木马实验报告在word中插入木马

实验报告

课题在wo rd中插入木马系院计算机科学技术系

专业计算机网络技术

班级 10网1

学号 1023110518

姓名娄雪

指导老师王蒙蒙

目 录

1/21文档可自由编辑

引言· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·3

第一章什么是木马· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·3

1.1木马简介· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·3

1.1.1木马攻击原理· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·3

1.1.2木马的功能· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·3

1.2木马植入方式· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·4

1.2.1利用共享和Auto run文件· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·4

1.2.2把木马转换为BMP格式· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·5

1.2.3利用错误的MI ME头漏洞· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·5

1.2.4在wo rd中加入木马文件· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·6

1.2.5通过Sc rip t、Ac tive及AS P、 CGI交互脚本的方式植入· · · · · · · · ·6

1.3木马常见的四大伪装欺骗行为· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·6

1.3.1以Z—file伪装加密程序· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·6

1.3.2将木马包装为图片文件· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·7

1.3.3合并程序欺骗· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·7

1.3.4伪装成应用程序扩展组件· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·8

第二章利用office系列挂马工具全套在word中插入木马·····················8

2.1office系列挂马工具全套的工作原理· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·8

2.2在wo rd中插入木马的过程· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·9

2.3带有木马的wo rd的危害· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·15

第三章木马的防范措施··········································································16

2.1 如 何 防 御 木 马 病

2/21文档可自由编辑

毒· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·16

3.2 如 何 删 除 木 马 病毒· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·16

结论·········································································································17

参考文献··································································································18

谢辞·········································································································18

附录·············································································································

3/21文档可自由编辑

引言

伴随着Wind o ws操作系统核心技术的日益成熟 “木马植入技术”也得到发展使得潜入到系统的木马越来越隐蔽对网络安全的危害性将越来越大。所以全面了解木马植入的方法和技术有助于采取有力的应对措施同时也有助于促进信息对抗技术的发展。本实验来了解木马和木马植入技术学习几种在Winnd o ws下向o ffic e中植入木马的技术。

第一章什么是木马

1.1木马简介

木马Troj an这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。

1.1.1木马攻击原理

木马是一种基于远程控制的黑客工具具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现会采用多种手段隐藏木马这样服务端即使发现感染了木马 由于不能确定具体位置往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后控制端将享有服务端的大部分不能操作权限包括修改文件修改注册表控制鼠标、键盘等等而这些权利并不是服务端赋予的而是通过木马程序窃取的。

从木马的发展来看基本上可以分为两个阶段

最初网络还处于一UNIX平台为主的时期木马就产生了 当时的木马程序的功能相对简单往往是将一段程序嵌入到系统文件中用跳转指令来执行一些木马的功能在这个时期木马的设计者和使用者大都是些技术人员必须具备相当的网络和编程知识。

而后随着Wind o ws平台的日益普及一些基于操作的木马程序就出现了用户界面的改善使使用者不用动太多的专业知识就可以熟练地操作木马相对的木马入侵事件也频繁出现而且由于这个时期

4/21文档可自由编辑

木马的功能已日趋完善 因此对服务端的破坏也更大了。

1.1.2木马的功能

木马和病毒都是一种人为的程序都属于电脑病毒但他们也有区别木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码、数据等如盗窃管理员密码、子网密码搞破坏或者偷窃上网密码用于他用游戏账号、股票账号甚至网上银行账户等。达到偷窥别人隐私和得到经济利益的目的。所以木马的作用比早期的电脑病毒更加有用能够直接到达使用者的目的。导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序这就是目前网上大量木马泛滥成灾的原因。鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样所以木马虽然属于病毒中的一类但是要单独的从病毒类型中间剥离出来。独立的称之为“木马”程序。

“木马”程序是目前比较流行的病毒文件与一般的病毒不同它不会自我繁殖也并不“刻意”的去感染其他文件他通过将自身伪装吸引用户下载使施种者可以任意毁坏、窃取被施种者的文件甚至远程操控被施种者的电脑。

一个完整的“木马”程序包含了两部分 “服务器”和“控制器”。植入被施种者电脑的是“服务器”部分而所谓的“黑客”正是利用

“控制器”进入了“服务器”的电脑。运行了木马程序的“服务器”以后被种者的电脑就会有一个或几个的端口被打开是黑客可以利用这些打开的端口进入电脑系统安全和个人隐私也就全无保障了。

1.2木马植入方式

木马是大家网上安全的一大隐患说是大家心中永远的痛也不为过。对于木马采用敬而远之的态度并不是最好的方法我们必须更多地了解其“习性”和特点只有这样才能做到“知己知彼百战不殆”随着时间的推移木马的植入方式也悄悄地发生了一定的变化较之以往更加的隐蔽对大家的威胁也更大以下是笔者总结的五种最新的木马植入方式 以便大家及时防范。

1.1.1利用共享和Auto run文件

为了学习和工作方便有许多学校或公司的局域网中会将硬盘共

5/21文档可自由编辑

享出来。更有甚者竟将某些硬盘共享设为可写这样非常危险别人可以借此给您下木马利用木马程序结合Auto run.inf文件就可以了。方法是把Auto run.inf和配置好的木马服务端一起复制到对方D 盘的根目录下这样不需对方运行木马服务端程序只需他双击共享的磁盘图标就会使木马运行这样作对下木马的人来说的好处显而易见那就是大大增加了木马运行的主动性许多人在别人给他发来可执行文件时会非常警惕不熟悉的文件他们轻易不会运行而这种方法就很难防范了。

下面就简单说一下原理。大家知道将光盘插入光驱会自动运行这是因为在光盘根目录下有个Auto run.inf文件该文件可以决定是否自动运行其中的程序。同样如果硬盘的根目录下存在该文件硬盘也就具有了Auto Run功能 即自动运行Auto run.inf文件中的内容。

把木马文件.exe文件以及Autorun.inf放在磁盘根目录这里假设对方的D盘共享出来且可写对于给您下木马的人来说他还会修改Auto run.inf文件的属性将该文件隐藏起来。这样当有人双击这个盘符程序就运行了。这一招对于经常双击盘符进入“我的电脑”的人威胁最大。更进一步利用一个.REG文件和Autorun.inf结合还可以让你所有的硬盘都共享出去

1.2.2把木马文件转换为BMP格式

这是一种相对比较新颖的方式把EXE转化成为BMP来欺骗大家。其原理是 BMP文件的文件头有54个字节包括长度、位数、文件大小、数据区长度。只要在EXE的文件头上加上这54个字节IE就会把该EXE文件当成BMP图片下载下来。由于这样做出的图片是花的为防止我们看出来下木马者会在其网页中加入如下代码 把这样的标签加到网页里就看不见图片了因此我们就无法发现这个“图片”不对劲。

在用IE浏览后 IE会把图片自动下载到IE临时目录中而下木马者只需用一个JavaS cript文件在我们的硬盘中写一个VB S文件并在注册表添加启动项利用那个VB S找到BMP调用d eb ug来还原EXE最后运行程序完成木马植入无声无息非常隐蔽。

6/21文档可自由编辑

1.2.3利用错误的MIME头漏洞

其实这一招并不神秘危害却很大。错误的MIME头漏洞是个老漏洞了但对于没有打补丁的用户威胁非常大去年流行的许多病毒都是利用了该漏洞如尼姆达病毒和笑哈哈病毒都是如此。这类病毒一旦和错误MIME头漏洞结合起来根本不需要您执行只要您收了含有病毒的邮件并预览了它就会中招。同样的道理攻击者通过创建一封HT ML格式的E-ma i l也可以使未打补丁的用户中木马Internet Exp lorer 5.0、 5.01、 5.5均存在该漏洞我们常用的微软邮件客户端软件Outlook Express 5.5 SP1以下版本也存在此漏洞。

给您下木马的人会制作一封特定格式的E-ma i l其附件为可执行文件就是木马服务端程序通过修改MIME头使IE不能正确处理这个MIME所指定的可执行文件附件。 由于IE和O E存在的这个漏洞当攻击者更改MI ME类型后 I E会不提示用户而直接运行该附件从而导致木马程序直接被执行

对于这种植入方式只要给系统打上补丁就可以防范有人利用这种方式来攻击。微软公司为该漏洞提供了一个补丁下载地址http://www.micro soft.com/windows/ie/download/critical/Q290108/defaul t.asp。

1.2.4在Word文档中加入木马文件

这是最近才流行起来的一种方法 比较奇特。这种植入木马的方法就是新建一个DOC文件然后利用VBA写一段特定的代码把文档保存为newd oc.do c然后把木马程序与这个DO C文件放在同一个目录下运行如下命令 copy/b xxxx.doc+xxxxx.exe newdoc.doc把这两个文件合并在一起在Word文档末尾加入木马文件只要别人点击这个所谓的Word文件就会中木马

不过 以上方法能得以实现的前提是你的Word 2000安全度为最低 的 时 候 才 行  即 HKEY_C URRENT_US ER S o ftwareMicro s o ftOffic e9.0WordS ecurity中的Leve l值必须是1或者0。大家知道 当Level值为3的时候代表安全度为高Word不会运行任何宏Level值为2时(安全度中)Word会询问是否运行宏Leve l

7/21文档可自由编辑

值为1的时候(安全度低)Word就会自动运行所有的宏聪明的您一定想到如果这个值为0的时候会怎么样哈如果设为0的话Wo rd 就会显示安全度为高但却能自动运行任何的宏是不是很恐怖啊要想把Word的安全度在注册表中的值改为0方法非常多利用网页恶意代码修改浏览者的注册表就可以。我想这方面大家都有很多经验就不多说了。对于这种欺骗方式最重要的是小心防范陌生人的附件千万不要收看网上的链接也不要随意点击如要点击请确认是否为.DOC文件如是则一定不要直接点击查看

1.2.5通过Sc ript、 Ac tiveX及ASP、 C GI交互脚本的方式植入

由于微软的浏览器在执行S c rip t脚本上存在一些漏洞攻击者可以利用这些漏洞传播病毒和木马甚至直接对浏览者电脑进行文件操作等控制前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HT ML页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面他可以通过编制CGI 程序在攻击主机上执行木马。

1.3木马的常见四大伪装欺骗行为

1.3.1以Z-file伪装加密程序

Z-file伪装加密软件经过将文件压缩加密之后再以bmp图像文件格式显示出来(扩展名是bmp执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据用以就算计算机被入侵或被非法使使用时也不容易泄漏你的机密数据所在。不过如果到了黑客手中却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合并再用Z-file加密及将此“混合体”发给受害者 由于看上去是图像文件受害者往往都不以为然打开后又只是一般的图片最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马和病毒。当打消了受害者警惕性后再让他用WinZip解压缩及执行“伪装体(比方说还有一份小礼物要送给他)这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)只要事先已经发出了“混合体则可以直接用Winzip对其进行解压及安装。由于上门维修是赤着手使用其电脑受害者根本不会怀

8/21文档可自由编辑

疑有什么植入他的计算机中而且时间并不长 30秒时间已经足够。就算是“明晃晃”地在受害者面前操作他也不见得会看出这一双黑手正在干什么。特别值得一提的是 由于“混合体”可以躲过反病毒程序的检测如果其中内含的是一触即发的病毒那么一经结开压缩后果将是不堪设想。

1.3.2将木马包装为图像文件

首先黑客最常使用骗别人执行木马的方法就是将特洛伊木马说成为图像文件比如说是照片等应该说这是一个最不合逻辑的方法但却是最多人中招的方法有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如s am.exe )为“类似”图像文件的名称再假装传送照片给受害者受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe而木马程序的扩展名基本上又必定是exe 明眼人一看就会知道有问题多数人在接收时一看见是exe文件便不会接收了那有什么方法呢?其实方法很简单他只要把文件名改变例如把“s am.exe”更改为“s am.jp g” 那么在传送时对方只会看见s am.jp g了而到达对方电脑时因为wind o ws默认值是不显示扩展名的所以很多人都不会注意到扩展名这个问题而恰好你的计算机又是设定为隐藏扩展名的话那么你看到的只是s am.jp g了受骗也就在所难免了!

还有一个问题就是木马本身是没有图标的而在电脑中它会显示一个wind o ws预设的图标别人一看便会知道了!但入侵者还是有办法的这就是给文件换个“马甲”即用IconForge等图标文件修改文件图标这样木马就被包装成jp g或其他图片格式的木马了很多人会不经意间执行了它。

1.3.3合并程序欺骗

通常有经验的用户是不会将图像文件和可执行文件混淆的所以很多入侵者一不做二不休干脆将木马程序说成是应用程序反正都是以exe作为扩展名的。然后再变着花样欺骗受害者例如说成是新出炉的游戏无所不能的黑客程序等等 目地是让受害者立刻执行

9/21文档可自由编辑