木马攻防

木马攻击与防范 一、实验目的 1.熟悉木马的原理和使用方法，学会配制服务器端及客户端程序。 2.掌握木马防范的原理和关键技术。 二、实验原理 1.木马攻击：特洛伊木马（以下简称木马），英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能类似，如Symantec的pcAnywhere，但木马有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，用户从不正规的网站上下载和运行了带恶意代码的软件，或者不小小心点击了带恶意代码的邮件附件。 大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户一运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号、程序启动时机。如何发出调用、如何隐身、是否加密。另外，攻击者还可以设置登录服务器的密码，确定通信方式。木马攻击者既可以随心所欲的查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。 木马的者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很难找到并清除它。木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。常见的木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频的功能。这些木马可以当做键记录器、远程登录控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置木马监听端口、运行方式，以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其他攻击者开发附加的功能。 木马程序中最著名的当属Back Orifice（BO2K）以多功能，代码简洁而著称。BO2K程序主要分成以下三个部分。 （1）bo2k.exe：这是服务器程序，它的作用就是负责执行入侵者的命令。 （2）bo2kgui.exe：这是BO2K的客户端程序，其主要作用就是用来控制服务器程序执行。 （3）bo2kcfg.exe：这是服务器设置程序，在使用bo2k.exe服务器程序之前，有一些相关的功能必须通过它来进行设置，如使用的TCP/IP端口、程序名称、密码等。 2.木马防范：为了防止用户发现，木马程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏，这是最基本的。只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以伪装自己。当然它也会悄无声息的启动，木马会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，木马都会用上，如启动组、win.ini、system.ini、注册等都是木马藏身的好地方。 目前除了上面介绍的隐身技术外，更隐藏的方法已经出现，那就是驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般木马不同，它基本上摆脱了原有的木马模式——监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀），不需要打开新的端口（所以不能用端口监视的方法查杀），没有新的进程（所以使用进程查看的方法发现不了它，也不能用杀掉进程的方法终止它的运行）。在正常运行时木马几乎没有任何的症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。 知道了木马的攻击原理和隐身方法，就可以采取进行防御了。 1.端口扫描；2.查看连接；3.检查注册表；4.查找文件。 三、实验环境 Windows操作系统，网络环境，BO2K软件，The cleaner软件。 四、实验步骤 任务一 木马的安装和使用 1.BO2K的安装：BO2K一般都是以压缩文件在网上发布的。下载并解压后打开即可看到图1所示文件，包括服务器bo2k.exe、服务器配置工具bo2kcfg.exe、客户端bo2kgui.exe，子文件夹plugins内包含用于扩展服务器和客户端功能的插件。 图1 2.服务器端程序的配置： （1）启动BO2K的配置工具。运行bo2kcfg.exe，单击Open Server，输入要配置的服务器文件，选择图1中的bo2k.exe，如图2。 图2 （2）配置插件。单击Insert添加插件，插件放在图1所示的plugins文件夹中，添加的插件包括auth、enc、io、srv、misc目录下的所有DLL文件，如图3。 图3 （3）服务器配置。单击Options Variables选项卡，可以配置BO2K服务器所使用网络通信方式、端口号、加密方法等。选择使用默认配置即可。 （4）单击Save Server保存配置信息，然后单击Exit推出配置程序。 （5）双击bo2k.exe就可以运行服务器程序。 3.客户端程序的使用 假设服务器端程序已在192.168.1.105上运行了，通信方式为TCP，端口为54320。在另外一台计算机上找到BO2K的客户端系统bo2kgui.exe。 （1）启动bo2kgui.exe，如图4。 图4 （2）插件配置。单击菜单Plugins|Configure…单击Insert添加插件，插件在图1中的plugins中，添加的插件包括auth、enc、io、cli、misc目录下的说有DLL文件。可以通过Options列表框选择插件，对插件进行配置。单击Done关闭插件配置程序。 （3）添加服务器。单击客户端File|New Server菜单项添加一个服务器信息，如图5所示。输入服务器的地址和名称。 图5 （4）启动连接。添加服务器成功后，在客户端得服务器列表中将出现服务器信息。双击test，出现连接界面，然后单击Connection，启动与服务器的连接，连接成功后出现如图6所示控制台界面。 图6 在该控制台上，可以从左边的列表框中选择要远程执行的命令，然后单击Send Command。执行结果显示在底部的文本框中。BO2K里有七十多条命令，这些命令用来在服务器上搜集数据和控制服务器。 （5）对安装了BO2K木马的机器进行分析，进行手工清除。 任务二 木马防范工具的使用 1.安装the cleaner软件 2.扫描木马病毒 在the cleaner程序的主界面中，在Scan 选项卡中，选在smart scan或full scan进行扫描。 3.清除木马病毒 假如the cleaner检测到木马，可以选择如下做法：选择clean all将木马一次性清除掉；也可以选择details，查看木马的具体信息；还可以选择Trojan DB，看检测到的木马采用何种方式危害系统；也可以有选择性的清除木马，单击clean selected即可。 五、实验报告 1．分析通过BO2K可以对远程计算机实施哪些操作，了解木马的危害。 2.通过任务管理器等常规工具检查BO2K，分析BO2K采取了哪些隐藏技术，分析如何手工清除木马程序。 3.分析清楚木马的主要工作原理。