实验20 黑洞木马实验

【实验目的】

1、了解木马感染的手段

2、掌握利用木马的办法

【实验环境】

系统环境：2台windows 2003
实验工具：Blackhole（D:\攻防工具包\黑洞木马）
EXE捆绑机（D:\攻防工具包\黑洞木马\EXE捆绑机）

【实验预备知识点】

1、 木马程序（Trojan horse program）通常称为木马，恶意代码等，是指潜伏在电脑中，可受外部用户控制以窃取本机信息或者控制权的程序。木马指的是特洛伊木马，英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。
2、 木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

【实验内容】

Blackhole(黑洞木马)下载解压后得到一个文件client.exe，它是监控端执行程序，用于监控远程计算机。Blackhole的服务端隐藏在客户端程序中，只要运行client.exe，点其中的“生成服务端文件”即可生成一个服务端文件，生成的服务端文件可以自行命名。

【实验步骤】

1、客户端打开Blackhole解压包，点击“Client.exe”进行系统设置配置监听端口，如图1所示

图 1设置监听端口
2、设置连接密码，其他选择可以直接默认，也可以根据需求配置

3、配置好客户端后，开启客户端对远端木马进行监听，如图3所示

图 2远端木马监听窗口
4、点击“文件->创建自动运行DLL版本服务端安装程序”，生成服务端安装程序。

5、为了增加木马的隐蔽性，在生成服务端程序的时候，把“安装过程中显示提示信息”、“安装完毕后在桌面和快速启动栏创建服务端设置快捷方式”及“安装完毕添加卸载信息到控制面板的”添加或删除程序“列表”前面的勾去掉。如图3所示

图 3设置安装选项
6、“控制选项”默认全选，无需改变，接着配置“连接选项”，配置固定连接主机的IP（客户端IP）、端口号（此端口号是客户端监听的端口，不能选择系统服务常用的端口，以防端口被占用）、连接密码（客户端设置系统时的连接密码）。如图6所示

图 4设置连接选项
7、点击“生成”->选择保存服务端程序的路径->给生成的服务端程序命名（这里的命名自行确定）->“保存”->“取消”，这样就生成服务端。如图5所示

图 5命名生成的服务端
8、打开EXE捆绑机（D:\攻防工具包\黑洞木马\EXE捆绑机）添加第一个EXE文件，然后点击“下一步”。如图6所示

图 6添加第一个文件
9、加木马程序，然后点击“下一步”，如图7示

图 7添加第二个文件
10、捆绑后程序的保存路径，然后点击“下一步”

11、捆绑机版本，默认选择普通版，如图 8示

图 8默认选择普通版
12、开始捆绑，如图9示

图 9开始捆绑
13、靶机通过FTP（账号：bluedon 密码：123456）、邮件附件、网盘分享等方式下载捆绑后程序到目标机的磁盘中，并安装捆绑后的程序，在安装的时候木马同样被激活。

14、在客户端里就可以看到目标已上线。如图10所示

图 10查看目标是否上线
15、通过客户端，就可以对服务端的目标机进行控制，例如关闭进程、控制重启关机、修改注册表之类等。如图11所示

图 11修改注册表
16、靶机使用netstat -ano查看系统已建立的特殊端口情况，并记下pid。如图12所示

图 12查看端口情况

17、使用tasklist /svc查看对应的PID是哪个服务在使用。如图13所示

图 13查看对应PID服务
18、从上图的服务名称可以知道是黑洞木马的进程。使用taskkill /f /pid pid杀死木马。如图14所示

图 14杀死木马程序
杀死进程之后在客户端就无法连接和控制受害机。如图15所示

图 15客户端无法连接
使用sc命令把木马建立的服务删除。如图16所示

图 16删除木马服务

【实验思考题】

通过Blackhole(黑洞木马)的演示，了解木马的基本结构和原理，利用和清除木马的过程及结果。在平时对于不信任的文件提高警惕，提高信息安全敏感性。通过实验思考以下问题：
1、 中了木马会有什么样的后果。
影响系统运行

（1） 计算机操作系统运行速度减慢或经常死机。win7系统运行缓慢通常是计莽机的资源被大量消耗。有些病毒可以通过运行自己，强行占用大量内存资源，导致正常的系 统程序无资源可用，进而操作系统运行速度减慢或死机。
（2） 系统无法启动。系统无法启动具体症状表现为开机有 启动文件丢失错误信息提示或直接黑屏。主要原因是病毐修改硬盘的引导信或删除了某些启动文件。以“系统启动文件丢失 错误提示”为例介绍，计算机启动之后会就出现。
（3） 文件打不开或被更改图标，很多病毐可以直接感染文件，修改文件格式或文件链接位置，让文件无法正常使用一时的“熊猫烧香”病毒就属于这一类，它可以让所有的程序文件图标变成一只烧香的熊猫图标。
（4） 提示硬盘空间不足在硬盘空间很充足的情况下，如果还弹出提示硬盘空间不足，很可能是中了相关的病毒。但是打开硬盘查看并没有多少数据。这一般是病毒复制了大量的病毒文件在磁盘中，而且很多病毒可以将这些复制的病毒文件隐藏。
（5） 数据丢失有时候用户杳看刚保存的文件时，会突然发现文件找不到了。这一般是被病毒强行删除或隐藏。这类病毒中，最近儿年最常见的是“U盘文件夹病毒”。感染这种病毒后，U盘中的所有文件夹会被隐藏，并会自动创建出一个新的同名文件夹，新文件夹 的名字后而会多一个“.exe”的后缀。当用户双击新出现的病毒文件夹时，用户的数据会被删除掉，所以在没有还原用户的文件前，不要点击病毒文件夹。
（6） 计算机屏幕上出现异常显示。计算机屏幕会出现的异常显示有很多， 包括悬浮广告、异常图片等。以中奖广告为例进行介绍，计算机屏幕上会出现广告对话框。

2、 木马怎么传播。
木马病毒的入侵和传播手段通常是通过网络下载和利用电子邮件。在浏览网页时，木马程序也就有可能下载到计算机缓存中，然后会自行修改你计算机的注册表。
当今，QQ、ICQ、EPH、MSN等网络聊天工具地频频出现，这些工具也都具备文件传输功能，这样很容易传播木马和病毒文件。
一些系统自身的漏洞也会为木马病毒入侵和传播提供便利的条件哦~
除此之外，还有一些新的入侵手段：基于DLL和远程线程插入的木马植入、利用蠕虫病毒传播木马等。

3、中了远控木马后怎么查找并清除。
第一步：首先运行安全辅助工具IceSword(下载地址：)并点击列表中的“进程”按钮，接着在进程列表中选择进程iexplore.exe后，点击右键选择菜单中的“结束进程”命令即可结束该进程。这样木马程序就失去了与黑客的联系。
第二步：运行《金山清理专家》(下载地址：)，点击“在线系统诊断”中的“启动项管理”，会发现有两个标明未知的加载项(见图)，选中这些加载项后右键点击鼠标，在弹出的窗口选择“修复该项”即可。再切换到“浏览器修复”，同样会发现一个标明未知的ActiveX控件，右键点击选择“清除选项”即可。
第三步：点击IceSword左侧工具栏中的“文件”按钮，在系统盘的Windows目录中找到木马程序的主文件server.exe并删除。运行系统修复工具SREng(下载地址：)，选择“系统修复”中的“高强修复”标签，直接点击“修复安全模式”按钮，就可以修复被木马破坏的系统安全模式。

标签：文件,黑洞,点击,实验,木马,如图,服务端,客户端
来源： https://blog.csdn.net/qq_43717119/article/details/118107938