木马攻击实验

实验目的

1、 理解掌握木马运行以及传播的原理。

2、 通过手动删除木马，掌握检查木马和删除木马的技巧。

3、 增强对木马的安全防范意识。

预备知识

      木马是隐藏在正常程序中的具有特殊功能恶意代码，是具备破坏，删除和修改文件，发送密码，记录键盘，实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

1、木马的传统连接技术

      一般木马都采用C/S(client/server,即服务器/客户端)运行模式，因此它分为两部分，即客户端和服务器端木马程序。其原理是，当服务器端程序在目标计算机上被执行后，一般会打开一个默认的端口进行监听，当客户端向服务器端主动提出连接请求，服务器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。第一代和第二代木马就采用这种方式。

2、木马的反弹端口技术

      随着防火墙技术的发展，它可有效拦截从外部主动发起的连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接，第三代第四代木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求，而客户端是被动的连接。

3、线程插入技术

      我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。