如何运行一个木马_怎么利用木马程序

谁知道木马怎么用啊 !~~~~~~~

一、ping命令

在Windows的控制窗口中（Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器），运行ping可以看到这个命令的说明，它是一个探测本地电脑和远程电脑之间信息传送速度的命令，这个命令需要TCP/IP协议的支持，ping将会计算一条信息从本地发送到远程再返回所需要的时间，黑客使用这个命令决定是否对服务器进行攻击

另外这个命令还可以透过域名找到对方服务器的IP地址，我们知道域名只是提供给浏览网页用的，当我们看到一个域名地址后，要想通过telnet连接它，就必须知道对方的IP地址，这里也要使用ping命令的。

这个命令的基本使用格式可以通过直接运行ping获得，现在假设目标是，则可以在控制台下输入ping ，得到如下：

Pinging [204.202.136.32] with 32 bytes of data:

Reply from 204.202.136.32: bytes=32 time=302ms TTL=240

Reply from 204.202.136.32: bytes=32 time=357ms TTL=240

Reply from 204.202.136.32: bytes=32 time=288ms TTL=240

Reply from 204.202.136.32: bytes=32 time=274ms TTL=240

Ping statistics for 204.202.136.32:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 274ms, Maximum = 357ms, Average = 305ms

这些信息的意思是：的IP地址是204.202.136.32，对他发送了四次数据包，数据包的大小是32字节，每一次返回的时间分别是302ms、357ms、288ms、274ms。综合看，发送了四个数据包全部返回，最小时间是274ms，最大时间357ms，他们的平均时间是305ms。

这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法，例如可以通过IP地址反查服务器的NetBIOS名，现在以211.100.8.87为例，使用ping配合“-a”，在控制台下输入命令ping -a 211.100.8.87，它的返回结果是：

Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data:

Reply from 211.100.8.87: bytes=32 time=96ms TTL=120

Reply from 211.100.8.87: bytes=32 time=110ms TTL=120

Reply from 211.100.8.87: bytes=32 time=110ms TTL=120

Reply from 211.100.8.87: bytes=32 time=109ms TTL=120

Ping statistics for 211.100.8.87:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 96ms, Maximum = 110ms, Average = 106ms

从这个结果会知道服务器的NetBIOS名称是POPNET-FBZ9JDFV。另外在一般情况下还可以通过ping对方让对方返回给你的TTL值大小，粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间，例如上面的返回的TTL是240，对方的系统很可能是Linux，而第二个目标的TTL是120，那么说明它使用的系统也许是Windows。

二、net命令：

在Windows ME/NT/2000内，很多网络功能都是以net命令为开始的，通过net help可以看到这些命令的详细介绍：

NET CONFIG 显示系统网络设置

NET DIAG 运行MS的DIAGNOSTICS程序显示网络的DIAGNOSTIC信息

NET HELP 显示帮助信息

NET INIT 不通过绑定来加载协议或网卡驱动

NET LOGOFF 断开连接的共享资源

NET LOGON 在WORKGROUP中登陆

NET PASSWORD 改变系统登陆密码

NET PRINT 显示或控制打印作业及打印队列

NET START 启动服务，或显示已启动服务的列表

NET STOP 停止网络服务

NET TIME 使计算机的时钟与另一台计算机或域的时间同步

NET USE 连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息

NET VER 显示局域网内正在使用的网络连接类型和信息

NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表

这些命令在Win95/98中支持的比较少，只有几个基本常见的，而在NT或者2000中又元元多于上面的介绍，最常用到的是NET VIEW和NET USE，通过者两个命令，可以连接网络上开放了远程共享的系统，并且获得资料。这种远程共享本来是为便捷操作设计的，但是很多网络管理员忽视了它的安全性，所以造成了很多不应该共享的信息的暴露，

例如在控制台下输入net view \\202.96.50.24则可以获得对应IP的系统共享目录，进而找到他们的共享文件，当然这需要202.96.50.24系统的确存在共享目录

三：telnet和ftp命令：

这两个命令分别可以远程对系统进行telnet登陆和ftp登陆，两种登陆使用的不同的协议，分别属于两种不同的网络服务，ftp是远程文件共享服务，也就是说可以将自己的资料上传、下载，但是它并没有过多的权利，无法在远程电脑上执行上传的文件；而telnet则属于远程登陆服务，也就是说可以登陆到远程系统上，并获得一个解释器权限，拥有解释器就意味着拥有了一定的权限，这种权限可能是基本的文件操作、也可能是可以控制系统的管理员权限

四：netstat命令：

它可以显示当前正在活动的网络连接的详细信息，如采用的协议类型、当前主机与远端相连主机（一个或多个）的IP地址以及它们之间的连接状态等。 使用netstat ？可以显示它的命令格式和参数说明：

netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下：

-a 显示所有主机的端口号；

-e 显示以太网统计信息；

-n 以数字表格形式显示地址和端口；

-p proto 显示特定的协议的具体使用信息；

-r 显示本机路由表的内容；

-s 显示每个协议的使用状态（包括TCP、UDP、IP）；

interval 重新显示所选的状态，每次显示之间的间隔数（单位秒）。

netstat命令的主要用途是检测本地系统开放的端口，这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马，因为常见的网络服务开放的默认端口轻易不会被木马占用，例如：用于FTP（文件传输协议）的端口是21；用于TELNET（远程登录协议）的端口是23；用于SMTP（邮件传输协议）的端口是25；用于DNS（域名服务，即域名与IP之间的转换）的端口是53；用于HTTP（超文本传输协议）的端口是80；用于POP3（电子邮件的一种接收协议）的端口是110；WINDOWS中开放的端口是139，除此以外，如果系统中还有其他陌生的到口，就可能是木马程序使用的了。通过netstat或者netstat -a可以观察开放的端口，如果发现下面的端口，就说明已经有木马程序在系统中存在：

31337号端口是BackOffice木马的默认端口；1999是Yai木马程序；2140或者3150都是DEEP THROAT木马使用的端口；还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口，因此发现了陌生端口一定要提高警惕，使用防火墙或者查病毒软件进行检测

五：tracert命令：

这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。tracert命令的格式如下：

tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

命令行中的参数-d是要求tracert不对主机名进行解析，-h是指定搜索到目的地址的最大轮数，-j的功能是沿着主机列表释放源路由，-w用来设置超时时间间隔。

通过tracert可以判断一个服务器是属于国内还是国际（网络服务器的物理未知不能依靠域名进行判断），根据路由路经可以判断信息从自己的系统发送到网络上，先后经过了哪些IP到大对方服务器，我们清楚了自己的信息的传送路径，才能够更清晰的了解网络、对服务器进行攻击。

六、winipcfg：

winipcfg和ipconfig都是用来显示主机内IP协议的配置信息。只是winipcfg适用于Windows 95/98，而ipconfig适用于Windows NT。winipcfg不使用参数，直接运行它，它就会采用Windows窗口的形式显示具体信息。这些信息包括：网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，点击其中的“其他信息”，还可以查看主机的相关信息如：主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。

ipconfig的命令格式如下：ipconfig [/? | /all | /release [adapter] | /renew [adapter]]

其中的参数说明如下：

使用不带参数的ipconfig命令可以得到以下信息：IP地址、子网掩码、默认网关。而使用ipconfig

/? 显示ipconfig的格式和参数的英文说明；

/all 显示所有的配置信息；

/release 为指定的适配器（或全部适配器）释放IP地址（只适用于DHCP）；

/renew 为指定的适配器（或全部适配器）更新IP地址（只适用于DHCP）。

/all，则可以得到更多的信息：主机名、DNS服务器、节点类型、网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等

什么是木马啊？怎么用啊

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，

什么是木马程序？她是怎么发挥功能？

木马,全称特洛伊木马（Trojan horse），这个词语来源于古希腊神话，在计算机领域是一种客户/服务器程序，是黑客最常用的基于远程控制的工具。目前，比较有名的国产木马有：“冰河”、“广外女生”、“黑洞”、“黑冰”等；国外有名的木马则有：“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大，因此，如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。

1 木马的实现原理及特征

1.1 木马的实现原理

从本质上看，木马都是网络客户/服务模式，它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。

当攻击者要利用木马进行网络入侵，一般都要完成“向目标主机传播木马”，“启动和隐藏木马”，“建立连接”，“远程控制”等环节。

1.2 木马的特征

一个典型的木马程序通常具有以下四个特征：隐蔽性、欺骗性、顽固性和危害性。

(1)隐蔽性：隐蔽性是木马的生命力，也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己，进而被杀毒（或杀马）软件，甚至用户手工检查出来，这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面：

a.不产生图标。木马虽然在系统启动时会自动运行，但它不会在“任务栏”中产生一个图标。

b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。

(2)欺骗性：木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名，如dll、win、sys、explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常常修改几个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中而已。

(3)顽固性：很多木马的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。当木马被检查出来以后，仅仅删除木马程序是不行的，有的木马使用文件关联技术，当打开某种类型的文件时，这种木马又重新生成并运行。

(4)危害性：当木马被植入目标主机以后，攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码，控制系统的运行，进行有关文件的操作以及修改注册表等。

2 木马入侵手段

木马能不能完全发挥它的功能和作用，关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高，木马的入侵手段也随着发生了许多变化。

2.1木马的传统入侵手段

所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式，主要有以下几种：

1)电子邮件（E-mail）进行传播：攻击者将木马程序伪装成E-mail附件的形式发送过去，收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

2)网络下载进行传播：一般的木马服务端程序都不是很大，最大也不超过200K，有的甚至只有几K。如果把木马捆绑到其它正常文件上，是很难发现的。一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播：由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面，他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。

3)网页浏览传播：这种方法利用Java Applet编写出一个HTML网页，当我们浏览该页面时，Java Applet会在后台将木马程序下载到计算机缓存中，然后修改注册表，使指向木马程序。

4)利用系统的一些漏洞进行传播：如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可把IIS服务器崩溃，并且同时在受控服务器执行木马程序。

5)远程入侵进行传播：黑客通过破解密码和建立IPC$远程连接后登陆到目标主机，将木马服务端程序拷贝到计算机中的文件夹（一般在C:\WINDOWS\system32或者C:\WINNT\system32）中，然后通过远程操作让木马程序在某一个时间运行。

2.2 木马入侵手段的发展

以上的木马入侵手段虽然使用广泛，但也很容易引起用户的警觉，所以一些新的入侵手段也相继出现，主要有：

1) 基于DLL和远程线程插入的木马植入

这种传播技术是以DLL的形式实现木马程序，然后在目标主机中选择特定目标进程（如系统文件或某个正常运行程序），由该进程将木马DLL植入到本系统中。

DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先，由于DLL文件映像可以被映射到调用进程的地址空间中，所以它能够共享宿主进程（调用DLL的进程）的资源，进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次，因为DLL没有被分配独立的进程地址空间，也就是说DLL的运行并不需要创建单独的进程，所以从系统的进程列表里看不见DLL的运行踪迹，从而可以避免在目标主机中留下木马进程踪迹，因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Load Library函数来加载木马DLL，从而实现木马的传播。

2)利用蠕虫病毒传播木马

以前的木马传播大都比较被动，而使用E-mail传播效率又太低，系统漏洞很快又被打上补丁，所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力，将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性，在网络上大批量地进行传播、复制，这就加快了木马的传播速度，扩大了其传播范围。

3 木马的防范措施

为了减少或避免木马给主机以及网络带来危害，我们可以从两方面来有效地防范木马：使用防火墙阻止木马入侵以及及时查杀入侵后的木马。

防火墙是抵挡木马入侵的第一道门，也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接，防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查，在适当规则的限制下，如对通讯端口进行限制，只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是，仍然有一些木马可以绕过防火墙进入目标主机（比如反弹端口木马），还有一些将端口寄生在合法端口上的木马，防火墙对此也无能为力。因此，我们必须要能迅速地查杀出已经入侵的木马。