病毒实验四木马病毒实验

### 知识点详解 #### 一、木马程序的基础概念 木马程序是一种恶意软件，通常被设计成看似合法的程序，但实际上是为了在未经授权的情况下访问用户的计算机或网络。它们通常通过伪装成有用的软件来欺骗用户下载安装。一旦安装，木马程序可以执行多种恶意活动，包括窃取数据、发送垃圾邮件、破坏文件等。 #### 二、木马程序的结构与传播方法 **结构** - **服务端**: 被安装在受害者计算机上的部分，负责接收攻击者发送的指令。 - **客户端(控制端)**: 攻击者使用的程序，用于向服务端发送指令并控制受害者的计算机。 **传播方法** - **网页传播**: 通过恶意网页或包含木马链接的电子邮件诱导用户下载并执行。 - **社交媒体**: 通过社交媒体平台分享含有木马的链接或文件。 - **U盘**: 利用移动存储设备如USB闪存驱动器传播木马。 - **P2P网络**: 通过点对点文件共享网络传播。 #### 三、木马程序的安装与自启动机制 **安装机制** - **直接执行**: 用户直接运行包含木马的程序。 - **隐蔽安装**: 通过捆绑在正常软件中，让用户在不知情的情况下安装。 **自启动机制** - **注册表启动项**: 修改注册表中的`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`或`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`键值，使得木马程序随系统启动而自动运行。 - **系统配置文件**: 修改`Win.ini`、`System.ini`等系统配置文件，加入木马程序路径，使其在系统启动时加载。 - **服务**: 创建新的系统服务来保证木马程序持续运行。 #### 四、实验操作步骤详解 1. **木马程序示例的运行与通信** - **服务端程序**: `SockListener.exe`被部署在计算机A上，负责监听来自控制端的指令。 - **控制端程序**: `SockCommander.exe`被部署在计算机B上，用于向服务端发送指令。 - **通信过程**: 在计算机B上运行`SockCommander.exe`，输入计算机A的IP地址进行连接，实现远程控制。 2. **木马程序通过网页传播、设置自启动的方法示例** - **网页传播**: 设计一个网页，提供木马程序的下载链接，并通过注册表设置自动运行。 - **Web服务器**: 配置一台Web服务器，作为传播木马的载体。 - **联机测试**: 使用控制端程序与安装了木马的机器建立连接。 3. **发现和杀除木马的一般方法** - **查看注册表**: 检查`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion`和`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion`下的所有以“Run”开头的键值名是否有可疑文件名。 - **检查系统配置文件**: 审核`Win.ini`、`System.ini`、`Autoexec.bat`、`Winstart.bat`等文件，寻找异常条目。 - **查看端口与进程**: 使用`netstat -an`命令查看活跃的端口和进程，使用`Fport`等工具进一步分析。 - **查看运行的服务**: 使用`net start`命令列出当前运行的服务，查找异常服务。 - **检查系统账户**: 查看是否有未授权或异常账户存在。 4. **第三方工具及方法** - **进程/内存模块查看器**: 如PSAPI、PDH和ToolHelperAPI等工具可以帮助监控系统中的进程和内存模块。 - **端口扫描工具**: 如`Fport`可以关联端口和进程，识别异常端口使用情况。 - **嗅探器**: 用于检测网络流量中的异常行为，帮助发现潜在的木马活动。 通过这些实验步骤的学习和实践，不仅可以深入了解木马病毒的工作原理，还能掌握基本的木马查杀技巧，提高网络安全意识。