木马入侵

关键词： 网络管理员 木马 入侵 防护

木马入侵（精选四篇）

木马入侵 篇1

运用虚拟技术, 用一台电脑, 就可模拟出Ineternet的环境并模拟多种木马入侵场景, 从而提高网络管理员的安全防护技能;同时, 也可改变网络安全相关课程的教学培训和实践困难的现状, 提高教师的备课质量和学生的知识水平动手及实践能力。

1 在一台PC机中, 通过虚拟技术模拟复杂的Internet环境

复杂的Internet环境中, 存在着众多的网络互联设备、服务器和客户机等。采用虚拟技术软件VMWare和GNS3, 可分别用来模拟网络设备和主机。其中, VMWare可用来模拟服务器或客户机, 在一台真机上, 利用VMWare, 可安装多个的Windows、Linux等操作系统, 从而模拟出多台服务器或客户机;而GNS3则是采用真实路由器的IOS来模拟路由器的, 模拟出来的路由器等设备的操作命令及功能与真实路由器一致。在同一台真机上, 可同时安装VMWare和GNS3, 并让它们虚拟出来的主机与网络设备实现互联。下面, 对它们的用法进行分别介绍。

1.1 GNS3的用法

GNS3刚安装好后, 先要进行相关配置, 方法如下:

1) 通过Edit/IOS images and hypervisors, 选择路由器的IOS文件;

2) 计算Idle PC。不合适的Idle PC值, 会导致真机系统CPU占用率过大, 甚至达100%, 为了能正常使用, 需要计算并选择合适的Idle PC值。方法是:在GNS3中, 拖出一台路由器, 右击运行, 右击选“Idle PC”, 系统会计算出一些Idle PC值, 打“*”号的是系统推荐的值, 要获得一个好的值需要在使用过程中反复尝试、不断调整。

1.2 VMWare的用法

VMWare安装好后, 可通过操作系统安装盘的ISO文件, 进行windows等各种操作系统的安装, 安装完第一个操作系统, 还可通过克隆等方式, 快速生成多个操作系统, 用于模拟多台客户机或服务器。VMWare的用法在笔者的文章《运用虚拟化技术模拟黑客入侵与防御》中有详细论述, 此处不再赘述。

1.3 虚拟主机与虚拟网络设备的互联

对于大型项目案例, 需要将虚拟服务器与虚拟网络设备连接起来, 方法如下:

1) 默认情况下, 能实现将一台虚拟的路由器与真机相连或与一台VMWare虚拟主机相连, 若要模拟多个网络的环境, 实现多个网络设备与多台虚拟主机相连, 则需要在VMWare中, 添加新的虚拟网络。方法是:打开VMWare, 选择Edit/Virtual Network Edit..., 选择“Add Network”, 添加VMnet2、VMnet3等虚拟网络, 然后重启真机使之生效。

2) 在VMWare中, 将不同网络的主机连接到不同的VMnet。如:将一台路由器与一台主机通过虚拟网络VMnet1互联, 步骤如下:

1) 在VMWare中, 启动PC1, 将其连接到VMnet1。

2) 启动GNS3, 拖出一台路由器R1, 一台主机C1。此主机C1将代表VMWare中的主机PC1。

3) 在GNS3中, 右击C1, 选择“配置”, 删除原有默认网卡, 再选中VMnet1, 点击“添加”。

4) 在GNS3中, 将R1与PC1连接到了网络VMnet1中。方法:选择手工连接;点击C1, 选VMnet1;再点击R1, 选f0/0。

5) 在VMWaret中给主机PC1设置IP地址。

6) 在GNS3中, 启动R1, 给R1的f0/0设置与PC1同网段的IP地址。

7) Ping测试, 主机PC1能连通路由器R1。

1.4 用虚拟技术搭建Internet环境

规划如下:柳州A学院局域网两台主机、南宁B公司局域网一台主机、桂林市公网一台Web服务器。共涉及四台主机 (或服务器) 、三台路由器、一台交换机。拓扑结构如下:

搭建方法如下:

1) 打开四个VMWare, 启动四台PC机, PC1和PC2模拟柳州A学院局域网内的两台主机, PC3模拟南宁B公司局域网内的一台主机, PC4模拟桂林市公网上的一台Web服务器。将PC1~PC4分别连接到VMnet1~VMnet4。

2) 打开GNS3, 拖出三台路由器, 四台主机, 一台交换机, 为R2添加一个模块NM-1FE-TX, GNS3中的C1~C4对应于VMWare中的PC1~PC4, 将C1~C4的网卡分别设置为VMnet1~VMnet4。

3) 在GNS3中, 选择“手动连接”, 按上图拓扑, 将C1的VMnet1连接到SW1的1口, C2的VMnet2连接到SW1的2口, SW1的8口连接到R1的f0/1口, R1的f0/0口连接到R2的f0/0口, R2的f0/1口连接到R3的f0/0口, R3的f0/1口连接到C3的VMnet3, R2的f1/0连接到C4的VMnet4。

4) 为R1的各端口设置IP地址、设置默认路由、设置NAT, 使192.168.43.0网段的柳州A学院的计算机能访问外网, 但外网不能访问内网。配置命令如下:

5) 为R2的各端口设置IP地址。配置命令如下:

6) 为R3的各端口设置IP地址、设置默认路由、设置NAT, 使192.168.1.0网段的南宁B公司内部的计算机能访问外网, 但外网不能访问内网。配置命令如下:

7) 在VMWare中, 配置各主机的IP地址、缺省网关。为服务器安装Web服务。完成后, 柳州A学院内网计算机和南宁B公司内网的计算机互相间不能访问, 但都能访问桂林公网上的Web服务器, 公网上的Web服务器不能访问内网。

2 模拟木马入侵

根据前面搭建好的Internet环境, 可进一步模拟木马入侵。公网服务器入侵内网计算机已在笔者的文章《运用虚拟化技术模拟黑客入侵与防御》中详细论述, 该文重点探讨利用局域网内部计算机通过网页挂马的形式分别入侵同一局域网中的计算机, 入侵不同局域网中的计算机以及公网中的服务器。

2.1 局域网内部的入侵

以黑客在柳州A学院局域网内部通过C1入侵C2为例, 步骤如下:

1) 搭建黑客网站。在VMWare的PC1上, 搭建黑客网站www.heike.com, 黑客将通过网页挂马的形式, 供受害者浏览, 受害者一旦浏览, 将会中毒受控。

2) 在PC1和PC2上, 编辑hosts文件, 将www.heike.com解析为192.168.43.2, 即黑客网站所在计算机的IP地址。

3) 生成木马服务器端。在PC1上, 启动灰鸽子客户端, 点击“配置服务程序”, 将服务程序IP地址或域名设置为:“www.heike.com”, 点击“生成服务器”, 生成server.exe。生成的木马服务器端将由黑客通过网页挂马、电子邮件、捆绑到游戏中等形式, 引诱受害者浏览或下载运行。本例中, 通过网页挂马的形式发布木马病毒。

4) 生成挂马首页。在PC1上, 将灰鸽子服务端server.exe复制到黑客网站根目录;运行网马生成器, 输入网页木马路径:http://www.heike.com/server.exe, 生成网马文件, 将网马文件重命名为default.htm, 复制到黑客网站根目录。

5) 控制受害者。在PC2上浏览黑客网站, 片刻后, PC1上的灰鸽子客户端会发现PC2上线, 从而黑客可在PC1上控制受害者PC2。这是因为, 一旦受害者浏览挂马网站, 木马服务器端就会自动下载到受害者的计算机上运行, 然后主动连接到黑客所在的木马客户端。这一切都是在受害者毫不知情的情况下发生的, 而木马服务端还会将自己设置成开机加载, 就算受害者重启计算机, 仍然会被控。

2.2 在前面配置的基础上, 黑客还可进一步入侵公网或其它局域网上的计算机

下面, 以黑客在柳州A学院局域网内部的C1入侵桂林市公网上的Web服务器C4、入侵南宁B公司局域网内部的C3为例。

1) 外网是不能访问内网的, 如何使外网和其它局域网能访问黑客所在局域网内部的挂马网站呢?这需要黑客有权限配置所在局域网的网关R1, 将挂马网站的IP地址进行NAT端口映射, 此处要映射的是80端口, 也就是http协议使用的端口。命令如下:

若黑客是在家中通过宽带路由上网, 因为每次上网, 黑客计算机获得的公网IP地址都有可能不一样, 因此需要通过申请动态域名, 利用花生壳之类的软件将黑客网站与动态域名捆绑, 获得动态域名的支持, 再进一步通过宽带路由器的图形界面, 设置NAT端口映射。

2) 以上配置完成后, 外网或其它局域网用户访问黑客网站所用的IP地址不再是黑客所在局域网的内网地址192.168.43.2, 而是网关连接外网接口的地址, 也就是202.103.225.2, 因此, 需在PC3、PC4上, 编辑hosts文件, 将www.heike.com解析为202.103.225.2。

此时, PC3、PC4都可以通过域名“www.heike.com”访问PC1上的黑客网站, 但受害者计算机上的木马服务端主动联系的是202.103.225.2的8000端口, 此端口还未与192.168.43.2作NAT端口映射, 所以黑客还无法控制PC3、PC4。

3) 为使外网和其它局域网中毒的计算机能被PC1上的灰鸽子客户端控制, 黑客还要配置R1, 将黑客网站的内网IP地址与外网接口进行8000端口的NAT映射, 命令如下:

通过以上配置, 黑客不仅可控制同一局域网内的计算机PC2, 还能控制不同局域网内的计算机PC3和公网服务器PC4。

通过以上演示, 网络管理员可以清楚了解到黑客是如何通过木马达到入侵目的的, 网络管理员进一步需要及时更新系统, 添加防火墙、安装杀毒软件的方式加强防护。GNS3不但支持路由器、交换机等网络互联设备的模拟, 也支持ASA等硬件防火墙的模拟;在VMWare支持的操作系统上, 也可安装软件防火墙、部署杀毒软件、安装入侵检测系统。因此, 充分运用这两种虚拟技术, 可以很好的提高管理员的安全防护能力。

参考文献

[1]阿博泰克.构建大型企业网络[M].北京:科学技术文献出版社:2009

[2]秦燊, 劳翠金.运用虚拟化技术模拟黑客入侵与防御[J].电脑知识与技术, 2011 (23) .

木马入侵 篇2

一旦木马入侵，不仅硬盘的控制权会拱手相让，就连用户上机时的一举一动都会被人完全监视，像邮箱、信件、会员账号、密码、QQ账号、聊天内容等都会被人尽收眼底。如果有网上购物的习惯，还会造成经济上的损失，

解决方法:安装防火墙，定期杀毒，注意不要随便打开收到的邮件中的附件，养成良好的上网习惯。

此外，还可以把操作系统升级到Windows 2000、Windows XP或是Windows Server 2003。在Windows 2000/XP/2003中，共享的问题得到了很好的解决。

攻防课堂之亲历木马入侵（下） 篇3

实验程序：ANI网马生成器

木马下载地址：http://218.86.126.77/Cpcfan/2007/3/lxl.rar

补丁发布时间：2007年4月

补丁下载地址：http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx?pf=true

Windows在处理畸形的动画图标文件(.ani)时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。从Windows2000 SP4到Vista都存在这漏洞，目前该漏洞正在被名为TROJ_ANICMOO.AX的木马积极地利用。随着生成工具的日益完善，ANI网马非常有可能成为今年的热门网马。该木马的生成步骤如下：

1)下载一个Ani网页木马生成器。

2)运行“Ani木马生成器”，输入“网页木马远程存放地址”中填入的将要存放的网页服务器地址，如：http://218.86.126.77/cpcfan/2007/3。

3)输入木马程序存放的地址，如：httP://218.86.126.77/cpcfan/2007/3/mm/exe。

4)Ani木馬生成器通常生成三个文件：index.htm，z1.jPg，z2.jpg。

5)把这三个文件传到http://218.86.126.77/cpcfan/2007/3目录下，在虚拟机上访问http://218.86.126.77/cpcfan/2007/3/index.htm，你的计算机就会自动下载mm.exe并运行。

实验程序：Real木马制作工具

2005年3月，RealPIayer暴出安全漏洞，它是一个基于缓冲区溢出的漏洞，肇事者是多媒体综合语言(smil)文件形式语法分析程序，漏洞允许攻击者在一台机器上运行任意的代码。受影响的播放器主要是RealPlayer及Realone的各种版本。目前的Real木马制作工具就是恶意的smil文件生成器，网上有现成的代码。用户在看电影时利用播放器本身漏洞直接中马，漏洞利用和IE无关，而且打RealPlayer补丁的人少之又少，成功率还是很高的。只要装有RealPlayer或暴风影音支持smil格式等播放器的用户都会中招。具体的操作步骤如下：

1)在虚拟机上运行real.exe生成1个1.smil文件，注意如果你对网络上下载的real.exe程序有疑虑，可以安装VC6，使用现成的溢出代码自己编译。

2)运行RealPlayer打开这个1.smil

3)进入dos命令符下，运行netstat-an，可以看到计算机打开了13579端口。

4)在主机上运行telnet 192.168.1.2 13579，可以看到主机得到了虚拟机的cmdshell的权限。

现在就是利用此漏洞来制做成网页木马，让用户打开网页后就会打开本机的13579端口。也就是在网页中调用生成的smil文件。什么是smil文件呢?它就是RealPlayer连续播放影音文件的一种调用方法。举个简单的例子，如果想连续播放两首MP3，网页代码如下：

对于网页木马的预防，没有永久有效的措施，只有时时刻刻保持警惕，不要随便访问任何未经过确认的图片、文档、多媒体文件，即使是QQ好友发过来的也要多验证，最重要的是要及时给系统打上安全补丁，及时把你的杀毒软件升级到最新的版本。

通过前面的实验，多数人已经可以自己制作出一个网页木马并掌握一些加密的技巧，那么黑客是怎样把网页挂在正规的网站呢?通常黑客会利用服务器的漏洞入侵服务器，然后把自己做的网页木马传到服务器上，通过修改网站的首页或某个重要页面，把木马悄悄的隐藏在页面的某个角落里，下面列举其中几个途径。

作为网站的管理者，要时刻注意网站重要页面的检查，特别是首页连接的检查，经常搜索页面中是否出现frame这类关键字。

攻防挑战题目：

论计算机网络木马入侵与应对措施 篇4

1 特洛伊木马病毒的特征

1.1 有效性

在计算机网络入侵中,木马病毒是常见形式之一,只要在目标机器中运行木马病毒,就可以实现入侵的目标。所谓“有效性”,主要是入侵的木马可以通过控制端构建某种联系,进而操纵目标机器,对其中有价值的、敏感的信息实行获取。

1.2 植入性

木马病毒若想发挥作用,必须成功植入到目标机器中;而“欺骗”则是进入目标机器最常用的手段,在一些软件中就是木马的栖息地;利用计算机系统可能存在的漏洞植入木马病毒,也是有效途径。另外,木马技术和蠕虫技术的结合,使得木马病毒附着了蠕虫的传播特征,也更便于木马植入目标的实现[1]。

1.3 隐蔽性

如果目标机器中存有木马病毒,可能长期潜伏而不会被发现,如果任何一个简单的杀毒软件或者用户手工检测都可以发现木马病毒,那么其存在的价值必然受到影响。因此特洛伊木马具有一定隐蔽性,也是其发挥作用的重要保障。

1.4 顽固性

一旦木马被查杀出来,为了进一步保障其入侵的有效性,将体现出另一重要的特征——顽固性。也就是清除木马病毒的难度较大,即使木马已经查出来,也可能对其束手无策。

2 木马入侵途径

2.1 木马的配置策略

配置木马,主要发挥了木马的伪装与信息反馈作用;通过“伪装”方法,使得病毒更具隐蔽性,采取捆绑文件、更改图标等方法,很难被用户发现;而信息反馈则是安装木马之后,收集服务端的软件信息与硬件信息,通过ICO、电子邮件等方式传递到控制端。

2.2 木马的传播方式

其一,通过电子邮件的方式,由控制端以附件的形式将木马程序发送出去,收信人一旦打开附件就会感染病毒;其二,通过软件下载的方式,在一些非正规的网站中,如果用户下载了某一程序,在安装过程中就可能遇到捆绑的、隐蔽的木马,而程序运行过程中,木马病毒也开始运作;其三,通过网页传播的方式,由于IE系统存在一定漏洞,可能在人们毫无察觉的情况下,点击某一网页后,木马就会采取图形渲染漏洞的方式进入到用户的计算机中[2]。

2.3 木马的运行过程

一方面,自启动激活方法,将木马程序的主键中可能存在启动木马功能的键值开启,或者通过“开始→程序→启动”的方式,也可能存在触发木马的条件;另一方面,触发式激活木马,将注册表的键值触发,一般采取文件捆绑的方式实现。当前,大多计算机用户已经增强了对木马入侵的警惕性,因此黑客又采取合并程序、冒充图像文件等方式,造成用户在不经意的情况下启动木马程序,一旦木马进入到系统的内存中,就会将端口启动,做好与控制端连接的准备。当具备了两个条件之后,连接就会实现:其一,木马程序已经进入服务端并安装完毕;其二,无论是服务端还是控制端,都处于在线状态。

2.4 木马的远程控制

当已经建立了木马连接之后,在控制端的端口和木马端口就会形成一个通道,控制端的程序就可以借助该通道和服务端的木马程序获得联系,并实现远程控制;在这一过程中,可以获取与用户同等的权限,如操作文件、篡改数据、盗取密码或修改注册表等。

3 木马入侵的应对措施

3.1 安装防火墙和杀毒软件

从大多黑客的发展状况来看,应该归属到“伪黑客”的行列,也就是利用当前已经成熟的木马程序或者系统漏洞等,实现对一般用户的攻击,与真正意义上的“黑客”存在差别。针对“伪黑客”行为,可有针对性地装备防火墙,如天网个人防火墙、诺顿网络安全特警等,也可安装木马克星、The Cleaner、360等木马查杀软件,确保木马病毒时刻处于被监控的状态,定期做好计算机的扫描和备份,从基础环节防范木马入侵[3]。

3.2 阻断网络通信途径

在计算机程序中,通过实行网络监控手段,可及时发现网络通信中存在的异常,对木马网络通信实行阻断;同时也可对各种规则实行定义,让木马无处藏身,也不能顺利进入到网络通信中。采取防火墙、入侵保护策略、入侵检测技术等,都是实现这一目标的重要方法;可以对网络通信的端口进行实时控制,限制网络链接行为,及时发现系统的异常状况并截取没有经过允许的通信端口使用或网络连接行为,并向用户发出报警信号[4];另外,通过入侵检测技术,还可以对网络流量中可能存在的入侵与攻击行为进行识别,实现了主动的阻断作用。当前,在计算机网络中使用的入侵保护产品,无论是使用性能还是分析数据包的能力,都有了大幅度的提升,对防范木马入侵起到积极作用。

3.3 网络端口的实时监控

在计算机系统中,如果某一端口意外打开,则可以怀疑发生木马入侵行为。如果恰好这一端口是木马常用端口,那么则可确定木马入侵行为的发生。一旦计算机用户发现这一异常现象,则应立即切断机器中的网络连接,断开与控制端的通信,此时攻击者就失去了进一步攻击的可能性。此时,应该打开任务管理器,关闭所有与互联网连接的程序,包括电子邮件、QQ等,在系统的托盘中将所有处于运行状态的程序关闭;特征码技术原本在反病毒中应用,当前在防范木马入侵方面也起到一定作用,可有效检测木马入侵行为,是当前各种反病毒软件中常用技术之一。

另外,在“实时监控”过程中,木马可能通过网页、邮件或各种文件流入到系统中,此时对相关数据实行检测、过滤,将其中可能含有非法程序的代码剔除;当前,实时监控技术的成功运用,在反木马、反病毒方面起到不可取代的作用,可有效避免由于非法程序而对系统造成的威胁[5];因此当用户进入到互联网中,就应有意识地开启反木马监控程序,实时控制并显示所有运行程序的描述信息,一旦发现潜在威胁,则采取应对措施。

3.4 访问注册表行为的控制

在当前计算机系统中,木马往往在注册表中隐蔽运行,因此加强对注册表访问行为的控制,非常重要。当木马程序不能加载到注册表中,就无法实现隐蔽和启动功能。一些木马通过修改注册表的行为,实现了恶意操作;如果能够对注册表操作手段实行限制,那么木马就不会对系统做出违规操作;对注册表中常用的自启动项目或者木马常用的关联项目提高权限设置,可对木马隐蔽、启动的条件造成破坏,让木马在系统中无处藏身[6]。

4 结语

随着计算机与网络技术的不断应用和普及,木马入侵也日益猖獗,传播速度越来越快。应该认识到,网络作为一把双刃剑,在给人们提供便捷服务的同时,网络安全威胁也不容忽视。因此提高木马入侵的警惕程度,有针对性地采取防范与应对措施,至关重要。

参考文献

[1]康治平,向宏.特洛伊木马隐藏技术研究及实践[J].计算机工程与应用,2006,(9).

[2]黄博.对当前计算机网络安全问题的几点思考[J].中国科技博览,2011,(34).

[3]张建.浅谈计算机木马常用的伪装、隐藏及清除方法[J].计算机光盘软件与应用,2010,(14).

[4]杜毅.浅析计算机局域网病毒防治——以木马技术为例[J].科技信息(学术版),2008,(9).

[5]帅健.如何防止木马病毒对注册表计算机病毒的入侵[J].科技广场,2010,(12).