《毕业设计(论文)灰鸽子的入侵与防御研究.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)灰鸽子的入侵与防御研究.doc(25页珍藏版)》请在三一办公上搜索。
1、渭南师范学院本科毕业设计 题 目: 灰鸽子的入侵与防御研究 专 业: 计算机科学与技术 _ 系 班:_ 计算机科学系08级专升本班_ 毕业年份: 2010年 _姓 名: _ _ 学 号: _ _ 指导教师: _ _ 职 称: 高级工程师 _ 目 录本科毕业论文任务书 1本科毕业论文开题报告 3本科毕业论文登记表 5毕业论文正文文稿 7毕业论文答辩记录 23毕业论文(设计)任务书论文(设计)题目灰鸽子的入侵与防御研究学生姓名刘 超 系、专业、班级计算机科学系计算机科学2008级专升本班毕业年份2010年学 号081021023指导教师李德水职 称高级工程师一、 文献查阅指引1、查阅的教材与专著(
2、1)查阅有关网络安全方面的书籍,如电子工业出版社张奎婷、单蓉胜、罗诗尧编著的信息安全之个人维护等;(2)查阅有关木马的资料,如电脑报等(3)查阅有关灰鸽子软件的资料,如黑客防线等2、查阅的学术论文查阅有关网络安全的学术论文,如: 赵立计算机网络安全服务器入侵与防御. 计算机网络安全, 2009.12.05.3、查阅的相关网站中国(CNKI)学术文献总库等相关网站. 灰鸽子相关网站二、内容要求、查阅网络安全方面资料了解木马的相关内容.、学习灰鸽子的相关知识。、对灰鸽子木马的知识系统的了解与掌握。、论文中的理论依据应充分有力,论证严密,逻辑推理性强.三、进度安排1、2009年7月1日,召开小组会,
3、安排毕业设计(论文)工作。2. 2009年7月5日下达任务书。3. 2009年7月6日- - 9月1日,结合自己的专业特长,完成选题。4. 2009年9月2日- -12月1日,开始查阅、收集、研读资料,完成开题报告52009年12月2日至2010年3月7日,熟悉开发环境、掌握开发工具(完成论文概要)。6. 2009年3月8至4月18日,完成毕业设计(论文初稿)。7. 2009年4月19日- -2009年4月25日,完成设计文档,论文二稿。8. 2009年4月26日- - 5月9日,论文评阅及答辩审查。9. 2009年5月10日5月15日论文答辩、论文成绩评定四、起止日期 2009年 12月2
4、日至2010 年 5月 15日指导教师(签名) 教研室主任(签名) 系主管主任(签名) 2010年12月15 日渭南师范学院本科毕业论文(设计)开题报告论文(设计)题目灰鸽子的入侵与防御研究学生姓名刘 超系、专业、班级计算机科学系计算机科学2008级专升本班毕业年份2010年学 号081021023指导教师李德水职 称高级工程师一、拟开展研究的价值、意义随着人们生活水平的逐渐提升,网络已成为人们生活中必不可少的一个部分,但是网络的安全问题让人们不得不担忧。尤其是近几年,网络业务越来越多,许许多多的人采用了网络的方式来处理自己的日常生活事务,电子银行、网上购物已成为人们处理事务的常事了。但由于一
5、些不法分子企图通过网络的方式来谋取非法的利益,尤其是一些敏感领域及一些数额较大的交易,更是成为了不法分子攻击的目标,给广大的网络用户带来了巨大的安全威胁,并造成了许多难以估计的损失。通过对木马的工作原理的阐述及常见木马灰鸽子的分析,针对灰鸽子远程控制的实现原理及消除办法进行探讨,对木马隐藏和启动的实现原理进行分析,揭示木马的工作机制,并提出相关的解决办法,给出木马的防治策略。提示人们要时刻注意网络安全,保证自身利益不要受到侵害,对广大网络用户具有非常重要的意义。二、研究步骤、方法及措施1、 查找与木马的入侵与防御方面有关的资料,初步确定论文题目;2、 学习灰鸽子软件的知识;3、 对论文进行初步
6、理论分析后对常见木马灰鸽子软件分析研究,运用所学知识进行演示; 4、 总结长期学习所得,参考大量资料,整理、归纳,写出论文;5、 修改、完成论文三、论文拟定提纲1 引言 2 木马的基础知识3 木马的工作原理4 灰鸽子的工作原理4.1灰鸽子简介4.2 灰鸽子工作原理5 灰鸽子上线的实现6 灰鸽子远程控制的实现7 灰鸽子的传播途径及危害7.1 灰鸽子传播的四大途径7.2 灰鸽子的危害8 灰鸽子的防御9 总 结四、主要参考文献1 魏宝琛,姜明.矛与盾远程攻击与防御M. 北京:人民邮电出版社, 20032 温銘婧. 手把手教您清楚防范灰鸽子EB. 8625-4f5f-a148-b08481c684a4
7、/lunwen.pdf3 数字时代工作室.个人用网安全与黑客防范技术M. 北京:人民邮电出版社,20014 求是科技 董玉格,金海,赵振.攻击与防护M. 北京:人民邮电出版社,20025 雷渭侣.计算机网络安全技术与应用M. 北京: 清华大学出版社,2010指导教师意见: 指导教师签字: 2010年3 月10 日系主管主任意见: 系主管主任签字: 2010年3月12日注:开题报告是在导师的指导下,由学生填写。渭南师范学院本科毕业论文(设计)登记表论文(设计)题目 灰鸽子的入侵与防御研究学生姓名刘 超系、专业、班级计算机科学系计算机科学2008级专升本班毕业年份2010年学 号081021023
8、指导教师李德水职 称高级工程师一、论文摘要(中文)黑客和病毒是计算机网络安全普遍的威胁,其中尤以木马病毒最为典型。它的危害在于赤裸裸的偷偷监视别人和盗窃别人的密码、数据等,对于网络用户而言,这是一个巨大的安全威胁。灰鸽子是一款国内著名的后门。文章就灰鸽子远程控制的实现原理及消除办法进行探讨,对木马隐藏和启动的实现原理进行分析,揭示木马的工作机制,并提出相关的解决办法,给出木马的防治策略。提示人们要时刻注意网络安全,保证自身利益不要受到侵害。二、论文摘要(英文)The hacker and the virus are universal threat to the computer networ
9、k safe, especially Trojan. It is dangerous that it can keep watch over others secretly and steal others password, the data and so on, For the network user,it is a huge security threat. Win32.hack.huigezi is a famous domestic back door.The realization principle and elimination measure of the remote c
10、ontrol are studied in the article. This text analyses the realization principle about the hideaway and start of the Trojan.The article reveals the working mechanism of the Trojan. Some sulutions about preventing and controlling the Trojan are proposed. The article alerts people to pay attention to t
11、he computer network security, and ensuring the interests of people are not infringed. 三、成绩评定指导教师评语:刘超同学承担”灰鸽子的入侵与防御研究”本科毕业生学士论文课题,在认真调研的基础上了解木马的基本工作原理。特别对灰鸽子的入侵与防御进行了较为深入的的分析和研究。该生在毕业论文中,工作认真,翻阅学习了大量关于网络安全及灰鸽子入侵与防御方面的资料,借鉴他人科学研究成果,提出了相关的灰鸽子入侵与防御措施,较好地完成了论文任务。论文编写符合规范,符号统一,图表完备,论文分析比较透彻,条理清楚,文字准确,各种文
12、档齐全。同意该生按时参加毕业设计论文答辩。 指导教师签字: 2010年4月25 日评阅人评语:该论文查阅文献比较广泛,论文作者有一定的综合,归纳资料的能力,论文论述较 为充分,结论合理可行,格式符合要求,论文基本上达到了本科生毕业水平,建议答辩。 评阅人签字: 2010年5月7日答辩小组评语: 该生在论文答辩过程中,阐述报告基本上能够做到思路清晰,语言表达准确,概念较为清晰、论点正确;报告时间恰当;对主要问题的回答概念基本清楚;问题回答基本准确.论文结果有一定的实用价值。成 绩(分数)86答辩小组组长签字: 2010 年5月15日答辩委员会审核意见:答辩委员会主席签字: 2010年5月18日灰
13、鸽子的入侵与防御研究刘超(渭南师范学院 计算机科学系08级专升本班)摘 要:黑客和病毒是计算机网络安全普遍的威胁,其中尤以木马病毒最为典型。它的危害在于赤裸裸的偷偷监视别人和盗窃别人的密码、数据等,对于网络用户而言,这是一个巨大的安全威胁。灰鸽子是一款著名后门,是国内后门的集大成者。文章就灰鸽子远程控制的实现原理及消除办法进行探讨,对木马隐藏和启动的实现原理进行分析,揭示木马的工作机制,并提出相关的解决办法,给出木马的防治策略。提示人们要时刻注意网络安全,保证自身利益不要受到侵害。关键词:灰鸽子木马;木马的隐藏;木马的服务端;木马的客户端;远程控制1 引言 自古到今,安全是人们最关心的问题,古
14、人为了安全修建城墙,修筑长城抵制外敌,今天的人们所关心的安全不仅仅是人身和物质上的安全,又出现了一个新的领域计算机安全.黑客和计算机病毒是计算机网络安全最为普遍的威胁。特洛伊木马就是这样的一种病毒。特洛伊木马”(trojan horse)简称“木马”,据说这个名称来源于希腊神话木马屠城记。大约在公元前12世纪,古希腊大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,将“木马”作为奇异的战利品拖入城内。到午夜时分,匿于木马中的将士开启城门,城外伏兵涌入,焚屠特洛伊城。后世称这只
15、大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。特洛伊木马没有自我复制能力,但它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。而完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑,为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。文章就灰鸽子远程控制的实现原理及消除办法进行探讨,对木马隐藏和启动的实现原理进行分析,揭示木马的工作机制,并提出相关的解决办法,
16、给出木马的防治策略。提示人们要时刻注意网络安全,保证自身利益不要受到侵害,对广大的网络用户来说是具有非常重要的意义的。2 木马的基础知识2.1木马概述“木马”是特洛伊木马”(trojan horse)的简称,英文名“Trojan horse”,其名称取自希腊神话的特洛伊木马记,是指表面看上去对人们有用或有趣,但实际上却有害的东西,并且它的破坏性是隐蔽的。计算机中的木马是一种基于远程控制的黑客工具,采用客户机/服务器工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受害者的计算机(简称宿主)中,操纵者就可以在控制端实时监视该用户的一切操作,有的放矢地窃取重要文件和信息,甚至还
17、能远程操控受害计算机对其他计算机发动进攻。木马的控制端和被控制端通过网络进行交互。2.2木马的分类自木马程序诞生至今,己经出现了多种类型,想要把它们来一次完全的列举和说明是不可能的事情,更何况大多数的木马都不是单一功能的木马,它们往往具有很多种功能的集成品,甚至有很多从未公开的功能在一些木马中也广泛地存在着。但是,对于木马程序还是有一个初步的分类,它主要包括远程控制木马、密码发送木马、键盘记录木马、破坏性质的木马、DOS攻击木马、代理木马、FTP木马、程序杀手木马、反弹端口型木马等等。我们就其中几种常见的木马进行间要的介绍与分析。2.2.1远程控制木马远程控制木马是数量最多,危害最大,同时知名
18、度也是最高的一种木马,它可以让攻击者完全控制被感染的计算机,攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作,其危害之大实在不容小觑。由于要达到远程控制的目的,所以,该种类的木马往往集成了其他种类木马的功能。使其在被感染的机器上为所欲为,可以任意访问文件,得到机主的私人信息甚至包括信用卡,银行账号等至关重要的信息。冰河木马就是一个远程访问型木马,这类木马用起来是非常简单的,只需有人运行服务端并且得到了受害人的IP,就会访问到他的电脑,他们能在你的机器上干任何事。远程控制型木马的普遍特征是:键盘记录,上传和下载功能,注册表操作,限制系统功能等等。2.2.2密码发送木马在信息安全日
19、益重要的今天,密码无疑是通向重要信息的一把极其有用的钥匙,只要掌握了对方的密码,从很大程度上说,就可以无所顾忌地得到对方的很多信息。而密码发送型的木马正是专门为了盗取被感染计算机上的密码而编写的,木马一旦被执行,就会自动搜索内存,Cache,临时文件夹以及各种敏感密码文件,一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱,从而达到获取密码的目的,所以这类木马大多使用25号端口发送E-mail,大多数这类的特洛伊木马不会在每次Windows重启时重启。这种木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱,如果特意找寻隐藏密码,这些特洛伊木马
20、就是很危险的了。2.2.3键盘记录木马这种木马是非常简单的,它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。这种木马随着Windows的启动而启动,它们有在线和离线记录这样的选项,顾名思义,它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键,下木马病毒的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的信用卡账号。对于这种类型的木马,邮件发送功能也是必不可少的。2.3木马具有的特性(1) 包含于正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性(2) 具有自动运行性。木马为了控制
21、服务端。它必须在系统启动时即跟随启动,所以它必须潜人在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。(3) 包含具有未公开并且可能产生危险后果的功能的程序。(4) 具备自动恢复功能。现在很多的木马程序中的功能模块巴不再由单一的文件组成,而是具有多重备份,可以相互恢复。当你删除了其中的一个,以为万事大吉又运行了其他程序的时候,谁知它又悄然出现。像幽灵一样,防不胜防。(5) 能自动打开特别的端口。木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统,而是为了获取你的系统中有用的信息,当你上网时能与远端客户进行通讯,这样木马程序就会用服务
22、器客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施进一步的人侵企图。(6) 功能的特殊性。通常的木马功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。2.4木马与病毒和蠕虫的区别病毒:计算机病毒是编写的小程序,它可以在未经用户许可,甚至在用户不知情的情况下改变计算机的运行方式。病毒必须满足两个条件: (1) 它必须能自行执行。 (2) 它必须能自我复制。蠕虫:蠕虫是不使用驻留文件即可在系统之间复制自身的程序。这点与病毒不同,病毒需要传播受感染的驻留文件。木马与病
23、毒和蠕虫最主要的区别在于:窃取机密和远程控制上。这是大部分病毒和蠕虫没有的性质。现在木马已经带有了病毒和蠕虫的特性,即:自我复制和自行执行性。同样病毒和蠕虫也吸取了木马的优势,增加了自己的控制性和潜伏性。所以,随着技术的发展,木马、病毒和蠕虫之间的界定越来越模糊。2.5木马对计算机的危害木马的危害性在于它对电脑系统强大的控制和破坏能力,窃取密码、控制系统操作、进行文件操作等等,一个功能强大的木马一旦被植入机器,攻击者就可以像操作自己的机器一样控制别人的机器,甚至可以远程监控别人的所有操作。他可以肆意的复制、删除、移动他人的任何文件,查看资料、信件、图片等等,发生这些事的全过程让对方无处察觉,等
24、对方发现的时候,已经晚了,他的秘密已不再是秘密,他的资料、图片、文档以及一些比较重要的东西,已经不复存在了,让用户后悔也来不及,所以说,木马给我们带来的危害是非常严重的。 尽管资深的黑客不屑于使用木马,但在对以往网络安全事件的分析统计里,我们发现,有相当部分的网络入侵是通过木马来进行的,包括几年前微软被黑一案,据称该黑客是通过一种普通的蠕虫木马侵入微软的系统的,并且窃取了微软部分产品的源码。 虽然,黑客不愿意利用木马来攻击普通的用户,但是,还有很多电脑爱好者和对这方面知识有兴趣的人,对于他们来说,普通用户是最好的试验对象了。所以,还是要学会预防和如何破解木马,这样才不怕被黑客攻击,网络中也要讲
25、安全第一!3 木马的工作原理一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,利用的途径有:1) 邮件附件、下载软件邮件附件、下载软件中等通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小,大部分都是几K到几十K
26、,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。2) 木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。前不久新出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。3) 木马还可以利用系统的一些漏洞进行植
27、入如微软著名的US服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。 当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成
28、为自启动程序。4 灰鸽子的工作原理4.1灰鸽子简介灰鸽子英文名为win32.hack.huigezi,是国内一款著名后门。这个木马黑客工具大致于2001年出现在互联网,当时被判定为高危木马,至今已经衍生出超过6万个变种。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。4.2 灰鸽子工作原理 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出
29、服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。服务端: 配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的
30、Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Ser
31、ver.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dl
32、l有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。 灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。因涉及互联网安全法律纠纷问题,自2007年3月21日起灰鸽子已全面停止开发和注册。互联网上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。6 灰鸽子上线的实现5.1首先设置自动上线灰鸽子采用了服务端(被控者)主动连接客户端(控制者)的技术,所以配置服务端的时候首先要设置服务端上线,选择灰鸽子客
33、户端程序主窗口中的“文件”“配置服务程序”命令其中“IP通知http访问地址、DNS解析域名或固定IP”栏的填写非常重要,为了让中木马的服务端主动找到客户端,所以在这个配置栏中填写的是客户端的具体IP地址或域名。如果你的是固定IP地址可以直接填写。大多数局域网被分配有固定的私有IP,在这一栏可以直接填写客户端的私有IP。除了局域网,在公网中,如果客户端的IP地址固定,也可以直接填写IP地址。不过要注意的是,一旦客户端IP地址改变后,木马服务端就再也找不到客户端了。现在由于IP地址资源稀缺,目前已经很少偶电脑使用固定的公网IP了。针对动态获取IP这个问题,我们只有建立一个对应的变量,让木马服务端
34、能够通过这个变量始终找到客户端的动态IP地址,并与之连接上,这个对应的变量就是“动态域名”,动态域名能跟踪用户当前的IP地址,当用户的IP地址改变后,动态域名对应的IP地址也就做相应的变化。(动态域名可以去免费申请,例如希网网络www.3322.org花生壳等)下面的一项“密码设置选项”里的密码是以明文的形式输入的,目的是在于局限于你自己可以地远控主机。如图1所示: 图1服务端自动上线的设置5.2设置安装选项单击“暗转选项”标签,进入服务端安装的设置,在这里可以设置服务端在对方主机中具体的安装位置;在“程序图标”选项中,可以选择“电子书”、“音乐”等图标迷惑对方,让对方轻易的运行该服务端程序。
35、作为悄悄潜入,不能选择“安装选项”设置中的“程序安装成功后提示安装成功”和“程序运行时在任务栏显示图标”选项。如图2所示:图2服务端安装选项的设置5.3设置启动项在启动项设置中,如果勾选了“Windows 98/2000/xp写入注册表启动项”和“Windows 2000/XP下优先安装成服务启动”,对方在每次开启时就自动激活木马程序。另外,还可以在这输入一些系统自带的服务信息来迷惑对方。如图3所示:图3服务端启动项的设置5.4 设置代理服务 切换到“代理服务”选项卡,可以设置代理来隐藏自己IP.5.5设置高级选项Windows 2000/XP有一个进程管理器,里面可以显示出所有程序的进程,如
36、果用户发现有可疑程序,可以立即结束该进程。我们可以让灰鸽子木马隐藏自己的进程。下面一项一定要选择“不加壳”。最后单击“生成服务器”就生成了木马服务端。如图4所示图4 木马服务端生成6灰鸽子远程控制的实现假设配置时IP通知的位置填写的IP地址为A,而8000是灰鸽子连接所使用的默认端口,如图5, 图5 实现远程控制的客户端界面 图6 服务器的配置 图7服务器配置成功客户端界面对于内网的用户,要下载SSPORT高速端口扫描器,再下载个IP数据库,两个文件必须在同一文件夹内,点IP库,填个郑州,如图8 图8用SSPORT高速端口扫描器扫描点内网端口映射如图9 图9 内网端口映射按图9内网端口映射,填
37、上刚才扫描的结果,配置成功。如图10 图10服务器配置成功界面7灰鸽子的传播途径及危害7.1 灰鸽子传播的四大途径7.1.1网页传播病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;7.1.2邮件传播灰鸽子被捆绑在邮件附件中进行传播;7.1.3 IM聊天工具传播通过即时聊天工具传播携带灰鸽子的网页链接或文件。7.1.4 非法软件传播 病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。7.2 灰鸽子的危害中灰鸽子病毒后的电脑会被远程攻击者完全控制,具备和你一样的管理权限,远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件,机密文件在你毫不知情的情况下被窃取。病毒还可以记
38、录每一个点击键盘的操作,你的QQ号、网络游戏帐号、网上银行帐号,可以被远程攻击者轻松获得。更变态的是,远程攻击者可以直接控制你的摄像头,把你家里拍个遍。并且,远程攻击者在窃取资料后,还可以远程将病毒卸载,达到销毁证据的目的。这好比隐形的贼在你家拿走东西,大大方方的从隐形的门走出去,而你却根本不知道自己丢了东西。下面将对灰鸽子的危害具体阐述:7.2.1 盗号灰鸽子入侵用户电脑后,可通过键盘记录器等手段记录用户的键盘输入信息,无论是QQ、网络游戏、网上银行的账号密码都难逃被盗厄运。热门网络游戏魔兽世界曾发生一个区服大量账号短时间内被盗,引起数千玩家集中投诉;此外,2006年10月,BTV7生活面对
39、面节目报道网银账户内1万余元被分15次盗走,警方在事主的电脑查获灰鸽子病毒。7.2.2 偷窥隐私灰鸽子可通过远程控制用户电脑上的摄像头偷窥用户隐私。只要用户的机器处于开机状态,远程操控者就可以自动开启用户的摄像头,窥探用户隐私。知道自己家里隐藏了一只远在千里之外的眼睛,肯定会令你毛骨悚然。7.2.3 敲诈黑客利用灰鸽子病毒完全控制被感染者电脑,电脑中的任何文件都可以任意处置,黑客一旦发现对用户比较隐私或机密的东西,立刻将其转移到其他地方,然后对用户进行勒索,与现实生活中的敲诈一样,利用网络进行偷窃、敲诈的行为同样是违法行为。3月7日,BTV1法制进行时曾报道江西瑞金一男子使用木马程序盗走受害人
40、裸照,并向事主索要14万元人民币,最后这名男子以敲诈勒索罪被判有期徒刑6年。7.2.4 发展“肉鸡”电脑被人植入木马,这台主机,就被称为“肉鸡”,远程攻击者可以对这台“肉鸡”电脑为所欲为。攻击者可控制大量“肉鸡”,进行非法获利,比如在“肉鸡”上植入点击广告的软件;利用肉鸡配置代理服务器,以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时,肉鸡电脑将会成为替罪羊;此外,还可以用大量肉鸡组建僵尸网络,随时可以被用于一些特殊目的,比如发起DDoS攻击等。可以想象,如果大量肉鸡被敌对势力控制,将会对我国的网络安全造成什么样的后果。7.2.5盗取商业机密通过一些非法途径让那些存放商业机密的电脑感染到灰
41、鸽子,接下来,攻击者窃取有价值的商业文件、机密文件、个人隐私数据等等。攻击者可以偷偷将商业文件进行贩卖,充当商业间谍。如果是国家机密因此受损,后果将不堪设想。7.2.6间断性骚扰感染灰鸽子病毒后,远程攻击者任意玩弄你的电脑,比如任意打开和关闭文档,远程重启电脑,使您无法完成正常任务。7.2.7恶搞性破坏看谁不顺眼,就可以肆意搞破坏,攻击者可利用灰鸽子对被感染的用户电脑为所欲为,修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等,试想如果你电脑的注册表被恶意篡改、系统文件被删除,而且电脑中还被放了大量病毒,你的电脑将如何?8灰鸽子的防御8.1 给系统安装补丁程序通过Windows
42、Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序 8.2 给系统设置强壮的密码给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户 8.3 经常更新杀毒软件(病毒库)设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗
43、版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护 8.4 关闭一些不需要的服务条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。 8.5 手工检测灰鸽子由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般
44、都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。 2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:windows,2k/NT为C:Winnt)。 3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
