木马讲座

15
ACCP V4.0
木马的工作原理之隐藏
在任务栏里和服务管理器中隐藏
如果在windows的任务栏里出现一个莫名其妙的图标， 傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程 时是很容易实现的。我们以C#为例。在C#中，只要把 form的ShowInTaskBar属性设置为False Ctrl+Alt+Del后,在应用程序中可以看见一个木马程序 在运行，那么这肯定不是什么好木马。所以，木马会千方 百计地伪装自己，使自己不出现在任务管理器里。木马发 现把自己设为 '系统服务“就可以轻松地骗过去。在C#中， 只要把form的WindowState属性设置为Minimized
2
ACCP V4.0
什么是木马
古希腊传说，特洛伊王子帕里斯访问希腊，诱走 古希腊传说，特洛伊王子帕里斯访问希腊， 了王后海伦，希腊人因此远征特洛伊。围攻9 了王后海伦，希腊人因此远征特洛伊。围攻9年 到第10年 希腊将领奥德修斯献了一计， 后，到第10年，希腊将领奥德修斯献了一计， 这不是小鸡吃米 就是把一批勇士埋伏在一匹巨大的木马腹内， 就是把一批勇士埋伏在一匹巨大的木马腹内， 图吗？ 图吗？ 放在城外后，佯作退兵。 放在城外后，佯作退兵。特洛伊人以为敌兵已 就把木马作为战利品搬入城中。到了夜间， 退，就把木马作为战利品搬入城中。到了夜间， 埋伏在木马中的勇士跳出来，打开了城门， 埋伏在木马中的勇士跳出来，打开了城门，希 腊将士一拥而入攻下了城池。后来， 腊将士一拥而入攻下了城池。后来，人们在写 文章时就常用“特洛伊木马”这一典故， 文章时就常用“特洛伊木马”这一典故，用来 比喻在敌方营垒里埋下伏兵里应外合的活动特 洛伊木马没有复制能力， 洛伊木马没有复制能力，它的特点是伪装成一 个实用工具或者一个可爱的游戏， 个实用工具或者一个可爱的游戏，这会诱使用 户将其安装在PC或者服务器上 或者服务器上。 户将其安装在PC或者服务器上。
20
ACCP V4.0
木马制作之组成
一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 硬件部分，软件部分和具体连接部分 硬件部分
硬件部分
控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载 体。
软件部分
控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。
24
ACCP V4.0
10
ACCP V4.0
木马的工作原理之启动
1：在Win.ini中启动 ： 中启动
在Win.ini的[windows]字段中有启动命令'load ＝'和'run＝'，在一般情况下 '＝'后面是空白的， 如果有后跟程序，比方说是这个样子： run=c:\windows\file.exe load=c:\windows\file.exe 要小心了，这个file.exe很可能是木马哦。 类似的还有：System.ini，Autoexec.bat， ， ， Config.sys，Winstart.bat，*.INI （配置文件） ， ，
17
ACCP V4.0
木马的工作原理之注入
开山文件合并器工具：这样的绑定都已经很容易 被杀毒软件检测出来 用RAR文件进行打包 1：双击打开RAR文件 2：进入“高级自解压选项”进行设置 3：切换到“常规”标签，进入“安装程序”设置。 4：接着切换到“模式”标签，分别选中”隐藏启 动对话框“和”覆盖所有文件“选项。 5：文本和图标标签中给自解压文件替换一个图表
7
ACCP V4.0
木马的宏观状况之网银1ቤተ መጻሕፍቲ ባይዱ
每月160 每月
三年600倍 倍 三年
8
ACCP V4.0
木马的宏观状况之蔓延
利益的驱使 带毒网站数量众多 QQ 尾巴为木马传播推波助澜 黑客网站对木马明码标价 等服务平台助长蔓延态势 法律的不健全
9
ACCP V4.0
木马的工作原理
目标和手段 A：有什么信息好偷（编写动机） B：怎样偷得到（传播手段） 原理 1:如何注入 2:如何启动 3:运行时如何隐藏 4:文件如何伪装
22
ACCP V4.0
木马预防
增强全民防范意识
你根本没有打开浏览器，而览浏器突然自己打开，弹出来 一些广告窗口 你正在操作电脑，突然一个警告框或者是询问框弹出来， 问一些你从来没有在电脑上接触过的间题。 你的Windows系统配置老是自动莫名其妙地被更改。比如 屏保显示的文字，时间和日期，声音大小，鼠标灵敏度， 还有CD-ROM的自动运行配置。 硬盘老没缘由地读盘，软驱灯经常自己亮起，网络连接及 鼠标屏幕出现异常现象。
13
ACCP V4.0
木马的工作原理之启动
4.修改文件关联 修改文件关联
比方说正常情况下TXT文件的打开方式为 Notepad.EXE文件，但一旦中了文件关联木马，则txt文件 打开方式就会被修改为用木马程序打开，如著名的国产木 马冰河就是这样干的. '冰河'就是通过修改 HKEY_CLASSES_ROOT\txtfile\shell\open\command下 的键值，将 'C:\WINDOWS\NOTEPAD.EXE%l'改为 'C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l'，这样，一 旦你双击一个TXT文件，原本应用Notepad打开该文件， 现在却变成启动木马程序了. 好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如 HTM、EXE、等都是木马的目标，要小心搂。 、 、
23
ACCP V4.0
木马预防
锁定注册表:这样木马就没有办法进行注册表的操 作,导致木马的很多功能实现不了. windows\command\debug.exe和 windows\ftp.exe改名 或删除 经常清理临时文件夹和IE 方法:假如你中了smss.exe这个木马,文件保存在 方法 C:\indows目录下,首先结束木马程序smss.exe,然 后在C:\windows目录下创建一个名的 smss.exe 并设置为只读属性. (2000/XP NTFS的磁盘格式 的话那就更好,可以用“安全设置” 设置为读取) 这样木马没了,以后也不会在感染了.
11
ACCP V4.0
木马的工作原理之启动
2.利用注册表加载运行 利用注册表加载运行
记录到注册表的 [HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Run]项和 [HKEY_LOCAL_MACHINE\SOFTWARE\Micros oft\Windows\CurrentVersion\Run]项中，更高级 的木马还会注册为系统的“服务”程序，以上这 几种启动方式都可以在“系统配置实用程序”(在 “开始→运行”中执行“Msconfig”)的“启动” 项和“服务”项中找到它的踪迹。
具体连接部分
通过INTERNET在服务端和控制端之间建立一条木马通道所必须 的元素。 控制端IP，服务端IP：即是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口.
21
ACCP V4.0
木马制作之知识点
文件操作（C#） 多线程（C#） 网络连接（WinForm） 注册表的操作（ WinForm ）
16
ACCP V4.0
木马的工作原理之伪装
修改图标 捆绑文件:捆绑的文件一般是可执行文件 (即EXE、 COM一类的文件) 出错显示:如 ‘文件已破坏，无法打开!’之类的信 息 自我销毁:弥补木马的一个缺陷 木马更名:例如改为window.exe，不告诉你这是木 马的话，敢删除吗?还有的就是更改一些后缀名， 比如把dll改为dl等，不仔细看的，你会发现吗?
12
ACCP V4.0
木马的工作原理之启动
3.启动组 启动组
木马们如果隐藏在启动组虽然不是十分隐蔽， 但这里的确是自动加载运行的好场所，因此还是 有木马喜欢在这里驻留的。启动组对应的文件夹 为C:\Windows\start menu\programs\startup, 在注册表中的位 置:HKEY_CURRENT_USER\Software\Microsoft\ windows\CurrentVersion\Explorer\shell 要注意经常检查启动组哦! 要注意经常检查启动组哦
3
ACCP V4.0
木马的发展
第一阶段
最初网络还处于以UNIX平台为主的时期，木马就产生了，在这 个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网 络和编程知识。
第二阶段
随着WINDOWS平台的日益普及，一些基于图形操作的木马程序 出现了，用户界面的改善，使用者不用懂太多的专业知识就可以熟练 木马，相对的木马入侵事件也频繁出现，而且木马的功能已日趋完善， 对服务端的破坏也更大了。 木马发展到今天，已经无所不极，一旦被木马控制，你的电脑将 毫无秘密可言。
14
ACCP V4.0
木马的工作原理之启动
5.捆绑文件 捆绑文件
实现这种触发条件首先要控制端和服务端已 通过木马建立连接，然后控制端用户用工具软件 将木马文件和某一应用程序捆绑在一起，然后上 传到服务端覆盖源文件，这样即使木马被删除了， 只要运行捆绑了木马的应用程序，木马义会安装 上去。绑定到某一应用程序中，如绑定到系统文 件，那么每一次Windows启动均会启动木马。
此外，报告还显示出一个新的趋势，２００７年出现了大 单一病毒感染的计算机数量不再是 量新（变种）病毒。单一 （变种） 单一 衡量其危害的标准，频繁生成的变种有效加速了病毒的 传播。
6
ACCP V4.0
木马的宏观状况之趋势
趋势 动机：自我炫耀 目标：到处蔓延 收集敏感或有价值的信息 针对性攻击