系統安全

系統安全系統安全特洛伊木馬特洛伊木馬

資工三丙 資工三丙 江偉獻江偉獻林承漢林承漢

簡介簡介 1.1. 木馬的基本工作原理木馬的基本工作原理 2.2. 木馬是如何啟動的呢木馬是如何啟動的呢 ?? 3.3. 木馬的運行木馬的運行 4.4. 木馬的種類木馬的種類 5.5. 自己查殺木馬的簡易方法自己查殺木馬的簡易方法

木馬基本工作原理木馬基本工作原理

木馬程式其實就是一個木馬程式其實就是一個 Client/ ServerClient/ Server程式程式

利用一些欺騙的手法讓受害者執行利用一些欺騙的手法讓受害者執行 SerServerver 程式程式

攻擊者即可透過攻擊者即可透過 ClientClient 程式連線到受程式連線到受害者電腦害者電腦

木馬是如何啟動的呢木馬是如何啟動的呢 ??

通常欺騙使用者啟動的手法：通常欺騙使用者啟動的手法： 1.1. 修改圖示 修改圖示 2.2. 郵件附件下載郵件附件下載 3.3. 軟體下載軟體下載 4.4. 假裝更新檔假裝更新檔 5.Windows5.Windows 系統漏洞系統漏洞

木馬是如何啟動的呢木馬是如何啟動的呢 ??

當木馬第一次啟動後，之後就會自動啟動，當木馬第一次啟動後，之後就會自動啟動，不會因為你的一次關機而失去作用。不會因為你的一次關機而失去作用。

普遍的方法是通過修改普遍的方法是通過修改 WindowsWindows 系統檔和系統檔和註冊表達到自動啟動：註冊表達到自動啟動：

1.1. 在在 Win.iniWin.ini 中啟動中啟動 在 在 Win.iniWin.ini 的的 [windows][windows] 欄位中有啟動命欄位中有啟動命令令 "load"load ＝＝ "" 和和 "run"run ＝＝ "" ，在一般情況下，在一般情況下 "" ＝＝ "" 後面是空白的，如果有後跟程式，後面是空白的，如果有後跟程式，比方說是這個樣子：比方說是這個樣子：

　　　　 run=c:\windows\file.exe run=c:\windows\file.exe 　　　　 load=c:\windows\file.exeload=c:\windows\file.exe

file.exe file.exe 很可能就是木馬很可能就是木馬

2.2. 在在 System.iniSystem.ini 中啟動中啟動

　　　　 System.iniSystem.ini 位於位於 WindowsWindows 的安裝目錄的安裝目錄下，其下，其 [boot][boot] 欄位的欄位的 shell=Explorer.exeshell=Explorer.exe 是是木馬喜歡的隱藏載入之所，木馬通常的做木馬喜歡的隱藏載入之所，木馬通常的做法是將該何變為這樣法是將該何變為這樣 :shell=Explorer.exefile.:shell=Explorer.exefile.exeexe 。注意這裏的。注意這裏的 file.exefile.exe 就是木馬服務端就是木馬服務端程式程式 !!

3.3. 利用註冊表載入運行 利用註冊表載入運行 大部分木馬都載入註冊表大部分木馬都載入註冊表 ::

HKEY_LOCAL_MACHINE\Software\HKEY_LOCAL_MACHINE\Software\MicrosoftMicrosoft\Windows\CurrentVersion\Run\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\MicrHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices osoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunWindows\CurrentVersion\Run

HKEY_USERS\.Default\Software\Microsoft\WiHKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Runndows\CurrentVersion\Run

打開 打開 HKEY_CLASSES_ROOT\txtfile\shell\opHKEY_CLASSES_ROOT\txtfile\shell\open\commanden\command 下的鍵值 下的鍵值

將“將“ C :\WINDOWS \NOTEPAD.EXE %1”C :\WINDOWS \NOTEPAD.EXE %1” 改改為“為“ C:\WINDOWS\SYSTEM\SYSEXPLR.EC:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”XE %1” ，這時你雙擊一個，這時你雙擊一個 TXTTXT 檔後，原檔後，原本應用本應用 NOTEPADNOTEPAD 打開檔的，現在卻變成打開檔的，現在卻變成啟動木馬程式了。還要說明的是不光是啟動木馬程式了。還要說明的是不光是 TXTXTT 檔，通過修改檔，通過修改 HTMLHTML ，， EXEEXE ，， ZIPZIP 等檔等檔的啟動命令的鍵值都可以啟動木馬，不同的啟動命令的鍵值都可以啟動木馬，不同之處只在於“檔類型”這個主鍵的差別，之處只在於“檔類型”這個主鍵的差別， TTXTXT 是是 txtfiletxtfile ，， ZIPZIP 是是 WINZIPWINZIP ，大家可以，大家可以試著去找一下。 試著去找一下。

4.4. 木馬與系統程式綁在一起木馬與系統程式綁在一起 比如常用到的比如常用到的 Explorer.exeExplorer.exe ，只要，只要 Explorer.Explorer.

exeexe 一運行，木馬也就啟動了。這種木馬可一運行，木馬也就啟動了。這種木馬可以感染可執行檔案，有點像病毒了。由手以感染可執行檔案，有點像病毒了。由手工删除檔案的方法處理木馬後，一執行工删除檔案的方法處理木馬後，一執行 ExpExplorer.exelorer.exe ，木馬又得以重生！這時要删除木，木馬又得以重生！這時要删除木馬就得連馬就得連 Explorer.exeExplorer.exe 檔案也給删除掉，再檔案也給删除掉，再跟别人相同作業系统版本的電腦中將該文跟别人相同作業系统版本的電腦中將該文件件 CopyCopy 過來就可以了。 過來就可以了。

5.5. 修改虛擬設備驅動程式修改虛擬設備驅動程式 (VXD)(VXD) 或修改動態 或修改動態 連結檔 連結檔 (DLL)(DLL) 來載入木馬。來載入木馬。

木馬會將修改後的木馬會將修改後的 DLLDLL 替換系統已知的替換系統已知的 DLLDLL ，，並對所有的函數調用進行過濾。對於常用的調用，並對所有的函數調用進行過濾。對於常用的調用，使用函數轉發器直接轉發給被替換的系統使用函數轉發器直接轉發給被替換的系統 DLLDLL ，，對於一些相應的操作。實際上。這樣的事先約定對於一些相應的操作。實際上。這樣的事先約定好的特種情況，好的特種情況， DLLDLL 會執行一般只是使用會執行一般只是使用 DLLDLL進行監聽，一旦發現控制端的請求就啟動自身，進行監聽，一旦發現控制端的請求就啟動自身，綁在一個進程上進行正常的木馬操作。這樣做的綁在一個進程上進行正常的木馬操作。這樣做的好處是沒有增加新的檔，不需要打開新的埠，沒好處是沒有增加新的檔，不需要打開新的埠，沒有新的有新的 ProcessProcess ，使用常規的方法監測不到它。 ，使用常規的方法監測不到它。

木馬的運行木馬的運行 一般來說，木馬都有一個資訊回饋機制。一般來說，木馬都有一個資訊回饋機制。

所謂資訊回饋機制是指木馬成功安裝後會所謂資訊回饋機制是指木馬成功安裝後會收集一些服務端的軟硬體資訊，並通過收集一些服務端的軟硬體資訊，並通過 E-E-MAILMAIL ，， IRCIRC 或或 ICOICO 的方式告知控制端用的方式告知控制端用戶。戶。

傳送受害者的傳送受害者的 IP Address IP Address 開啟的開啟的 portport

使控制端可以連線至受害者使控制端可以連線至受害者

木馬連接建立後，控制端埠和木馬埠之間木馬連接建立後，控制端埠和木馬埠之間將會出現一條通道。將會出現一條通道。

控制端上的控制端程式可藉這條通道與服控制端上的控制端程式可藉這條通道與服務端上的木馬程式取得聯繫，並通過木馬務端上的木馬程式取得聯繫，並通過木馬程式對服務端進行遠端控制。下面我們就程式對服務端進行遠端控制。下面我們就介紹一下控制端具體能享有哪些控制許可介紹一下控制端具體能享有哪些控制許可權，這遠比你想像的要大。 權，這遠比你想像的要大。

(1)(1) 竊取密碼：竊取密碼： 很多木馬還提供有擊鍵記錄功能，它將會很多木馬還提供有擊鍵記錄功能，它將會記錄服務端每次敲擊鍵盤的動作，所以一記錄服務端每次敲擊鍵盤的動作，所以一旦有木馬入侵， 密碼將很容易被竊取 旦有木馬入侵， 密碼將很容易被竊取

(2)(2) 檔案操作：檔案操作： 基本涵蓋了基本涵蓋了 WINDOWSWINDOWS 平臺上所有的檔案平臺上所有的檔案

操作功能操作功能

(3)(3) 修改註冊表：修改註冊表：控制端可任意修改服務端控制端可任意修改服務端註冊表，包括刪除，新建或修改主鍵，子註冊表，包括刪除，新建或修改主鍵，子鍵，鍵值 鍵，鍵值

(4)(4) 系統操作：系統操作：包括重啟或關閉服務端作業系統，斷開服包括重啟或關閉服務端作業系統，斷開服務端網路連接，控制服務端的滑鼠，鍵盤，務端網路連接，控制服務端的滑鼠，鍵盤，監視服務端桌面操作，查看服務端行程等監視服務端桌面操作，查看服務端行程等

木馬的種類木馬的種類1.1. 破壞型破壞型 2.2. 密碼發送型密碼發送型 3.3. 遠端存取型遠端存取型 4.4. 鍵盤記錄木馬鍵盤記錄木馬 5. 5. DoSDoS 攻擊木馬攻擊木馬 6.6. 代理木馬代理木馬

自己查殺木馬自己查殺木馬 利用利用 msconfigmsconfig 工具檢查工具檢查 System.ini System.ini 檔案檔案

利用利用 msconfigmsconfig 工具檢查工具檢查 win.iniwin.ini 檔案檔案

利用利用 msconfigmsconfig 工具檢查”啟動項目”工具檢查”啟動項目”

自己查殺木馬自己查殺木馬 利用利用 regeditregedit 工具查看註冊表工具查看註冊表

利用利用 PIDPID查殺木馬的小方法查殺木馬的小方法((適用於明顯的木馬程式適用於明顯的木馬程式 ))

1.1. 在工作管理員發現一個很佔用資源的程式在工作管理員發現一個很佔用資源的程式 2.2.選擇 檢視選擇 檢視 ->-> 欄位 把欄位 把 PIDPID 的值秀出來的值秀出來

3.3. 使用命令提示字元 使用命令提示字元 netstat –ano –p tcpnetstat –ano –p tcp4. 4. 尋找是否有相同尋找是否有相同 PIDPID 的程式在進行網路活動的程式在進行網路活動

使用防毒軟體除木馬使用防毒軟體除木馬 1.1. 掃毒掃毒 ::

特洛伊木馬移除軟體特洛伊木馬移除軟體 : : Trojan RemoverTrojan Remover

免費惡意程式移除軟體免費惡意程式移除軟體 : : SpybotSpybot-S&D-S&D

免費的線上掃毒免費的線上掃毒 2.2. 清除掃毒軟體無法刪除的病毒檔 清除掃毒軟體無法刪除的病毒檔 ::

移除被鎖定的檔案移除被鎖定的檔案 : : UnlockerUnlocker