基于木马的入侵防御
木马原理
前言
入侵者在攻击成功以后，大多数种植一 个自己的木马，已备以后方便进入系统 。本章将介绍木马的种类和原理。
木马的组成
完整的木马程序一般由两个组成，一个 是服务器程序，一个是控制器程序。“ 中了木马”就是指安装了木马的服务器 程序，若你的电脑被安装了服务器程序 ，则拥有控制器程序的人就可以通过网 络控制你的电脑、为所欲为，这时你电 脑上的各种文件、程序，以及在你电脑 上使用的帐号、密码就无安全可言了。
木马的种类
破坏型 密码发送型 远程访问型 键盘记录型 Dos攻击木马 代理木马 ftp木马 程序杀手木马 反弹端口型木马
破坏型
惟一的功能就是破坏并且删除文件，可 以自动的删除电脑上的DLL、INI、EXE文 件。
密码发送型
可以找到隐藏密码并把它们发送到指定 的信箱。有人喜欢把自己的各种密码以 文件的形式存放在计算机中，认为这样 方便；还有人喜欢用WINDOWS提供的密码 记忆功能，这样就可以不必每次都输入 密码了。许多黑客软件可以寻找到这些 文件，把它们送到黑客手中。也有些黑 客软件长期潜伏，记录操作者的键盘操 作，从中寻找有用的密码。
远程访问型
最广泛的是特洛伊马，只需有人运行了 服务端程序，如果客户知道了服务端的 IP地址，就可以实现远程控制。以下的 程序可以实现观察"受害者"正在干什么 ，当然这个程序完全可以用在正道上的 ，比如监视学生机的操作。
键盘记录木马
这种特洛伊木马是非常简单的。它们只 做一件事情，就是记录受害者的键盘敲 击并且在LOG文件里查找密码
操作小任务1：打开冰河木马的控制端程 序, 生成一个服务器端程序(即被控制端 程序),要求配置具体信息如下: 安装路径为默认 文件名称为姓名拼音,如lili.exe 进程名称为姓名拼音。 访问口令自己定义。 监听端口自定义。
操作小任务2：验证操作小任务1的配置 ，把冰河木马的服务器段程序以某种方 式放到目标主机上，并执行。逐一验证 查看操作小任务1的配置，所有的验证要 求截屏。
*.ini
后缀为.ini的文件是系统中应用程序的启动配置文 件，木马利用这些文件能自启动应用程序的特点， 将制作好的带有木马服务端程序的自启动命令的文 件上传到目标主机，就可达到自启动的目的
在Autoexec.bat和Config.sys中加载运行
请大家注意，在C盘根目录下的这两个文件 也可以启动木马。但这种加载方式一般都需 要控制端用户与服务端建立连接后，将己添 加木马启动命令的同名文件上传到服务端覆 盖这两个文件才行，而且采用这种方式不是 很隐蔽。容易被发现，所以在Autoexec.bat 和Confings中加载木马程序的并不多见，但 也不能因此而掉以轻心。
特洛伊木马具有的特性
隐蔽性 自动运行性 具备自动恢复功能 能自动打开特别的端口 功能的特殊性

Байду номын сангаас
操作小任务3：控制端找到那些电脑中了服务器端程序 ，进而可以控制它。找到以后，尝试以下控制操作， 并截屏。 在查看对方电脑上文件,创建文件，删除文件。 查看对方电脑的屏幕. 控制对方电脑的屏幕. 信使服务,发送hello信息 修改对方电脑的桌面 重新启动对方电脑
木马如何启动
在win.ini中启动
在win.ini中的[windows]字段中有启动命令 “load=”、“run=”,默认情况下，“=”后面是空的 ，可以把加载程序写在这里，如： run=c:\windows\sample.exe
在system.ini中启动
system.ini位于windows的安装目录下，其中 [boot]字段的shell=Explorer.exe是木马常用来隐 藏加载的地方，通常的做法是： shell=Explorer.exe sample.exe system.ini中的[386Enh]字段中的“driver=路径\ 程序名”也可以用来实现自启动，此外[mic]、 [drivers]、[drivers32]也是加载程序的好地方。
木马如何启动
通过启动组实现自启动
启动组是专门用来实现程序自启动地地方，位于 “c:\documents and setting\administrator\star menu\program\start up”,注册表中对应的位置为： “HKEY_CURRENT_USER\software\microsoft\windo ws\currentversion\explorer\shellfolders”.
木马的工作原理
实际就是一个C/S模式的程序（里应外合）
被植入木马的PC（server程序）
操作系统 TCP/IP协议 端口
端口处于监听状态
端口 TCP/IP协议 操作系统
被植入木马的PC（client程序）
控制端
木马的工作原理
木马主要通过邮件、下载等途径传播 木马还可通过Script、ActiveX及 ASP.CGI等交互脚本进行传播 一方面，木马的服务器端程序会尽可能 地隐蔽行踪，同时监听某个端口，等待 客户端连接；另一方面，服务器端程序 通过修改注册表等方法实现自启动功能 。
DoS攻击木马
随着DoS攻击越来越广泛的应用，被用作 DoS攻击的木马也越来越流行起来。当你 入侵了一台机器，给他种上DoS攻击木马 ，那么日后这台计算机就成为你DoS攻击 的最得力助手了。你控制的肉鸡数量越 多，你发动DoS攻击取得成功的机率就越 大。所以，这种木马的危害不是体现在 被感染计算机上，而是体现在攻击者可 以利用它来攻击一台又一台计算机，给 网络造成很大的伤害和带来损失。
木马是如何启动的
作为一个优秀的木马，自启动功能是必不可少 的，这样可以保证木马不会因为你的一次关机 操作而彻底失去作用。正因为该项技术如此重 要，所以，很多编程人员都在不停地研究和探 索新的自启动技术，并且时常有新的发现。一 个典型的例子就是把木马加入到用户经常执行 的程序 (例如explorer.exe)中，用户执行该 程序时，则木马自动发生作用。当然，更加普 遍的方法是通过修改Windows系统文件和注册 表达到目的 。