實驗所屬系列：系統安全攻防技術與實踐

實驗物件： 本科/專科資訊保安專業

相關課程及專業：計算機基礎，網路安全

實驗時數（學分）：2學時

實驗類別：實踐實驗類

木馬是隱藏在正常程式中的具有特殊功能惡意程式碼，是具備破壞，刪除和修改檔案，傳送密碼，記錄鍵盤，實施Dos攻擊甚至完全可能告知計算機等特殊功能的後門程式。它隱藏在目標計算機裡，可以隨計算機自動啟動並在某一埠監聽來自控制端的控制資訊。

1、木馬的傳統連線技術

一般木馬都採用C/S(client/server,即伺服器/客戶端)執行模式，因此它分為兩部分，即客戶端和伺服器端木馬程式。其原理是，當伺服器端程式在目標計算機上被執行後，一般會開啟一個預設的埠進行監聽，當客戶端向伺服器端主動提出連線請求，伺服器端的木馬程式就會自動執行，來應答客戶端的請求，從而建立連線。第一代和第二代木馬就採用這種方式。

2、木馬的反彈埠技術

隨著防火牆技術的發展，它可有效攔截從外部主動發起的連線的木馬程式。但防火牆對內部發起的連線請求則認為是正常連線，第三代第四代木馬就是利用這個缺點，其伺服器端程式主動發起對外連線請求，再通過某些方式連線到木馬的客戶端，就是說“反彈式”木馬是伺服器端主動發起連線請求，而客戶端是被動的連線。

3、執行緒插入技術

我們知道，一個應用程式在執行之後，都會在系統之中產生一個程序，同時，每個程序分別對應了一個不同的程序識別符號。系統會分配一個虛擬的記憶體空間地址段給這個程序，一切相關的程式操作，都會在這個虛擬的空間中進行。一般情況下，執行緒之間是相互獨立的，當一個執行緒發生錯誤的時候，並不一定會導致整個程序的崩潰。“執行緒插入”技術就是利用執行緒之間執行的相對獨立性，使木馬完全地融進了系統那個核心。系統執行時會有很多的程序，而每個程序又有許多的執行緒，這就導致了查殺利用“執行緒插入”技術木馬程式的難度。

1、 理解掌握木馬執行以及傳播的原理。

2、 通過手動刪除木馬，掌握檢查木馬和刪除木馬的技巧。

3、 增強對木馬的安全防範意識。

(1) 硬體環境：兩臺連線成區域網的PC機，分別為PC1和PC2

(2) 軟體環境：Windows XP，冰河V8.4

本實驗通過對木馬的練習與實踐。使學習者理解和掌握木馬的執行與傳播的機制，共分為三個實驗任務，詳情如下：

冰河木馬植入與控制

分別進入虛擬機器中PC1與PC2系統。在PC1中安裝伺服器端，在PC2中安裝客戶端。

（1）伺服器端。開啟C:\tool\“木馬攻擊實驗”資料夾，在“冰河”檔案儲存目錄下，雙擊G_SERVER。G_Server是木馬的伺服器端，即用來植入目標主機的程式。此時，會彈出“Windows安全警報”視窗如圖1，點選“解除阻止”，木馬的伺服器端便開始啟動。（如果防火牆已關閉會直接執行不會彈窗）

圖1 Windows安全警報視窗

（2）客戶端。開啟C:\tool\“木馬攻擊實驗”資料夾，在“冰河”檔案儲存目錄下，雙擊G_CLIENT。G_Client是木馬的客戶端，即木馬的控制端。此時，會彈出“Windows安全警報視窗”如圖2，點選“解除阻止”，則可開啟控制端。

開啟控制端G_CLIENT後，彈出“冰河”的主介面.如圖3。

圖3 冰河主介面

（3）新增主機。

在PC1（伺服器端），查詢ip地址：如圖4“cmd”介面

“開始”---“執行”---輸入“cmd”

在“cmd”模式下輸入“ipconfig”，如圖5查詢ip介面

圖5 查詢ip介面

單擊新增的主機（PC1）出現如圖6新增主機介面，如果連線成功，則會顯示伺服器端主機上的碟符如圖7伺服器端主機碟符。這時我們就可以像操作自己的電腦一樣操作遠端目標電腦.

顯示名稱，填入顯示在主介面的名稱(PC1)，即PC1的ip地址

主機地址：填入伺服器端主機的IP地址(192.168.59.136)

訪問口令：填入每次訪問主機的密碼，“空”即可

監聽埠：冰河預設的監聽埠是7626

圖6 新增主機介面

圖7主機端碟符

命令控制檯命令的使用方法

（1）口令類命令：

點選“命令控制檯”，然後點選“口令類命令”前面的“+”即可圖介面出現如圖8口令類命令。

圖8 口令類命令

各分支含義如下：

“系統資訊及口令”：可以檢視遠端主機的系統資訊，開機口令，快取口令等。可看到非常詳細的遠端主機資訊，這就無異於遠端主機徹底暴露在攻擊者面前

“歷史口令”：可以檢視遠端主機以往使用的口令

“擊鍵記錄”：啟動鍵盤記錄後，可以記錄遠端主機使用者擊鍵記錄，一次可以分析出遠端主機的各種賬號和口令或各種祕密資訊

（2）控制類命令

點選“命令控制檯”，點選“控制類命令”前面的“+”即可顯示圖所示介面如圖9控制類命令。

圖9 控制類命令

各分支含義如下：

“捕獲螢幕”：這個功能可以使控制端使用者檢視遠端主機的螢幕，好像遠端主機就在自己面前一樣，這樣更有利於竊取各種資訊，單擊“檢視螢幕”按鈕，然後就染成了遠端主機的螢幕。可以看到，遠端主機螢幕上的內容就顯示在本機上了，顯示內容不是動態的，而是每隔一段時間傳來一幅。

“傳送資訊”：這個功能可以使你向遠端計算機發生Windows標準的各種資訊，在“資訊正文”中可以填入要發給對方的資訊，在圖表型別中，可以選擇“普通”，“警告”，“詢問”，“錯誤”等型別。按鈕型別可以選擇“確定”“是”“否”等型別。

“程序管理”：這個功能可以使控制著檢視遠端主機上所有的程序

“視窗管理”：這個功能可以使遠端主機上的視窗進行重新整理，最大化，最小化，啟用，隱藏等操作。

“系統管理”：這個功能可以使遠端主機進行關機，重啟，重新載入“冰河”自動解除安裝”冰河”的操作

“滑鼠控制”：這個功能可以使遠端主機上的滑鼠鎖定在某個範圍內

“其他控制”：這個功能可以使遠端主機進行自動撥號禁止，桌面隱藏，登錄檔鎖定等操作

（3）網路類命令

點選“命令控制檯”，點選“網路類命令”前面的“+”即可展開網路類命令如圖10。

圖10 網路類命令

各分支的含義是：

“建立共享”：在遠端主機上建立自己的共享

“刪除共享”：在遠端主機上刪除某個特定的共享

“網路資訊”：檢視遠端主機上的共享資訊

（4）檔案類命令

點選“命令控制檯”，點選“檔案類命令”前面的“+”即可展開“檔案類命令”，如圖11.

圖11 檔案類命令

該類命令中，“檔案瀏覽”、“檔案查詢”、“檔案壓縮”、“檔案刪除”、“檔案開啟”等選單可以檢視、查詢、壓縮、刪除、開啟遠端主機上某個檔案。“目錄增刪”、“目錄複製”、可以增加、刪除、複製遠端主機上的某個目錄。

（5）登錄檔讀寫

點選“命令控制檯”，點選“登錄檔讀寫”前面的“+”即可展開“登錄檔讀寫”命令，如圖12登錄檔讀寫。

圖12 登錄檔讀寫

登錄檔讀寫提供了“鍵值讀取”、“鍵值寫入”、“鍵值重新命名”、“主鍵瀏覽”、“主鍵增刪”、“主鍵複製”的功能。

（6）設定類命令

點選“命令控制檯”，點選“設定類命令”前面的“+”即可展開“設定類命令”，如圖13設定類命令。

圖13 設定類命令

設定類命令提供了“更換牆紙”、“更改計算機名”、“伺服器端配置”的功能，

刪除冰河木馬

刪除冰河木馬主要有以下幾種方法：

（1）客戶端的自動解除安裝功能

點選“控制類命令”前面的“+”，點選“系統控制”可看到“自動解除安裝冰河”按鈕並點選，在彈出的窗口裡麵點擊“是”，則可以解除安裝遠端主機上的木馬如圖14自動解除安裝冰河木馬。

圖14 自動解除安裝冰河木馬

（2）手動解除安裝

在實際情況中木馬客戶端不可能為木馬伺服器端自動解除安裝木馬，我們在發現計算機有異常情況時（如經常自動重啟，密碼資訊洩露時），就應該懷疑是否已經中了木馬，這時我們應該檢視登錄檔，此處操作在PC1中進行，在“開始”→“執行”裡面輸入“regedit”，開啟Windows登錄檔編輯器如圖15。

依次開啟一下目錄

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

圖15 Windows登錄檔編輯器

在目錄中發現了一個預設的鍵值C:\WINNT\System32\kernel32.exe，這就是“冰河”密碼在登錄檔中加入的鍵值，選中它，右鍵，點選刪除，即可把它刪除如圖16刪除冰河木馬的。

圖16 刪除冰河木馬

然後依次開啟目錄

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

在目錄中也發現了一個預設的鍵值C:\WINNT\System32\kernel32.exe，這也是“冰河”木馬在登錄檔中加入的鍵值，將它刪除如圖17。

圖17 刪除冰河木馬

上面兩個登錄檔的子鍵目錄Run和Runservices中存放的鍵值是系統啟動時自動啟動的程式，一般病毒程式，木馬程式，後門程式等都放在這些子鍵目錄下，所以要經常檢查這些子鍵目錄下的程式，如果有不明程式，要著重進行分析。

修改檔案關聯也是木馬常用的手段，“冰河”木馬將txt檔案的預設開啟方式由notepad.exe改為木馬的啟動程式，除此之外，html、exe、zip、com等檔案也都是木馬的目標，所以，在最後需要回復登錄檔中的txt檔案關聯功能。

方法是找到登錄檔的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的預設值，選中“（預設）”，單擊滑鼠右鍵。

然後即可出現如下視窗，將數值資料C:\Windows\System32\Sysexplr.exe%1改為正常情況下的C:\Windows\notepad.exe%1即可，如圖19修改編輯字串，最後重新啟動計算機，冰河木馬就徹底刪除了。

圖19修改編輯字串

1、 如何發現木馬威脅？

答：1、開啟C:\WINDOWS\system32資料夾，檢視詳細資訊，排列圖示按建立日期排列。（定期檢查）如發現最新日期的檔名可疑，按這個最新日期搜尋檔案，在搜到的檔案中（如果沒有C:\Program Files中的檔案，即說明不是你安裝的程式）。

　　2、刪除這個檔案，如果提示無法刪除，說明檔案正在呼叫。撥掉網線，看是否能刪除。如仍無法刪除。重新啟動電腦，進入安全模式，刪除此檔案。

3、如果計算機經常出現異常，比如自動重啟等，則應該懷疑計算機存在木馬程式

　　檢視登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices下是否有陌生鍵值

　　Run和Runservices中存放的鍵值是系統啟動時自動啟動的程式，一般病毒程式，木馬程式，後門程式等都放在這些子鍵目錄下，通過檢查這兩個目錄可以發現潛在的木馬威脅

2、 畫出木馬工作流程圖，加深對木馬原理理解。

答：