Trojanhorse精选课件《特洛伊木马》电影图片精选的学习目标

木马精选课件 《木马》电影图片精选课件 本章学习重点 掌握木马防范方法 精选课件 本章主要内容 建立远程计算机之间的连接，使远程计算机能够控制用户计算机系统的程序通过网络，可能导致用户信息丢失、系统损坏甚至瘫痪。连接：控制、服务器IP、控制、服务器端口选择课件热门木马基本功能启动文件、启动组、注册表选择课件在缓存中搜索密码、设置密码、扫描目标机器IP地址、输入键盘记录等功能，远程注册操作，锁定鼠标7、黑客组织倾向于将所选课件公之于众5、FTP型木马所选课件“红色代码”病毒已经具备木马所选课件的远程控制功能课件5、功能更强大 精选课件使用CSocket作为基类生成CMySocket类。 CMySocket 类的作用就是把这个程序变成一个服务器程序。所选课件DWORDdw版本类型defDWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD); //定义RegisterServiceProcess()函数的原型 HINSTANCEhDLL; LPREGISTERSERVICEPROCESSlpRegisterServiceProcess; lpRegisterServiceProcess=(LPREGISTERSERVICEPROCESS)GetProcAddress( 使用RegisterServiceProcess函数实现后台服务进程。

在WinNT 2K下如何实现？所选课件 HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ %System%\\Tapi32 所选课件 CopyFile(commandline, SystemPath+”\\Tapi32.exe”, FALSE);注册表->打开(HKEY_LOCAL_MACHINE,”Software\\Microsoft\\Windows\\CurrentVersion\\Run”);注册表->QueryValue(TempPath,”crossbow”,&lRegLength); registry->SetValue(SystemPath+”\\Tapi32.exe”,”crossbow” 选择课件服务器端口777 pSocket->Receive(lpBuf, 1000); ExecuteCommand(lpBuf elseif(strnicmp(lpBuf,”! SHUT”,5) SendText(“Exit program!”, pSocket }//退出木马程序所选课件要实现的功能：CMD执行应用程序！SHUT退出木马FILEGET获取远程文件 EDITCONF 编辑配置文件 LIST 列出目录 VIEW 查看文件内容 CDOPEN 关闭 CD CDCLOSE 打开 CD REBOOT 重启远程机器 选择课件服务器 _chmod(“c:\\autoexec.bat”,S_IREAD _chmod(“c:\\ config.sys”,S_IREAD C: or format Selected Courseware Server CFileFindfinder; BOOLbWorking while(bWorking) SendText(strResult, pSocket //返回Return_Text变量的内容 Featured Courseware Server – 实现查看命令 intRead_Num=fread(temp_content, 300, fp); for(inti=0;iSend((void*)m_msg, m_msg.GetLength( ) 代码和demo选课件自动卸载等。

精选课件 第一阶段主要实现简单的密码窃取、发送等功能，没什么特别的。第二阶段在技术上有很大的进步，主要是在隐蔽和控制方面。国内冰川可以说是这一阶段的典型代表之一。第三阶段，在数据传输技术上进行了大量改进，出现了基于ICMP协议的木马。该木马利用ICMP协议的畸形报文传输数据，增加了查杀难度。第四阶段，在进程隐藏方面有了很大的改变，采用内核插件嵌入方式，采用远程插入线程技术嵌入DLL线程，或者挂钩PSAPI隐藏木马程序。即使在 Windows NT/2K 下，这些技术也取得了很好的隐藏效果。相信第五代木马的技术更先进。所选课件 win.ini 文件中的 Socket 启动插件： [windwos] 部分包含以下插件： system.ini 中的启动插件： [BOOT] 子项中的“Shell”项： shell=selected Courseware HKEY_CLASSES_ROOT：此处存储的信息可确保当使用 Windows 资源管理器打开文件时，将使用正确的应用程序打开相应的文件类型。 HKEY_CURRENT_USER：存储当前登录用户的信息。用户文件夹、屏幕颜色和控制面板设置都存储在这里。

此信息称为用户配置文件。 HKEY_LOCAL_MACHINE：包含此计算机的配置信息（对于任何用户）。 HKEY_CURRENT_CONFIG：包含系统启动时本地计算机使用的硬件配置文件信息。 HKEY_DYN_DATA：记录系统运行时间的状态。精选课件 20多个API函数 精选课件 当您打开已修改打开关联的文件时，木马将开始运行。选择文件格式中的“打开”、“编辑”、“打印”项。 [HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值“c:\windows\notepad.exe %1”改为“sysexplr.exe需要截取被控终端的屏幕形成位图文件，然后把文件发送到控制计算机进行显示，选中的课件通过网络控制目标计算机的鼠标和键盘，实现模拟鼠标和键盘的功能。 SetCursorPos(lpPoint.x,lpPoint.y); mouse_event(MOUSEEVENTF_LEFTDOWN,0,0 ,0,0); mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0); Selected courseware 另一种选择是将您的计算机配置为 FTP（文件传输协议）服务器。

PutFile 特色课件 Windows2000/NT/XP: [HKEY_LOCAL_MACHINE\SYSTEM\Control Set001\Services\lanmanserver\Shares] Windows9x: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan] “Flags” //Type “路径”//目录“备注”//备注“Parm2enc”特色课件隐藏技术——利用防火墙发起的内部连接请求无条件信任的特性，仿冒是系统获取外部端口的合法网络请求shdocvw.dll没有写权限，然后通过某种方式连接到客户端的木马，从而窃取用户的电脑信息并远程控制电脑本身。特色课件预防：使用个人防火墙，它采用独特的“内墙”方法来应用程序访问网络规则。精选课件隐藏技术——ICMP TCPUDP木马的弱点：在等待和运行的过程中，总是有一个开放的端口可以与外界通信。由于 ICMP 消息是由系统内核或进程直接处理而不是通过端口，这给木马提供了摆脱端口的绝佳机会。木马伪装成Ping进程，系统会将ICMP_ECHOREPLY（Ping的返回包）的监控和处理权限交给木马。从消息中接收、分析和解码命令和数据。

即使防火墙过滤了ICMP包，一般也不会通过ICMP_ECHOREPLY包，否则无法进行ping操作。因此，它具有穿透防火墙和网关的能力。精选课件隐藏技术——寄生就是找到一个开放的端口，寄生它，通常只是监控，遇到特殊指令时解释执行。隐身意味着使用 IP 协议套件中的其他协议而不是 TCP 或 UDP 进行通信，从而忽略 Netstat 和端口扫描软件。一种更常见的潜在手段是使用 ICMP 协议。其他方法：对网卡或Modem进行底层编程。特色课件隐藏技术 – NT 进程和端口链接在一起的方式很常见。因此，需要对进程进行隐藏，以达到隐藏木马的目的。首先是让你的进程对系统管理员不可见（或不可见）；二是不使用流程。精选课件PSAPI（ProcessStatus API）； PDH（性能数据助手）；工具帮助API。如果我们能够欺骗用户和入侵检测软件进入查看进程的函数（例如拦截相应的API调用并替换返回的数据），我们就可以完全实现进程隐藏。首先，我们不知道用户和入侵软件使用什么方法查看进程列表；其次，如果我们有权限和技术来实施这种欺骗，我们必须能够使用其他方法更容易地隐藏这个过程。

特色课件 DLL 是 Windows 系统的另一个“可执行文件”。 DLL 文件是 Windows 的基础，因为所有 API 函数都在 DLL 中实现。一个DLL文件没有程序逻辑，由多个功能函数组成。它不能独立运行，一般由进程加载和调用。假设我们写了一个木马DLL，通过另一个进程运行，那么无论是入侵检测软件还是进程列表，都只会出现那个进程，不会出现木马DLL。如果该进程是受信任的进程，（例如，Explorer.exe，没有人会怀疑它是特洛伊木马吗？）那么我们作为该进程的一部分编写的 DLL 也将成为受信任的成员并为所欲为。所选课件使用DLL实现木马功能 使用DLL实现木马功能，然后使用其他程序启动DLL。线程插入技术精选课件 Rundll32DllFileName FuncName Rundll32.exeMyDll.dll MyFunc程序演示（见：..\othercode\testdll）通过函数转发器调用原始DLL，并拦截和处理特定的消息。 VisualStudio 7 命令提示符 >dumpBin -Exports c:\windows\system32\Kernel32.dll Functionforwarders #pragmacomment(linker, “/export:ForwardFunc=Kernel32.HeapCreate”) 演示（参见：..\ othercode\testdll source code) 选课课件 我们知道WINDOWS的Socket1.x的函数都存放在wsock32.dll中，那我们自己写一个wsock32.dll文件，替换原来的wsock32.dll（把原来的DLL文件重命名为wsockold.dll） 我们的wsock32.dll只做了两件事，一是遇到未知调用，直接转发到wsockold.dll （使用转发器转发功能）；二是解码处理特殊请求（预先约定）。

所选课件的system32目录下有一个dllcache目录。该目录存储了大量的 DLL 文件。一旦操作系统发现受保护的DLL文件被篡改（数字签名技术），就会自动从dllcache中恢复。这个文件。同时木马DLL方法本身存在一些漏洞（如修复安装、安装补丁、升级系统、检查数字签名等，可能会导致木马DLL失效），因此不能将这种方法视为DLL 木马的最佳选择。精选课件 DLL木马的最高级别是动态嵌入技术，是指将自己的代码嵌入到运行进程中的技术。多种嵌入方式：window Hook、hook API、远程线程。特色课件隐藏技巧——远程线程是指通过在另一个进程中创建一个远程线程来访问另一个进程的内存地址空间。也可以通过CreateRemoteThread在另一个进程中创建新线程，新线程也可以共享远程进程的地址空间。一个地址精选课件DWORDWINAPI ThreadFunc(PVOID pvParam); HINSTANCELoadLibrary(PCTSTR pszLibFile);两个函数非常相似

选择课件x函数，在远程进程的地址空间分配内存。在远程进程中创建线程的 d 函数调用正确的 Ly 函数，将第一步分配的内存地址传递给它。选择课件的x函数，释放第一步分配的内存。 d函数，在远程进程中创建一个线程，它调用F Imgwalk) Featured Courseware C:\>typetext.txt>>Test.exe 木马会在exe文件末尾放一些配置信息。例如，冰川木马选用的课件就是已知木马病毒的端口列表。 Win.ini精选课件6.通过APIHOOK启动，使用常用API启动木马精选课件。写成Vxd，写入[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD] 9.使用ScanDisk等Javaapplet等程序，在某些情况下，系统会自动启动它们。精选课件 Windows下查看进程/内存模块的方法有很多，包括PSAPI、PDH和ToolHelperAPI。关联端口和进程的软件也是重要的工具之一。虽然DLL木马隐藏在其他进程中，但也会有一些例外。功能强大的Fport是一款优秀的进程端口关联软件，可从以下地址下载。 : 嗅探器帮助我们发现异常的网络通信，从而引起我们的警惕和注意。嗅探器的原理很简单。通过将网卡设置为混杂模式，可以接受所有IP数据包，嗅探程序可以从中进行选择。值得关注的部分分析完毕，剩下的无非是根据RFC文档解码协议。

代码和头文件： 编译程序： 精选课件 精选课件 系统文件检查器精选课件 千万不要仅仅因为他是你的好朋友就执行他发送的软件或程序。千万不要乱说别人的坏话，以免别人用木马报复你。选中课件 检查注册表[HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService]中是否存在Umgr32.exe的键值。如果有，请将其删除。重新启动计算机并从\Windows\System 中删除Umgr32.exe。精选课件二、NetSpy（网络精灵）国产木马，默认连接端口为7306。此版本新增注册表编辑功能和浏览器监控功能，客户端现在可以通过IE或Navigate进行远程监控没有 NetMonitor。它的威力丝毫不逊于Glacier和BO2000！服务端程序执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表[HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run]下创建键值C:\windows\system\netspy.exe，系统启动时自动加载运行。

清除方法：1.输入dos，在C:\windows\system\目录下输入如下命令：del netspy.exe回车； 2. 进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersi on\Run\，删除Netspy.exe和Spynotify.exe的键shdocvw.dll没有写权限，安全清除Netspy。选中课件三、Happy99 本程序运行时会打开一个名为“Happy new year 1999”的窗口，会出现一个漂亮的烟花，它会被复制到Windows主文件夹的System目录下，并改名为Ska。 exe，同时创建文件Ska.dll，修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，修改注册表。此外，用户可以查看注册表 [HEKY_LOCAL_MACHINE\Softwre\Microsoft\Windows\CurrentVersion\RunOnce] 中的键值 Ska.exe。有的话删掉，把\Windows\System下的Ska.exe和Ska.dll两个文件删掉，把Wsock32.ska重命名为Wscok32.dll。

精选课件四、Glacier Glacier标准版的服务器程序是G-server.exe，客户端程序是G-client.exe，默认连接端口是7626。G-server运行后，程序在 C:\Windows\system 目录下生成 Kernel32.exe 和 sysexplr.exe 并自行删除。 Kernel32.exe在系统启动时自动加载运行，sysexplr.exe与TXT文件关联。即使你删除了Kernel32.exe，但是只要你打开TXT文件，sysexplr.exe就会被激活，它会再次生成Kernel32.exe，所以冰川又回来了！这是Glacier多次删除的原始删除方法：用纯DOS启动系统（防止木马自动恢复），删除你windows下的system\kernel32.exe和system\sysexplr.exe安装的木马文件，注意如果系统提示不要删除，因为木马程序会自动设置这两个文件的属性，我们只需要修改它们的隐藏和只读属性就可以删除了。删除后进入Windows系统进入注册表，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]两项，然后查找kernel32.@ >exe和sysexplr.exe两个键并删除。

找到[HKEY_CLASSES_ROOT\txtfile\open\command]，看看key值有没有改成“sysexplr.exe%1”，如果有，改回“notepad.exe 选课件2.6@>Nethief （网络小偷） 这是反弹端口型木马的典型代表，大多数防火墙倾向于对从外部连接到机器的连接进行非常严格的过滤，但是对于从机器连接的连接却很松懈（当然也有防火墙在这两个方面都非常严格），因此与一般木马相反，弹跳端口型木马的服务器（被控端）使用主动端口，客户端（控制端）使用被动端口。一个连接要建立了，客户端通过FTP主页空间告诉服务器：“现在开始连接我吧！ “，并进入监听状态，服务端收到通知后，会开始连接客户端。为了隐蔽，客户端的监听端口一般开在80。这样，即使用户使用端口扫描软件查看自己的端口，发现是一样的，类似“TCP服务器IP地址：1026客户端IP地址：80 ESTABLISHED”的情况，稍有疏忽，就会认为自己是浏览网页。防火墙也会这么想，可能没有防火墙就不允许用户连接外界。80终端清除方法：1.网路小偷会在注册表下创建一个键值“internet”[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\Run]，其值为“internet.exe /s”，将删除key值；2.删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET .EXE。

特色课件 木马名称 端口 木马名称 端口 BO jammerkillahV 121 Remote Grab 7000 NukeNabber 139 NetMonitor 7300 Hackers Paradise 456 NetMonitor 1.x 7301 Stealth Spy 555 NetMonitor 2.x 7306 Phase0 555 NetMonitor 3.@ >x 7307 Netadmin 555 NetMonitor 4.x 7308 Satanz Backdoor 666 Qaz 7597 Attack FTP 666 ICQKiller 7789 AIMSpy 777 InCommand 9400 精选课件木马检测和清除实验样本程序使用开放主机端口号和每个木马程序使用的端口 对应关系，判断主机是否被木马攻击，是什么类型的木马（目前可以查到100多种），根据木马的种类可以查杀20多种木马。此外，用户可自行添加数据库，增加可搜索的病毒种类。选中的课件开始读取并保存打开的端口文件，判断中和木马能否打开木马数据库文件。是的，结束调用netstat获取开放端口，并将结果保存到文件中。这个木马能被杀死吗？调用函数杀死木马。是 所选课件 关键数据结构 本程序的数据文件Trojan.txt使用TROJAN结构保存木马的名称，对应打开的端口号和查杀码的字段名。字段类 字段描述 nPort number 木马使用的端口号。

TroName 字符串 木马的名称。 nKillno Number 木马的查杀号码，查杀函数调用。 pnext指针用于形成链表结构指针木马名称木马使用特征端口号查杀号在Trojan.txt中，每一行是一个木马项，格式为所选课件ProtoLocal地址外地地址状态TCPtruewar:epmap 0.0.0.0:0 监听 TCPtruewar:1025 0.0.0.0:0 监听 TCPtruewar:1028 0.< @0.0.0:0 LISTENING TCPtruewar:5000 0.0.0.0:0 LISTENING UDPtruewar:isakmp UDPtruewar:1900 无法处理消除隐藏端口所选课件中的木马进程 目的是使其能够杀死木马进程，主要是通过AdjustTokenPrivileges函数。 BOOL AdjustTokenPrivileges( HANDLE TokenHandle, //用于修改权限的语句 BOOL DisableAllPrivileges, //修改方法 PTOKEN_PRIVILEGES NewState, //修改值 DWORD BufferLength, //修改值的长度 PTOKEN_PRIVILEGES PreviousState, //之前的状态modify PDWORD ReturnLength //返回长度 第二步：枚举进程，获取木马进程的进程号。

首先通过EnumProcesses函数枚举系统中所有正在运行的进程。获取所有进程的进程ID后，枚举每个进程包含的模块，这里使用EnumProcessModules函数： 通过返回的模块信息，我们可以使用GetModuleFileNameEx获取该模块的调用文件的文件名。选择课件 第三步：终止木马进程。如果获取的文件名与木马名称相同，则调用TerminateProcess函数终止木马进程。选择课件 第四步：删除木马文件。终止木马进程后，可以删除木马文件、删除注册表项、删除文件中的自启动项，这涉及到几个注册表操作功能。 RegDeleteValue：当我们找到的键名和它包含的键值与木马添加的内容一致时，我们可以调用该函数删除这个键。对于木马文件，调用DeleteFile函数将其删除。精选课件代码（VC）及程序演示 精选课件 精选课件 论文题目：《论XX病毒及其防控技术》论文必须在5月11日提交