實驗20 黑洞木馬實驗

【實驗目的】

1、了解木馬感染的手段

2、掌握利用木馬的辦法

【實驗環境】

系統環境：2臺windows 2003
實驗工具：Blackhole（D:\攻防工具包\黑洞木馬）
EXE捆綁機（D:\攻防工具包\黑洞木馬\EXE捆綁機）

【實驗預備知識點】

1、 木馬程序（Trojan horse program）通常稱為木馬，惡意代碼等，是指潛伏在電腦中，可受外部用戶控制以竊取本機信息或者控制權的程序。木馬指的是特洛伊木馬，英文叫做“Trojan horse”，其名稱取自希臘神話的特洛伊木馬記。
2、 木馬通常有兩個可執行程序：一個是客戶端，即控制端；另一個是服務端，即被控制端。植入被種者電腦的是“服務器”部分，而所謂的“黑客”正是利用“控制器”進入運行了“服務器”的電腦。運行了木馬程序的“服務器”以后，被種者的電腦就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進入電腦系統，安全和個人隱私也就全無保障了！ 木馬的設計者為了防止木馬被發現，而采用多種手段隱藏木馬。木馬的服務一旦運行并被控制端連接，其控制端將享有服務端的大部分操作權限，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。

【實驗內容】

Blackhole(黑洞木馬)下載解壓后得到一個文件client.exe，它是監控端執行程序，用于監控遠程計算機。Blackhole的服務端隱藏在客戶端程序中，只要運行client.exe，點其中的“生成服務端文件”即可生成一個服務端文件，生成的服務端文件可以自行命名。

【實驗步驟】

1、客戶端打開Blackhole解壓包，點擊“Client.exe”進行系統設置配置監聽端口，如圖1所示

圖 1設置監聽端口
2、設置連接密碼，其他選擇可以直接默認，也可以根據需求配置

3、配置好客戶端后，開啟客戶端對遠端木馬進行監聽，如圖3所示

圖 2遠端木馬監聽窗口
4、點擊“文件->創建自動運行DLL版本服務端安裝程序”，生成服務端安裝程序。

5、為了增加木馬的隱蔽性，在生成服務端程序的時候，把“安裝過程中顯示提示信息”、“安裝完畢后在桌面和快速啟動欄創建服務端設置快捷方式”及“安裝完畢添加卸載信息到控制面板的”添加或刪除程序“列表”前面的勾去掉。如圖3所示

圖 3設置安裝選項
6、“控制選項”默認全選，無需改變，接著配置“連接選項”，配置固定連接主機的IP（客戶端IP）、端口號（此端口號是客戶端監聽的端口，不能選擇系統服務常用的端口，以防端口被占用）、連接密碼（客戶端設置系統時的連接密碼）。如圖6所示

圖 4設置連接選項
7、點擊“生成”->選擇保存服務端程序的路徑->給生成的服務端程序命名（這里的命名自行確定）->“保存”->“取消”，這樣就生成服務端。如圖5所示

圖 5命名生成的服務端
8、打開EXE捆綁機（D:\攻防工具包\黑洞木馬\EXE捆綁機）添加第一個EXE文件，然后點擊“下一步”。如圖6所示

圖 6添加第一個文件
9、加木馬程序，然后點擊“下一步”，如圖7示

圖 7添加第二個文件
10、捆綁后程序的保存路徑，然后點擊“下一步”

11、捆綁機版本，默認選擇普通版，如圖 8示

圖 8默認選擇普通版
12、開始捆綁，如圖9示

圖 9開始捆綁
13、靶機通過FTP（賬號：bluedon 密碼：123456）、郵件附件、網盤分享等方式下載捆綁后程序到目標機的磁盤中，并安裝捆綁后的程序，在安裝的時候木馬同樣被激活。

14、在客戶端里就可以看到目標已上線。如圖10所示

圖 10查看目標是否上線
15、通過客戶端，就可以對服務端的目標機進行控制，例如關閉進程、控制重啟關機、修改注冊表之類等。如圖11所示

圖 11修改注冊表
16、靶機使用netstat -ano查看系統已建立的特殊端口情況，并記下pid。如圖12所示

圖 12查看端口情況

17、使用tasklist /svc查看對應的PID是哪個服務在使用。如圖13所示

圖 13查看對應PID服務
18、從上圖的服務名稱可以知道是黑洞木馬的進程。使用taskkill /f /pid pid殺死木馬。如圖14所示

圖 14殺死木馬程序
殺死進程之后在客戶端就無法連接和控制受害機。如圖15所示

圖 15客戶端無法連接
使用sc命令把木馬建立的服務刪除。如圖16所示

圖 16刪除木馬服務

【實驗思考題】

通過Blackhole(黑洞木馬)的演示，了解木馬的基本結構和原理，利用和清除木馬的過程及結果。在平時對于不信任的文件提高警惕，提高信息安全敏感性。通過實驗思考以下問題：
1、 中了木馬會有什么樣的后果。
影響系統運行

（1） 計算機操作系統運行速度減慢或經常死機。win7系統運行緩慢通常是計莽機的資源被大量消耗。有些病毒可以通過運行自己，強行占用大量內存資源，導致正常的系 統程序無資源可用，進而操作系統運行速度減慢或死機。
（2） 系統無法啟動。系統無法啟動具體癥狀表現為開機有 啟動文件丟失錯誤信息提示或直接黑屏。主要原因是病毐修改硬盤的引導信或刪除了某些啟動文件。以“系統啟動文件丟失 錯誤提示”為例介紹，計算機啟動之后會就出現。
（3） 文件打不開或被更改圖標，很多病毐可以直接感染文件，修改文件格式或文件鏈接位置，讓文件無法正常使用一時的“熊貓燒香”病毒就屬于這一類，它可以讓所有的程序文件圖標變成一只燒香的熊貓圖標。
（4） 提示硬盤空間不足在硬盤空間很充足的情況下，如果還彈出提示硬盤空間不足，很可能是中了相關的病毒。但是打開硬盤查看并沒有多少數據。這一般是病毒復制了大量的病毒文件在磁盤中，而且很多病毒可以將這些復制的病毒文件隱藏。
（5） 數據丟失有時候用戶杳看剛保存的文件時，會突然發現文件找不到了。這一般是被病毒強行刪除或隱藏。這類病毒中，最近兒年最常見的是“U盤文件夾病毒”。感染這種病毒后，U盤中的所有文件夾會被隱藏，并會自動創建出一個新的同名文件夾，新文件夾 的名字后而會多一個“.exe”的后綴。當用戶雙擊新出現的病毒文件夾時，用戶的數據會被刪除掉，所以在沒有還原用戶的文件前，不要點擊病毒文件夾。
（6） 計算機屏幕上出現異常顯示。計算機屏幕會出現的異常顯示有很多， 包括懸浮廣告、異常圖片等。以中獎廣告為例進行介紹，計算機屏幕上會出現廣告對話框。

2、 木馬怎么傳播。
木馬病毒的入侵和傳播手段通常是通過網絡下載和利用電子郵件。在瀏覽網頁時，木馬程序也就有可能下載到計算機緩存中，然后會自行修改你計算機的注冊表。
當今，QQ、ICQ、EPH、MSN等網絡聊天工具地頻頻出現，這些工具也都具備文件傳輸功能，這樣很容易傳播木馬和病毒文件。
一些系統自身的漏洞也會為木馬病毒入侵和傳播提供便利的條件哦~
除此之外，還有一些新的入侵手段：基于DLL和遠程線程插入的木馬植入、利用蠕蟲病毒傳播木馬等。

3、中了遠控木馬后怎么查找并清除。
第一步：首先運行安全輔助工具IceSword(下載地址：)并點擊列表中的“進程”按鈕，接著在進程列表中選擇進程iexplore.exe后，點擊右鍵選擇菜單中的“結束進程”命令即可結束該進程。這樣木馬程序就失去了與黑客的聯系。
第二步：運行《金山清理專家》(下載地址：)，點擊“在線系統診斷”中的“啟動項管理”，會發現有兩個標明未知的加載項(見圖)，選中這些加載項后右鍵點擊鼠標，在彈出的窗口選擇“修復該項”即可。再切換到“瀏覽器修復”，同樣會發現一個標明未知的ActiveX控件，右鍵點擊選擇“清除選項”即可。
第三步：點擊IceSword左側工具欄中的“文件”按鈕，在系統盤的Windows目錄中找到木馬程序的主文件server.exe并刪除。運行系統修復工具SREng(下載地址：)，選擇“系統修復”中的“高強修復”標簽，直接點擊“修復安全模式”按鈕，就可以修復被木馬破壞的系統安全模式。

總結

以上是生活随笔為你收集整理的黑洞木马实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。