木马实例
[]木马实例
![[]木马实例](https://img.taocdn.com/s3/m/38dad4f7534de518964bcf84b9d528ea81c72f47.png)
木马原理
木马组成:
由服务器端程序和客户端程序组成。 服务器端程序安装在被控制对象的计算机
上,客户端程序安装在控制者的计算机上 控制者使用客户端程序控制用户的计算
机,实现对远程计算机的控制 。
2
木马原理
木马特点:
伪装性:伪装成其他程序来迷惑用户 潜伏性:能够毫无声响的打开端口等待外部链
QQ尾巴传播:利用QQ传播木马病毒,称为”QQ尾 巴”或”QQ木马”, 病毒隐藏在用户系统中,发作 时会查找QQ窗口,向在线上的QQ好友发送假消 息,诱惑用户单击网址链接。
早期QQ尾巴在QQ用户发送的消息之后自动附加一段文 字
后期变种会自动检测好友上线,并偷偷自动发送消息
23
网页木马与漏洞
31
木马实例—冰河
3)修改注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Runservices
4)处理文件关联 修改HKEY_CLASSES_ROOT\txtfile\shell
\open\command\ 恢复关联项 c:\windows\system32\notepad.exe %1
注册表启动组
HKEY_CURRENT_USER\Software\MICROSOFT\Win dows\CurrentVersion\Explorer\ShellFolder 下的Startup键值,更改启动组路径
17
木马启动方式
修改注册表
注册自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Wind ows\currentVersion\Run 注册服务
实验4-冰河木马实验
实验4-冰河木马实验实验报告如有雷同,雷同各方当次实验成绩均以0分计。
2. 在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。
实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。
若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。
冰河控制工具中有二个文件:G_Client.exe ,以及G_Server.exe 。
G_Client.exe 是监控端执行程序,可以用于监控远程计算机和配置服务器。
G_Server.exe 是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何本班序号 姓名警示提示)。
运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。
而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。
冰河木马的主要功能:(1)自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。
(2)记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。
(3)获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。
(4)限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
(5)远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。
(6)注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
(7)发送信息:以四种常用图标向被控端发送简短信息。
有哪些计算机病毒的典型案例
有哪些计算机病毒的典型案例计算机病毒是一种可以通过网络或存储介质传播的恶意软件,它们可以对计算机系统造成严重的破坏。
在计算机领域,病毒是一种非常常见的安全威胁,而且它们的种类也非常多样。
接下来,我们将介绍一些典型的计算机病毒案例,以便更好地了解这些威胁。
1. Melissa病毒。
Melissa病毒是一种在1999年出现的宏病毒,它主要通过电子邮件传播。
一旦用户打开了感染了Melissa病毒的电子邮件附件,病毒就会开始自动复制并发送自己给用户的联系人。
由于它的快速传播速度,Melissa病毒曾一度引起了全球性的恐慌,造成了大量的计算机系统瘫痪。
2. ILOVEYOU病毒。
ILOVEYOU病毒是一种在2000年出现的蠕虫病毒,它通过电子邮件发送“我爱你”的主题来诱使用户打开感染文件。
一旦用户打开了附件,病毒就会开始破坏用户的文件,并且自动发送自己给用户的联系人。
ILOVEYOU病毒造成了数十亿美元的损失,成为了互联网历史上最具破坏力的病毒之一。
3. WannaCry勒索病毒。
WannaCry病毒是一种在2017年出现的勒索病毒,它利用Windows操作系统的漏洞进行传播。
一旦用户的计算机感染了WannaCry病毒,病毒就会加密用户的文件,并要求用户支付赎金才能解密。
WannaCry病毒曾一度造成了全球范围内的大规模感染,影响了包括医疗、金融在内的多个行业。
4. Zeus木马病毒。
Zeus病毒是一种银行木马病毒,它主要通过网络钓鱼和恶意软件下载器进行传播。
一旦用户的计算机感染了Zeus病毒,病毒就会窃取用户的银行账号和密码,并用于非法转账。
Zeus病毒曾造成了大量用户的财产损失,成为了银行业安全的重大威胁。
5. Stuxnet病毒。
Stuxnet病毒是一种专门针对工业控制系统的病毒,它主要通过USB设备进行传播。
一旦感染了工业控制系统,Stuxnet病毒就会破坏系统中的控制程序,导致工业设备的故障和瘫痪。
常见的计算机病案例分析
常见的计算机病案例分析计算机病毒是指一种能够在计算机系统中快速传播、破坏系统功能并且自我复制的恶意软件,给计算机系统和用户带来不同程度的危害。
随着计算机技术的不断发展,各种类型的计算机病毒层出不穷。
本文将对常见的计算机病毒案例进行分析,以便更好地了解计算机病毒的特点和防范措施。
一、蠕虫病毒案例分析蠕虫病毒是一种能够自我复制并在计算机网络中传播的恶意软件。
2001年,“伊洛扎病毒”(ILOVEYOU)的爆发就是蠕虫病毒的典型案例。
该病毒通过电子邮件发送,并自动复制并发送给用户的联系人。
一旦用户打开这个附件,病毒就会释放并开始传播,导致大量计算机系统瘫痪。
针对蠕虫病毒的防范措施主要包括及时更新杀毒软件和系统补丁、不随意打开陌生邮件和链接、加强用户教育等。
此外,建立健全的网络安全策略和完善的防火墙也是重要的预防措施。
二、木马病毒案例分析木马病毒是一种隐藏在合法软件中的恶意代码,通过欺骗用户而进行自我复制和传播。
2005年,“黑客之门”(Blackhole)木马病毒的出现引起了广泛的关注。
该病毒通过网络攻击获取用户终端的控制权,窃取用户的隐私信息和敏感数据。
预防木马病毒的关键是提高用户的信息安全意识和加强软件来源的可信度。
用户应避免下载未知来源的软件,及时更新操作系统和应用程序,并通过安装防病毒软件和防火墙等安全工具进行保护。
三、病毒勒索案例分析病毒勒索是指黑客利用恶意软件对计算机进行攻击,并要求用户支付“赎金”以解密或恢复文件和数据的过程。
2017年,“勒索病毒WannaCry”(WannaCry)的爆发引起了全球范围内的恶性感染。
该病毒通过利用操作系统漏洞进行攻击,并迅速传播至全球数十万台计算机。
预防病毒勒索的关键是定期备份重要数据和文件,并使用强密码对其进行保护。
此外,及时安装系统补丁和防病毒软件、禁用不必要的网络服务和端口也是必要的防范措施。
四、间谍软件案例分析间谍软件是一种监视用户计算机活动并收集用户隐私信息的恶意软件。
七种常见木马破坏表现及清除方法
七种常见木马破坏表现及清除方法木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
一、网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。
服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe 将自动运行,因此很隐蔽、危害很大。
同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。
如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
二、Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
第5章b2 特洛伊木马实例
——BO2K
信息安全工程学院
BO(Back Orifice)是典型的远程访问型木马。这 种木马借着远程控制的功能,用起来非常简单, 只需先运行服务端程序,同时获得远程主机的IP 地址,控制者就能任意访问被控制的计算机。这 种木马可以使远程控制者在本地机器上任意的事 情,比如键盘记录、上传和下载功能、发送一个 截取屏幕等等。
Map Port -> TCP File Receive:从一个指定的端口收取 文件,要指定端口号和文件名,详细路径
信息安全工程学院
BO2K演示
信息安全工程学院
信息安全工程学院
BO2K的代码分析
信息安全工程学院
接上页
信息安全工程学院
BO2K的功能(精简)
Ping:给一台计算机发个数据包看它能否被访问
Query:返回服务器上的BO的版本号 Rebook-up Machine:冻住服务器,要他重启动
List Passwords:取得服务器上的用户和密码 Get System Info:取得Machine Name--机器名、Current User--当前用户、Processor--CPU型号、Operating system version (SP version)--操作系统版本号(补丁版 本)、Memory (Physical and paged)--内存(物理内存 和虚拟内存)、All fixed and remote drives--所有的固定 存储器和远程驱动器
信息安全工程学院
Log Keystrokes:把按键记录到一个文件里,要指定一个 文件存储输出结果
End Keystroke Log:停止记录按键
View Keystroke Log:察看按键记录文件
一句话木马的使用
以“”为例。在浏览器中打开“/join/listall.asp?bid=2”,将地址栏中join后的/改为%5c,在提交后的返回返回信息中可以看到网站数据库地址:“’d:\wwwroot\shuilong\wwwroot\admin\adshuilonG!#).asp’”,数据库文件名中加入了“#”符号,“#”符号在IE中执行时被解释为中断符,要访问该数据库文件则必须将“#”号变为“23%”才可以。因此数据库文件的实际WEB地址为“/join/admin/adshuilonG!%23).asp”
//获取系统启动后经过的毫秒数
qTick = Environment.TickCount;
//计算得到系统启动后经过的分钟数
qTick /= 60000;
最后只需要用蓝屏木马连接数据库文件“/join/admin/adshuilonG!%23).asp”,然后上传ASP木马就可以控制该网站的服务器了。
“一句话木马”的防范
要防范“一句话木马”可以从两方面进行,首先是要隐藏网站的数据库,不要让攻击者知道数据库文件的链接地址。这就需要管理员在网页程序中查被暴库漏洞,在数据库连接文件中加入容错代码等,具体的防暴库方法在这里就不作过多的讲解了。
在Webshell中可以上传其它的文件或者安装木马后门、执行各种命令等,网站的服务器已经掌握在我们的手中,可以为所欲为了。
实例二 “社区超市”入侵动网论坛
Step1 检测入侵条件
以入侵论坛“/”为例。首先在浏览器地址栏中输入“/data/shop.asp”,回车后在浏览器页面中将显示访问"shop.asp"文件的返回信息。说明该论坛的社区超市数据库文件没有改名或删除,可以进行入侵。
计算机病毒犯罪案例有哪些
计算机病毒犯罪案例有哪些计算机病毒危害大,有可能会导致犯罪,那么用计算机病毒犯罪的案例有哪些呢?下面由店铺给你做出详细的介绍!希望对你有帮助!计算机病毒犯罪案例一:25岁的吕薜文,是广州市人,高中毕业。
法院在审理过程中查明,吕薜文于1997年4月加入国内“黑客”组织。
去年1月至2月,他盗用他人网络账号以及使用非法账号上网活动,并攻击中国公众多媒体通信网广州主机(即“视聆通”广州主机)。
成功入侵后,吕薜文取得了该主机系统的最高权限,并非法开设了两个具有最高权限的账号。
此后,他又多次非法入侵该主机,对其部分文件进行删除、修改、增加等一系列非法操作,包括非法开设四个账号作为自己上网之用和送给他人使用、安装并调试网络安全监测软件(未遂)。
同时,他为掩盖自己的行为,还将上网的部分记录删除、修改。
更为严重的是,吕薜文于去年2月25日和26日,三次修改了该主机系统最高权限的密码,致使密码三次失效,造成主机系统管理失控共计15个小时的严重后果。
此外,吕薜文还在去年2月12日对蓝天BBS主机进行攻击,获得该主机最高权限后又为自己非法开设一个最高权限用户账号。
广州市中级人民法院经审理认为,被告人吕薜文已构成破坏计算机信息系统罪。
作案人赵哲,现年28岁,在上海市某河北证券营业部工作。
今年4月16日窜至上海新闸路某证券公司营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使下午股市开盘不久,兴业房产和莲花味精两只股票瞬间便被拉到涨停板价位,成交量也急剧放大。
仅仅维持了片刻,这两只股票的价格又迅速回落,从而引起股价在短时间内剧烈震荡。
上海证券交易所发现这一情况后,查出是海南某证券公司出现大笔买盘所致。
经查询,发现电脑系统遭“黑客”侵入。
今天一审判决后,赵哲说:“法院的判决是公正的”。
此案给疏于防范的证券营业部敲响了警钟。
国内大学生黑客投“毒”第一案破译经过几天紧张分析,专家终于揭开YAI这个比CIH还凶猛的病毒秘密---编写者为重庆邮电大学计算机系一名大学生。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
木马启动方式
通过启动组实现自启动
C:\documents and settings\ Administrator\Start Menu\ Programs \Startup
注册表启动组
HKEY_CURRENT_USER\Software\MICROSOFT\Win dows\CurrentVersion\Explorer\ShellFolder 下的Startup键值,更改启动组路径
Content Type: audio/xwav; name=“hello.bat” Content-transfer-encoding:quoted-printable Content-ID:<THE-CID> echo OFF dir *.*
25
网页木马与漏洞2007年7月超级搜霸Bar.dll ActiveX 控件远程代码函数中
35
36
木马的检测
检查开放的端口:一般的木马都会在系统中 监听某个端口,可以通过查看系统上开启的 端口来判断是否有木马在运行 使用netstat –an 列出系统当前已建立的 连接和正在监听的端口
37
38
木马的检测
使用IceSword等工具检查隐藏的服务、进 程、注册表项等。
39
木马的清除
HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_CLASSES_ROOT\inffile\shell\open\command HKEY_CLASSES_ROOT\inifile\shell\open\command HKEY_CLASSES_ROOT\txtfile\shell\open\command
inprocServer3lassID: A7F05EE4-0426-454F-8013-C41E3596E9E9 [id(0x0000001d),helpstring(“method DloadDS”)] Void DloadDS( [in] BSTR bstrUrl , [in] BSTR bstrName, [in] long lShow ) ;
21
网页木马传播手段
被动传播 QQ尾巴传播
22
网页木马传播手段
被动传播:通过网页载体实现网页木马的 传播。
QQ尾巴传播:利用QQ传播木马病毒,称为”QQ尾 巴”或”QQ木马”, 病毒隐藏在用户系统中,发作 时会查找QQ窗口,向在线上的QQ好友发送假消 息,诱惑用户单击网址链接。
早期QQ尾巴在QQ用户发送的消息之后自动附加一段文 字 后期变种会自动检测好友上线,并偷偷自动发送消息
26
网页木马与漏洞
如果把bstrUrl设置为某个服务器中的 CAB文件,DloadDS()函数会尝试下载该 文件到TEMP目录并解压,然后执行其中以 bstrName命名的文件。攻击者可以构造包 含木马或者间谍软件的CAB文件。
27
网页木马与漏洞
2007年6月Web迅雷漏洞: 组件名称是 ”ThutiveXObject (“ThunderServer.webThunder.1”) 激活该组件,攻击者可利用组件提供函数 完成木马从下载到运行的全过程
41
防止浏览网页时传播木马:对IE进行安全设置。 使用防火墙 :阻止任何木马连接到黑客并进行远程 访问 。
42
23
网页木马与漏洞
漏洞是网页木马存在和发展的基础,网页 木马主要利用两种类型的漏洞:
逻辑型漏洞:利用系统本身提供的一些功能来 完成木马的下载和执行 溢出型漏洞:利用程序中的一些漏洞来获得浏 览器的控制权
24
网页木马与漏洞
2001年微软IE漏洞:在处理MIME头中的ContentType:处指定的某些类型时存在问题,攻击者可以 利用此缺陷在客户端执行任意命令。IE浏览器遇到 如下代码会执行恶意代码
5
木马种类
破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马
6
木马种类
代理木马 FTP木马 程序杀手木马 反向连接木马 网页木马
7
木马技术的发展
第一代木马:功能简单,将自己伪装成特 殊的程序或文件,诱使用户输入数据,木马 将自动记录数据并转发入侵者。 例:NetSpy 第二代木马: 现代木马的雏形,提供几乎 所有能够执行的远程控制操作 例: BO2000, Sub7, 冰河、广外女生
网页木马
网页木马:传播恶意代码的手段,用户在 访问一个黑客恶意构造的Web页面以后,会 在不知觉的情况下自己的系统被植入木马。 网页木马利用一些已知或者未知系统或者 第三方软件的漏洞,然后悄悄下载病毒木 马盗用户计算机中病执行。
20
网页木马
网页木马种类:
静态或动态网页木马 邮件网页木马 CHM网页木马 隐藏在媒体文件中的RM/RMVB网页木马 WMV网页木马 FLASH网页木马
1
木马原理
木马组成:
由服务器端程序和客户端程序组成。 服务器端程序安装在被控制对象的计算机 上,客户端程序安装在控制者的计算机上 控制者使用客户端程序控制用户的计算 机,实现对远程计算机的控制 。
2
木马原理
木马特点:
伪装性:伪装成其他程序来迷惑用户 潜伏性:能够毫无声响的打开端口等待外部链 接或主动发起连接 隐蔽性:运行隐蔽,甚至使用进程管理器都无 法发现 不易删除:采用了多种自我保护技术手段,难 以彻底清除
29
网页木马与漏洞
Windows 中的矢量标记语言 (VML) 实施中存 在一个远程执行代码漏洞。 攻击者可能通过构建 特制的网页或 HTML 电子邮件来利用该漏洞,当 用户访问网页或查看邮件时,该漏洞可能允许远 程执行代码。成功利用此漏洞的攻击者可以完全 控制受影响的系统
溢出型漏洞:MS07004漏洞:Microsoft
32
木马的检测
检查是否存在陌生进程
33
木马的检测
检查启动项
HKEY_LOCAL_MACHIN\SOFTWARE\Microsoft\Windows\ CurrentVersion下的
Run RunServices RunOnce RunOnceEx
34
木马的检测
检查注册表
检查文件关联项,查看是否有关联木马程序
28
网页木马与漏洞
组件关键函数: (1)SetBrowserWindowData: 新建浏览器窗口 (2)SetConfig: 设置web迅雷 (3)HideBrowserWindow: 隐藏浏览器 (4)AddTask: 添加下载任务 (5)SearchTask:搜索任务,等到任务ID及文件下 载状态等详情 (6)OpenFile: 根据任务ID打开文件
8
木马技术的发展
第三代木马:由服务器端被动连接变为服 务端主动连接,以绕过网络防火墙的检测 例:灰鸽子 第四代木马:利用远程线程插入技术,将 木马线程插入DLL线程中, 使系统难以发现 木马的存在,逃避防火墙对特定程序通信 的拦截
9
木马连接方式
传统连接方式 ( C/S连接方式 )
远程主机开放端口等待外部连接,成为服务 端,入侵者作为客户端主动发出连接请求从而 建立连接 客户端需要获得服务端即远程主机的IP地址和 端口号,不适合与动态IP地址或局域网内的主 机建立连接 一二代木马采用传统连接方式
木马
木马:是一种在远程计算机之间建立连接,使远 程计算机能够通过网络控制本地计算机上的程 序,通常以人们所知晓的合法正常程序的面目出 现。 从本质上讲,木马程序属于远程管理工具的范 畴,其目的在于通过网络进行远程管理控制 区别:远程控制软件的服务器端会出现很醒目的 标志,而木马的服务器端在运行时则使用多种手 段来隐藏自己。
17
木马启动方式
修改注册表
注册自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Wind ows\currentVersion\Run 注册服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\cur rentVersion\RunServices
18
木马启动方式
修改文件关联
例:冰河木马 HKEY_CLASS_ROOT\txtfile\shell\open\co mmand 下键值 “%SystemRoot%\system32\NOTEPAD.exe %1” 修改为 “C:\Windows\system\Virus.exe %1”
捆绑文件
19
31
木马实例—冰河
3)修改注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Runservices 4)处理文件关联 修改HKEY_CLASSES_ROOT\txtfile\shell \open\command\ 恢复关联项 c:\windows\system32\notepad.exe %1
3
木马原理
木马主要功能:
随系统启动 入侵时时无需系统认证 远程控制 密码截取 屏幕监视 支持邮件发送 主动连接
4
木马原理
入侵者使用木马的主要目的: 入侵:当无法基于漏洞和认证入侵时 留后门:由于木马连接不需要系统认证且 隐蔽性好,可使用木马留后门以便以后能 继续控制远程主机 窃取机密:自动将用户输入的关键信息, 如网络账号和密码等发送到指定邮箱
30
木马实例—冰河
冰河的清除
1)从任务管理器中结束kernel32.exe和 Sysexplor.exe进程 2)修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 删除注册表值 C:\Windows\system32\Kernel32.exe