基于木马入侵防御(一基本原理)

操作小任务5：把操作小任务4配置的木马服务器端程 序在目标主机上运行，并验证配置，具体验证步骤和 要求如下： 把进程中的木马停止运行，重新启动系统，再次查看 木马服务器端程序是否再次运行，输入MSCONFIG.EXE 命令查看系统启动选项，去掉木马启动的勾选，再次 验证。 把进程中的木马服务器端进程停止运行，打开一个txt 文件，查看它是否再次运行，验证关联启动。
特洛伊木马具有的特性
隐蔽性 自动运行性 具备自动恢复功能 能自动打开特别的端口 功能的特殊性

操作小任务3：控制端找到那些电脑中了服务器端程序 ，进而可以控制它。找到以后，尝试以下控制操作， 并截屏。 在查看对方电脑上文件,创建文件，删除文件。 查看对方电脑的屏幕. 控制对方电脑的屏幕. 信使服务,发送hello信息 修改对方电脑的桌面 重新启动对方电脑
具备自动恢复功能
现在很多的木马程序中的功能模块不再 由单一的文件组成，而是具有多重备份 ，可以相互恢复。当你删除了其中的一 个，以为万事大吉又运行了其他程序的 时候，谁知它又悄然出现。像幽灵一样 ，防不胜防。
操作小任务4：在冰河木马的控制端重新 配置一个服务器端程序，要求如下： 勾选“写入注册表启动项” 键名为自己 名字的拼音。 勾选“关联” 关联类型为“txtfile”.
木马的种类
破坏型 密码发送型 远程访问型 键盘记录型 Dos攻击木马 代理木马 ftp木马 程序杀手木马 反弹端口型木马
破坏型
惟一的功能就是破坏并且删除文件，可 以自动的删除电脑上的DLL、INI、EXE文 件。
密码发送型
可以找到隐藏密码并把它们发送到指定 的信箱。有人喜欢把自己的各种密码以 文件的形式存放在计算机中，认为这样 方便；还有人喜欢用WINDOWS提供的密码 记忆功能，这样就可以不必每次都输入 密码了。许多黑客软件可以寻找到这些 文件，把它们送到黑客手中。也有些黑 客软件长期潜伏，记录操作者的键盘操 作，从中寻找有用的密码。
基于木马的入侵防御
木马原理
前言
入侵者在攻击成功以后，大多数种植一 个自己的木马，已备以后方便进入系统 。本章将介绍木马的种类和原理。
木马的组成
完整的木马程序一般由两个组成，一个 是服务器程序，一个是控制器程序。“ 中了木马”就是指安装了木马的服务器 程序，若你的电脑被安装了服务器程序 ，则拥有控制器程序的人就可以通过网 络控制你的电脑、为所欲为，这时你电 脑上的各种文件、程序，以及在你电脑 上使用的帐号、密码就无安全可言了。
操作小任务1：打开冰河木马的控制端程 序, 生成一个服务器端程序(即被控制端 程序),要求配置具体信息如下: 安装路径为默认 文件名称为姓名拼音,如lili.exe 进程名称为姓名拼音。 访问口令自己定义。 监听端口自定义。
操作小任务2：验证操作小任务1的配置 ，把冰河木马的服务器段程序以某种方 式放到目标主机上，并执行。逐一验证 查看操作小任务1的配置，所有的验证要 求截屏。
木马如何启动
修改文件关联
修改文件关联是木马们常用手段 (主要是国 产木马，老外的木马大都没有这个功能)， 比方说正常情况下TXT文件的打开方式为 Notepad.EXE文件，但一旦中了文件关联木 马，则txt文件打开方式就会被修改为用木 马程序打开，如著名的国产木马冰河就是这 样干的.
木马如何启动
DoS攻击木马
随着DoS攻击越来越广泛的应用，被用作 DoS攻击的木马也越来越流行起来。当你 入侵了一台机器，给他种上DoS攻击木马 ，那么日后这台计算机就成为你DoS攻击 的最得力助手了。你控制的肉鸡数量越 多，你发动DoS攻击取得成功的机率就越 大。所以，这种木马的危害不是体现在 被感染计算机上，而是体现在攻击者可 以利用它来攻击一台又一台计算机，给 网络造成很大的伤害和带来损失。
在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于 Autoexec.bat的批处理文件，也是一个能自动被 Windows加载运行的文件。它多数情况下为应用 程序及Windows自动生成，在执行了Windows自动 生成，在执行了Win.com并加截了多数驱动程序 之后开始执行 (这一点可通过启动时按F8键再选 择逐步跟踪启动过程的启动方式可得知)。由于 Autoexec.bat的功能可以由Witart.bat代替完成 ，因此木马完全可以像在Autoexec.bat中那样被 加载运行，危险由此而来。
功能的特殊性
通常的木马功能都是十分特殊的，除了 普通的文件操作以外，还有些木马具有 搜索cache中的口令、设置口令、扫描目 标机器人的IP地址、进行键盘记录、远 程注册表的操作以及锁定鼠标等功能。 上面所讲的远程控制软件当然不会有这 些功能，毕竟远程控制软件是用来控制 远程机器，方便自己操作而已，而不是 用来黑对方的机器的。
捆绑文件
实现这种触发条件首先要控制端和服务端已 通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起 ，然后上传到服务端覆盖源文件，这样即使 木马被删除了，只要运行捆绑了木马的应用 程序，木马义会安装上去。绑定到某一应用 程序中，如绑定到系统文件，那么每一次 Windows启动均会启动木马。
木马的工作原理
实际就是一个C/S模式的程序（里应外合）
被植入木马的PC（server程序）
操作系统 TCP/IP协议 端口
端口处于监听状态
端口 TCP/IP协议 操作系统
被植入木马的PC（client程序）
控制端
木马的工作原理
木马主要通过邮件、下载等途径传播 木马还可通过Script、ActiveX及 ASP.CGI等交互脚本进行传播 一方面，木马的服务器端程序会尽可能 地隐蔽行踪，同时监听某个端口，等待 客户端连接；另一方面，服务器端程序 通过修改注册表等方法实现自启动功能 。
木马是如何启动的
作为一个优秀的木马，自启动功能是必不可少 的，这样可以保证木马不会因为你的一次关机 操作而彻底失去作用。正因为该项技术如此重 要，所以，很多编程人员都在不停地研究和探 索新的自启动技术，并且时常有新的发现。一 个典型的例子就是把木马加入到用户经常执行 的程序 (例如explorer.exe)中，用户执行该 程序时，则木马自动发生作用。当然，更加普 遍的方法是通过修改Windows系统文件和注册 表达到目的 。
木马如何启动
通过启动组实现自启动
启动组是专门用来实现程序自启动地地方，位于 “c:\documents and setting\administrator\star menu\program\start up”,注册表中对应的位置为： “HKEY_CURRENT_USER\software\microsoft\windo ws\currentversion\explorer\shellfolders”.
木马如何启动
在win.ini中启动
在win.ini中的[windows]字段中有启动命令 “load=”、“run=”,默认情况下，“=”后面是空的 ，可以把加载程序写在这里，如： run=c:\windows\sample.exe
在system.ini中启动
system.ini位于windows的安装目录下，其中 [boot]字段的shell=Explorer.exe是木马常用来隐 藏加载的地方，通常的做法是： shell=Explorer.exe sample.exe system.ini中的[386Enh]字段中的“driver=路径\ 程序名”也可以用来实现自启动，此外[mic]、 [drivers]、[drivers32]也是加载程序的好地方。
பைடு நூலகம்
*.ini
后缀为.ini的文件是系统中应用程序的启动配置文 件，木马利用这些文件能自启动应用程序的特点， 将制作好的带有木马服务端程序的自启动命令的文 件上传到目标主机，就可达到自启动的目的
在Autoexec.bat和Config.sys中加载运行
请大家注意，在C盘根目录下的这两个文件 也可以启动木马。但这种加载方式一般都需 要控制端用户与服务端建立连接后，将己添 加木马启动命令的同名文件上传到服务端覆 盖这两个文件才行，而且采用这种方式不是 很隐蔽。容易被发现，所以在Autoexec.bat 和Confings中加载木马程序的并不多见，但 也不能因此而掉以轻心。
远程访问型
最广泛的是特洛伊马，只需有人运行了 服务端程序，如果客户知道了服务端的 IP地址，就可以实现远程控制。以下的 程序可以实现观察"受害者"正在干什么 ，当然这个程序完全可以用在正道上的 ，比如监视学生机的操作。
键盘记录木马
这种特洛伊木马是非常简单的。它们只 做一件事情，就是记录受害者的键盘敲 击并且在LOG文件里查找密码