如何让木马为我们工作之网络监控和管理的用途

现在，博客、社交网站、微博客等WEB2.0的应用，正在改变人们的生活和工作习惯，但与此同时却给企业带来了更多的安全风险。例如，员工可能将企业机密信息，通过手机发布到微博客中，或发送到自己的电子邮箱中;另外，员工在编写博客的过程中，可能将一些与自身工作相关的内容记录下来，但是他自己却认为这些信息并不属于机密，比如在博客中描写企业安装了什么新防火墙，以及防火墙部署在什么位置，主要用来保护哪些服务器或网段等信息。所有的这些，都会给企业带来严重的安全风险。

　　因此，为了减少WEB2.0应用带来的安全风险，企业可能需要知道某些关键终端或服务器上运行了什么服务，发送了什么信息和文件，以及使用者上班时间到底在做些什么等方面。另外，如果监测到某台终端正在发送危害企业数据安全的行为，为了得到证据，有时还需要完成抓取危险主机的屏幕状态，录制录像和声音等任务。

　　而要完成这样的工作，人们通常想到就是用商业的安全管理软件或硬件来应对，但是，像屏幕和声音录制等任务却不容易实现。其实，除了这种常规的途径外，还可以使用特洛伊木马达到同样的目的。

　　例如，Poison IVY就是WINDOWS系统下一个高级远程管理工具。它采用c/s结构，其客户端可以运行在Windows，linux或UNIX系统上，其服务端的内容依靠我们的设置来决定，不过只能运行在Widnows2000/XP/2003/Vista系统上。

　　Poison IVY的服务端可以非常小，不过，如果需要添加所有的插件，其大小会增长很多，但即使是这样，它的服务端在压缩状态下最大不超过7KB的大小。

　　虽然Poison IVY非常小，但是，它却具有下列所示的主要特性：

　　(1)256位加密连接，可以减少远程管理过程中泄密的风险。

　　(2)完整的文件管理功能。

　　(3)远程注册表管理功能。

　　(4)键盘记录功能。

　　(5)服务管理功能。

　　(6)进程管理功能。

　　(7)远程视频和音频捕捉。

　　(8)WEB摄像头捕捉。

　　(9)密码管理

　　(10)共享服务。

　　(11)第三方插件支持。

　　这些功能还只是Poison IVY所有功能中一部分。在上述这些功能中，像键盘记录功能和WEB摄像头捕捉等功能，通常是人们最担心的。主要是在使用木马为自己工作时，担心这些功能会对被控端带来同样的危害。

　　不过，这种担心是应该的，也是很有必要的。在使用木马为自己工作之前，我们一定要弄清楚它们本身具有的安全性，例如，它们的各种功能是不是可以自由控制，是否可以设置控制的用户及设置密码等。而这些功能，Poison IVY恰巧都具有。

　　其实，具有这样功能的木马还有许多。除Poison IVY之外，还有Back Orifice XP、CIA

　　、Nuclear RAT等木马都具有与它相似的功能，或者其它更多的特色功能，例如穿透防火墙或可加密加壳等。

　　上述这些木马程序，在雪源梅香下载和试用时，都没有被检测到发现木马程序。只是在下载Poison IVY的WI-FI插件时，被迅雷检测到含有木马。但是，由于Poison IVY的这个插件同样是安全的，你完全不要理会这种警报，继续下载就可以。

　　更加难能可贵的是Poison IVY的开发者一直在提供技术和升级服务，而且，开发者的本意，也是将这款软件作为一款优秀远程管理软件在进行开发和推广的。

　　实际上，有许多被人们称为木马的软件，其开发者本意都是好的。只是恰巧这些软件具有许多特殊的功能，而这些功能又恰巧可以帮助攻击者实施攻击活动，由此，当这些工具软件被攻击者用来进行攻击活动后，就像变了一幅面孔一样，从自走向“犯罪”生涯了。

　　就像上面所提到的这些被称为木马的软件，如果将它们用在企业的网络监控和管理上，那么，它们同样能够重新“变节”而成为我们真实的好工具，来为我们完成网络管理过程中一些特殊的任务。由于上面所示的木马程序，它们的功能大致相同，其使用方式也同样相似。因此，下面，雪源梅香只以Poison IVY为例，详细说明怎么去安全使用它们来为我们进行网络管理工作。

　　1、 安装和运行

　　上述的木马程序，大多免去了安装，在下载回来后，只需将压缩包解压后就可以直接使用它们。对于Poison IVY，我们可以去http://www.poisonivy-rat.com/网站下载它，解压后，

　　通过双击解压目录下的“Poison Ivy 2.3.2.exe”就可以运行它，运行后的主界面如图1所示。

　　

　　图1 Poison IVY运行后的主界面

　　至于本文其它几个木马的下载地址，Back Orifice XP可以从http://boxp.sourceforge.net/网站下载，Nuclear RAT可以从http://www.nuclearwintercrew.com/下载。

　　2、 生成服务端

　　如其它木马程序一样，Poison IVY的服务器也是由我们自己来生成，这样，我们才能控制服务器的功能，以及它在运行后，怎么连接客户端，以及进行其它动作等功能。

　　Poison IVY的服务器生成，可以通过如下的步骤来进行：

　　(1) 在poison ivy的主界面，选择“File”——“New Server”菜单，打开如图2所示生成新服务端界面。

　　

　　图2 poison ivy生成服务端界面

　　(2) 在图2所示界面中，单击“create profile”按钮，在打开的对话框中输入一个名称。此时，左边项目栏中的原本灰色的按钮将被激活，接下来，按其排列顺序完成服务端的其它配置。

　　(3) 单击图2所示界面中的“connection”按钮，将出现如图3所示的设置连接信息的界面。

　　

　　图3 设置连接信息界面

　　poison ivy是一个具有反向连接的木马程序，因此，我们必需在图3所示界面中的DNS/PORT文本框中，输入正确的客户端IP地址和监听服务器端的端口，然后单击“Add”按钮添加设置。

　　为了poison ivy的服务器端只有我们自己能够进行控制和连接，还必需在图3所示界面中的ID文本框中输入建立的用户名，在“GROUP”中输入组名(可选)，然后在“Password”文本框中输入连接密码。在这里，还可以选择“Hide Password”多项选择框，隐藏密码框中显示的内容，密码也以由软件自己随机产生。　(4) 可以通过单击图3所示界面右下角的“NEXT”按钮，进入“Install”配置项，也可以直接单击“Install”按钮进入其配置界面。如图4所示。

　　

　　图4 Install配置界面

　　在Install配置界面，可以指定文件名、安装到系统中的什么位置，以及通过选择“key logger”多项选择框来决定是否记录键盘输入，或通过选择“persistence”来确保当poison ivy服务端进程被停止后，重新启动服务端进程，并防止服务端程序本身被删除。

　　poison ivy的这些特性与其它恶性木马是相同的，在我们使用它的过程中，如果没有特殊要求，例如不想被被监控者看到，就可以使用这些功能，但是，通常情况下，这些功能是可选的。

　　(5) 完成Install配置项的配置后，单击“Advanced”就可以打开如图5所示的高级配置界面。

　　

　　图5 高级配置界面

　　在高级配置界面，主要完成进程注入和注入格式的设置。同样，这些功能都是可选的，如果没有什么特殊的要求，可以在此保持默认设置。

　　现在，poison ivy服务端的配置全部完成，只要再单击“Build”按钮，就可以按照上述的配置生成我们想要的客户端。

　　完成poison ivy服务端的生成工作后，我们还必需为些服务端生成一个新的客户端，主要用来与些服务端配套使用，监听从服务端反向回来的连接。与此同时，为了确保poison ivy客户端能够监听到服务端的反向连接信息，必需确保防火墙开放了客户端监听的端口。

　　要生成poison ivy的客户端，可以通过在其主界面中，选择“File”——“New Client”菜单，打开如图6所示的生成客户端界面。

　　

　　图6 poison ivy生成客户端界面

　　在生成客户端界面的“Listen on Port”下拉框中选择建立服务端时设置的端口号，在“Password”文本框中输入建立服务端时设置的密码，或直接导入软件产生的“KEY”文件，然后单击“Start”按钮就可以开始新的监听服务。

　　当然，要想poison ivy的客户端能够监听到来自与此匹配服务端的连接信息，首长必需确保服务端已经在被监控和管理的系统上运行了。而完成这些工作，可以由我们直接安装，或者通过木马常用的手段进行安装，安装方式可以由你自由选择。至于poison ivy其它更多的功能，还是留给你自己慢慢去发现吧!

　　通过我们的简单配置，一个