第3章 木马攻击
1
整体概况
+ 概况1
您的内容打在这里，或者通过复制您的文本后。
概况2
+ 您的内容打在这里，或者通过复制您的文本后。
概况3
+ 您的内容打在这里，或者通过复制您的文本后。
2
实验3－1：传统连接技术木马之 一─Netbus木马
一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施
25
三、实验步骤(2)
2、B机作为受害机，运行A机冰河压缩包中的setup.ex e，此时查看B机的任务管理器，发现多了名为Kernel32.e xe的进程。这个Kernel32.exe的进程是木马程序的服务器 端运行之后的改名进程，这是冰河木马的自我隐藏机制。 当冰河的G_Server.exe服务端程序在计算机上运行时，它 不会有任何提示，而是在%Systemroot%/System32下建立 应用程序“Kernel32.exe”和“Sysexplr.exe”。
（3）测试：在受害主机B上，点击开始任务栏―>运行―>Cmd并回车。 黑客机A可以成功地利用Telnet拨入至受害主机B，而受害主机B上 根本没启动Telnet服务，黑客机A通过端口重定向与应用程序重定 向将Cmd.exe指派到23端口，又将23端口重定向至100端口，再 Telnet至受害主机B，从而接管受害主机B系统的命令提示符窗口。
13
三、实验步骤(8)
8、键盘管理器（即Key Manager 钮）：控制对方几个键或者主键盘区的全 部键无法输入（但小键盘区不受控制）， (图3-8 禁用受害主机的键盘)。
14
三、实验步骤(9)
9、远程关机，(图3-9 对受害主机进行 关机)。
15
三、实验步骤(10)
10、查看受害主机窗口。在Netbus界 面中点击“Active Wnds”钮，(图3-10 查看受害主机窗口)。
11
三、实验步骤(6)
6、浏览受害主机B的网页或者网站（黑客机A 在IE的地址栏中输入192.168.1.250：100）。
12
三、实验步骤(7)
7、在黑客机A上点击Netbus界面中的 “Listen”钮，受害主机B在键盘输入的内 容全部显示到黑客机A。(图3-6 受害机上 的键盘输入情况)是受害机上的输入情况， (图3-7 黑客机上监听的情况)。 Nhomakorabea10
三、实验步骤(5)
5、黑客机A可在此界面进行端口重定向。
（1）使用应用程序重定向将对方的Cmd.exe程序重新映射至对方100 端口（Netbus的默认设置），(图3-4 端口重定向)。
（2）使用端口重定向功能，在(图3-5 端口重定向)的界面中再用 端口重定向打开23口。
监听（Listen）口：23。 主机：192.168.1.250（运行Netbus的受害主机IP）。 重定向TCP端口：100。
22
一、实验目的
了解冰河木马的工作原理及冰河木马的 功能，掌握冰河木马的使用。
23
二、实验设备
2台以上Windows主机（可以是2000 Server主机、2003 Server主机或者 XP主机）。
Win2000
Winxp
24
三、实验步骤(1)
1、A机作为黑客机，安装冰河（运行冰 河压缩包中的G_Client.exe程序）。为了 增加对受害主机的迷惑性，可以把冰河压 缩包中的G_Server.exe程序改名为 setup.exe。
21
实验3-2：传统连接技术木马之二 ──冰河木马
冰河是国产正向端口连接技术木马的鼻 祖。作为一款流行的远程控制工具，在面 世的初期，冰河就曾经以它简单的操作方 法和强大的控制能力而闻名。冰河除了具 有采用正向连接技术木马的特征（即黑客 机主动与中木马的服务器端主机进行连接） 外，还有自我保护机制。
4
一、实验目的
了解传统木马的攻击原理，掌握传统木 马攻击的方法和防御传统木马攻击的措施。
5
二、实验设备
2台XP/2000 Server/2003 Server的主机，Netbus1.70，均要关 闭防火墙和杀毒软件。
Win2000
Winxp
6
三、实验步骤(1)
1、受害主机B运行黑客机A上Netbus 压缩包中的Patch.exe，受害主机B的任 务管理器中多了名为Patch.exe的进程， (图3-1 受害主机的任务管理器)。
7
三、实验步骤(2)
2、黑客机A上运行Netbus，在Netbus 界面中输入受害主机IP，点击“Connet” 钮，(图3-2 netbus木马的主界面)。
8
三、实验步骤(3)
3、黑客机A在Netbus界面可以对受害主 机B进行弹出光驱、交换鼠标左右键等控制 操作。
9
三、实验步骤(4)
4、黑客机A在Netbus界面可运行受害 主机B上的 %Systemroot%\System32\Calc. exe或者Notepad.exe，(图3-3 远程 运行受害主机上的计算器程序)。
18
四、实验小结
采用正向连接技术的木马的黑客机主 动与受害主机相连，即木马的客户端程序 主动连接服务器端程序。一旦受害主机开 启防火墙，客户端与服务器端之间的通讯 将被阻止。
19
五、防御措施
同时开启防火墙、杀毒软件的实时监控。
20
实验3-2：传统连接技术木马之 二──冰河木马
一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施
16
三、实验步骤(11)
11、让受害主机屏幕崩溃（类似死机状 态）。在Netbus界面中点击“Screend ump”钮，(图3-11 屏幕崩溃)。
17
三、实验步骤(12)
12、用File Manager上传、下载文件：点击 “File Manager”钮即可完成。
思考：受害机如何摆脱黑客机的控制？ 回答：受害机任务管理器中有Patch程序，将它结 束掉，则受害机不再受控制。 补充：现在的木马采用的技术比Netbus更为先进， 任务管理器中无法观察出新加的任务（或者发现了新 增加的进程但无法结束该进程），只能通过Iceswor d之类的进（线）程查看器进行观察，发现危险进程或 线程时禁用它。
3
实验3－1：传统连接技术木马之一 ──Netbus木马
木马分为客户端与服务器端。按照这两端的连 接方式分可以分为传统连接技术木马和反弹式木 马。
传统连接技术木马（即采用正向端口连接技 术的木马），是采用C/S运行模式，分为客户端程 序（控制端）和服务器端程序（受害端）。服务 器端程序在目标主机上被执行后，打开一个默认 的端口进行监听，当客户端（黑客机）向服务器 端（受害主机）主动提出连接请示时，服务器端 程序便会应答连接请求，从而建立连接。常见的 有Netbus、冰河等。