网络安全系列之四十二 木马的原理及使用

木马是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。一台被安装了木马的计算机就称为“肉鸡”,黑客对肉鸡基本上是可以为所欲为的。黑客可以轻易地复制、删除、上传、下载肉鸡上的文件,还可以记录用户的每一个键盘操作,用户的QQ号、游戏账户和银行密码会被黑客轻易获得,甚至还可以控制用户的摄像头,因而木马的危害非常之大。本文以国内曾经鼎鼎大名的灰鸽子木马为例讲述木马的使用和防御,下载地址http://down.51cto.com/data/1901166

(1)木马基本原理

木马是一种典型的C/S模式软件,分为客户端和服务端。一般情况下,需要将服务端程序安装到肉鸡上,黑客在自己的电脑上运行客户端程序。

如果黑客能够通过木马成功地去控制肉鸡,那么就在黑客与肉鸡之间建立起一个TCP连接,按照连接建立的方式不同,木马主要分为两种类型:正向连接木马和反弹连接木马。

正向连接木马的特点是肉鸡上固定开放某个端口,然后由黑客主动去连接肉鸡。

反弹连接木马则是在黑客的电脑上固定开放某个端口,然后由肉鸡主动去连接黑客。

早期的木马都是采用正向连接,这种木马的最大缺点是:黑客要想去连接肉鸡,必须要先知道其IP。对于目前普遍采用的拨号上网,其IP属于动态IP,用户每次拨号后IP都会更换,所以这样就算对方中了木马,那么在肉鸡下次拨号的时候,黑客也会因找不到IP而丢失肉鸡。此外,对于目前广泛采用的另外一种上网方式——局域网通过NAT地址转换接入互联网,那些处于内网的机器由于采用了私有IP,因而在外界是无法直接访问的,即使是机器中了木马也没用,黑客除非是与目标机器处于同一个局域网中,否则也无法连接对方。

由于正向连接木马一系列的不足,所以就产生了反弹连接木马,大名鼎鼎的灰鸽子正是这种反弹连接木马的始祖。反弹连接木马由于是在黑客的电脑上开启固定端口,然后由肉鸡主动去连接黑客,因而就克服了正向连接木马的一系列缺点,无论肉鸡的IP如何变换都可以主动连接到黑客的电脑上。即使肉鸡处于内网,由于内网的机器是可以主动访问外网的,所以肉鸡也可以连接到黑客。

反弹连接木马的唯一不足就是要求黑客必须要有固定的IP,否则肉鸡就无法找到黑客的机器了。解决这个问题的方法之一是采用动态域名,即黑客注册一个固定的域名,然后将域名对应到黑客的IP上,这样无论黑客的IP如何变换,肉鸡都可以通过动态域名主动连接到黑客。

除了要解决动态IP的问题以外,反弹连接木马还有一个要解决的难题,即如果黑客是处于内网的话,那么肉鸡仍然是无法主动去连接它的,这还要求处于内网的黑客必须在内网的出口路由器上做端口映射。所以反弹连接木马配置起来相对比较麻烦,但是由于其技术的先进性,目前的木马绝大多数都是采用了这种方式。

(2)配置使用灰鸽子

下面我们就通过实验来配置使用灰鸽子木马,这里需要准备两台虚拟机,一台作为肉鸡,IP地址192.168.80.129;一台作为黑客控制端,IP地址192.168.80.128。

首先点击“服务器配置”来生成服务端程序。在“自动上线设置”中填入黑客计算机的IP地址,如果是在真实环境中,那么这里应该填上动态域名或是要进行端口映射。

至于其他的设置项目,大家可以发挥想象力来自由配置。比如在“安装选项”中可以设置木马在肉鸡上的安装路径以及文件名和程序图标,在这里还可以设置安装成功后自动删除安装文件。

在“启动项设置”中可以设置木马如何自动运行,以及木马运行后所显示的进程和服务名称,

设置完成后,点击“生成服务器”,生成服务端程序Server_Setup.exe。

将服务端程序传到肉鸡上并运行,然后在黑客的灰鸽子控制端程序里会显示有自动上线主机。这样,就可以对肉鸡为所欲为了。

(3)注意问题

黑客要想在肉鸡上成功安装木马,必须要先做好免杀,使木马能够绕过杀毒软件和安全工具的查杀。

用户要避免成为肉鸡,则应安装杀毒软件和安全工具,并及时更新病毒库,再加上及时安装补丁修补漏洞,那么基本上就比较安全了。

时间: 2024-11-21 00:58:34

网络安全系列之四十二 木马的原理及使用的相关文章

网络安全系列之四十五 在IIS6中配置虚拟目录

一个网站中的所有网页和相关文件都要存放在主目录下,为了对文件进行归类整理,也可以在主目录下面建立子文件夹,分别存放不同内容的文件,例如一个网站中,新闻类的网页放在主目录的news文件夹,技术类的网页文件放在主目录的tech文件夹,产品类的网页文件放在products文件夹等,这些直接存放在主目录下的子文件夹都称为物理目录. 如果物理目录的数量很多,主目录的空间可能会不足,因此也可以将上述文件存放在其它分区或者其它计算机上,而用户访问时上述文件夹在逻辑上还属于网站之下,这种归属于网站之下的目录称为

网络安全系列之四十八 在IIS6中配置日志

如果网站启用了日志记录,管理员就可以通过查看日志跟踪网站被访问的情况,如哪些用户访问了本站点.访问者查看了什么内容,以及最后一次查看该信息的时间等,可以使用日志来评估内容受欢迎程度或识别信息瓶颈,有时还可以通过日志查出非授权用户访问网站以便采取应对措施. 启用网站日志记录的方法是在"网站"选项卡中勾选"启用日志记录",单击旁边的"属性"按钮,打开属性设置界面,如图所示,可以看到日志文件产生的时间间隔和存放的位置.默认设置是每天产生一个日志文件.

网络安全系列之三十二 组策略中的安全选项

在Win2003系统中打开组策略编辑器,展开[计算机配置\Windows设置\安全设置\本地策略\安全选项].通过本地策略中的安全选项,可以控制一些和操作系统安全相关的设置. 下面是一些常用的安全选项策略: (1)"关机:允许系统在未登录前关机" 正常情况下,用户只有登录到系统后,具有权限的用户才能关机,启用此策略后,登录屏幕上的关机命令可用. (2)"账户:使用空白密码的本地账户只允许进行控制台登录" 启用此策略后,密码为空的用户只能在本地登录,而无法通过网络访问

网络安全系列之四十 在Linux中设置SET位权限

虽然通过ACL增加了权限设置的灵活性,但是Linux系统中可供设置的权限只有读.写.执行三种,在某些特殊的场合,这可能将无法满足要求.因而,在Linux系统中还提供了几种特殊的附加权限,用于为文件或目录提供额外的控制方式,可用的附加权限包括:SET位权限(SUID.SGID)和粘滞位权限(Sticky Bit).本文将介绍SET位权限. SET位权限多用于给可执行的程序文件或目录进行设置,其中SUID表示对所有者用户添加SET位权限,SGID表示对所属组内的用户添加SET位权限.当一个可执行文件

网络安全系列之四十六 在IIS6中配置目录安全性

Web站点默认是允许匿名访问的,某些特殊网站(或者虚拟目录)如果要求用户提供账号和密码才能访问,或者限定某些IP地址能(或不能)访问,那可以通过在Web站点属性的"目录安全性"选项卡中进行相关设置以完成上述要求. (1)匿名用户 在"身份验证方法"界面中可以看到Web服务器默认启用了匿名访问功能,即客户端在访问Web站点时无需进行身份验证.匿名用户在Web服务器中也要有一个相对应的用户账号,这个用户账号是在安装IIS时一并创建的,用户名为"IUSR_计算机

网络安全系列之十二 Linux用户账号安全设置

用户账号是计算机使用者的身份凭证或标识,每一个要访问系统资源的人,必须凭借他的用户账号才能进入计算机.在Linux系统中,提供了多种机制来确保用户账号的正当.安全使用.合理地规划用户账号,并合理地分配权限,是保证Linux系统安全的第一步. 1. 清理系统账号在Linux系统中,一些程序在安装时会创建特有的用户和组,这些用户仅仅用于启动服务或运行进程,通常是不允许登录的,例如mysql.apache.named.news--.当攻击者假冒这些用户或组身份时,往往不易被管理员发现.对于这些系统账号

网络安全系列之五十二 组策略中的软件限制策略

在组策略编辑器中展开"计算机配置/Windows设置/安全设置/软件限制策略",通过设置软件限制策略,可以限制用户在计算机上使用某些未经许可的软件,从而提高安全性. 下面以禁用记事本程序为例来介绍其相关操作. 在"软件限制策略"上单击右键,选择"创建软件限制策略",在下面会多出"安全级别"和"其它规则"2个项目,在"其它规则"上单击右键,可以选择创建4种不同的软件限制规则. 这4种规则分

42. 蛤蟆的数据结构笔记之四十二图的遍历之广度优先

42. 蛤蟆的数据结构笔记之四十二图的遍历之广度优先 本篇名言:"生活真象这杯浓酒 ,不经三番五次的提炼呵 , 就不会这样一来可口 ! -- 郭小川" 继续看下广度优先的遍历,上篇我们看了深度遍历是每次一个节点的链表是走到底的. 欢迎转载,转载请标明出处:http://write.blog.csdn.net/postedit/47029275 1.  原理 首先,从图的某个顶点v0出发,访问了v0之后,依次访问与v0相邻的未被访问的顶点,然后分别从这些顶点出发,广度优先遍历,直至所有的

每日算法之四十二:Permutation Sequence (顺序排列第k个序列)

The set [1,2,3,-,n] contains a total of n! unique permutations. By listing and labeling all of the permutations in order, We get the following sequence (ie, for n = 3): "123" "132" "213" "231" "312" "