木马分析

1.木马是隐藏在正常程序中的具有特殊功能恶意代码，是具备破坏，删除和修改文件，发送密码，记录键盘，实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

2.木马的传统连接技术： 一般木马都采用C/S(client/server，即服务器/客户端)运行模式，因此它分为两部分，即客户端和服务前端木马程序。其原理是，当服务器端程序在目标计算机上被执行后，一般会打开一个默认的端口进行监听，当客户端向服务器端主动提出连接请求，服务器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。第一代和第二代木马就采用这种方式。

3.木马的反弹端口技术： 随着防火墙技术的发展，它可有效拦截从外部主动发起的连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接，第三代第四代木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求，而客户端是被动的连接 。 4.线程插入技术： 我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。“线程插入”技术就是利用线程之间运行的相对独立性，使木马完全地融进了系统那个内核。系统运行时会有很多的进程，而每个进程又有许多的线程，这就导致了查杀利用“线程插入”技术木马程序的难度。

VPC1(虚拟PC） 操作系统类型：windows xp，网络接口：eth0 VPC1 连接要求 与VPC2相连

VPC2(虚拟PC) 操作系统类型：windows xp，网络接口：eth0 VPC2连接要求 与VPC1相连

软件描述 冰河V8.4

1.单击“试验环境试验"按钮；

2.点击"打开控制台”分别进入VPC1:xp01与VPC2:xp02实验系统。在VPC1中D:tools文件夹下；

3.双击G_SERVER，G_Server是木马的服务器端，即用来植入目标主机的程序；

4.此时，如果弹出"windows安全警报”窗口，点击***解除阻止***，木马的服务器端便开始启动；

5.同样，在VPC2中D:ltools目录，双击G_CLIENT(G__Client是木马的客户端，即木马的控制端)；

6.此时如果弹出"windows安全警报窗口”，点击"解除阻止”，则可打开控制端；

7.打开控制端G_CLIENT后，弹出“冰河"的主界面；

8.单击快捷键工具栏中的“添加主机”按钮；

9.在打开中输入cmd，点击确定，即可出现命令行界面，在窗口中输入"ipconfig"即可获取VPC1的IP地址，此处VPC1的IP地址为172.16.1.192(此IP地址不固定)；

10.填写VPC1的IP地址,并点击确定，即可以看到主机界面上添加了192.168.1.176的主机；

11.单击192.168.1.176主机，如果连接成功,则会显示服务器端主机上的盘符。

这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开C:WINNT\system32\config目录可以找到对方主机上保存用户口令的SAM文件。