木马程序一般_木马程序的使用

hacker|
224

木马程序怎麽用

你好

木马程序一般不在自己电脑上使用

如果是测试的话就装个虚拟系统或者安装影子

等等

木马有的自动运行

有双击运行的就向是打开程序一样

还有触发的

什么是木马程序?她是怎么发挥功能?

木马,全称特洛伊木马(Trojan horse),这个词语来源于古希腊神话,在计算机领域是一种客户/服务器程序,是黑客最常用的基于远程控制的工具。目前,比较有名的国产木马有:“冰河”、“广外女生”、“黑洞”、“黑冰”等;国外有名的木马则有:“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大,因此,如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。

1 木马的实现原理及特征

1.1 木马的实现原理

从本质上看,木马都是网络客户/服务模式,它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。

当攻击者要利用木马进行网络入侵,一般都要完成“向目标主机传播木马”,“启动和隐藏木马”,“建立连接”,“远程控制”等环节。

1.2 木马的特征

一个典型的木马程序通常具有以下四个特征:隐蔽性、欺骗性、顽固性和危害性。

(1)隐蔽性:隐蔽性是木马的生命力,也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面:

a.不产生图标。木马虽然在系统启动时会自动运行,但它不会在“任务栏”中产生一个图标。

b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。

(2)欺骗性:木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名,如dll、win、sys、explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常常修改几个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中而已。

(3)顽固性:很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。当木马被检查出来以后,仅仅删除木马程序是不行的,有的木马使用文件关联技术,当打开某种类型的文件时,这种木马又重新生成并运行。

(4)危害性:当木马被植入目标主机以后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码,控制系统的运行,进行有关文件的操作以及修改注册表等。

2 木马入侵手段

木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高,木马的入侵手段也随着发生了许多变化。

2.1木马的传统入侵手段

所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式,主要有以下几种:

1)电子邮件(E-mail)进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

2)网络下载进行传播:一般的木马服务端程序都不是很大,最大也不超过200K,有的甚至只有几K。如果把木马捆绑到其它正常文件上,是很难发现的。一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播:由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面,他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。

3)网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,Java Applet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。

4)利用系统的一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。

5)远程入侵进行传播:黑客通过破解密码和建立IPC$远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然后通过远程操作让木马程序在某一个时间运行。

2.2 木马入侵手段的发展

以上的木马入侵手段虽然使用广泛,但也很容易引起用户的警觉,所以一些新的入侵手段也相继出现,主要有:

1) 基于DLL和远程线程插入的木马植入

这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。

DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Load Library函数来加载木马DLL,从而实现木马的传播。

2)利用蠕虫病毒传播木马

以前的木马传播大都比较被动,而使用E-mail传播效率又太低,系统漏洞很快又被打上补丁,所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上大批量地进行传播、复制,这就加快了木马的传播速度,扩大了其传播范围。

3 木马的防范措施

为了减少或避免木马给主机以及网络带来危害,我们可以从两方面来有效地防范木马:使用防火墙阻止木马入侵以及及时查杀入侵后的木马。

防火墙是抵挡木马入侵的第一道门,也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是,仍然有一些木马可以绕过防火墙进入目标主机(比如反弹端口木马),还有一些将端口寄生在合法端口上的木马,防火墙对此也无能为力。因此,我们必须要能迅速地查杀出已经入侵的木马。

怎么使用木马

要把木马程序先下出来,在安装,用QQ或IP地阯攻袭别的电脑,如果你攻击的电脑没杀毒软件的话,特上什么号木马程序都会自动通过QQ发送给你的

怎么用木马?

木马和冰河的使用!【教程】

木马

大家对他的名字很熟悉吧??是啊木马作为一个远程控制的软件已经深入人心,木马是

什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这

个工具作一个简单的介绍:

黑客程序里的特洛伊木马有以下的特点:

(1)主程序有两个,一个是服务端,另一个是控制端。(如果你下载了,请千万不要

用鼠标双击服务器端)

(2)服务端需要在主机(被你控制的电脑)执行。

(3)一般特洛伊木马程序都是隐蔽的进程。(需要专业的软件来查杀,也有不用软件

查杀的办法,我会介绍)

(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在

接受命令后,会执行相应的任务。

(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)

眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病

毒的性质。(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是

一种使用简单但是危害比较大的软件)

木马的发展:

第一代木马:控制端 -- 连接 -- 服务端

特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。

典型木马:冰河,NetSpy,back orifice(简称:BO)等。

第二代木马:服务端 -- 连接 -- 控制端

特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态

连接库)隐藏进程的,甚至出现能传播的木马。

典型木马:网络神偷,广外女生等。(反弹端口型木马)

第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监

控(像金山,天网等)

随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半

病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你

打开这个文件,你就肯定会被中上木马,甚至可以在网络上通过下载来传播)所以查杀

木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软

件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在网络上进行升级

的并不多,所以木马还是很有使用空间的。下面,我们将介绍一款国产的木马-------

冰河。

需要工具:冰河(随便你找什么版本,因为界面根本就差不多)

Superscan3.0 中文汉化版(上黑白搜索一下可以找到)

首先最重要的一步-------工具接压缩(啊~~我知道是废话。。大家多多包涵嘛。。不

要打拉)

然后运行Superscan3.0(就是那连着的两个电脑图标)

出现界面在IP表里面有两个选项

起始IP:

终止IP:

随便填上两个IP地址(最好是C类IP范围从192.0.0.0--223.255.255.255)

顺便讲一下IP的类型:

A类范围:0.0.0.0---127.255.255.255

B类范围:128.0.0.0---191.255.255.255

C类范围:192.0.0.0---223.255.255.255

D类范围:224.0.0.0---239.255.255.255

E类范围:240.0.0.0---247.255.255.255

一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚,有兴趣的朋

友可以看看相关的资料。。。。。

闲话说到这里我们继续看起始IP和终止IP

我给大家一个参考

起始IP:202.103.139.1

终止IP:2020103.139.255

填好这个在扫描类型里看列表中定义:

你可以扫描很多的端口,但那对我们的木马攻击没有实际意义

所以我们把两个窗口填上7626(冰河服务端开的端口)。

好了,点开始。

扫描结果会出现在底下兰色的列表中

当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河

的主机。(假如没有找到,请不要灰心,继续扫描。一个成功的黑客最重要是有耐心

!)

好了打开我们的冰河的客户端(再次提醒!!千万不要点服务器端!!!否则你等于种

木马给自己!!什么??你已经点了??你不会那么傻吧。。。。)

具体功能包括:

1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕

变化的同时,监控端的一切键盘及鼠标*作将反映在被控端屏幕(局域网适用);

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对

话框中出现过的口令信息;

3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当

前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定

注册表等多项功能限制;

5.远程文件*作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏

览文本文件、远程打开文件(提供了四中不同的打开方式--正常方式、最大化、最小化

和隐藏方式)等多项文件*作功能;

6.注册表*作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表

*作功能;

7.发送信息:以四种常用图标向被控端发送简短信息;

8.点对点通讯:以聊天室形式同被控端进行在线交谈。

呵呵,是不是很拽??哼哼~~我叫你不服!!!我要删掉你C盘文件!!!修改你注册

表!!盗你QQ号码!!上网帐号!!

!………………………………………………………………

罗嗦一下!!你们千万不要搞破坏哦,学会了使用就好。。。

接着,我会介绍特洛伊木马“冰河”的使用:

首先打开客户端

出现*作界面

文件 编辑 设置 帮助

点文件出现下拉菜单

点自动搜索

出现提示框

里面只有起始域 起使地址 终止地址

这三个比较有用

比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25

那么我们就在起始域里输入:202.103.139

起始地址:25

终止地址:25

表示搜索这一个主机

如果扫描结果里显示ERR表示该计算机没有种木马,如果是OK你就爽拉~~

(你也可以在起始域里输入:202.103.139起始里面:1终止里面255,这样是搜索

202.103.139子网里所有的计算机)

看到这里有的朋友会问拉,既然木马可以自己扫描为什么还要上面哪个工具??嘿嘿~~

哪个比较快嘛,多学一点没有坏处的~~(啊~~我错了还不行??大家息怒)

只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个

小加号,点开他你可以随便对对方的文件进行修改删除了,你甚至可以上传一个病毒到

他的文件夹中(不推荐,你们没那么大仇吧??)

好了我们再来看看文件管理右面的命令控制台,这里有你感兴趣的东西哦~~命令很简单

都是一看就会的,你们只要每个都实验一下就知道作什么用的拉

由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”

简单的就象小孩子的游戏~~~

看看下面有什么??

远程关闭计算机

远程从新启动计算机

后面两个没什么用不理他也罢

你只要点一下远程“关闭计算机”

OK拉,他的电脑自己关机拉,不相信??好,QQ上和他说话,他能回答你才怪:)

好了,关于*作的方法我已经向大家介绍了,这是一个傻瓜式的软件,*作命令全中文,

作用一看就知道,很容易上手,用他来盗QQ也不错哦~~~~(在口令类命令的系统信息及

口令里,要先做键盘记录哦)具体方法请自己研究,我可不想犯罪。。

关于使用方法就介绍到这里,到这里以上为止都是对不特定人物的入侵,那么要怎么对

特定的人物进行入侵那??记得我不叫你们点的服务器端吗?呵呵,就是他,他是没有

图标的一个运行文件,可以夹带在几乎任何文件里运送,比如照片,FLASH等……(有

相关的合成软件,我不知道具体那里有下载,不过我有的,你们需要可以找我,不过不

要拿来作坏事)你只需要给你的网友用QQ传送个照片呀,一篇文章呀就可以顺利种上木

马,然后你要取得他(她)的IP地址就可以对他进行控制拉,这方法不是我教你们的啊

!!以后不要出卖我,还有电子邮件也可以传播。。。。。。。木马病毒。。

方法有很多大家可以自己研究。。。。。。

下面有几点提示:

1:为什么我解压缩的时候杀毒软件老是报有病毒呀??

木马本身就是一个病毒,只要你不点服务器端,对你不会造成任何影响

运行的时候也要关掉防火墙,否则系统无法运行。

2:为什么我种上木马以后连接不到计算机??

很简单,你的版本过旧拉,去下载新的版本吧,再者对方在网吧,由于

设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。

什么??你不知道他是不是在家??看QQ的IP地址

比如对方IP是202.103.139.22:4000表示在家

202.103.139.22:1030网吧

只有后面是4000、7000的用户是在家

有的时候是4001、4002表示对方现在运行的QQ数目,不用管他

3:关于冰河的万能密码:

2.2版:Can you speak chinese?

2.2版:05181977

3.0版:yzkzero

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq2000!

有的是要密码口令登陆的,不过一般不要,也不用刻意注意

4:我也种上服务器端了,对方也在家,他也并没发觉我给他种了,但就是连接不正常

呵呵,对方懂得使用代理服务器那你看到的IP地址不是真实的IP地址。这种情况,你还

是放弃吧。

5:冰河是一个很麻烦的家伙,卸载很麻烦就是你安装以后卸载和其他的程序不一样

网上相关文章很多,我由于最近考试关系就不一一介绍了,你可以去黑白网络看看:)

6:如果清除冰河服务端:

方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体

方法:

1、启动“冰河”的控制端程序。

2、选择“文件”--“添加主机”,或者直接点击快接按钮栏的第一个图标 。

3、弹出的对话框中,“远程主机”一项,填写自己的IP。

4、连接服务端,然后,点击“命令控制台”标签。

5、选择“控制类命令”--“系统控制”,在右面的窗口下方,你会发现四个按钮。点

击“自动卸载”,就将冰河的服务器端清除了。

方法二:

冰河 v1.1

1、打开注册表“Regedit.exe”。(可以在“开始”--“运行”里输入

“regedit”。)

2、点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3、查找以下的两个路径,并删除

“C:\windows\system\kernel32.exe”

"“C:\windows\system\sysexplr.exe”

4、关闭“Regedit.exe”,重新启动Windows。

5、删除“C:\windows\system\kernel32.exe”和

“C:\windows\system\sysexplr.exe”木马程序。

6:重新启动。完成。

方法一是对于你给别人种的服务器端的,记得玩完以后给人家清除掉,作事情不要那么

决情!!

方法二是对于清除自己计算机里的服务器端的,现在就好好看看是不是由于自己的疏忽

被人家种下冰河。。。。。。。。。

小结:对于木马的大家庭来说冰河只是一个小弟弟,但是大家也看到了他的危害性,所

以本人只建议大家学习这个软件,并不是用他去干什么,恶意破坏是低级黑客(根本可

以说是菜鸟)的做法,建议大家不要搞破坏,学习就好。。。。。。。。。。

什么是木马啊?怎么用啊

它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。

从木马的发展来看,基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。

所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。

鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,

0条大神的评论

发表评论