病毒攻击与防治专题之 --IPC连接 手工种植木马 清除与防范

一．专题的目的    

     通过这次专题的制作，激发我们学习、了解有关病毒木马攻击与防治的各种知识的兴趣；提高我们的动手能力，在实际操作中学习；并让我们体会到了团队合作的重要性。

 

二．专题的内容

专题分三部分进行：

1．              查找相关的资料，何为IPC漏洞，net use 命令的使用，如何利用“流光”扫描工具进行漏洞的探测，利用“远程控制任我行”的客户端生成木马，在远接上主机后如何控制主机，手工清除木马有几个步骤，如何防范IPC的入侵。

2．              在相握相关的知识后，我们进行实际的操作，就是进行了漏洞探测，手工种值木马，远程控制主机。

3．              在中了木马后，动手进行清除木马。木马清除完毕后，对机器进行各种设置，补上这个漏洞，以防对方利用漏洞再次入侵。

 

三．专题的相关知识点

    1． 什么是 IPC$?

         全称----Internet Process Connection,共享“命名管道”,为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

         IPC连接是Windows NT及以上系统中特有的远程网络登陆功能，其功能相当于Unix中的Telnet，由于IPC$功能需要用到Windows NT中的很多DLL函数，所以不能在Windows 9.x中运行。

  

    2． IPC$的作用

          利用IPC$,连接者可以与目标主机建立一个空的连接而无需用户名与密码，而利用这个空的连接，连接者还可以得到目标主机上的用户列表，但是负责的管理员可以禁止导出用户列表的。

    

3．“IPC$漏洞”

          网络上流行所谓的IPC$漏洞，是为了方便管理员的远程管理而开放的远程网络登陆功能，而且还打开了默认共享，即所有的逻辑盘(c$,d$,e$……)和系统目录winnt 或windows(admin$)。

          一些别有用心者会利用IPC$，访问共享资源，导出用户列表，并使用一些字典工具，进行密码探测，寄希望于获得更高的权限，从而达到不可告人的目的。

 

    4．Net use 命令的使用

       建立连接

          空连接       net use //IP/ipc "" /user:""

          非空连接  net use //IP/ipc "用户名" /user:"密码"

       删除一个ipc连接

          net use //IP/ipc /del

5．远程控制任我行简介

      远程控制任我行是一款免费绿色小巧且拥有“正向连接”和“反向连接”功能的远程控制软件，能够让您得心应手地控制远程主机，就像控制自己的电脑一样。

软件主要具有以下功能：

远程进程信息：查看远程主机进程信息，并能自由结束相应进程； 

远程文件管理：包括创建、上传、下载、复制、删除文件或目录、远程打开文件等多项文件操作功能； 

远程命令控制：包括远程关机、远程重启计算机、锁定鼠标、锁定桌面及锁定任务栏等多项功能限制； 

远程注册表操作：对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 

远程其他控制：获取远程主机名，并能自由更改。并具有卸载远程被控端软件等功能； 

远程屏幕查看：截取被控端屏幕，并可以保存下来； 

远程屏幕监控：实时的观看对方屏幕，可以用来远程协助，进行全面控制； 

远程发送信息：能向被控端发送简短信息； 

主机上线通知：无须知道对方IP，远程主机会自动上线。 

远程键盘记录：可以记录远程主机键盘上的操作。 

远程语音视频：可以自由打开远程主机语音和视频。

    6．手工清除木马的几个步骤

          A．查看进程，找出可疑进程

          B．利用工具，找出进程所在的目录，结束进程

          C．删除程序及相关联的文件

          D．删除木马在注册表中的一切信息。

以上内容已经制作成为一个PPT,各位可以点这里下载