木马攻击与防御技术.pptVIP

*网络入侵与防范讲义*常见木马使用的端口端口号木马软件端口号木马软件8102网络神偷23445网络公牛、netbull2000黑洞200031338BackOrifice、DeepBO2001黑洞200119191蓝色火焰6267广外女生31339NetspyDk7306网络精灵3.0、Netspy3.040412TheSpy7626冰河1033Netspy8011WRY、赖小子、火凤凰121BOjammerkillahv23444网络公牛、netbull4590ICOTrpjan第95页，共179页，星期日，2025年，2月5日反弹窗口的连接技术传统的木马都是由客户端（控制端）向服务端（被控制端）发起连接，而反弹窗口木马是由服务端主动向客户端发起连接。这种连接技术与传统的连接技术相比，更容易通过防火墙，因为它是由内向外发起连接。*网络入侵与防范讲义*第96页，共179页，星期日，2025年，2月5日*网络入侵与防范讲义*9.2.6监控技术木马连接建立后，客户端端口和服务器端口之间将会出现一条通道，客户端程序可由这条通道与服务器上的木马程序取得联系，并对其进行远程控制。木马的远程监控功能概括起来有以下几点：获取目标机器信息记录用户事件远程操作第97页，共179页，星期日，2025年，2月5日*网络入侵与防范讲义*(1)．获取目标机器信息木马的一个主要功能就是窃取被控端计算机的信息，然后再把这些信息通过网络连接传送到控制端。一般来讲，获取目标机器信息的方法就是调用相关的API，通过函数返回值，进行分解和分析有关成分，进而得到相关信息。第98页，共179页，星期日，2025年，2月5日*网络入侵与防范讲义*(2)．记录用户事件木马程序为了达到控制目标主机的目的，通常想知道目标主机用户目前在干什么，于是记录用户事件成了木马的又一主要功能。记录用户事件通常有两种方式：其一是记录被控端计算机的键盘和鼠标事件，形成一个文本文件，然后把该文件发送到控制端，控制端用户通过查看文件的方式了解被控端用户打开了哪些程序，敲了那些键；其二是在被控端抓取当前屏幕，形成一个位图文件，然后把该文件发送到控制端显示，从而通过抓取得屏幕知道目标用户的操作行为。第99页，共179页，星期日，2025年，2月5日*网络入侵与防范讲义*(3)．远程操作木马程序的远程操作功能如远程关机、重启，鼠标与键盘的控制，远程的文件管理等等。木马程序有时需要重新启动被控制端计算机，或者强制关闭远程计算机，当被控制计算机重新启动时，木马程序重新获得控制权。在木马程序中，木马使用者还可以通过网络控制被控端计算机的鼠标和键盘，也可以通过这种方式启动或停止被控端的应用程序。对远程的文件进行管理，比如共享被控端的硬盘，之后就可以进行任意的文件操作。第100页，共179页，星期日，2025年，2月5日*网络入侵与防范讲义*9.3木马实例下面我们就来看看三种比较流行的特洛伊木马，并详细介绍冰河：BackOrificeSubSeven国产冰河第101页，共179页，星期日，2025年，2月5日*网络入侵与防范讲义*BackOrifice1998年，CultoftheDeadCow开发了BackOrifice。这个程序很快在特洛伊木马领域出尽风头，它不仅有一个可编程的API，还有许多其他新型的功能，令许多正规的远程控制软件也相形失色。BackOrifice2000（即BO2K）按照GNUGPL（GeneralPublicLicense）发行，希望能够吸引一批正规用户，以此与老牌的远程控制软件如pcAnywhere展开竞争。第102页，共179页，星期日，2025年，2月5日*网络入侵与防范讲义*BackOrifice但是，它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具配置许多服务器参数，包括TCP或UDP、端口号、加密类型、秘密激活、密码、插件等。第103页，共179页，星期日，2025年，2月5日*网络入侵与防范讲义*BackOrificeBackOrifice的许多特性给人以深刻的印象，例如键盘事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩，等等。BackOrifice带有一个软件开发工具包（SDK），允许通过插件扩展其功能。第104页，共179页