【#第一文档网# 导语】以下是®第一文档网的小编为您整理的《第四章 任务4 木马植入》,欢迎阅读!
第四章 任务4 木马植入 4.1木马植入的方式 使用木马程序的第一步是将木马的“服务器程序”放到远程被监控主机上,这个过程成为木马的植入过程。常见的植入过程有如下几种方法。 ● 邮件收发:将木马的“服务器程序”放入电子邮件中植入到远程主机。 ● 网页浏览:将木马的“服务器程序”放入网页中植入到远程主机。 ● 文件下载:将木马的“服务器程序”和被下载的文件捆绑到一起植入到远程主机。 4.2 木马的运行方式 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了。 1. 自启动激活木马 (1) 注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion下的Run主键,在其中寻找可能是启动木马的键值。 (2) WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 (3) SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mci],[drivers32]中有命令行,在其中寻找木马的启动命令。 (4) Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。 (5) *.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 (6) 启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。 (7) 通过将自身注册成系统服务,并添加注册表服务项,常驻内存。 4.3 实验步骤 实验操作前实验主机需从Web资源库下载实验所需木马程序(灰鸽子)和恶意网页模板。 方法一 :网页木马与木马植入 「注」实验过程两主机可同步进行,即主机B同时制作网页木马,最后主机A访问主机B制作的网页木马,实现中马的过程。 1. 生成网页木马 (1) 生成木马的“服务器程序”。 主机A运行“灰鸽子”木马,参考知识点二配置生产木马被控制端安装程序Server_Setup.exe,并将其放置于Internet信息服务(IIS) 默认网站目录“C:\Inetpub\wwwroot”下。 (2) 编写生成网页木马的脚本。 主机A在Web资源库中下载恶意网页模板Trojan.htm,并编辑内容,将脚本第15行“主机IP地址”替换成主机A的IP地址。主机A将生成的“Trojan.htm”文件保存到“C:\Inetpub\wwwroot”目录下(“C:\Inetpub\wwwroot”为“默认”的网站空间目录),“Trojan.htm”文件就是网页木马程序。 「注」注意查看生成的Server_Setup.exe和Trojan.htm文件是否允许Internet来宾账户的读权限访问。 (3) 启动WWW服务。 鼠标右键单击“我的电脑”,选择“管理”。在“计算机管理(本地)”中选择“服务和应用程序”|“服务”,启动“World Wide Web Publishing Service”服务。 2. 木马的植入 主机B启动IE浏览器,访问http://主机A的IP地址/Trojan.htm。 观察实验现象是否有变化。 3. 查看肉鸡是否上线,并尝试进行控制 主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”。 尝试对被控主机B进行远程控制。 4. 主机B验证木马现象 (1) 主机B查看任务管理器中有几个“IEXPLORE.EXE”进程。 (2) 主机B查看服务中是否存在名为“Windows XP Vista”的服务。 5. 主机A卸载掉主机B的木马器程序 主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。 方法二:缓冲区溢出与木马植入 攻击者通过远程缓冲区溢出攻击受害者主机后,得到受害者主机的命令行窗口,在其命令行窗口下使用VBE脚本程序实现木马植入。 下面,由主机B来重点验证利用VBE脚本上传木马的过程。(远程缓冲区溢出部分内容将在后续知识学习中进行详细介绍) 1. 生成下载脚本 主机B在命令行下逐条输入如下命令生成木马自动下载脚本down.vbs。 该脚本的作用是:使主机B自动从主机A的WEB服务器上下载Server_Setup.exe到主机B的C:\WINDOWS\system32目录下,并重命名为down.exe,而该程序就是主机A要植入的灰鸽子服务器端。 2. 下载木马后门 主机B运行down.vbs脚本,使用命令形式如下: 主机B运行灰鸽子服务器程序,使用命令如下: 3. 主机B验证木马现象 (1) 主机B查看任务管理器中有几个“IEXPLORE.EXE”进程。 (2) 主机B查看服务中是否存在名为“Windows XP Vista”的服务。 4. 主机B卸载木马程序 (1) 主机B启动IE浏览器,单击菜单栏“工具”|“Internet 选项”,弹出“Internet 选项”配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选中“删除所有脱机内容”复选框,单击“确定”按钮直到完成。 (2) 双击“我的电脑”,在浏览器中单击“工具”|“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏受保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮。 (3) 关闭已打开的Web页,启动“Windows 任务管理器”。单击“进程”属性页,在“映像名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮。 (4) 删除“C:\Windows\Hacker.com.cn.ini”文件。 (5) 启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目,单击右键,在弹出菜单中选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮。 (6) 启动注册表编辑器,删除“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Windows XP Vista”节点。 (7) 重新启动计算机。 本文来源:https://www.dywdw.cn/46851cb4551810a6f52486ec.html
下载此文档
搜索文档
阅读:
文档下载
2022-07-14
