实验报告 在word中插入木马

实验报告

课题：在word中插入木马 系院：计算机科学技术系 专业：计算机网络技术 班级：10网1 学号：1023110518 姓名：娄雪 指导老师：王蒙蒙

目 录

引言 ······································································································································· 3 第一章 什么是木马 ············································································································· 3 1.1木马简介···················································································································· 3

1.1.1木马攻击原理································································································· 3 1.1.2木马的功能····································································································· 3 1.2木马植入方式············································································································ 4

1.2.1利用共享和Autorun文件············································································· 4 1.2.2把木马转换为BMP格式················································································· 5 1.2.3利用错误的MIME头漏洞··············································································· 5 1.2.4在word中加入木马文件··············································································· 6 1.2.5通过Script、Active及ASP、CGI交互脚本的方式植入························· 6 1.3木马常见的四大伪装欺骗行为················································································ 6

1.3.1以Z—file伪装加密程序············································································· 6 1.3.2将木马包装为图片文件················································································· 7 1.3.3合并程序欺骗································································································· 7 1.3.4伪装成应用程序扩展组件············································································· 8 第二章 利用office系列挂马工具全套在word中插入木马 ··········································· 8 2.1office系列挂马工具全套的工作原理······································································ 8 2.2在word中插入木马的过程························································································ 9 2.3带有木马的word的危害························································································· 15 第三章 木马的防范措施 ······································································································· 16 2.1如何防御木马病毒·················································16 3.2如何删除木马病毒·················································16 结论 ··········································································································································· 17 参考文献··································································································································· 18 谢辞 ··········································································································································· 18 附录 ················································································································································

2

引言：

伴随着Windows操作系统核心技术的日益成熟，“木马植入技术”也得到发展，使得潜入到系统的木马越来越隐蔽，对网络安全的危害性将越来越大。所以，全面了解木马植入的方法和技术，有助于采取有力的应对措施，同时也有助于促进信息对抗技术的发展。本实验来了解木马和木马植入技术，学习几种在Winndows下向office中植入木马的技术。

第一章 什么是木马

1.1木马简介

木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。

1.1.1 木马攻击原理

木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定具体位置，往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分不能操作权限，包括修改文件，修改注册表，控制鼠标、键盘等等，而这些权利并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段：

最初网络还处于一UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着Windows平台的日益普及，一些基于操作的木马程序就出现了，用户界面的改善，使使用者不用动太多的专业知识就可以熟练地操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 1.1.2 木马的功能

木马和病毒都是一种人为的程序，都属于电脑病毒，但他们也有区别，木马

3

的作用是赤裸裸的偷偷监视别人和盗窃别人密码、数据等，如盗窃管理员密码、子网密码搞破坏，或者偷窃上网密码用于他用，游戏账号、股票账号，甚至网上银行账户等。达到偷窥别人隐私和得到经济利益的目的。所以木马的作用比早期的电脑病毒更加有用，能够直接到达使用者的目的。导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是目前网上大量木马泛滥成灾的原因。鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样，所以木马虽然属于病毒中的一类，但是要单独的从病毒类型中间剥离出来。独立的称之为“木马”程序。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”的去感染其他文件，他通过将自身伪装吸引用户下载，使施种者可以任意毁坏、窃取被施种者的文件，甚至远程操控被施种者的电脑。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被施种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个的端口被打开，是黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了。

1.2木马植入方式

木马是大家网上安全的一大隐患，说是大家心中永远的痛也不为过。对于木马采用敬而远之的态度并不是最好的方法，我们必须更多地了解其“习性”和特点，只有这样才能做到“知己知彼，百战不殆”！随着时间的推移，木马的植入方式也悄悄地发生了一定的变化，较之以往更加的隐蔽，对大家的威胁也更大，以下是笔者总结的五种最新的木马植入方式，以便大家及时防范。

1.1.1 利用共享和Autorun文件

为了学习和工作方便，有许多学校或公司的局域网中会将硬盘共享出来。更有甚者，竟将某些硬盘共享设为可写！这样非常危险，别人可以借此给您下木马！利用木马程序结合Autorun.inf文件就可以了。方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，只需他双击共享的磁盘图标就会使木马运行！这样作对下木马的人来说的好处显而易见，那就是大大增加了木马运行的主动性！许多人在别人给他发来可执行文件时会非常警惕，不熟悉的文件他们轻易不会运行，而这种方法就很难防范了。

4

下面就简单说一下原理。大家知道，将光盘插入光驱会自动运行，这是因为在光盘根目录下有个Autorun.inf文件，该文件可以决定是否自动运行其中的程序。同样，如果硬盘的根目录下存在该文件，硬盘也就具有了AutoRun功能，即自动运行Autorun.inf文件中的内容。

把木马文件.exe文件以及Autorun.inf放在磁盘根目录（这里假设对方的D盘共享出来且可写），对于给您下木马的人来说，他还会修改Autorun.inf文件的属性，将该文件隐藏起来。这样，当有人双击这个盘符，程序就运行了。这一招对于经常双击盘符进入“我的电脑”的人威胁最大。更进一步，利用一个.REG文件和Autorun.inf结合，还可以让你所有的硬盘都共享出去！

1.2.2 把木马文件转换为BMP格式

这是一种相对比较新颖的方式，把EXE转化成为BMP来欺骗大家。其原理是：BMP文件的文件头有54个字节，包括长度、位数、文件大小、数据区长度。只要在EXE的文件头上加上这54个字节，IE就会把该EXE文件当成BMP图片下载下来。由于这样做出的图片是花的，为防止我们看出来，下木马者会在其网页中加入如下代码：，把这样的标签加到网页里，就看不见图片了，因此我们就无法发现这个“图片”不对劲。

在用IE浏览后，IE会把图片自动下载到IE临时目录中，而下木马者只需用一个JavaScript文件在我们的硬盘中写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入，无声无息非常隐蔽。

1.2.3 利用错误的MIME头漏洞

其实，这一招并不神秘，危害却很大。错误的MIME头漏洞是个老漏洞了，但对于没有打补丁的用户威胁非常大！去年流行的许多病毒都是利用了该漏洞，如尼姆达病毒和笑哈哈病毒都是如此。这类病毒一旦和错误MIME头漏洞结合起来，根本不需要您执行，只要您收了含有病毒的邮件并预览了它，就会中招。同样的道理，攻击者通过创建一封HTML格式的E-mail也可以使未打补丁的用户中木马！Internet Explorer 5.0、5.01、5.5均存在该漏洞，我们常用的微软邮件客户端软件Outlook Express 5.5 SP1以下版本也存在此漏洞。

给您下木马的人，会制作一封特定格式的E-mail，其附件为可执行文件（就是木马服务端程序），通过修改MIME头，使IE不能正确处理这个MIME所指定的可执行文件附件。由于IE和OE存在的这个漏洞，当攻击者更改MIME类型后，IE会不提示用户而直接运行该附件！从而导致木马程序直接被执行！

对于这种植入方式，只要给系统打上补丁就可以防范有人利用这种方式来攻击。微软公司为

5

该漏洞提供了一个补丁，下载地址：

http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp。

1.2.4 在Word文档中加入木马文件

这是最近才流行起来的一种方法，比较奇特。这种植入木马的方法就是新建一个DOC文件，然后利用VBA写一段特定的代码，把文档保存为newdoc.doc，然后把木马程序与这个DOC文件放在同一个目录下，运行如下命令：copy/b xxxx.doc+xxxxx.exe newdoc.doc把这两个文件合并在一起（在Word文档末尾加入木马文件），只要别人点击这个所谓的Word文件就会中木马！

不过，以上方法能得以实现的前提是你的Word 2000安全度为最低的时候才行，即HKEY_CURRENT_USER SoftwareMicrosoftOffice9.0WordSecurity中的Level值必须是1或者0。大家知道，当Level值为3的时候（代表安全度为高），Word不会运行任何宏；Level值为2时(安全度中)，Word会询问是否运行宏；Level值为1的时候(安全度低)，Word就会自动运行所有的宏！聪明的您一定想到如果这个值为0的时候会怎么样？哈，如果设为0的话，Word就会显示安全度为高，但却能自动运行任何的宏！是不是很恐怖啊？ 要想把Word的安全度在注册表中的值改为0，方法非常多，利用网页恶意代码修改浏览者的注册表就可以。我想这方面大家都有很多经验，就不多说了。对于这种欺骗方式，最重要的是小心防范，陌生人的附件千万不要收看！网上的链接也不要随意点击，如要点击请确认是否为.DOC文件，如是则一定不要直接点击查看！

1.2.5通过Script、ActiveX及ASP、CGI交互脚本的方式植入

由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制，前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马。

1.3木马的常见四大伪装欺骗行为

1.3.1 以Z-file 伪装加密程序

Z-file 伪装加密软件经过将文件压缩加密之后，再以 bmp图像文件格式显示出来(扩展名是 bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。 使

6

用者会将木马程序和小游戏合并，再用 Z-file 加密及将 此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马和病毒。当打消了受害者警惕性后，再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)，只要事先已经发出了“混合体，则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑，受害者根本不会怀疑有什么植入他的计算机中，而且时间并不长，30秒时间已经足够。就算是“明晃晃”地在受害者面前操作，他也不见得会看出这一双黑手正在干什么。特别值得一提的是，由于 “混合体” 可以躲过反病毒程序的检测，如果其中内含的是一触即发的病毒，那么一经结开压缩，后果将是不堪设想。 1.3.2 将木马包装为图像文件

首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用 。

只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称 ，再假装传送照片给受害者，受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe，而木马程序的扩展名基本上又必定是 exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了! 还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了!但入侵者还是有办法的，这就是给文件换个“马甲”，即用IconForge等图标文件修改文件图标，这样木马就被包装成jpg 或其他图片格式的木马了，很多人会不经意间执行了它。 1.3.3 合并程序欺骗

通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵

7

者一不做二不休，干脆将木马程序说成是应用程序：反正都是以exe 作为扩展名的。然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的，于是在悄无声息中，很多受害者便以为是传送时文件损坏了而不再理会它。 如果有更小心的用户，上面的方法有可能会使他们的产生坏疑，所以就衍生了一些合并程序。合并程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件，以后一旦执行这个合并文件，两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合并，由于执行合并文件时 wrap.exe会正常执行，受害者在不知情中，背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner，由于它具有更大的欺骗性，使得安装特洛伊木马的一举一动了无痕迹，是一件相当危险的黑客工具。

以往有不少可以把两个程序合并的软件为黑客所使用，但其中大多都已被各大防毒软件列作病毒了，而且它们有两个突出的问题存在，这问题就是：合并后的文件体积过大，只能合并两个执行文件。

正因为如此，黑客们纷纷弃之转而使用一个更简单而功能更强的软件，那就是Joiner，这个软件可以把图像文件、音频文件与可执行文件合并，还能减小合并后文件体积，而且可以待使用者执行后立即收到信息，告诉你对方已中招及对方的IP 。大家应该提高警惕。 1.3.4 伪装成应用程序扩展组件

这一类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中，让人不去怀疑安装文件的安全性，更不会有人检查它的文件多是否多了。而当受害者打开软件时，这个有问题的文件即会同时执行。 这种方式相比起用合并程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开软件时木马程序都会同步运行 。

当您遇到以上四种情况时请小心为妙，说不定无意之中您已经中招了！！

第二章 利用office系列挂马工具全套在word中插入木马

2.1 office系列挂马工具全套的工作原理

该系统挂马工具，实质上是利用了Office软件的溢出漏洞，在制作工具包中

8

的“DocExp.03SP.v1.03++.exe”针对的是Microsoft Word 2003/SP1/SP2系列“DocExp.XPSP.v1.02++.exe”针对Microsoft Word2002/SP1/SP2/SP3，制作木马的方法都一样。 该DOC木马文档与普通得DOC文档没有两样，当文档被打开时，会在后台自动隐藏运行其中的木马文件，根本看不出有什么异样。 二、功能更强大的DOC木马 工具包中的“DocExp.All.v2.04.exe”程序，提供了更为强大的DOC木马制作功能，可以使用两种方式生成DOC木马：制作的方法都是大同小异的，大家根据软件的提示应该很容易能够生成DOC木马 三、数据库木马的制作 运行软件包中的“MdbExp.All.v1.04.exe”，生成的方式和上边的差不多。

原理：这种转换并不是文件格式上的变化，只不过是把一个EXE文件接在一个DOC文件的末尾而已,这个DOC文件当然就不是不同WORD的文档啦,该文档中包含了宏语句,能在运行的时候把接在自己文件末尾的EXE文件数据读取出来并运行,就造成一种假象,好象文档打开时就运行了EXE文件似。(和文件捆绑器的原理很象啊)

2.2 在word中插入木马的过程

下面是在word中插入木马的详细过程

(1) 首先下载并解压“office系列挂马工具全套”，如下图：

(2)运行office系列挂马工具内存补丁。

9

(3)运行“DocExp.03SP.v1.03++”木马生成工具。这个木马生成工具是要注册的返回注册窗口，即可正常使用木马生成器了。该补丁适用于破解木马生成器的，压缩包中的其他几个木马生成器也能通过该补丁破解。

(4)选择DocExp.03SP.v1.03++的内存补丁，补上就可以注册了。

10

(5)在木马生成器的“本地可执行文件处”处，点击浏览制定自己预先配置好的木马程序。

11

(6)“输入word文档”中指定生成DOC文档路径。点击“确定”既可生成一个包含可执行木马程序的DOC文档文件。

12

13

14

2.3带有木马的word的危害

Word文档中插入木马详解 现在很多网友朋友都有了一定的方别防备心理，一般坚决不执行陌生人发过来的exe程序文件，但是如果对方发过来的是DOC或者MDB的文件，大部分人都没有很高的警惕心里了吧。但是殊不知，也许就是一个不起眼的WORD文档，却可能会导致一场恐怖的灾难

此外，这种制作木马的过程十分简单，不过对木马程序有要求，不能超过50KB。而且杀毒软件也无法检出其中包含的木马。而且木马的运行不需要使用宏，

15

危害很大。

第三章防范措施

3.1如何防御木马病毒？

下面介绍几种防御木马病毒的措施：

（1）木马查杀（查杀软件很多，有些病毒软件都能杀木马） （2）防火墙（分硬件和软件）家里面的就用软件好了

（3）如果是公司或其他地方就硬件和软件一起用

基本能防御大部分木马，但是现在的软件都不是万能的，还要学点专业知识，有了这些，你的电脑就安全多了。

现在高手也很多，只要不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），如果你都做到了，木马病毒就不容易进入电脑了。

3.2

如何删除木马病毒 ？

下面介绍几种删除木马病毒的措施：

可以下载卡巴斯基（建议先卸载其他杀毒软件）绿鹰PC万能精灵，卡巴斯基搜索的授权key到这里下载：

http://iask.sina.com.cn/ishare/download.php?fileid=379586 绿鹰PC万能精灵：

http://iask.sina.com.cn/ishare/download.php?fileid=335597

1、禁用系统还原（Windows Me/XP）

16

如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。 Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您

已将该威胁删除。

注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设置。 2、将计算机重启到安全模式或者 VGA 模式

关闭计算机，等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式 Windows 95/98/Me/2000/XP 用户：将计算机重启到安全模式。所有 Windows 32-bit 作系统，除了Windows NT，可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。

Windows NT 4 用户：将计算机重启到 VGA 模式。 扫描和删除受感染文件启动防病毒程序，并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染，请单击“删除”。如有必要，清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的，请执行以下步骤：

启动 Internet Explorer。单击“工具”>“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中，单击“删除文件”，然后在出现提示后单击“确定”。在“历史”部分，单击“清除历史”，然后在出现提示后单击“是”。 3、关于病毒的危害，Download.Trojan会 执行以下作：

进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。 完成下载后，特洛伊木马程序将执行它们。

结论：

利用“office系列挂马工具全套工具”，可以在word中成功插入木马。插入木马的word文档与普通的word文档在外表上没有任何区别，并且隐蔽性非常好。当用户接受带有木马的word文档时，杀毒软件无法识别，所以，用户无法

17

及时发现，对个人计算机安全造成威胁。

参考文献：

百度文库《木马》

百度文库《在word中插入木马》

百度空间：《在word文档中插入木马详解》 《黑客入门技术》

谢辞：

首先感谢学校能够开这一门课程，让我在实验过程中增长了许多知识。本

次试验的研究中我得到了很多老师和同学的帮助，其中我的指导老师王蒙蒙王老师对我的知道尤为重要。王老师平日工作繁多，但是在研究中给予了我悉心的指导，在此谨向黄老师致以诚挚的谢意和崇高的敬意。同时，本片实验报告的写作得到了很多同学的热情帮助。感谢在整个实验过程中给予我帮助的每一个同学，和曾经在各个方面给予过我帮助的伙伴们。在此，我再一次真诚地向帮助过我的老师和同学表示感谢！

18

本文来源：https://www.bwwdw.com/article/qbrg.html