实训08 木马和间谍常用工具 - 指导书

实训八 木马和间谍常用工具

实训目的：

1．掌握360卫士清除和预防木马程序；

2．掌握手工清除木马程序的基本操作，学会手工清除常见、顽固的计算机木马； 3．掌握木马分析专家的使用，完成木马克星探索性操作。 实训设备：

1．学生机32台P4计算机，1人一组，4个交换机。

2．计算机配置：操作系统Windows2000/XP/2003、木马分析专家、360卫士以及木马克星等应用软件。 实训步骤：

正确启动计算机，在磁盘E区建立以学号和姓名为文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到建立的文件夹中。

任务一 手工清除常见木马程序

一．木马实施的基本过程 1．传播木马 1）传播方式

电子邮件、软件下载 2）伪装方式

修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名 激活木马 2．激活木马

1）随系统启动激活木马 ◆ 注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run ◆ 系统配置文件

Win.ini、Config.sys、Boot.ini和System.ini等 如”load=”和”run=”是空白的。 ◆ 组策略

Gpedit.msc → 本地计算机策略 → 用户配置 → 管理模板 → 系统 → 登录 → 双击“在用户登录时运行这些程序”逻辑 → 设置 → 已启用 → 显示，即打开显示内容。可通过添加按钮，添加自动启动的程序路径。

◆ 批处理命令Autoexec.bat

◆ 启动菜单：开始 → 程序 → 启动 2）随程序启动激活木马程序 ◆ 注册表

HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键下查看其键值 如：冰河木马将默认值C:\\WINDOWS\\notepad.exe %1修改为 Sysexplr.exe 。 将双击原本启动记事本，变成启动木马程序Sysexplr.exe。 ◆ 捆绑文件

通过聊天工具、电子邮件附件、下载文件传播、下载文件传播 ◆ 自动播放式：利用AutoRun.inf文件中的Open命令行启动 3．木马程序运行

被激动后进入内存，并打开定制的木马程序端口，随时可进行控制端建立。 4．信息泄露

成熟的木马会有一个信息返馈机制，会收到成功安装后的一些服务端的信息 5．建立连接 1）建立连接的条件

◆ 获取服务端的木马程序端口和IP地址 ◆ 服务端已安装了服务端程序 ◆ 控制端、服务端都在网上 2）获取IP地址 ◆ 通过信息反馈 ◆ IP地址扫描 6．远程控制 ◆ 窃取密码 ◆ 获取系统权限

文件操作权限、修改注册表、修改启动项、系统操作 二．手工清除常见木马程序 1．清除“冰河” 1）特点

连接端口7626 ，G_server.exe、G_clinet.exe，运行生成Kernel32、sysexplr.exe。 2）清除方法

◆ 删除C:\\Windows\\system中的Kernel32.exe、sysexplr.exe

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中的键值：c:\\windows\\Systems\\Kernel32.exe

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 中的键值：c:\\windows\\Systems\\Kernel32.exe

◆ 将注册表HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command中的默认值c:\\windows\\system\\sysexplr.exe改为C:\\windows\\notepad.exe 。 2．清除“网络神偷” 1）特点

监听端口为80，运用“反弹”和“HTTP隧道”技术，穿透包过滤型和代理型防火墙，不是远程控制，而是对磁盘文件系统的远程访问。 2）清除方法

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中的键值internet和internet.exe/s的项进行删除。 ◆ 删除自启动程序C :\\windows\\system\\internet.exe 3．“广外男生”木马 1）特点

◆ 连接端口8225，客户端模仿Windows资源管理器，支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。

◆ 强大的文件操作功能。

◆ 运用“反弹端口”与“线程插入”技术？

（前者指在服务器端运行时没有进程，所有网络操作均插入到其他应用程序的进程中完成，所以防火墙无法进行有效的警告与拦截，后者指创建连接不再由客户端主动要求连接，而是服务器端来完成，与传统的连接方式相反，木马服务器在远程主机上线后主动寻找客户端建立连接，客户端的开放端口在服务器的连接请求后进行连接、通信） 2）清除方法

① 检查端口8225开放 命令：netstat -na ② 打开注册表编辑器

◆展开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中的gwboy.exe或gwgirl.exe。

◆展开

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSIDT，删除

ID

为

{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其所有子键和键值。

◆“编辑”→ 查找→ gwVboydll.dll，找到所有和它有关的注册表项，全部删除。

◆ 删除system32目录下的gwboy.exe及gwVboydll.dll。 4．“广外女生”木马 1）特点

连接8225 ，是一种远程监控工具，能够远程上传、下载、删除文件、修改注册表，极强的破坏性，会自动检查进程中是否有“防火墙”等软件中的iparmor、tcmonitor、kill等关键字，若有则终止该进程，使防火墙失去作用。 2）清除方法

◆ 在DOS模式下删除system目录下的Diagfg.exe (所有exe文件都无法运行) ◆ 将windows目录中的regedit.exe改名为regedit.com。 ◆ 运行regedit.com程序

◆将注册表HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command中的默认键值改成”%1”。

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices中的键值名为“Diagnostic Configuration”进行删除。 5．清除“黑洞2001” 1）特点

连接端口2001，是典型的文件关联木马程序，与txt文件打开方式关联。具有杀进程功能，控制端可随意终止被控制的某个进程，服务端执行后生成S_Server.exe和Windows.exe。 2）清除方法

◆ 删除HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command中的默认键值由S Server.exe改为c:\\windows\\Notepad.exe %1

◆ 将HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command中的默认键值由S Server.exe改为c:\\windows\\Notepad.exe %1

◆ 将HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 下windows进行删除

◆ 删除HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes下的主键Winvxd。

◆ 删除c:\\window\\system下的木马文件windows.exe和S_Server.exe。若无则在DOS方式下删除或Windows.exe进程后删除。 6．清除“SubSeven” 1）特点

连接端口27374，服务器端程序Server.exe，执行后会变化多端，进程名都有变化。

2）清除方法 ◆找到

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

和

Runservices ，若有加载文件，删除右边的项目：加载器=“c:\\windows\\System\\***”。

◆ 打开win.ini文件，检查“Run”后是否加上执行文件名，有则可删除。 ◆ 打开System.ini文件，检查“Shell=explorer.exe”后是否有文件，有则删除。 ◆ 重新计算机，删除c:\\windows\\system下相应的木马程序。 7．清除“网络精灵Netspy” 1）特点

连接端口7306，具有注册表编辑和浏览器监控功能，通过浏览器进行远程监控制。服务端程序执行后，在C:\\windows\\System目录生成netspy.exe。 2）清除方法

◆ 启动计算机系统时，出现“Staring Windwos…”时按F5键进入命令行状态，删除metspy.exe命令：del metspy.exe

◆ 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下NetSpy的键值。

8．清除“聪明基因” 1）特点

连接端口7511，文件关联木马程序，服务端程序是genueserver.exe，客户端程序genueclient.exe，前者伪装成

HTM

文件，运行后生成三个文件：

c:\\windows\\Mbbmanager.exe、Explore32.exe和C:\\windows\\System\\Editor.exe。

Explore32.exe与HLP文件关联，Editor.exe和TXT文件关联，Mbbmanager.exe用记系统启动时加载木马程序。 2）清除方法

◆ 删除c:\\windows下的Mbbmanager.exe和Explore32.exe文件 ◆ 删除C:\\windows\\system下的Editor.exe，在 纯DOS下直接删除

◆ 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下键值为c:\\windows\\Mbbmanager.exe的键名MainBroad BackManager项。

◆ 删除HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command中的默认键值由Notepad.exe %1改为c:\\windows\\system\\editor %1 。

◆ 将HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command中的默认键值由c:\\windows\\system\\eidtor.exe %1改为c:\\windows\\system\\Notepad.exe %1 。

◆ 将

HKEY_CLASSES_ROOT\\hlpfile\\shell\\open\\command

下的默认值由

C:\\windows\\explore32.exe %1改为C:\\windows\\winhlp32.exe %1 。

◆将HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\hlpfile\\shell\\open\\command下的默认值由C:\\windows\\explore32.exe %1改为C:\\windows\\winhlp32.exe %1 。 9．清除“网络公牛Netbull” 1）特点

连接端口23444，服务器端程序Newserver.exe运行后，生在C:\\windows\\system下生成Checkdll.exe文件，计算机重启后自动启动Checkdll.exe，会自动捆绑文件如notepad.exe，regedit.exe，QQ.exe，realplay.exe等。 2）清除方法

◆ 删除自动启动程序C:\\windows\\System\\Checkdll.exe 。

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 下删除“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 删除HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中的“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 删除HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中的“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 检查可能被捆绑的文件，若发现长度增加40K左右，则删除该文件。 ◆ 恢复被删除的文件。 10．清除“无赖小子” 1）特点

连接端口8011，又名火凤凰，对注册表有极强的操控功能，读写受控端的注册表和本地操作一样方便。服务器端程序运行后，在C:\\windows\\system下生成msgsvc.exe。 2）清除方法

◆ 删除C:\\windows\\system下的msgsvc.exe。

◆ 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中键值为

C:\\windows\\system\\msgsvc.exe的Msgtask项。

任务二 360安全卫士和木马分析专家的使用

一．360安全卫士 1．安装

网址：http://www.360.cn中下载，安装 2．查杀木马程序 点击“杀木马”按钮 3．预防木马程序侵入 1）防范木马程序的基本措施 ◆ 树立预防为主的思想 ◆ 保护帐户的安全 ◆ 做好各种应急准备工作 ◆ 准备查杀木马软件 2）防范木马程序入侵的设置操作

◆ 启动“360安全卫生”→“实时保护” →开启所有防火墙 ◆ 单击“保护360安全卫士”，开启360安全卫士的自我保护 ◆ 使用360安全卫士修复操作系统和应用系统的漏洞 二．木马分析专家 1．安装

简介：木马分析专家能自动分析、终止可疑进程、窗体类型及木马详细资料(如创建时间,文件大小,分析 Config.sys、Autoexec.bat、Winstart.bat、System.ini、Win.ini、注册表Load键值等),并能随时在线升级木马病毒代码特征库,100%查杀各种未知木马。

新增显示与进程及窗体相关的所有详细信息：包括进程ID、优先级、包含的线程数、包含的模块数、进程文件大小、创建时间、访问时间、修改时间、文件的版本信息等。

点击安装程序按提示进行，即可完成 2．木马分析专家的使用 1）轻松防范

“开始——程序——木马分析专家——木马分析专家防火墙”，启动程序 随时监控系统中异常情况，当出现异常活动时立即弹出提示框。

小提示：如果自己计算机里的内容比较重要，当程序提示有异常活动时，建议立即断开网络连接对系统进行全面的检查。 2）防火墙全面应用

双击任务栏右侧的小图标打开程序主界面： 内存监控 文件监控 注册表监控 网络监控 监控设置 参数设置 实时记录

3）木马病毒专杀工具

从“开始 —> 程序 —> 木马分析专家 —> 木马分析专家会员版”启动木马病毒专杀工具(如图)，主界面是不是看起来挺复杂的，不要紧我们将其归纳一下，基本可以分为上下左右四个区域

A．Windows程序进程列表

在主界面的左上方是系统程序进程列表，软件启动之后就会将所有的进程读取出来，包含被隐藏的进程，因为木马或病毒只要它在运行，那么必然会表现出一个进程，因此我们只需要在该进程列表中查看哪些进程是可疑的程序，或者说不是系统进程和自己打开的应用程序。

我们不知道哪些程序是可疑进程？

很简单，我们只需要选中相应的进程，这样在进程列表下方就显示出进程的详细信息，包括大小、创建时间和进程级别，非常清楚，如果显示是可疑进程我们只需要单击“终止进程”按钮，在弹出的菜单中又有两个选择，如果只是可疑程序我们可以直接终止该进程，如果确认是病毒或木马进程那么干脆单击“永久删除该进程”，将其扫出电脑之外。

“病毒查杀”按钮是在Window程序进行列表区域的下方有一个非常实用的按钮，因为我们的木马程序经常会隐藏在注册表、Autoexec.bat、Config.sys、Wininit.ini等文件中，如果手工来检查是比较麻烦的，其实此时我们只需要单击“病毒查杀”按钮，让程序来帮助我们进行全面的检查，很快就会显示出检查结果，此时我们只需要单击“完全清除病毒”按钮对可疑的程序进行清查即可。 B．启动运行项目

将自身加载在启动运行项目之中也是病毒和木马经常使用的一种方法，在程序主界面窗口的右上方就显示了所有在启动中加载的项目，如果我们发现某一项不是自己加载的，而是一些可疑的程序，那么只需要单击前面的方框，此时在程序路径中就显示了文件所处的位置，如果确定是木马或病毒，只需单击“删除选定的项目”按钮即可。

流氓软件： 系统服务：

C．选择扫描的目录或文件 D．扫描整个系统

如果想全面的对计算机进行病毒和木马的清理，那么有必要对整个系统进行全面的清理。在程序主界面左下方则是针对系统的扫描，一般来说我们可以首先针对系统文件夹进行扫描，单击底部的“扫描常用文件夹”按钮，就会显示出扫描的结果，如果有结果显示的那么就是有问题的程序了，将其选中然后单击“清除病毒”按钮即可。

小提示：如果没注册，程序是不允许删除的，但不要紧我们已经知道程序所在位置，直接自己手工删除，这样还可以省下一些银子呢。 三．木马克星的使用(自己探索)

通过网络进行搜索查找“木马克星”进行下载，并进行正确安装。

本文来源：https://www.bwwdw.com/article/prdx.html