实训08 木马和间谍常用工具 - 指导书

实训八 木马和间谍常用工具

实训目的：

1．掌握360卫士清除和预防木马程序；

2．掌握手工清除木马程序的基本操作，学会手工清除常见、顽固的计算机木马； 3．掌握木马分析专家的使用，完成木马克星探索性操作。 实训设备：

1．学生机32台P4计算机，1人一组，4个交换机。

2．计算机配置：操作系统Windows2000/XP/2003、木马分析专家、360卫士以及木马克星等应用软件。 实训步骤：

正确启动计算机，在磁盘E区建立以学号和姓名为文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到建立的文件夹中。

任务一 手工清除常见木马程序

一．木马实施的基本过程 1．传播木马 1）传播方式

电子邮件、软件下载 2）伪装方式

修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名 激活木马 2．激活木马

1）随系统启动激活木马 ◆ 注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run ◆ 系统配置文件

Win.ini、Config.sys、Boot.ini和System.ini等 如”load=”和”run=”是空白的。 ◆ 组策略

Gpedit.msc → 本地计算机策略 → 用户配置 → 管理模板 → 系统 → 登录 → 双击“在用户登录时运行这些程序”逻辑 → 设置 → 已启用 → 显示，即打开显示内容。可通过添加按钮，添加自动启动的程序路径。

◆ 批处理命令Autoexec.bat

◆ 启动菜单：开始 → 程序 → 启动 2）随程序启动激活木马程序 ◆ 注册表

HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键下查看其键值 如：冰河木马将默认值C:\\WINDOWS\\notepad.exe %1修改为 Sysexplr.exe 。 将双击原本启动记事本，变成启动木马程序Sysexplr.exe。 ◆ 捆绑文件

通过聊天工具、电子邮件附件、下载文件传播、下载文件传播 ◆ 自动播放式：利用AutoRun.inf文件中的Open命令行启动 3．木马程序运行

被激动后进入内存，并打开定制的木马程序端口，随时可进行控制端建立。 4．信息泄露

成熟的木马会有一个信息返馈机制，会收到成功安装后的一些服务端的信息 5．建立连接 1）建立连接的条件

◆ 获取服务端的木马程序端口和IP地址 ◆ 服务端已安装了服务端程序 ◆ 控制端、服务端都在网上 2）获取IP地址 ◆ 通过信息反馈 ◆ IP地址扫描 6．远程控制 ◆ 窃取密码 ◆ 获取系统权限

文件操作权限、修改注册表、修改启动项、系统操作 二．手工清除常见木马程序 1．清除“冰河” 1）特点

连接端口7626 ，G_server.exe、G_clinet.exe，运行生成Kernel32、sysexplr.exe。 2）清除方法

◆ 删除C:\\Windows\\system中的Kernel32.exe、sysexplr.exe

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中的键值：c:\\windows\\Systems\\Kernel32.exe

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 中的键值：c:\\windows\\Systems\\Kernel32.exe

◆ 将注册表HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command中的默认值c:\\windows\\system\\sysexplr.exe改为C:\\windows\\notepad.exe 。 2．清除“网络神偷” 1）特点

监听端口为80，运用“反弹”和“HTTP隧道”技术，穿透包过滤型和代理型防火墙，不是远程控制，而是对磁盘文件系统的远程访问。 2）清除方法

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中的键值internet和internet.exe/s的项进行删除。 ◆ 删除自启动程序C :\\windows\\system\\internet.exe 3．“广外男生”木马 1）特点

◆ 连接端口8225，客户端模仿Windows资源管理器，支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。

◆ 强大的文件操作功能。

◆ 运用“反弹端口”与“线程插入”技术？

（前者指在服务器端运行时没有进程，所有网络操作均插入到其他应用程序的进程中完成，所以防火墙无法进行有效的警告与拦截，后者指创建连接不再由客户端主动要求连接，而是服务器端来完成，与传统的连接方式相反，木马服务器在远程主机上线后主动寻找客户端建立连接，客户端的开放端口在服务器的连接请求后进行连接、通信） 2）清除方法

① 检查端口8225开放 命令：netstat -na ② 打开注册表编辑器

◆展开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中的gwboy.exe或gwgirl.exe。

◆展开

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSIDT，删除

ID

为

{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其所有子键和键值。

◆“编辑”→ 查找→ gwVboydll.dll，找到所有和它有关的注册表项，全部删除。

◆ 删除system32目录下的gwboy.exe及gwVboydll.dll。 4．“广外女生”木马 1）特点

连接8225 ，是一种远程监控工具，能够远程上传、下载、删除文件、修改注册表，极强的破坏性，会自动检查进程中是否有“防火墙”等软件中的iparmor、tcmonitor、kill等关键字，若有则终止该进程，使防火墙失去作用。 2）清除方法

◆ 在DOS模式下删除system目录下的Diagfg.exe (所有exe文件都无法运行) ◆ 将windows目录中的regedit.exe改名为regedit.com。 ◆ 运行regedit.com程序

◆将注册表HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command中的默认键值改成”%1”。

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices中的键值名为“Diagnostic Configuration”进行删除。 5．清除“黑洞2001” 1）特点

连接端口2001，是典型的文件关联木马程序，与txt文件打开方式关联。具有杀进程功能，控制端可随意终止被控制的某个进程，服务端执行后生成S_Server.exe和Windows.exe。 2）清除方法

◆ 删除HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command中的默认键值由S Server.exe改为c:\\windows\\Notepad.exe %1

◆ 将HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command中的默认键值由S Server.exe改为c:\\windows\\Notepad.exe %1

◆ 将HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 下windows进行删除

◆ 删除HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes下的主键Winvxd。

◆ 删除c:\\window\\system下的木马文件windows.exe和S_Server.exe。若无则在DOS方式下删除或Windows.exe进程后删除。 6．清除“SubSeven” 1）特点

连接端口27374，服务器端程序Server.exe，执行后会变化多端，进程名都有变化。

2）清除方法 ◆找到

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

和

Runservices ，若有加载文件，删除右边的项目：加载器=“c:\\windows\\System\\***”。

◆ 打开win.ini文件，检查“Run”后是否加上执行文件名，有则可删除。 ◆ 打开System.ini文件，检查“Shell=explorer.exe”后是否有文件，有则删除。 ◆ 重新计算机，删除c:\\windows\\system下 …… 此处隐藏：3314字，全部文档内容请下载后查看。喜欢就下载吧 ……