实验1-木马病毒攻防

南昌航空大学实验报告

二〇一三年十一月八日

课程名称：信息安全实验名称：实验1木马攻击与防范

班级：xxx 姓名：xxx 同组人：

指导教师评定：签名：

一、实验目的

通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理

木马的全称为特洛伊木马，源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

1．木马的特性

木马程序为了实现其特殊功能，一般应该具有以下性质：

(1)伪装性(2)隐藏性(3)破坏性(4)窃密性

2．木马的入侵途径

木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，攻击者可以利用浏览器的漏洞诱导上网者单击网页，这样浏览器就会自动执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵，获得控制权限，然后在被攻击的服务器上安装并运行木马。3．木马的种类

(1)按照木马的发展历程，可以分为4个阶段：第1代木马是伪装型病毒；第2代木马是网络传播型木马；第3代木马在连接方式上有了改进，利用了端口反弹技术，例如灰鸽子木马；第4代木马在进程隐藏方面做了较大改动，让木马服务器端运行时没有进程，网络操作插入到系统进程或者应用进程中完成，例如广外男生木马。

(2)按照功能分类，木马又可以分为：破坏型木马；密码发送型木马；服务型木马；DOS 攻击型木马；代理型木马；远程控制型木马。

4．木马的工作原理

下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。

(1)木马的传统连接技术；C/S木马原理如图1-1所示。第1代和第2代木马都采用的是C/S连接方式，这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接，当入侵者需要与远程主机连接时，便主动发出连接请求，从而建立连接。

(2)木马的反弹端口技术；随着防火墙技术的发展，它可以有效拦截采用传统连接方式。但防火墙对内部发起的连接请求则认为是正常连接，第3代和第4代“反弹式”木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，如图1-2和图1-3所示。

图1-1 C/S 木马原理 图1-2反弹端口连接方式1

表1-1 反弹端口连接方式及其使用范围

图1-3反弹端口连接方式2

(3)线程插入技术：系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。“线程插入”技术就是利用了线程之间运行的相对独立性，使木马完全地融进了系统的内核。这种技术把木马程序作为一个线程，把自身插入其它应用程序的地址空间。系统运行时会有许多的进程，而每个进程又有许多的线程，这就导致了查杀利用“线程插入”技术木马程序的难度。

综上所述，由于采用技术的差异，造成木马的攻击性和隐蔽性有所不同。第2代木马，如“冰河”，因为采用的是主动连接方式，在系统进程中非常容易被发现，所以从攻击性和隐蔽性来说都不是很强。第3代木马，如“灰鸽子”，则采用了反弹端口连接方式，这对于绕过防火墙是非常有效的。第4代木马，如“广外男生”，在采用反弹端口连接技术的同时，还采用了“线程插入”技术，这样木马的攻击性和隐蔽性就大大增强了，可以说第4代木马代表了当今木马的发展趋势。

三、实验环境

两台运行Windows 2000/XP 的计算机，通过网络连接。使用“冰河”和“广外男生”木马作为练习工具。

四、实验内容和任务

任务一 “冰河”木马的使用 1．“冰河”介绍

“冰河”是国内一款非常有名的木马，功能非常强大。“冰河”一般是由两个文件组成：G_Client 和G_Server ，其中G_Server 是木马的服务器端，就是用来植入目标主机的程序，G_Client 是木马的客户端，就是木马的控制端，我们打开控制端G_Client ，弹出“冰河”的主界面，相关冰河软件操作截图如下。

图1-5添加计算机

图1-4“冰河”主界面

图1-6添加test主机图1-7命令控制台界面

2．删除“冰河”木马

删除“冰河”木马主要有以下几种方法：

(1)客户端的自动卸载功能。

(2)手动卸载：由“开始”->“运行”输入regedit，打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。

在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这就是“冰河”木马在注册表中加入的键值，将它删除。然后再依次打开子键目录HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft＼Windows＼CurrentVersion\Runservices。在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这也是“冰河”木马在注册表中加入的键值，将它删除。上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自动启动的程序，一般病毒程序、木马程序、后门程序等都放在这些子键目录下，所以要经常检查这些子键目录下的程序，如果有不明程序，要着重进行分析。然后再进入C:\WINNT\System32目录，找到“冰河”木马的两个可执行文件Kernel32.exe和Sysexplr.exe文件，将它们删除。

修改文件关联也是木马常用的手段，“冰河”木马将txt文件的缺省打开万式由notepad.exe改为木马的启动程序，除此之外，html、exe、zip、com等也都是木马的目标。所以，在最后需要恢复注册表中的txt文件关联功能，只要将注册表的HKEY_CLASSES_ROOT\txtfile\ shell\open\command下的默认值，由中木马后的C:\Windows\System\Sysexplr.exe%1改为正常