其本身就是为了入侵个人电脑而开发的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。

Windows本身没有监视网络的软件，所以不借助其它工具软件，许多时候是很难知道木马的存在和黑客的入侵的。

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该如何清除。

虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现自己是否中“木马”了。

3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法，因此，在本章中将使用较大篇幅来介绍木马的攻防技术。

木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，甚至可以远程监控这台计算机上的所有操作。

尽管资深的黑客是不屑于使用木马的，但在对网络安全事件的分析统计里，却发现有相当部分的网络入侵是通过木马来进行的，包括2002年微软被黑一案，据说就是通过一种普通的蠕虫木马侵入微软的系统，并且窃取了微软部分产品源代码的。

3-1-1 木马是如何侵入系统的小博士，你好！可以给我讲一下木马是如何侵入系统的吗？没问题，一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控制植入木马的计算机，服务器端程序就是通常所说的木马程序。

攻击者要通过木马攻击计算机系统，他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。

黑客是如何骗取你执行木马的如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈"马"色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易"招惹"它，因而中标的机会也就相对减少了。

对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为"类似"图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。

为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把"sam.exe" 更改为"sam.jpg" ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个"马甲"，即修改文件图标。

修改文件图标的方法如下:1 . 比如到 下载一个名为IconForge 的软件，再进行安装。

2 . 执行程序，按下File > Open3 . 在File Type 选择exe 类4 . 在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

《计算机病毒与防治》学习情景设计
学习情景三典型病毒防治
教学单元3-5-1
木马的植入、自启动和隐藏技术
课程基本信息
制定人
授课时间
授课班级
计划学时
教
学
目
标
1、让学生掌握木马的植入技术；
2、让学生掌握木马的自启动原理；
3、让学生了解木马的自启动的实现技术；
4、让学生掌握木马的隐藏手段；
5、让学生掌握木马隐藏技术的实现；
1、角色扮演复习法
学生以角色扮演的方式，每个学生扮演一种类型的病毒特征，对该特征进行阐述。
体现学习过程考核。
对知识的学习和运用能力
2、情景引入
在了解了木马病毒的基础知识之上，更深入一部向学生讲解木马病毒涉及到的一些关键技术。包括：植入、自启动、隐藏技术。
1、情景引入法
结合日常生活和兴趣点的情景引入是激发学生对课程兴趣的关键。
教
学
资
源
1、多媒体教室
2、授课教程
3、多媒体课件
3、演示动画
4、任务清单
5、黑板
教学重点
让学生掌握木马相关的关键技术。
教学难点
木马各种关键技术的实现方式。
课程内容
教学情景设计
教学方法建议
能力培养
1、复习
通过角色扮演法法对上次课程中木马病毒的特点进行复习，巩固上次的学习成果。
对学生的掌握情况进行点评。
1、案例教学法
通过引入案例，给学生以生动形象的教学。
8、木马隐藏原理
向学生讲解木马隐藏中的两个主要步骤部分。
1、教师讲解法
9、实列分析
对木马的隐藏进程技术以程序案例的方式进行分析。
1、案例教学法

第四章任务4 木马植入4.1木马植入的方式使用木马程序的第一步是将木马的“服务器程序”放到远程被监控主机上，这个过程成为木马的植入过程。

常见的植入过程有如下几种方法。

●邮件收发：将木马的“服务器程序”放入电子邮件中植入到远程主机。

●网页浏览：将木马的“服务器程序”放入网页中植入到远程主机。

●文件下载：将木马的“服务器程序”和被下载的文件捆绑到一起植入到远程主机。

4.2 木马的运行方式服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。

首先将自身拷贝到WINDOWS的系统文件夹中（C:WINDOWS或C:WINDOWS\SYSTEM目录下），然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。

安装后就可以启动木马了。

1. 自启动激活木马(1) 注册表：打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion下的Run主键，在其中寻找可能是启动木马的键值。

(2) WIN.INI：C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

(3) SYSTEM.INI：C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mci]，[drivers32]中有命令行，在其中寻找木马的启动命令。

(4) Autoexec.bat和Config.sys：在C盘根目录下的这两个文件也可以启动木马。

但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

(5) *.INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

简单黑客攻击步骤详解网络攻防技术初步1、简单密码破解：一台在网络上的计算机从理论上讲可以相应任何人的操作请求，为了确保计算机所有者的权益，设计者们为计算机启用了密码保护，只有那些通过密码验证的用户才能够拥有操作计算机的权限，黑客们为了非法获取计算机的操作权限，其第一步往往就是获取用户密码。

很多人使用电脑时习惯不设置密码或设置一些简单密码比如“111111”、“123456”等等，利用一些工具比如流光可以轻松的破解这些密码，由于时间的关系我们在这里利用Xscan这个网管人员的好帮手来达到这一目的，通过这样一个实例让学员明白不设置密码或设置简单密码的坏处。

下面让我们来通过实例观察一下如何做到这一点。

通过鼠标左键双击图一所示的小图标，我们就启动了Xscan，启动界面如图二所示，我们利用鼠标左键单击如图二右上角被黑色方框围住的图形按钮，设置扫描参数。

图一启动Xscan图标“指定IP范围：”下的文字栏中输入“192.168.0.34”，并在左上角点击“全局设置”前方的小“+”号，在新弹出的菜单中点击“扫描模块”，设置扫描参数如图四所示。

图二启动Xscan后的样子图三指定IP地址范围设置完毕后点击“确定”按钮，然后回到图二所示的界面，点击左上角的“”按钮，即可启动扫描。

扫描完毕后，Xscan会自动的把扫描结果生成一张网页格式的报表，翻到网页的最后部分，仔细观察图五中被黑色粗线条标示出的部分，我们发现这台计算机的超级管理员帐户（administrator）居然没有设置任何密码。

黑客攻击过程中最重要的一步已经轻松越过。

图四Xscan设置参数图五超级帐户的密码没有设置小知识：Xscan实际上是一个网络管理工具，能够帮助网管人员扫描网络，分析漏洞所在。

192.168.0.34如果设置一些简单密码如“111111”、“123456”，Xscan一样可以找出来，至于复杂一点的密码，只能通过流光软件暴力破解了，如果想让流光破解不了，你要确保你的密码足够复杂，至少八位以上。

木马最新植入五种方法揭密木马是大家网上安全的一大隐患，说是大家心中永远的痛也不为过。

对于木马采用敬而远之的态度并不是最好的方法，我们必须更多地了解其“习性”和特点，只有这样才能做到“知己知彼，百战不殆”！随着时间的推移，木马的植入方式也悄悄地发生了一定的变化，较之以往更加的隐蔽，对大家的威胁也更大，以下是笔者总结的五种最新的木马植入方式，以便大家及时防范。

方法一：利用共享和Autorun文件为了学习和工作方便，有许多学校或公司的局域网中会将硬盘共享出来。

更有甚者，竟将某些硬盘共享设为可写！这样非常危险，别人可以借此给您下木马！利用木马程序结合Autorun.inf文件就可以了。

方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，只需他双击共享的磁盘图标就会使木马运行！这样作对下木马的人来说的好处显而易见，那就是大大增加了木马运行的主动性！许多人在别人给他发来可执行文件时会非常警惕，不熟悉的文件他们轻易不会运行，而这种方法就很难防范了。

下面我们简单说一下原理。

大家知道，将光盘插入光驱会自动运行，这是因为在光盘根目录下有个Autorun.inf文件，该文件可以决定是否自动运行其中的程序。

同样，如果硬盘的根目录下存在该文件，硬盘也就具有了AutoRun功能，即自动运行Autorun.inf文件中的内容。

把木马文件.exe文件以及Autorun.inf放在磁盘根目录（这里假设对方的D盘共享出来且可写），对于给您下木马的人来说，他还会修改Autorun.inf文件的属性，将该文件隐藏起来。

这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人威胁最大。

更进一步，利用一个.REG文件和Autorun.inf结合，还可以让你所有的硬盘都共享出去！方法二：把木马文件转换为BMP格式这是一种相对比较新颖的方式，把EXE转化成为BMP来欺骗大家。

中南大学本科生毕业论文（设计）题目木马程序设计及植入技术毕业设计（论文）原创性声明和使用授权说明原创性声明本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。

尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得及其它教育机构的学位或学历而使用过的材料。

对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。

作者签名：日期：指导教师签名：日期：使用授权说明本人完全了解大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。

作者签名：日期：学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。

除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。

对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。

本人完全意识到本声明的法律后果由本人承担。

作者签名：日期：年月日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。

本人授权大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。

涉密论文按学校规定处理。

作者签名：日期：年月日导师签名：日期：年月日摘要黑客技术是当今最火热的一个领域，近年来，黑客攻击层出不穷，对网络安全构成了极大的威胁。

木马是黑客的主要攻击手段之一，它通过渗透进入对方主机系统，从而实现对目标主机的远处操作, 破坏力相当之大。

⿊客必懂的⽊马连接原理⽬前常见的⽊马有三种正向连接⽊马反弹连接⽊马收信⽊马 正向连接⽊马,所谓正向，就是在中马者在机器上开个端⼝，⽽我们去连接他的端⼝。

⽽我们要知道他的IP，才能够连接他。

123就是他机器上开的端⼝ 由于到现在，宽带上⽹(动态IP)和路由器的普遍，这个软件就有很⼤的不⾜ 动态IP：每次拨号，IP都会跟换.所以，就算对⽅中了⽊马，在下次拨号的时候，我们会因为找不到IP⽽丢⾁鸡 路由器：就是多个电脑同⽤1条宽带(⽹吧上⽹就是最好的例⼦)他们通过路由器连接到宽带，例如：主机的IP为225.124.3.41，⽽内⽹(就是⽤路由器的机器)的IP为192.168.X.X。

在内⽹环境下，我们外界是⽆法访问的，就是机器中了⽊马也没⽤。

下⾯⼤家看下我的⽰意图。

简单来说，内⽹的机器是⽐较安全的，外界是⽆法访问的，就是我们连接不了内⽹器。

⽽连接内⽹的机器，除⾮在同区域⽹⾥(在⽹吧A机，就能⽤RIDMIN连接⽹吧的B机). 简单总结：在不同区域⽹下，正向⽊马只能连接到外⽹的机器，⽽不能连接到内⽹的机器 由于⼀系列的不⾜，就产⽣了反弹连接⽊马，例如出门的国产软件：灰鸽⼦ 反弹连接⽊马，就是在我们机器上开启⼀个端⼝，让中马者来连接我们，从⽽获得⾁鸡的信息，就算对⽅的IP怎么改变，也是⽆际于事。

如果我们⾃⼰机器上的IP改变了，⾁鸡就⽆法找到我们的机器，从⽽⽆法获得⾁鸡的信息，不过这点是不成问题的，WWW兴起，就有了域名。

在⽹络中通过的对域名的访问能找到⾃⼰对应的IP地址，例如的IP地址为22.181.38.4 如果百度的IP变成12.11.22.3的话，只要域名不改变，就算IP地址怎么变，它也能找到你。

就算是内⽹的机器，我们也能获得他的信息。

总结到底：本地开启1个端⼝，⾁鸡连接上我们，就算是内外⽹的机器也可以 反弹连接⽊马最头疼的地⽅就是使⽤者是内⽹状态的(⼤家可以看我的路线图，蓝⾊为反弹连接，⿊⾊为正常连接)。

第2章 黑客常用的攻击方法
1
计算机网络安全技术

木马攻击技术
第2章 黑客常用的攻击方法
2
木马（Trojan horse）
2015年新增病毒样本3715万例

木马是一种基于远程 控制的黑客工具 隐蔽性 潜伏性 危害性

非授权性
木马攻击技术
木马的工作原理——本质上是一个C/S模式的程序
第2章 黑客常用的攻击方法
Netspy (网络精灵)
流行 木马
网络公牛
远程访问型
下载型木马
广外女生
网络神偷(Nethief)
木马攻击技术
第2章 黑客常用的攻击方法
5
木马实施攻击的步骤
配置木马
木马伪装 信息反馈
启动木马
自动启动 潜伏待命
远程控制
传播木马
软件下载、邮件附件 淫秽图片、通信软件
建立连接
主动连接 被动连接
01
02
03
3
控制端
被植入木马的PC（server程序）
端口
操作系统
TCP/IP协议
TCP/IP协议 端口
操作系统
控制木马的PC（client程序）
端口处于监听状态
木马攻击技术
第2章 黑客常用的攻击方法
4
木马的分类
破坏型 密码发送型 代理型
流行木马简介
冰河
back orifice
Subseven
键盘记录型
FTP型
04
05
木马攻击技术
第2章 黑客常用的攻击方法
6
冰河木马

服务器端程序：G-server.exe
客户端程序：G-client.exe

木马常见植入方法大曝光对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。

实验9 灰鸽子木马的种植、检测和清除(本次实验不要求提交实验报告)实验目的：1 通过灰鸽子木马的种植方法、控制端操作方法，了解反弹端口木马的特点2 通过灰鸽子木马，了解无进程木马3 了解灰鸽子木马的隐藏技术实验原理：灰鸽子木马是当前较为常见的木马。

该木马使用了进程插入技术，运行时没有木马进程，只有一个被插入其它进程运行的dll文件。

为了达到隐藏木马文件、注册表表项的目的，增加检测的难度，该木马会拦截部分api函数调用，使用常规的办法难以发现木马文件和注册表表项的存在。

灰鸽子木马的开发者声称该软件主要用于远程控制。

需要正常使用该软件，需要支付费用。

但目前网上存在众多的破解版，这些版本可以使用大部分功能。

因为这些破解版不是开发者发布的原始版本，已经经过改动，本身也有可能成为另一个木马的载体，因此使用的时候需要承担一定的风险。

灰鸽子木马的运行方式和冰河等传统木马有很大区别，网络连接方式使用“反弹端口”的方式。

而且灰鸽子木马的连接地址是动态可变的。

为了让木马的被控端正确连接到控制端，需要把控制端的地址存放在一个固定可以访问的Web网页中。

当控制端地址发生改变的时候，只需要修改该网页的内容就可以了。

被控端（木马）查询地址，并与控制端（黑客）建立连接的过程如下：灰鸽子木马的正式发布版本一般只有一个可执行文件：H_client.exe，用于被控端的文件需要由H_client.exe 来生成。

破解版本除了有这个文件外，一般还带有一个修改系统hosts文件的可执行程序，和一个简单的http服务器。

本实验以一个网上常见的sunray 破解版为例，介绍灰鸽子木马的使用方法、检测方法和清除方法实验步骤：1.以下步骤1---- 9 用于生成灰鸽子木马的被控端文件。

这个文件需要在被控端运行，运行后会自动种植到被控端主机。

从课件ftp下载文件“灰鸽子sunray破解版.zip”。

解压密码在压缩包的注释内。

解压缩于一个文件夹（以下假设为“d:\灰鸽子sunray破解版”）内。

网络攻击原理
首先，攻击者通过利用系统服务的漏洞或者管理员 的配置错误等方法，来进入一些安全措施较差的小 型站点以及单位中的服务器。 然后，攻击者在所侵入的服务器上安装攻击软件。 其目的在于隔离网络联系，保护攻击者，使其不会 在攻击进行时受到监控系统的跟踪，同时也能够更 好地协调进攻。 再后，攻击者从攻击控制台向各个攻击服务器发出 对特定目标的攻击命令。攻击器接到攻击命令后， 就开始每一个攻击器都会向目标主机发出大量的服 务请求数据包。这些包所请求的服务往往要消耗较 大的系统资源，这就会导致目标主机网络和系统资 源的耗尽，从而停止服务，甚至会导致系统崩溃。
8
服务器安全
在服务器上做必要的设置，防止网络攻击等造成服务器的停机。 安装防病毒软件，防止病毒传染服务器 防火墙的设置，防止黑客攻击
启用审计，对用户登录、访问敏感数据进行记录
9
服务器安全
安装Windows 2003前，先断开和网络的连接，避免在防火墙启 用之前就被网络病毒感染。 管理员administrator密码不能为空。 安装完Windows 2003后，首先启用防火墙！
U盘安全防护
如上述情况，Autorun.inf和auto.exe两 个文件一定会成对出现在U盘中，而且往 往文件属性被设置为隐藏，使用户无法直 接发现。病毒感染操作系统后，会在各个 分区下成对写入这两个文件，包括新插入 的U盘和移动硬盘，以此来继续感染下一 台计算机。
U盘安全防护
我们习惯的U盘打开方式：
U盘安全防护
安装卡卡上网安全助手免疫U盘病毒
U盘安全防护
卡卡U盘免疫的原理
当U盘插入后，卡卡在U盘上直接创建Autorun.inf的文件夹，删除 病毒所建立的Autorun.inf文件。