木马相关知识

　　木马是隐藏在正常程序中的具有特殊功能恶意代码，是具备破坏，删除和修改文件，发送密码，记录键盘，实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

　　1. 木马的传统连接技术

　　一般木马都采用 C/S（client/server，即服务器/客户端）运行模式，因此它分为两部分，即客户端和服务器端木马程序。其原理是，当服务器端程序在目标计算机上被执行后，一般会打开一个默认的端口进行监听，当客户端向服务器端主动提出连接请求，服务器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。第一代和第二代木马就采用这种方式。

　　2. 木马的反弹端口技术

      随着防火墙技术的发展，它可有效拦截从外部主动发起的连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接，第三代第四代木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求，而客户端是被动的连接。

　　3. 线程插入技术

　　我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。“线程插入”技术就是利用线程之间运行的相对独立性，使木马完全地融进了系统那个内核。系统运行时会有很多的进程，而每个进程又有许多的线程，这就导致了查杀利用“线程插入”技术木马程序的难度。

冰河木马

靶机：　　　系统：Windows XP

　　　　　　IP：10.1.1.91 / 24

攻击机：　　系统：Windows XP

　　　　　　IP：10.1.1.92 / 24　　软件：冰河 v8.4

冰河木马植入与控制

　　关闭两机器的防火墙。

　　在靶机中运行 G_SERVER.EXE，感染自机；在攻击机中运行 G_CLIENT.EXE，作为木马控制端。

　　在攻击机的控制模块中添加靶机（添加其显示名称与主机地址；冰河默认监听7626端口，无需修改），若连接成功即可随意浏览靶机中的文件。

　　　　

 

命令控制台命令的使用方法

　　进入命令控制台面板，即可看到如下图中八种类型的命令。

　　

　　各类型命令的详细信息如下：

　　1. 口令类命令

　　　　1.1. 系统信息及口令：可以查看远程主机的系统信息，开机口令，缓存口令等。可看到非常详细的远程主机信息，这就无异于远程主机彻底暴露在攻击者面前

　　　　1.2. 历史口令：可以查看远程主机以往使用的口令

　　　　1.3. 击键记录：启动键盘记录后，可以记录远程主机用户击键记录，一次可以分析出远程主机的各种账号和口令或各种秘密信息

　　2. 控制类命令

　　　　2.1. 捕获屏幕：这个功能可以使控制端使用者查看远程主机的屏幕，好像远程主机就在自己面前一样，这样更有利于窃取各种信息，单击“查看屏幕”按钮，然后就染成了远程主机的屏幕。可以看到，远程主机屏幕上的内容就显示在本机上了，显示内容不是动态的，而是每隔一段时间传来一幅。

　　　　2.2. 发送信息：这个功能可以使你向远程计算机发生 Windows 标准的各种信息，在“信息正文”中可以填入要发给对方的信息，在图表类型中，可以选择“普通”，“警告”，“询问”，“错误”等类型。按钮类型可以选择“确定”“是”“否”等类型。

　　　　2.3. 进程管理：使控制着查看远程主机上所有的进程

　　　　2.4. 窗口管理：使远程主机上的窗口进行刷新，最大化，最小化，激活，隐藏等操作。

　　　　2.5. 系统管理：使远程主机进行关机，重启，重新加载“冰河”自动卸载”冰河”的操作

　　　　2.6. 鼠标控制：使远程主机上的鼠标锁定在某个范围内

　　　　2.7. 其他控制：使远程主机进行自动拨号禁止，桌面隐藏，注册表锁定等操作

　　3. 网络类命令

　　　　3.1. 创建共享：在远程主机上创建自己的共享

　　　　3.2. 删除共享：在远程主机上删除某个特定的共享

　　　　3.3. 网络信息：查看远程主机上的共享信息

　　4. 文件类命令

　　　　该类命令被用以增加、删除、复制远程主机上的某个目录

　　5. 注册表读写

　　　　该类命令提供了“键值读取”、“键值写入”、“键值重命名”、“主键浏览”、“主键增删”、“主键复制”功能

　　6. 设置类命令

　　　　设置类命令提供了“更换墙纸”、“更改计算机名”、“服务器端配置”的功能

删除冰河木马

　　在“控制类命令”中可找到“自动卸载冰河”的选项，可通过攻击机卸载靶机的冰河木马。

　　

　　在靶机的注册表中可找到如下键值如下图，并删除之

　　键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(默认)　　　　　　值：C:\WINNT\System32\kernel32.exe

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices\(默认)　　　　 C:\WINNT\System32\kernel32.exe

　　

　　上面两个注册表的子键目录 Run 和 Runservices 中存放的键值是系统启动时自动启动的程序，一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些子键目录下的程序，如果有不明程序，要着重进行分析。

　　修改文件关联也是木马常用的手段，“冰河”木马将 txt 文件的缺省打开方式由 notepad.exe 改为木马的启动程序，除此之外，html、exe、zip、com 等文件也都是木马的目标，所以，在最后需要回复注册表中的 txt 文件关联功能。

　　在注册表修改 txt 文件关联只需将“HKEY_CLASSES_ROOT\txtfile\Shell\open\command”下的默认值修改回“C:\Windows\notepad.exe %1”（即默认使用 notepad 打开）即可。

　　

 

　　之后重新启动，冰河木马即彻底被清除。

分析与思考

如何发现木马威胁

　　1. 电脑在运行轻量任务时莫名变卡、监听到了不明目标/来源的上下行数据

　　2. 弹出并没有被用户执行的对话框、主机获取到了非用户的鼠标键盘输入

　　3. 默认软件被替换、被安装了软件、检测到了不明软件的运行

　　4. 经常发生端口被占用而导致的软件启动失败问题

　　5. 网站账户被盗取

木马工作流程图

　　

 

标签：冰河,服务器端,攻击,主机,命令,实验,木马,远程
来源： https://www.cnblogs.com/EnddleED/p/15440722.html