1、第第11章章 木马防御和去除实训木马防御和去除实训 11.1 实训目实训目 11.2 实训理论基础实训理论基础 11.3 实训内容实训内容11.4 实训步骤实训步骤 第1页11.1 实训目实训目(1)了解木马工作原理和防御木马注意)了解木马工作原理和防御木马注意事项。事项。(2)掌握常见木马工具)掌握常见木马工具“冰河冰河”使用。使用。第2页11.2 实训理论基础实训理论基础 木马有两个程序:一个是服务器程序,一木马有两个程序:一个是服务器程序,一个是控制器程序。个是控制器程序。木马普通存放在以下木马普通存放在以下3个地方:注册表、个地方:注册表、win.ini或或system.ini。木马服
2、务器程序文件普通在系统目录中。木马服务器程序文件普通在系统目录中。木马文件名也是一个学问,木马文件名应木马文件名也是一个学问,木马文件名应尽可能和操作系统系统文件靠近,这么含尽可能和操作系统系统文件靠近,这么含有比很好隐藏性。有比很好隐藏性。第3页11.2 实训理论基础实训理论基础 不过木马有一个致命缺点即相对固定端口。不过木马有一个致命缺点即相对固定端口。木马也叫木马也叫“后门工具后门工具”。木马有很强隐蔽性。木马有很强隐蔽性。木马含有很强潜伏能力。木马含有很强潜伏能力。第4页11.2 实训理论基础实训理论基础 普通情况下,在防范特洛伊木马程序方面普通情况下,在防范特洛伊木马程序方面应注意以
3、下几个问题。应注意以下几个问题。l(1)必须提升防范意识,不要打开陌生人信)必须提升防范意识,不要打开陌生人信中附件,熟人来信也应确认来信原地址是否正中附件,熟人来信也应确认来信原地址是否正当。当。l(2)多读程序说明文件()多读程序说明文件(readme.txt)。)。l(3)使用杀毒软件。)使用杀毒软件。l(4)假如发觉网速过慢应马上挂断。)假如发觉网速过慢应马上挂断。l(5)观察目录。)观察目录。l(6)在删除木马之前必须要进行备份。)在删除木马之前必须要进行备份。第5页11.2 实训理论基础实训理论基础 本实训将着重介绍国内最有名木马本实训将着重介绍国内最有名木马冰冰河使用和防御。河使
4、用和防御。冰河主要用于远程监控,详细功效包含以冰河主要用于远程监控,详细功效包含以下几点。下几点。l(1)自动跟踪目标机屏幕改变,同时能够完)自动跟踪目标机屏幕改变,同时能够完全模拟键盘及鼠标输入,即在同时被控端屏幕全模拟键盘及鼠标输入,即在同时被控端屏幕改变同时,监控端一切键盘及鼠标操作将反应改变同时,监控端一切键盘及鼠标操作将反应在被控端屏幕(局域网适用)。在被控端屏幕(局域网适用)。l(2)统计各种口令信息。)统计各种口令信息。l(3)获取系统信息。)获取系统信息。第6页11.2 实训理论基础实训理论基础 l(4)限制系统功效。)限制系统功效。l(5)远程文件操作。)远程文件操作。l(6
5、)注册表操作。)注册表操作。l(7)发送信息。)发送信息。l(8)点对点通信。)点对点通信。第7页11.3 实训内容实训内容(1)冰河木马使用。)冰河木马使用。(2)冰河木马检测和去除。)冰河木马检测和去除。第8页11.4 实训步骤实训步骤 图图11.1 冰河冰河DARKSUN专版文件专版文件第9页11.4 实训步骤实训步骤 图图11.2 冰河客户端程序主窗口冰河客户端程序主窗口 第10页11.4 实训步骤实训步骤 图图11.3 “服务器配置服务器配置”对话框对话框 第11页11.4 实训步骤实训步骤 图图11.4 “自我保护自我保护”标签标签 第12页11.4 实训步骤实训步骤 图图11.5 “邮件通知邮件通知”标签标签 第13页11.4 实训步骤实训步骤 图图11.6 “打开打开”对话框对话框 第14页