【正文】 機(jī)中的文件進(jìn)行刪除，修改、遠(yuǎn)程運(yùn)行，還可以進(jìn)行諸如改變系統(tǒng)配置等惡性破壞系統(tǒng)。 竊密性：木馬程序最大的特點(diǎn)就是可以偷取被入侵計(jì)算機(jī)上的所有資料，包括硬盤上的文件，以及屏幕信息，鍵盤輸入信息等。 木馬的入侵途徑 木馬的入侵主要是通過一些欺騙手段實(shí)施的。 捆綁欺騙：如果把木馬文件與普通文件捆綁，并更改捆綁后的文件圖標(biāo)，偽造成與原文件類似。再通過電子郵件、 、 MSN 等手段直接發(fā)送給用戶，或者通過放在網(wǎng)上或者某個(gè)服務(wù)器中，欺騙被攻擊者下載直接執(zhí)行。 11 利用網(wǎng)頁腳本入侵：木馬也可以通過 Script, active, ASP, CGI 交互腳本的方式入侵，由于微軟的瀏覽器在執(zhí)行 Script 腳本上存在一些漏洞，攻擊者可以利用這些漏洞實(shí)現(xiàn)木馬的下載和安裝。 利用漏洞入侵：木馬還利用一些系統(tǒng)的漏洞入侵，如微 軟的 IIS 服務(wù)器存在多種溢出漏洞，通過緩沖區(qū)溢出攻擊程序造成 IIS 服務(wù)器溢出，獲得控制權(quán)限，然后在被攻擊的服務(wù)器上安裝并運(yùn)行木馬。 和病毒協(xié)作入侵：現(xiàn)在的病毒有多種自動(dòng)感染和傳播功能，而木馬往往和病毒協(xié)同工作，在病毒感染目標(biāo)計(jì)算機(jī)后，通過木馬對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行控制。 木馬的種類 按照發(fā)展歷程和主流技術(shù)的演變，可以將木馬分為 5 個(gè)階段。 第一代木馬是出現(xiàn)在 20 世紀(jì) 80 年代，主要是 UNIX 環(huán)境中通過命令行界面實(shí)現(xiàn)遠(yuǎn)程控制。 第二代木馬出現(xiàn)在 20 世紀(jì) 90 年代，隨著 WINDOWS 系統(tǒng)的普及木馬在WINDOWS 環(huán)境中大 量應(yīng)用，它具備偽裝和傳播兩種功能，具有圖形控制界面，可以進(jìn)行密碼竊取、遠(yuǎn)程控制，例如 BO2022 和冰河木馬。因?yàn)榉呕饓Φ钠毡閼?yīng)用，第二代木馬在進(jìn)入 21 世紀(jì)之后不再有多少用武之地了，由于它采用黑客主動(dòng)連接用戶的方式，對(duì)于這種從外網(wǎng)發(fā)來的數(shù)據(jù)包都將被防火墻阻斷。 第三代木馬在連接方式上比第二代木馬有了改進(jìn)，通過端口反彈技術(shù)，可以穿透硬件防火墻，例如灰鴿子木馬，但木馬進(jìn)程外聯(lián)黑客時(shí)會(huì)被軟件防火墻阻擋，經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)管理員都可以將其攔截。 第四代木馬在進(jìn)程隱藏方面比第三代木馬做了教大改動(dòng)，木馬通過線程插入技術(shù)隱藏在 系統(tǒng)進(jìn)程或應(yīng)用進(jìn)程中，實(shí)現(xiàn)木馬運(yùn)行中沒有進(jìn)程，網(wǎng)絡(luò)連接也隱藏在系統(tǒng)進(jìn)程或應(yīng)用進(jìn)程中，比如廣外男生木馬。第四代木馬可以實(shí)現(xiàn)對(duì)硬件防火墻的穿透，同時(shí)它隱藏在系統(tǒng)或應(yīng)用進(jìn)程中，往往網(wǎng)絡(luò)管理員很難識(shí)別，所以被軟件防火墻攔截后往往又被放行，從而實(shí)現(xiàn)對(duì)軟件防火墻的穿透。 第五代木馬在隱藏方面比第四代木馬又進(jìn)行了進(jìn)一步提升，它普遍采用了ROOTKIT 技術(shù)，通過 ROOTKIT 技術(shù)實(shí)現(xiàn)木馬運(yùn)行時(shí)進(jìn)程、文件、服務(wù)、端口等的隱藏，采用系統(tǒng)標(biāo)準(zhǔn)診斷工具難以發(fā)現(xiàn)它的蹤跡。 12 除了按照技術(shù)發(fā)展分類之外，從功能上木馬又可以分為：破壞型木馬 ，主要功能是破壞并刪除文件；密碼發(fā)送型木馬，它可以找到密碼并發(fā)送到指定的郵箱中；服務(wù)型木馬，它通過啟動(dòng) FTP 服務(wù)或者建立共享目錄，使黑客可以連接并下載文件； DOS 攻擊型木馬，它將作為被黑客控制的肉雞實(shí)施 DOS 攻擊；代理型木馬，可使被入侵的機(jī)器作為黑客發(fā)起攻擊的跳板；遠(yuǎn)程攻擊型木馬，可以使攻擊者利用客戶端軟件進(jìn)行完全控制。 木馬的連接方式 一般的木馬都采用 C/S 運(yùn)行模式，它分為兩部分，即客戶端和服務(wù)器端木馬程序。黑客安裝木馬的客戶端，同時(shí)誘騙用戶安裝木馬的服務(wù)器端。下面簡單介紹木馬的傳統(tǒng)連接技術(shù)、反彈端口技 術(shù)和線稱技術(shù)。 （ 1） 木馬的傳統(tǒng)連接技術(shù) 第一代木馬和第二代木馬均采用傳統(tǒng)的連接方式，即由木馬的客戶端程序主動(dòng)連接服務(wù)器端程序。當(dāng)服務(wù)器端程序在目標(biāo)計(jì)算機(jī)上被執(zhí)行后，一般會(huì)打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽，當(dāng)客戶端向服務(wù)器主動(dòng)提出連接請(qǐng)求，服務(wù)器端的木馬程序就會(huì)自動(dòng)運(yùn)行，來應(yīng)答客戶端的請(qǐng)求，從而建立連接。 （ 2） 木馬的反端口技術(shù) 隨著防火墻技術(shù)的發(fā)展，它可以與效攔截采用傳統(tǒng)連接方式從外部主動(dòng)發(fā)起連接的木馬程序。但通常硬件防火墻對(duì)內(nèi)部發(fā)起的連接請(qǐng)求則認(rèn)為是正常連接，第三代之后的“反彈式”木馬就是利用這個(gè)缺點(diǎn)，其服務(wù)器端程序主動(dòng) 發(fā)起對(duì)外連接請(qǐng)求，連接到木馬的客戶端，就是說“反彈式”木馬是服務(wù)器端主動(dòng)發(fā)起連接請(qǐng)求 ，而客戶端被動(dòng)的等待連接。 根據(jù)客戶端的 IP 地址是靜態(tài)的還是動(dòng)態(tài)的，反彈端口可以有兩種連接方式。 反彈端口的第一種連接方式，在設(shè)置服務(wù)器斷時(shí)要設(shè)置固定的客戶端 IP 地址和待連接端口，所以這種方式只適用于客戶端 IP 地址是公網(wǎng) IP 且是靜態(tài) IP的情況。 反彈端口的第二種連接方式，可實(shí)現(xiàn)服務(wù)端根據(jù)配置主動(dòng)連接變動(dòng)了 IP 的客戶端。入侵者為了避免暴露自己的身份，往往通過跳板計(jì)算機(jī)控制被入侵用戶的計(jì)算機(jī)，在跳板計(jì)算機(jī)中安裝木馬客戶端軟件， 被入侵用戶的計(jì)算機(jī)安裝木馬的 13 服務(wù)端軟件。當(dāng)然，入侵者的跳板計(jì)算機(jī)有時(shí)可能失去入侵者的控制，這時(shí)入侵者就需要找到新的跳板計(jì)算機(jī)，同時(shí)使用戶計(jì)算機(jī)上的木馬服務(wù)端程序，能夠連接到新跳板計(jì)算機(jī)上的木馬客戶端程序。為此，入侵者利用了一個(gè)“代理服務(wù)器”保存改變后的客戶端 IP 地址和待連接的端口，只要跳板主機(jī)改變了 IP 地址，入侵者就可以更新“代理服務(wù)器”中存放的 IP 地址和端口號(hào)。遠(yuǎn)程被入侵主機(jī)上的服務(wù)端程序每次啟動(dòng)后，被設(shè)置為先連接“代理服務(wù)器”，查詢最新木馬客戶端的 IP 和端口信息，再按照新的 IP 地址和客戶端進(jìn)行連接，因此 這種連接方式可以適用于客戶端和服務(wù)器端都是動(dòng)態(tài) IP 地址的情況，而且還可以穿透更加嚴(yán)密的防火墻，當(dāng)然客戶端的 IP 要求是公網(wǎng) IP 才行。 木馬的隱藏技術(shù) 木馬為了防止被殺毒軟件查殺，同時(shí)也避免被用戶計(jì)算機(jī)發(fā)現(xiàn)，往往采用一些隱藏技術(shù)，在系統(tǒng)中實(shí)現(xiàn)隱身。 （ 1） 線稱插入技術(shù) 一般一個(gè)應(yīng)用程序在運(yùn)行之后，都會(huì)在系統(tǒng)中產(chǎn)生一個(gè)進(jìn)程，同時(shí)，每個(gè)進(jìn)程分別對(duì)應(yīng)了一個(gè)不同的 PID（ progress ID，進(jìn)程標(biāo)示符）。系統(tǒng)會(huì)分配一個(gè)虛擬的內(nèi)存空間地址段給這個(gè)進(jìn)程，一切相關(guān)的程序操作，都會(huì)在這個(gè)虛擬的空間中進(jìn)行。一個(gè)進(jìn)程可以對(duì)應(yīng)一個(gè)或 多個(gè)線程，線程之間可以同步執(zhí)行，一般情況下，線程之間是相互獨(dú)立的，當(dāng)一個(gè)線程發(fā)生錯(cuò)誤的時(shí)候，并不一定會(huì)導(dǎo)致整個(gè)線程的崩潰，“線程插入技術(shù)”就是運(yùn)用了線程之間運(yùn)行的相對(duì)獨(dú)立性，使木馬完全溶進(jìn)了系統(tǒng)的內(nèi)核。這種技術(shù)把木馬程序作為一個(gè)線程，把自身插入到其他應(yīng)用程序的地址空間。而這個(gè)被插入的應(yīng)用程序?qū)τ谙到y(tǒng)來說，是一個(gè)正常的程序，這樣，就達(dá)到了徹底的隱藏效果。系統(tǒng)運(yùn)行時(shí)會(huì)有許多的進(jìn)程，而每個(gè)進(jìn)程又有許多的線程，這就導(dǎo)致了查殺利用“線程插入”技術(shù)木馬程序難度的增加。 （ 2） ROOTKIT 技術(shù) ROOTKIT 是一種隱藏技術(shù)， 它使得惡意程序可以逃避操作系統(tǒng)標(biāo)準(zhǔn)診斷程序的查找。早期的 ROOTKIT 技術(shù)通過修改內(nèi)存中的系統(tǒng)文件映象來逃避檢測。這一類 ROOTKIT 技術(shù)主要依賴 HOOK 技術(shù)，比如 HOOK API 或者系統(tǒng)調(diào)用表。目前主流的 ROOTKIT 技術(shù)主要在內(nèi)核態(tài)實(shí)現(xiàn)，例如 DKOM（直接內(nèi)核對(duì)象操 14 作）技術(shù)，通過動(dòng)態(tài)修改系統(tǒng)中的內(nèi)核數(shù)據(jù)結(jié)構(gòu)來逃避安全軟件的監(jiān)測。由于這些數(shù)據(jù)結(jié)構(gòu)隨著系統(tǒng)的運(yùn)行而不斷更新變化，因此非常難于檢測。 木馬的檢測 木馬的遠(yuǎn)程控制功能要實(shí)現(xiàn)，必須通過執(zhí)行一段代碼來實(shí)現(xiàn)。為此，木馬采用的技術(shù)再新，也會(huì)在操作系統(tǒng)中留 下痕跡。如果能夠?qū)ο到y(tǒng)中的文件、注冊(cè)表做全面的監(jiān)控，可以實(shí)現(xiàn)發(fā)現(xiàn)和清楚各種木馬的目的。當(dāng)然現(xiàn)有的監(jiān)控手段還不一定能夠做到全面的監(jiān)控，但對(duì)系統(tǒng)的行為監(jiān)控也已經(jīng)非常深入了，通過運(yùn)用多種監(jiān)控手段和工具，可以協(xié)助發(fā)現(xiàn)植入的木馬。當(dāng)然，由于木馬的機(jī)制不同，所以檢測和查殺手段也不盡相同，在本實(shí)驗(yàn)中通過對(duì)灰鴿子木馬的檢測查殺，使讀者了解木馬的原理和查殺的手段。 【實(shí)驗(yàn)內(nèi)容】 （ 1）灰鴿子木馬的安裝、配置、連接與遠(yuǎn)程控制。 （ 2）灰鴿子木馬的檢測。 （ 3）灰鴿子木馬的查殺。 【實(shí)驗(yàn)設(shè)備與環(huán)境】 （ 1） 學(xué)生每人一臺(tái) PC，安裝 WindowsXP/2022 操作系統(tǒng)。兩人一組。 （ 2） 局域網(wǎng)絡(luò)環(huán)境。 （ 3） 軟件 ：灰鴿子木馬客戶端安裝程序、 IceSword 軟件 。 【實(shí)驗(yàn)方法步驟】 每組兩臺(tái) PC： PC1 和 PC2。 PC1 作為木馬客戶端、 PC2 作為木馬服務(wù)端。 1．灰鴿子木馬的安裝與入侵 (1) 手動(dòng)終止實(shí)驗(yàn) PC 機(jī)反病毒軟件的運(yùn)行。 (2) PC1 上安裝灰鴿子木馬客戶端。 (3) 使用灰鴿子木馬客戶端，選擇主動(dòng)連接方式，配置并生成服務(wù)端程序。 (4) 在 PC2 上運(yùn)行灰鴿子木馬服務(wù)端程序。 15 (5) PC1 通過主動(dòng)連接方式連接 PC2 的木馬服務(wù)端。 (6) 入侵成功后，自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完 全模擬鍵盤及鼠標(biāo)輸入，即在同步受控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕。 (7) 記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過的口令信息。 (8) 獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。 (9) 限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。 (10)遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄等多項(xiàng)文件操作功能。 (11)注冊(cè)表操作：包括 對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能。 (12)發(fā)送信息：以常用圖標(biāo)向受控端發(fā)送簡短信息。 (13)點(diǎn)對(duì)點(diǎn)通信：以聊天室形式同受控端進(jìn)行在線交談 。 (1) 使用 IceSword 軟件 — 功能 — 進(jìn)程項(xiàng)，查看木馬進(jìn)程存儲(chǔ)路徑，確定木馬服務(wù)端在 PC2 上的植入位置。 (2) 使用 IceSword 軟件 — 啟動(dòng)項(xiàng)，查找可以可疑服務(wù)項(xiàng)，確定灰鴿子木馬以服務(wù)方式在每次開機(jī)后自動(dòng)啟動(dòng)。 (3) 使用 IceSword 軟件 — 功能 — 進(jìn)程項(xiàng)，終止木馬進(jìn)程。 (4) 使用 IceSword 軟件 — 文件管理項(xiàng)， 找到木馬植入 位置，刪除木馬服務(wù)端的可執(zhí)行文件。 【實(shí)驗(yàn)報(bào)告】 （ 1） 記錄灰鴿子木馬的安裝、配置與入侵過程。 （ 2） 記錄木馬入侵后所獲知的目標(biāo)主機(jī)信息。 16 （ 3） 木馬查殺過程相關(guān)信息的記錄和說明。 【相關(guān)知識(shí)點(diǎn)】 （ 1） 木馬攻擊原理。 【 評(píng)分要求 】 100 分 （ 2） 數(shù)據(jù)記錄 60 （ 3） 數(shù)據(jù)分析 40 17 實(shí)驗(yàn)五 SQL 注入攻擊實(shí)驗(yàn) 【實(shí)驗(yàn)?zāi)康摹? （ 1）掌握 SQL 注入基本手段 （ 2）了解 WEB 站點(diǎn)的脆弱性 【 實(shí)驗(yàn)原理 】 SQL 注入是從正常的 WWW 端口訪問，而且表面看起來跟一般的 Web 頁面訪問沒什么區(qū)別，可能被入侵很長時(shí)間管理員都不會(huì)發(fā)覺。相當(dāng)一部分程序 員編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些用戶想得知的數(shù)據(jù)，這就是所謂的 SQL Injection，即 SQL 注入。 【實(shí)驗(yàn)內(nèi)容】 （ 1） 服務(wù)器安裝所需軟件：編譯環(huán)境 — JAVA JDK，數(shù)據(jù)庫 — MySQL， WEB服務(wù)器 — APACHE Tomcat （ 2） 設(shè)置客戶機(jī)瀏覽器 ， 登錄服務(wù)器。 （ 3） 根據(jù)登錄頁面返回信息，構(gòu)造攻擊字符串作為密碼，實(shí)施攻擊。 【實(shí)驗(yàn)設(shè)備與環(huán)境】 1. 兩臺(tái) PC 機(jī)，一臺(tái)作為服務(wù)器，一臺(tái)作為客戶端。 2. PC 機(jī)安裝 WindowsXP/2022 操作系統(tǒng)。 3. 服務(wù)器安裝數(shù)據(jù)庫和 WEB 服務(wù)器。 4. 局域網(wǎng)環(huán)境。 【實(shí)驗(yàn)方法步驟】 配置服務(wù)器 （ 1） JDK 的安裝。安裝完成 JDK 后，需要對(duì)環(huán)境變量進(jìn)行設(shè)置。例如若安裝路徑為 C： \(當(dāng)然其他路徑也可以 )。 18 a. path 變量的設(shè)置。在系統(tǒng)變量里找到 path 變量，選擇編輯，在 path 變量值的最前面加上 C： \\bin。 b. 新建： classpath 環(huán)境變量的設(shè)置。在系統(tǒng)變量欄選擇新建 classpath，將變量值設(shè)置為 .。 C： \\lib\。 C： \\lib\ c. 新建：設(shè)置 JAVA_HOME。新建系統(tǒng)環(huán)境變量 JAVA_HOME，將變量值設(shè)置為 C： \ （ 2） Apache web 服務(wù)器的安裝。安裝完成后需要將網(wǎng)站的代碼包 SqlAttack 放在 webapps 目錄下。 （ 3） MySQL 數(shù)據(jù)庫的安裝。 a. 首先檢查本機(jī)是否已安裝 Mysql，如果已安裝需要先卸載再安裝新的Mysql 數(shù)據(jù)庫（一定要卸載以前安裝的版本 （通過“控制面板“的”添加刪除程序“） ，否則在輸入密碼的時(shí)候總是會(huì)提示輸入之前的密碼）。由于網(wǎng)站代碼中對(duì)數(shù)據(jù)庫的訪問 信息（數(shù)據(jù)庫名稱、密碼、數(shù)據(jù)表名稱）是事先固定的，所以需要對(duì)數(shù)據(jù)庫密碼和表按照下述要求統(tǒng)一進(jìn)行設(shè)置。 b. 在安裝過程進(jìn)行到配置 M