精品-
实验报告
课题在word中插入木马系院计算机科学技术系专业计算机网络技术班级 10网1
学号 1023110518
姓名娄雪
指导老师王蒙蒙
精品-
精品-
目 录
引言〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃3
第一章什么是木马〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃3
1.1木马简介〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃3
1.1.1木马攻击原理〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃3
1.1.2木马的功能〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃3
1.2木马植入方式〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃4
1.2.1利用共享和Autorun文件〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃4
1.2.2把木马转换为B MP格式〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃5
1.2.3利用错误的MI ME头漏洞〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃5
1.2.4在w o rd中加入木马文件〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃6
1.2.5通过Script、 Active及ASP、 CGI交互脚本的方式植入〃 〃 〃 〃 〃 〃 〃 6
1.3木马常见的四大伪装欺骗行为〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃6
1.3.1以Z—fi le伪装加密程序〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃6
1.3.2将木马包装为图片文件〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃7
1.3.3合并程序欺骗〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃7
1.3.4伪装成应用程序扩展组件〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃8
第二章利用o ffice系列挂马工具全套在word中插入木马 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 8
2.1office系列挂马工具全套的工作原理〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃8
2.2在w o rd中插入木马的过程〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃9
2.3带有木马的w o rd的危害〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃15
第三章木马的防范措施〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃16
精品-
精品-
2.1如何防御木马病毒〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃16
3.2如何删除木马病毒〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃16
结论〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃17
参考文献〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃18
谢辞〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃18
附录〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃 〃
精品-
精品-
引言
伴随着Windows操作系统核心技术的日益成熟 “木马植入技术”也得到发展使得潜入到系统的木马越来越隐蔽对网络安全的危害性将越来越大。所以全面了解木马植入的方法和技术有助于采取有力的应对措施同时也有助于促进信息对抗技术的发展。本实验来了解木马和木马植入技术学习几种在Winndows下向office中植入木马的技术。
第一章什么是木马
1.1木马简介
木马Trojan这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
1.1.1木马攻击原理
木马是一种基于远程控制的黑客工具具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现会采用多种手段隐藏木马这样服务端即使发现感染了木马 由于不能确定具体位臵往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后控制端将享有服务端的大部分不能操作权限包括修改文件修改注册表控制鼠标、键盘等等而这些权利并不是服务端赋予的而是通过木马程序窃取的。
从木马的发展来看基本上可以分为两个阶段
最初网络还处于一UNIX平台为主的时期木马就产生了当时的木马程序的功能相对简单往往是将一段程序嵌入到系统文件中用跳转指令来执行一些木马的功能在这个时期木马的设计者和使用者大都是些技术人员必须具备相当的网络和编程知识。
而后随着Windows平台的日益普及一些基于操作的木马程序就出现了用户界面的改善使使用者不用动太多的专业知识就可以熟练地操作木马相对的木马入侵事件也频繁出现而且由于这个时期木马的功能已日趋完善因此对服务端的破坏也更大了。
1.1.2木马的功能
木马和病毒都是一种人为的程序都属于电脑病毒但他们也有区别木马
精品-
精品-
的作用是赤裸裸的偷偷监视别人和盗窃别人密码、数据等如盗窃管理员密码、子网密码搞破坏或者偷窃上网密码用于他用游戏账号、股票账号甚至网上银行账户等。达到偷窥别人隐私和得到经济利益的目的。所以木马的作用比早期的电脑病毒更加有用能够直接到达使用者的目的。导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序这就是目前网上大量木马泛滥成灾的原因。鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样所以木马虽然属于病毒中的一类但是要单独的从病毒类型中间剥离出来。独立的称之为“木马”程序。
“木马”程序是目前比较流行的病毒文件与一般的病毒不同它不会自我繁殖也并不“刻意”的去感染其他文件他通过将自身伪装吸引用户下载使施种者可以任意毁坏、窃取被施种者的文件甚至远程操控被施种者的电脑。
一个完整的“木马”程序包含了两部分 “服务器”和“控制器”。植入被施种者电脑的是“服务器”部分而所谓的“黑客”正是利用“控制器”进入了“服务器”的电脑。运行了木马程序的“服务器”以后被种者的电脑就会有一个或几个的端口被打开是黑客可以利用这些打开的端口进入电脑系统安全和个人隐私也就全无保障了。
1.2木马植入方式
木马是大家网上安全的一大隐患说是大家心中永远的痛也不为过。对于木马采用敬而远之的态度并不是最好的方法我们必须更多地了解其“习性”和特点只有这样才能做到
“知己知彼百战不殆”随着时间的推移木马的植入方式也悄悄地发生了一定的变化较之以往更加的隐蔽对大家的威胁也更大以下是笔者总结的五种最新的木马植入方式以便大家及时防范。
1.1.1利用共享和Autorun文件
为了学习和工作方便有许多学校或公司的局域网中会将硬盘共享出来。更有甚者竟将某些硬盘共享设为可写这样非常危险别人可以借此给您下木马利用木马程序结合Autorun.inf文件就可以了。方法是把Autorun.inf和配臵好的木马服务端一起复制到对方D盘的根目录下这样不需对方运行木马服务端程序只需他双击共享的磁盘图标就会使木马运行这样作对下木马的人来说的好处显而易见那就是大大增加了木马运行的主动性许多人在别人给他发来可执行文件时会非常警惕不熟悉的文件他们轻易不会运行而这种方法就很难防范了。
精品-
精品-
下面就简单说一下原理。大家知道将光盘插入光驱会自动运行这是因为在光盘根目录下有个Autorun.inf文件该文件可以决定是否自动运行其中的程序。同样如果硬盘的根目录下存在该文件硬盘也就具有了Auto Run功能即自动运行Auto run.in f文件中的内容。
把木马文件.exe文件以及Autorun.inf放在磁盘根目录这里假设对方的D盘共享出来且可写 对于给您下木马的人来说他还会修改Autorun.inf文件的属性将该文件隐藏起来。这样当有人双击这个盘符程序就运行了。这一招对于经常双击盘符进入“我的电脑”的人威胁最大。更进一步利用一个.REG文件和Autorun.inf结合还可以让你所有的硬盘都共享出去
1.2.2把木马文件转换为B MP格式
这是一种相对比较新颖的方式把EXE转化成为BMP来欺骗大家。其原理是 BMP文件的文件头有54个字节包括长度、位数、文件大小、数据区长度。只要在EXE的文件头上加上这54个字节 IE就会把该EXE文件当成B MP图片下载下来。 由于这样做出的图片是花的为防止我们看出来下木马者会在其网页中加入如下代码 把这样的标签加到网页里就看不见图片了 因此我们就无法发现这个“图片”不对劲。
在用IE浏览后 IE会把图片自动下载到IE临时目录中而下木马者只需用一个J avaScript文件在我们的硬盘中写一个VB S文件并在注册表添加启动项利用那个VBS找到BMP调用debug来还原EXE最后运行程序完成木马植入无声无息非常隐蔽。
1.2.3利用错误的MI ME头漏洞
其实这一招并不神秘危害却很大。错误的MIME头漏洞是个老漏洞了但对于没有打补丁的用户威胁非常大去年流行的许多病毒都是利用了该漏洞如尼姆达病毒和笑哈哈病毒都是如此。这类病毒一旦和错误MIME头漏洞结合起来根本不需要您执行只要您收了含有病毒的邮件并预览了它就会中招。同样的道理攻击者通过创建一封HTML格式的E-mail也可以使未打补丁的用户中木马 Internet Explorer 5.0、 5.01、 5.5均存在该漏洞我们常用的微软邮件客户端软件Outlook Express 5.5 SP1以下版本也存在此漏洞。
给您下木马的人会制作一封特定格式的E-m ail其附件为可执行文件就是木马服务端程序 通过修改MIME头使IE不能正确处理这个MIME所指定的可执行文件附件。由于IE和OE存在的这个漏洞当攻击者更改MIME类型后 IE会不提示用户而直接运行该附件从而导致木马程序直接被执行
对于这种植入方式只要给系统打上补丁就可以防范有人利用这种方式来攻击。微软公司为
精品-
精品-
该漏洞提供了一个补丁下载地址http://www.micro soft.com/windows/ie/download/critical/Q290108/default.asp。
1.2.4在Word文档中加入木马文件
这是最近才流行起来的一种方法比较奇特。这种植入木马的方法就是新建一个DOC文件然后利用VBA写一段特定的代码把文档保存为newdoc.doc然后把木马程序与这个DOC文件放在同一个目录下运行如下命令 copy/b xxxx.doc+xxxxx.exe newdoc.doc把这两个文件合并在一起在Wo r d文档末尾加入木马文件 只要别人点击这个所谓的Wo r d文件就会中木马
不过 以上方法能得以实现的前提是你的Word 2000安全度为最低的时候才行即HKEY_CURRENT_USER SoftwareMicrosoftOffice9.0WordSecurity中的Level值必须是1或者
0。大家知道当Level值为3的时候代表安全度为高 Word不会运行任何宏 Level值为2时(安全度中) Word会询问是否运行宏 Level值为1的时候(安全度低) Word就会自动运行所有的宏聪明的您一定想到如果这个值为0的时候会怎么样哈如果设为0的话Wo r d就会显示安全度为高但却能自动运行任何的宏是不是很恐怖啊
要想把Word的安全度在注册表中的值改为0方法非常多利用网页恶意代码修改浏览者的注册表就可以。我想这方面大家都有很多经验就不多说了。对于这种欺骗方式最重要的是小心防范陌生人的附件千万不要收看网上的链接也不要随意点击如要点击请确认是否为.DOC文件如是则一定不要直接点击查看
1.2.5通过S cript、 ActiveX及ASP、 CGI交互脚本的方式植入
由于微软的浏览器在执行S c rip t脚本上存在一些漏洞攻击者可以利用这些漏洞传播病毒和木马甚至直接对浏览者电脑进行文件操作等控制前不久就出现一个利用微软S cripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面他可以通过编制CGI程序在攻击主机上执行木马。
1.3木马的常见四大伪装欺骗行为
1.3.1以Z-fi le伪装加密程序
Z-file伪装加密软件经过将文件压缩加密之后再以bmp图像文件格式显示出来(扩展名是b mp执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据用以就算计算机被入侵或被非法使使用时也不容易泄漏你的机密数据所在。不过如果到了黑客手中却可以变成一个入侵他人的帮凶。 使
精品-
精品-
用者会将木马程序和小游戏合并再用Z-file加密及将此“混合体”发给受害者由于看上去是图像文件受害者往往都不以为然打开后又只是一般的图片最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马和病毒。当打消了受害者警惕性后再让他用WinZip解压缩及执行 “伪装体(比方说还有一份小礼物要送给他) 这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑) 只要事先已经发出了“混合体则可以直接用Winzip对其进行解压及安装。 由于上门维修是赤着手使用其电脑受害者根本不会怀疑有什么植入他的计算机中而且时间并不长 30秒时间已经足够。就算是“明晃晃”地在受害者面前操作他也不见得会看出这一双黑手正在干什么。特别值得一提的是 由于 “混合体” 可以躲过反病毒程序的检测如果其中内含的是一触即发的病毒那么一经结开压缩后果将是不堪设想。
1.3.2将木马包装为图像文件
首先黑客最常使用骗别人执行木马的方法就是将特洛伊木马说成为图像文件比如说是照片等应该说这是一个最不合逻辑的方法但却是最多人中招的方法有效而又实用。
只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为“类似”图像文件的名称再假装传送照片给受害者受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe而木马程序的扩展名基本上又必定是exe 明眼人一看就会知道有问题多数人在接收时一看见是exe文件便不会接收了那有什么方法呢?其实方法很简单他只要把文件名改变例如把“sam.exe” 更改为“sam.jpg” 那么在传送时对方只会看见sam.jpg了而到达对方电脑时因为windows默认值是不显示扩展名的所以很多人都不会注意到扩展名这个问题而恰好你的计算机又是设定为隐藏扩展名的话那么你看到的只是sam.jpg了受骗也就在所难免了!
还有一个问题就是木马本身是没有图标的而在电脑中它会显示一个windows预设的图标别人一看便会知道了!但入侵者还是有办法的这就是给文件换个“马甲” 即用IconForge等图标文件修改文件图标这样木马就被包装成jpg或其他图片格式的木马了很多人会不经意间执行了它。
1.3.3合并程序欺骗
通常有经验的用户是不会将图像文件和可执行文件混淆的所以很多入侵
精品-
精品-
者一不做二不休干脆将木马程序说成是应用程序反正都是以exe作为扩展名的。然后再变着花样欺骗受害者例如说成是新出炉的游戏无所不能的黑客程序等等目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的于是在悄无声息中很多受害者便以为是传送时文件损坏了而不再理会它。
如果有更小心的用户上面的方法有可能会使他们的产生坏疑所以就衍生了一些合并程序。合并程序是可以将两个或以上的可执行文件(exe文件)结合为一个文件以后一旦执行这个合并文件两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如wrap.exe)和一个木马程序合并由于执行合并文件时wrap.exe会正常执行受害者在不知情中背地里木马程序也同时执行了。而这其中最常用到的软件就是j oiner由于它具有更大的欺骗性使得安装特洛伊木马的一举一动了无痕迹是一件相当危险的黑客工具。
以往有不少可以把两个程序合并的软件为黑客所使用但其中大多都已被各大防毒软件列作病毒了而且它们有两个突出的问题存在这问题就是合并后的文件体积过大只能合并两个执行文件。
正因为如此黑客们纷纷弃之转而使用一个更简单而功能更强的软件那就是Joiner这个软件可以把图像文件、音频文件与可执行文件合并还能减小合并后文件体积而且可以待使用者执行后立即收到信息告诉你对方已中招及对方的IP 。大家应该提高警惕。
1.3.4伪装成应用程序扩展组件
这一类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件(例如dll、 ocx等)然后挂在一个十分出名的软件中让人不去怀疑安装文件的安全性更不会有人检查它的文件多是否多了。而当受害者打开软件时这个有问题的文件即会同时执行。 这种方式相比起用合并程序有一个更大的好处那就是不用更改被入侵者的登录文件以后每当其打开软件时木马程序都会同步运行。
当您遇到以上四种情况时请小心为妙说不定无意之中您已经中招了
第二章利用office系列挂马工具全套在word中插入木马
2.1 office系列挂马工具全套的工作原理
该系统挂马工具实质上是利用了Office软件的溢出漏洞在制作工具包中的“DocExp.03SP.v1.03++.exe”针对的是Microsoft Word 2003/SP1/SP2系列
精品-
国外主机测评昨天接到Hostigger(现Hostiger)商家邮件推送,称其又推出了一款特价大内存VPS,机房位于土耳其的亚欧交界城市伊斯坦布尔,核50G SSD硬盘200Mbps带宽不限月流量只要$59/年。 最近一次分享的促销信息还是5月底,当时商家推出的是同机房同配置的大内存VPS,价格是$59.99/年,不过内存只有10G,虽然同样是大内存,但想必这次商家给出16G,价格却是$59/年,...
我们在选择虚拟主机和云服务器的时候,是不是经常有看到有的线路是BGP线路,比如前几天有看到服务商有国际BGP线路和国内BGP线路。这个BGP线路和其他服务线路有什么不同呢?所谓的BGP线路机房,就是在不同的运营商之间通过技术手段时间各个网络的兼容速度最佳,但是IP地址还是一个。正常情况下,我们看到的某个服务商提供的IP地址,在电信和联通移动速度是不同的,有的电信速度不错,有的是移动速度好。但是如果...
Bluehost怎么样,Bluehost好不好,Bluehost成立十八周年全场虚拟主机优惠促销活动开始,购买12个月赠送主流域名和SSL证书,Bluehost是老牌虚拟主机商家了,有需要虚拟主机的朋友赶紧入手吧,活动时间:美国MST时间7月6日中午12:00到8月13日晚上11:59。Bluehost成立于2003年,主营WordPress托管、虚拟主机、VPS主机、专用服务器业务。Blueho...