《木马的工作原理及其防范》由会员分享,可在线阅读,更多相关《木马的工作原理及其防范(10页珍藏版)》请在金锄头文库上搜索。
1、单元二单元二 数据安全及病毒、木马的防范数据安全及病毒、木马的防范项目四项目四 木马的工作原理及其防范木马的工作原理及其防范教学目标教学目标1理解典型木马的概念、分类与原理;2理解典型木马的检测与防范策略;3掌握手间谍软件的防范策略,学会手工清除常见、顽固的计算机木马;4木马专家、灰鸽子木马的安装、远程控制与操纵。教学要求教学要求1认真听讲,专心操作, 操作规范, 认真记录实验过程,总结操作经验和写好实验报告,在实验中培养严谨科学的实践操作习惯;2遵守学校的实验室纪律,注意人身和设备的安全操作,爱护实验设备、及时上缴作业;3教学环境: Windows 7 以及 Windows server20
2、03/2008 以上操作系统。知识要点知识要点1理解典型木马的概念、分类与原理;2理解典型木马的检测与防范策略;技术要点技术要点1掌握手工清除木马程序的基本操作,学会手工清除常见、顽固的计算机木马;2木马专家、灰鸽子木马的安装、远程控制与操纵。技能训练技能训练一讲授与示范一讲授与示范正确启动计算机,在最后一个磁盘上建立以学号为名的文件夹,从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。(一一)木马木马( 特洛伊木马特洛伊木马)的工作原理的工作原理木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具有破坏、删除和修改文件、发送密码、记录键盘、实施 Dos 攻击甚至完全控制计算机等
3、特殊功能的后门程序。1木马工作组成及原理木马工作组成及原理服务器端、客户端及其运动平台或操作。工作原理:工作原理:攻击者利用一种称为绑定程序的工具将服务器端程序绑定到某个合法软件上,诱使用户运行该合法软件,用户一旦运行该该合法软件,木马的服务器端程序就在用户毫无知觉的情况下完成安装。服务器端程序:服务器运行的 IP 端口号,程序启动时机,如何发出调用,隐身,加密,采用通信方式。2木马分类木马分类破坏型破坏型:破坏和删除文件(DLL、INI、EXE)密码发送型密码发送型:找到目标的隐藏密码,发给攻击者信箱远程访问型远程访问型:在目标计算机上运行服务器端,前提是服务端的 IP 地址键盘记录木马键盘
4、记录木马:通过 Log 文件查找密码等,或记录受害者的键盘动作DoS 攻击木马攻击木马:通过植入木马,可以把受控主机当作一个个肉鸡,控制者可以操纵大量的肉鸡来同时对某个主机发起 DoS 攻击,随机生成各种各样主题的信件,对特定的邮箱不停的发送邮件,直到对方瘫痪。代理木马代理木马:攻击时又保护自己,被控制的计算机种上代理木马,作为跳板,就像操纵傀儡一般FTP 木马木马:打开 21 端口,让每个 FTP 客户端不要密码就可连接到受控主机,随意窃取受害主机的文件程序杀手木马:程序杀手木马:关闭目标机上运行的木马查杀程序或病毒软件反弹端口型木马反弹端口型木马:对于有放火墙的受害者,木马可以通过反连端口
5、的方式来达到操纵受害主机的目的,也就是说,木马自己穿越防火墙主动去连接控制者,因为一般木马会采用常用的端口,比如 80 端口,而且现在的防火墙往往采用严进宽出的方案,所以这种控制很有用。3传播途径传播途径1)网页传播2)下载软件或提示诱导3)邮件传播4)利用系统漏洞4木马攻击流程木马攻击流程1)配置木马)配置木马木马伪装:修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名2)传播木马)传播木马采用邮件、文件下载、网页浏览3)运行木马)运行木马自动安装、自启动、激活木马4)信息反馈)信息反馈 通过信息反馈(ADSL 是动态 IP 地址,但可确定一个地区的网络服务商的 IP 地址) IP
6、地址扫描:主机的 IP 地址、植入端口、E-Mail5)木马连接)木马连接 获取服务端的木马程序端口和 IP 地址 服务端已安装了服务端程序 控制端、服务端都在网上6)远程控制)远程控制窃取密码、文件操作、修改注册表、系统操作(二二)木马的防范策略与检测木马的防范策略与检测1木马的隐藏木马的隐藏1)任务栏图标的隐藏)任务栏图标的隐藏Form(窗体)的 Visible 属性设置为 False,ShowInTaskBar 设为 False配置木马传播木马运行木马远程控制木马连接信息反馈2)在任务管理器里隐藏)在任务管理器里隐藏通过 Windows 自带的任务管理器易发现木马,但可将木马程序配置成“
7、系统服务” ,便可骗过任务管理器。3)通信端口的隐藏)通信端口的隐藏使用 1024 以上的端口,因为底于 1024 端口可能造成端口冲突易暴露4)加载技术使用的隐藏)加载技术使用的隐藏技术:JavaScript、VBScript、ActiveX 等的使用5)采用的陷阱技术)采用的陷阱技术非常适合木马,通过修改虚拟设备驱动程序(VXD)或动态链接库(DLL)来加载木马,并替换系统已知的DLL 或 VXD,并对所有的函数调用进行过滤,一旦被控制端的。请求就激活自身。这不增新文件,不需要新的端口,没有新的进程,使用常规方法监测不到。6)系统配置文件)系统配置文件Win.ini、Config.sys、
8、Boot.ini 和 System.ini 等 如”load=”和”run=”是空白的。Win.ini 中加windows字段中有启动“load=”和“run=” ,默认为空System.ini 加boot字段的 shell=explorer.exe,若为 shell=explorer.exe *.exe,则有检查*.exe 是否为木马System.ini 加386Enh字段中的“driver=路径程序名”也可自启动drivers 、mci 、driver32都可以加载文件autoexec.bat7)注册表的修改)注册表的修改为了每次启动计算机都运行木马,修改注册表实现自动功能HKEY_LOC
9、AL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun2激活木马激活木马1)随系统启动激活木马)随系统启动激活木马 注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 系统配置文件Win.ini、Config.sys、Boot.ini 和 System.ini 等 如”load=”和”run=”是空白的。 组策略Gpedit.msc 本地计算机策略 用户配置 管理模板 系统 登录 双击“在用户登录时运行这些程序”逻辑 设置 已启用 显示,即打开显示内容。可通过添加按钮,添
10、加自动启动的程序路径。 批处理命令 Autoexec.bat 启动菜单:开始 程序 启动2)随程序启动激活木马程序)随程序启动激活木马程序 注册表 HKEY_CLASSES_ROOT文件类型shellopencommand 主键下查看其键值如:冰河木马将默认值 C:WINDOWSnotepad.exe %1 修改为 Sysexplr.exe 。将双击原本启动记事本,变成启动木马程序 Sysexplr.exe。 捆绑文件通过聊天工具、电子邮件附件、下载文件传播、下载文件传播 自动播放式:利用 AutoRun.inf 文件中的 Open 命令行启动3 3木马的防范策略木马的防范策略1)不要打开或执
11、行任何可疑文件、邮件、文件夹和网页:网页欺骗、压缩包、邮件包2)显示文件扩展名:通过文件类型和图标3)运行反木马实时监控程序:常开病毒防火墙和网络防火墙4)升级到 IE 等浏览器4木马的检测木马的检测任务任务 1 1 木马的手动检测木马的手动检测步骤:步骤:1)查看 system.ini:若正常“shell=Explorer”或没有若 Shell=Explorer*exewind0ws*exe,请注意 wind0ws*exe 很有可能就是木马服务端程序!2)查看 Win.ini 文件:查看“run=”和“load=”为空3)查看启动组:通过任务管理器查看 netbus,netspy,bo 等关
12、键词 启动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders Startup=“C:windowsstart menuprogramsstartup“。要注意经常检查这两个地方哦! Gpedit.msc 本地计算机策略 用户配置 管理模板 系统 登录 双击“在用户登录时运行这些程序”逻辑 设置 已启用 显示,即打开显示内容。可通过“删除”按钮,删除自动启动的程序路径。4) 检查 C:win
13、dowswinstart*bat、C:windowswininit*ini、Autoexec*bat。木马很可能隐藏的地方。5)查看注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCu
14、rrentVersionRunServicesOnce 查看启动文件项目:netbu、netspy 、netserver, ,有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。6) 若是 EXE 文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。( (三三) )网络间谍软件网络间谍软件(Spyware)1 1间谍软件的定义与危害间谍软件的定义与危害 定义:定义:间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。2 2间
15、谍软件的防范间谍软件的防范1)禁用)禁用 Internet Explorer 2)阻止下载)阻止下载 3)备份和)备份和恢复恢复创造一些恢复点也比清除间谍软件感染容易得多。 4)加强)加强 Windows 和和 IE 完善完善对 Windows 和 IE 的漏洞打补丁,更新版本,阻止邮件可执行文件5)运行)运行至少至少两种间谍软件清除程序两种间谍软件清除程序做法是:清除系统,重新启动进入安全模式,然后,使用另一种工具进行清除,然后,再重新启动 6)推荐)推荐 Macintosh 或或 Linux 系统系统 Windows 允许任何用户(或间谍软件)把动态链接库装载至内核之中,Linux 的系统
16、访问却要求拥有与之相对应的管理员特权。7)健全管理规章和法律)健全管理规章和法律 建立健全安全管理规章和法律,并严格执行相关要求与操作 树立预防为主的思想 保护帐户的安全 做好各种应急准备工作二课堂任务实践二课堂任务实践任务任务 2 2 手工清除常见木马程序手工清除常见木马程序步骤:步骤:1 1清除清除“冰河冰河”1 1)特点)特点连接端口 7626 ,G_server.exe、G_clinet.exe,运行生成 Kernel32、sysexplr.exe。2)清除方法)清除方法 删除 C:Windowssystem 中的 Kernel32.exe、sysexplr.exe HKEY_LOCAL_MACHINESOFTWAREMicro
