目录

定义与名称由来

木马的功能与特点

隐蔽性:

远程控制:

自动运行:

传播途径

网络下载:

电子邮件:

移动存储设备:

二、实验设备及环境

三、实验步骤

 1.生成服务端 

3.客户端连接服务端

4.控制目标机器

一、木马概述

        木马,全称为 “特洛伊木马”(Trojan Horse),以下是关于它的详细介绍:

1.1定义与名称由来

  • “特洛伊木马” 这一名称源于古希腊神话中的特洛伊战争。在战争中,希腊人佯装撤退,留下了一个巨大的木马作为礼物。特洛伊人将木马带回城中,却不知木马里藏着希腊士兵。夜间,希腊士兵从木马中出来,打开城门,与城外的希腊军队里应外合,最终攻陷了特洛伊城。计算机中的木马程序正是借鉴了这一典故,它伪装成正常程序,诱使用户安装或执行,从而在用户不知情的情况下实现对用户计算机系统的控制或破坏。

1.2木马的功能与特点

  • 隐蔽性

        木马程序通常会隐藏自己的真实身份和行为,将自身伪装成合法的软件或文件,例如伪装成系统更新程序、游戏、文档等,使用户难以察觉其真实目的。它还会在后台悄悄运行,不显示明显的界面或进程信息,避免引起用户的注意。

  • 远程控制

        这是木马的核心功能之一。攻击者可以通过网络远程控制感染木马的计算机,就像直接操作目标计算机一样。他们可以窃取用户的个人信息,如账号密码、银行卡信息、隐私文件等;还可以对目标计算机进行各种操作,如控制摄像头和麦克风进行偷拍偷录、篡改系统设置、删除文件、传播病毒等。

  • 自动运行

        木马程序会通过各种方式实现自动运行,以便在用户开机或特定条件满足时自动启动。例如,它可能会将自身添加到系统的启动项中,或者利用系统的漏洞和任务计划等机制,确保自己能够在后台持续运行,从而保证攻击者能够随时对目标计算机进行控制。

1.3传播途径

  • 网络下载

        用户从不可信的网站下载软件、游戏、视频等文件时,可能会附带木马程序。这些文件表面上看起来是正常的应用程序,但实际上被植入了木马代码。

  • 电子邮件

        攻击者会将木马程序伪装成附件或链接,通过电子邮件发送给受害者。如果用户不小心打开了附件或点击了链接,就可能会激活木马程序,导致计算机被感染。

  • 移动存储设备

        如 U 盘、移动硬盘等,如果这些设备在感染木马的计算机上使用过,木马程序可能会自动复制到设备中。当用户将这些设备插入自己的计算机时,木马就会传播到新的计算机系统中。

二、实验设备及环境

  • 软件环境:

客户端:Windows7虚拟机(IP:192.168.127.107)攻击者

服务器端:Windows Server 2003虚拟机 (192.168127.139)受害主机

  • 硬件环境:

两台虚拟机,分别作为攻击机和靶机。

攻击机和靶机在同一局域网内,确保网络连通性。

三、实验步骤

        客户端:Windows7(IP:192.168.127.107)攻击者

        服务端:Windows Server 2003 (192.168127.139)受害主机

 1.生成服务端 

  • 在Windows 7中准备好木马程序“冰河木马”后运行冰河木马客户端,添加需要攻击主机的IP:192.168.127.139

  • 在菜单上单击“设置”——“服务端配置”,在弹出的服务器配置对话框中进行配置,这里我选默认的。

  • 在“自我保护”页面中,可以配置木马写入目标机器的注册表信息及关联文件类型,勾选“写入注册表启动项”和“关联”文件类型相关联

  • 点击“确定”开始配置,完成后会显示“服务器程序配置完毕”,即在客户端相同目录下生成服务端程序(在攻击者中查看)

2.将生成的服务端上传至目标机器

① 在攻击者Windows 7 中,打开文件资源管理器,在地址栏中输入\\192.168.127.139\c$

② 在弹出的对话框中,输入靶机的用户名和密码,点击“确定”

  • 成功登陆靶机并访问其共享目录:

  • 将冰河木马的服务器端拖入靶机中“\\192.168.127.139\c$\Documents and Settings\All Users\「开始」菜单\程序\启动”目录下:

  • 将服务器端设置为“隐藏文件”

  • 在靶机Windows Server2003中打开任务管理器(Ctrl+Shift+Esc),可以看到木马服务端程序“KERNEL32.exe”已经启动。

3.客户端连接服务端

① 在冰河木马主界面上,点击“搜索计算机”,我们发现 IP 地址为 192.168.112.135 的木马服务端已启动。

② 确定目标后,点击“添加主机”,并输入相关信息

③ 点击“确定”后,在冰河木马的主界面左侧的“文件管理器”中可以看到已经添加目标机器,并在右侧的目录管理中可以看到该机器的文件列表,可以通过文件管理器对目标机器执行文件上传、下载等操作。

4.控制目标机器

  • 点击快捷工具栏中的“查看屏幕”,选择合适的图像参数,成功后如下,此时可以监视靶机的屏幕

  • 点击快捷工具栏中的“控制屏幕”,可以实现对靶机的控制:

  • 使用“冰河信使”向靶机发送消息

发送成功可以在把靶机中看到如下页面:

  • 在“命令控制台”中,可以进一步控制目标机器

# 网络安全 # 安全
Logo
2048 AI社区

有“AI”的1024 = 2048,欢迎大家加入2048 AI社区

更多推荐

MCP 加持下的零代码逆向:全自动化绕过 APP 验签与加密实战

本文提出了一种结合Frida动态分析与IDAPro+MCP的移动应用安全测试新方法,通过AI自动化分析加密与签名逻辑,实现对高防护APP的高效逆向工程。文章首先识别了请求体加密与请求头签名的防护特征,然后利用Frida脚本定位关键加密点,获取AES密钥和签名参数。针对混淆代码,采用MCP技术让AI自动解析参数排序和拼接逻辑。最后通过AI生成的Python中间件脚本,实现BurpSuite请求的自动

avatar 2048 AI社区
cover

2026年创业之年,AI时代一人公司、小规模团队如何快速收入百万美元?

avatar 2048 AI社区
cover

【愚公系列】《AI+直播营销》020-直播的选品策略(供应链的需求和供给管理)

avatar 2048 AI社区