項(xiàng)目4四代木馬的應(yīng)用

學(xué)習(xí)情境四：計(jì)算機(jī)病毒與木馬項(xiàng)目4第四代木馬的應(yīng)用1項(xiàng)目4第四代木馬的應(yīng)用課題引入第四代木馬的使用與防范木馬的加殼與脫殼文件夾木馬2課題引入－項(xiàng)目背景木馬全稱“特洛伊木馬”，英文名稱為TrojanHorse，它來源于《荷馬史詩》中描述的一個(gè)古希臘故事。傳說，有一次古希臘大軍圍攻特洛伊城，久攻不下。于是，一名古希臘謀士獻(xiàn)計(jì)制造了一只高二丈的大木馬，隨后攻城數(shù)天之后，假裝兵敗，留下木馬拔營而去。城中得到解圍的消息，舉城歡慶，并把這個(gè)奇異的戰(zhàn)利品大木馬搬入城內(nèi)。當(dāng)全城軍民進(jìn)入夢鄉(xiāng)之時(shí)，藏于木馬中的士兵從木馬密門而下，打開城門引入城外的軍隊(duì)，攻下了特洛伊城。3課題引入－項(xiàng)目背景第一代和第二代木馬屬于傳統(tǒng)的連接方式：遠(yuǎn)程主機(jī)開放監(jiān)聽端口等待外部連接，成為服務(wù)器端；當(dāng)入侵者需要與遠(yuǎn)程主機(jī)連接時(shí)，發(fā)送連接請求。第三代木馬開始使用了“反彈端口”技術(shù)，連接不再由客戶端發(fā)起，而是服務(wù)器端來完成。反彈窗口技術(shù)需要在配置服務(wù)器時(shí)指明入侵者的ip地址和連接端口，因此不適用于動(dòng)態(tài)上網(wǎng)的入侵者4課題引入－項(xiàng)目背景反彈窗口的連接方式無中間代理的連接引入中間代理的連接客戶端遠(yuǎn)程主機(jī)中間代理（保存客戶端IP、Port）更新IP、port獲取客戶端IP、Port5課題引入－項(xiàng)目背景灰鴿子是國內(nèi)第三代木馬的典型代表除了可以使用傳統(tǒng)連接方式，可以使用反彈窗口的連接方式，方便的控制動(dòng)態(tài)IP地址和局域網(wǎng)內(nèi)的遠(yuǎn)程主機(jī)在使用灰鴿子時(shí)，可以利用灰鴿子自帶的工具，申請免費(fèi)域名提供的動(dòng)態(tài)IP映射實(shí)現(xiàn)代理功能6課題引入－項(xiàng)目分析完成本項(xiàng)目需要解決的問題：第四代木馬如何使用與防范？木馬怎樣加殼和脫殼？文件夾木馬如何使用與防范？7課題引入－教學(xué)目標(biāo)完成本項(xiàng)目需要實(shí)現(xiàn)的教學(xué)目標(biāo)：第四代木馬的使用與防范（重點(diǎn)掌握）木馬的加殼與脫殼（理解）文件夾木馬的使用與防范（掌握）8課題引入－應(yīng)達(dá)到的職業(yè)能力熟練掌握第四代木馬的使用與防范了解木馬加殼與脫殼的含義掌握文件夾木馬的使用與防范9項(xiàng)目問題1－第四代木馬簡介：廣外男生同廣外女生一樣，是廣東外語外貿(mào)大學(xué)的作品。特色：客戶端模仿Windows資源管理器：除了全面支持訪問遠(yuǎn)程服務(wù)器文件系統(tǒng)，也同時(shí)支持通過對(duì)方的“網(wǎng)上鄰居”，訪問對(duì)方內(nèi)部網(wǎng)其他機(jī)器運(yùn)用了“反彈窗口”技術(shù)使用了“線程插入”技術(shù)：服務(wù)器運(yùn)行時(shí)沒有進(jìn)程，所有網(wǎng)絡(luò)操作均插入到其他應(yīng)用程序的進(jìn)程中完成。即便受控端安裝的防火強(qiáng)有“應(yīng)用程序訪問權(quán)限”的功能，也不能對(duì)廣外男生的服務(wù)器進(jìn)行有效警告和攔截。不再支持傳統(tǒng)的連接方式10廣外男生使用實(shí)例客戶端設(shè)置：打開廣外男生客戶端（gwboy092.exe），選擇“設(shè)置”—>“客戶端設(shè)置”，打開“廣外男生客戶端設(shè)置程序”。其中最大連接數(shù)一般使用默認(rèn)的30臺(tái)，客戶端使用端口一般設(shè)置成80。11廣外男生使用實(shí)例本次實(shí)驗(yàn)使用固定IP地址的主機(jī)進(jìn)行實(shí)驗(yàn)，因此選擇“客戶端處于靜態(tài)IP”點(diǎn)擊“下一步”，再點(diǎn)擊“完成”按鈕結(jié)束客戶端的設(shè)置。12廣外男生使用實(shí)例服務(wù)端設(shè)置：進(jìn)行服務(wù)端設(shè)置時(shí)，選擇“設(shè)置”—>“服務(wù)器設(shè)置”，打開“廣外男生服務(wù)端生成向?qū)А?3廣外男生使用實(shí)例選擇“同意”之后，點(diǎn)擊下一步，開始進(jìn)行服務(wù)端常規(guī)設(shè)置14廣外男生使用實(shí)例設(shè)置完成后點(diǎn)擊“下一步”，進(jìn)行“網(wǎng)絡(luò)設(shè)置”。根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境，選擇靜態(tài)IP選項(xiàng)進(jìn)行實(shí)際網(wǎng)絡(luò)的設(shè)置15廣外男生使用實(shí)例設(shè)置完成點(diǎn)擊“下一步”，填寫生成服務(wù)器端的目標(biāo)文件的名稱，然后點(diǎn)擊“完成”，結(jié)束服務(wù)器端的配置16廣外男生使用實(shí)例17廣外男生使用實(shí)例18廣外男生使用實(shí)例19廣外男生木馬的清除1、檢測廣外男生木馬的有效方法為使用“netstat-na”查看目標(biāo)主機(jī)的網(wǎng)絡(luò)連接情況，如果端口8225開放，那么該主機(jī)可能已經(jīng)中了廣外男生木馬。2、打開注冊表編輯器，展開到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，刪除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”，刪除ID為{5EAE4AC0-146E-11D2-A96E-9}的鍵及其下所有子鍵和鍵值。20廣外男生木馬的清除3、點(diǎn)擊“編輯”菜單中的“查找”，在注冊表編輯器中搜索gwVboydl1。dll，找到所有和它有關(guān)的注冊表項(xiàng)，全部刪除。4、刪除system32目錄下的gwboy.exe。然后進(jìn)入DOS模式下，輸入delwinnt\system32\gwVboydll.dll命令，刪除system32目錄中的gwboydll.dll文件。21項(xiàng)目問題2－木馬的加殼與脫殼雖然木馬的功能非常強(qiáng)大，甚至使得入侵者可以為所欲為，但是有了良好的殺毒工具，木馬難免會(huì)被查殺一個(gè)程序?qū)懲旰?，并不是把寫好的程序直接提供給用戶進(jìn)行使用，而是需要通過一些軟件對(duì)應(yīng)用程序進(jìn)行處理，這個(gè)處理的過程被稱作“加殼”。處理的目的有兩個(gè)：一個(gè)是為了保護(hù)程序源代碼、防止被修改和破壞通過加殼后，可以減小程序的體積22木馬的加殼與脫殼木馬通過加殼后可以實(shí)現(xiàn)避免被殺毒軟件的查殺，這些加殼的軟件常見的有ASPACK、UPX、WWPACK等與加殼相反的過程稱為“脫殼”，目的是把加殼后的程序恢復(fù)成毫無包裝的可執(zhí)行代碼，這樣未授權(quán)者便可以對(duì)程序進(jìn)行修改。脫殼與加殼需要使用相同的軟件進(jìn)行，例如，使用UPX對(duì)木馬程序進(jìn)行加殼之后，如果需要脫殼，仍然需要使用UPX進(jìn)行脫殼過程。23木馬的加殼實(shí)例我們可以使用Language2000這種檢測工具發(fā)現(xiàn)程序加殼所使用的軟件類型使用Language2000檢測得到的冰河木馬軟件服務(wù)器端的加殼內(nèi)容，其中Program一項(xiàng)的值A(chǔ)SPack說明被檢測的冰河軟件采用的加殼工具是ASPack。24木馬的加殼實(shí)例首先，我們使用Language2000檢測冰河木馬程序客戶端的加殼結(jié)果，客戶端并沒有經(jīng)過加殼處理。25木馬的加殼實(shí)例使用諾頓檢查冰河木馬客戶端文件可以看到，木馬客戶端被殺毒軟件殺掉26木馬的加殼實(shí)例打開ASPack應(yīng)用程序，點(diǎn)擊Open按鈕，然后打開冰河客戶端應(yīng)用程序。然后選擇Compress選項(xiàng)卡，點(diǎn)擊Go按鈕27木馬的加殼實(shí)例加殼完成后，再次使用殺毒軟件對(duì)冰河客戶端進(jìn)行掃描，通過加殼之后，原來能夠被查殺的木馬客戶端現(xiàn)在已經(jīng)無法被殺毒軟件識(shí)別了。28項(xiàng)目問題3－文件夾木馬在windows系統(tǒng)中，文件夾采用了實(shí)現(xiàn)網(wǎng)頁的方法來實(shí)現(xiàn)文件夾的樣式，也就是說Windows中的文件夾支持HTML和javascript定義的一些動(dòng)作通過編寫javascript可以讓文件夾在打開時(shí)自動(dòng)執(zhí)行程序文件夾木馬的實(shí)現(xiàn)需要沒有打補(bǔ)丁的IE5.0的支持29文件夾木馬的實(shí)例步驟一：打開“文件夾選項(xiàng)”設(shè)置，將“隱藏受保護(hù)的操作系統(tǒng)文件”前面的勾去掉，同時(shí)設(shè)置現(xiàn)實(shí)所有文件和文件夾步驟二：新建一個(gè)文件夾，雙擊該文件后，選擇“查看”—“自定義文件夾”。在“自定義文件夾向?qū)А敝羞x擇“選擇或編輯該文件夾的HTML模板”，然后單擊“下一步”，進(jìn)入“模板選擇“30文件夾木馬的實(shí)例步驟三：在“模板選擇”對(duì)話框中選擇標(biāo)準(zhǔn)，單擊“下一步”，完成自定義文件夾。該文件夾會(huì)多出Foldersettings文件夾和desktop.ini文件步驟四：編寫javascript代碼31文件夾木馬的實(shí)例步驟五：修改Folder.htt文件（在Foldersettings文件夾中），用記事本打開Folder.htt，然后在<style></style>后面加入編寫的javascript代碼，并保存步驟六：將木馬或相應(yīng)應(yīng)用程序拷貝到Folderset