木马
- 典型的基于远程控制的黑客工具
- 特性:
(1)隐蔽性
(2)潜伏性
(3)再生性 - 组成:(C/S)
客户端程序C:安装在攻击者方,用于远程遥控指挥
服务器端S:即木马程序,被隐藏安装在被攻击方 - 分类
(1)主动型木马
(2)反弹型木马
- 常见木马
(1)远程控制木马:冰河木马
(2)键盘屏幕记录木马:QQ密码记录器
(3)反弹端口型木马:广外女生、网络神偷
(4)DDos攻击木马
操作
- 大白鲨【制作一个木马,并植入】【环境winXP】
(1)在虚拟机中打开大白鲨,点击配置程序
(2)查看本机ip,并填入,点击生成服务端
(3)制作了一个exe文件,双击打开它
(4)此时我发现了一个问题,没有反应,鼓捣了半天还是没有反应,所以我不得不在虚拟机里又安装了winXP
同样的步骤重新来了一遍,还换了IP地址,双击后提示主机上线
(5)此时可以查看上线主机的文件、进程、服务等信息,也可以打开视频监控、屏幕监控(细思极恐)
(6)点击断开连接远程关闭木马,点击卸载主机远程删除木马
后门
- 是木马的一种,可以绕过或挫败系统安全设置
- 分类
(1)网页后门
(2)线程插入后门
(3)扩展后门
(4)C/S后门
创建后门
- 测试
(1)再开一个虚拟机(服务端),将制作好的木马拖入,双击打开,客户端提示有主机上线
(2)使用屏幕监控在服务机桌面创建一个文件夹,回到服务机发现桌面上创建了一个文件夹
(3)针对真实情况,拖拽木马到客户机再打开,难度较大。 - 木马远程发送
(1)准备工作:将两台虚拟机的IP地址设置在同一个网段,将两台虚拟机的网络设置在特定虚拟网络,选择一个除VMnet0、1、8外的任意一个相同网络
(2)在客户端尝试ping服务端IP地址,ping通(ping不通的话查看是否关闭网火墙)
(3)跟服务端建立连接,三条线分别是IP地址、密码、用户,空格不能少(如果出现系统错误1326,就在 “文件夹选项——查看” 中关闭“使用简单的文件共享”)
(4)使用dir查看当前路径下的内容,木马放在桌面,因此要先进入桌面
右键选择标记,再选中“桌面”右击
在命令行输入cd,右击粘贴,回车进入桌面
(5)查看桌面文件,拷贝木马到服务端的c盘,“\”代表是一个远程地址。转到服务端,发现c盘中多了一个木马文件
(6)点击木马文件,客户端提示有主机上线
此时就出现了问题,如何知道服务端的用户密码?如何使用户打开木马?
(7)使用NTscan,输入起始ip和终止ip后start,得到用户名和密码
并建立了一个存放用户名和密码的文本
这两个文件中存放用于穷举的字典
(8)利用系统带的任务计划来运行木马
在之前已经把木马传到服务端c盘的基础上
确认服务端时间
让服务端在指定时间运行指定文件,at控制添加任务计划
成功运行,提示上线
木马的启动方式
- 自启动功能
添加到启动项
修改组策略
修改注册表
捆绑 - 隐蔽性
自身隐蔽
运行隐蔽
通信隐蔽
操作
- 灰鸽子类似大白鲨,但是功能更加丰富
- 穿盾
(1)点击生成木马,上线地址填写本机IP地址
生成可执行文件到桌面
(2)按照之前的步骤将木马传入服务端
(3)在服务端打开木马,客户端显示
(4)DDOS攻击:添加任务
到服务端,打开任务管理器——性能,此时cpu使用较低
回到客户端,开始任务,再去服务端查看,cpu使用率飙升
木马的危害
- 盗取用户信息
- 传播病毒
- 给电脑开后门,易被黑客攻击
隐蔽的木马
有的时候我们就是在浏览网页或者查看图片的不知不觉中就中了木马
(1)使用文件捆绑软件将一张图片和木马捆绑(下软件的时候踩了不少雷)
生成一个捆绑文件
(2)传给服务端,并在服务端打开,发现只是一张图片,而客户端已收到将木马注入信息
中木马的征兆
- 计算机反应速度变慢
- 硬盘不停读写
- 鼠标键盘不听使唤
- 窗口突然被关闭
- 新的窗口莫名其妙地打开
- 网络传输指示灯一直在闪烁
- 系统资源占用很多
- 运行某个程序没有反应
- 关闭某个程序时防火墙探测到有邮件发出
如何处理
切断网络——关闭重启使用F8进入安全模式——在安全模式中使用杀毒软件进行杀毒\手动杀毒\重装系统