《计算机网络安全》实验讲稿
授课教师:许玉龙
适用于信息技术学院
实验5:木马相关
主要内容
一、端口相关知识
二、木马相关知识
三、木马的预防和发现
四、木马源程序实例
重点:一定要把上课讲到,演示到的安全命令记住!!
实验目的
(1)熟悉常见端口和模块知识
(2)熟悉常见的木马相关知识。
(3)练习常见病毒木马识别方法。
(4)熟悉木马运行机制。
实验步骤
(1)首先讲解木马相关知识
(2)然后讲解常见木马运行方法和机制
(3)讲解常见木马病毒识别方法
(4)学生练习木马病毒运行
(5)学生了解病毒木马相关源程序。
计算机木马
计算机木马的产生
(1)、一些计算机爱好者出于好奇或兴趣,也有的是为了满足自己的表现欲。
(2)、产生于个别人的报复心理。
(3)、来源于软件加密。
(4)、产生于游戏。
(5)、用于研究或实验而设计的?°有用?±程序,由于某种原因失去控制而扩散出来。(6)、由于政治、经济和军事等特殊目的,信息战的一种有效武器。
其它原因?
病毒感染的途径
(1)、引进的计算机系统和软件中带有病毒。
(2)、各类出国人员带回的机器和软件染有病毒。
(3)、染有病毒的游戏软件。
(4)、非法拷贝中毒。
(5)、计算机生产、经营单位销售的机器和软件染有病毒。
(6)、维修部门交叉感染。
(7)、有人研制、改造病毒。
(8)、敌对分子以病毒为媒体或武器进行宣传和破坏。
(9)、通过互联网(访问web、下载email和文件等)传入的。
按照计算病毒的攻击类型分类:
?
特洛伊木马:使计算机潜伏执行非授权的远程管理/控制功能。--网页木马
Rootkit是一组被特洛伊化的系统应用程序。攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat 和df等程序,使系统管理员无法通过这些工具发现自己的踪迹。
?木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack 。Trojan.QQ3344 ,https://www.doczj.com/doc/729178055.html,her.Client ?后门病毒的前缀是:Backdoor
?7、病毒种植程序病毒
?这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
获取API函数地址
Win32 PE病毒和普通Win32 PE程序一样需要调用API函数,但是普通的Win32 PE程序里面有一个引入函数表,该函数表对应了代码段中所用到的api函数在动态连接库中的真实地址。这样,调用api函数时就可以通过该引入函数表找到相应api函数的真正执行地址。
但是,对于Win32 PE病毒来说,他只有一个代码段,他并不存在引入函数段。要获得API函数地址,我们首先需要获得Kernel32的基地址。
特洛伊木马
木马全称是“特洛伊木马(Trojan Horse)”,原指古希腊人把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,木马指在可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,这些程序可能造成用户的系统被破坏,甚至瘫痪。
特洛伊木马,从本质上讲,是一种基于远程控制的工具,类似于远端管理软件,如PCAnywhere。与一般远程管理软件的区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现会采用多种手段隐藏木马。非授权性是指一旦控制端与服务端建立连接后,控制端将窃取用户密码,以及获取大部分操作权限,如修改文件、修改注册表、重启或关闭服务端操作系统、断开网络连接、控制服务端的鼠标及键盘、监视服务器端桌面操作、查看服务器端进程等,这些权限并不是用户赋予的,而是通过木马程序窃取的。
木马的功能
(1)窃取数据
(2)接受非授权操作者的指令
(3)篡改文件和数据
(4)删除文件和数据
(5)施放病毒
(6)使系统自毁
木马的基本原理
木马系统软件一般由木马配置程序、控制端程序和木马程序(服务器程序)等三部分组成。
木马程序,也称服务器程序,它驻留在受害者的系统中,非法获取其操作权限,负责接收控制端指令,并根据指令或配置发送数据给控制端。
木马配置程序设置木马程序的端口号、触发条件、木马名称等,使其在服务端藏得更隐蔽,有时该配置功能被集成在控制端程序菜单内,不单独作为一个程序。
控制端程序控制远程服务器,有些程序集成了木马配置的功能。
木马的自启动
1) 注册表启动键HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion 下以Run 开头的子键进行设置,如run 和runservices 子键。 HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunServices
2)文件关联键KEY_LOCAL_MACHINE\SOFTWARE\Classes\文件类型\Shell\open\command 和HKEYCLASSES ROOT \文件类型\shell\open\command 下的键值。
KEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\
@String: \C:\WINNT\System32\DIAGCFG .EXE \%1\ %*\
(3) ini 文件在win.ini 的[windows]下的load 和run 后面进行设置。一般情况下命令行load=和run=后面是空白的,有些木马会在此处添加其文件名。
run=c:\windows\server.exe
load=wscan.exe
(4) 对system.ini 的[boot]下的Shell=文件名进行设置。一般情况下该文件名是explorer.exe ,有些木马会将此文件名改为木马程序名。另外,在system.ini 中[386enh]字段中,注意段内“driver=path\程序”可被木马利用。再有在system.ini 中,[mic]、[drivers]、[drivers32]这三个字段起到加载驱动程序的作用,但也是增添木马程序的场所
5) 启动菜单。在c:\windows\startmenu\programs\启动组下添加。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。 ……
) 捆绑文件。
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
7) 在Autoexec.bat 和Config.sys 中加载运行
但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心。
(a ) 中木马的途径
(2)木马通道的响应参数 (2) 数据
(c ) 建立木马通道 (d ) 控制端与木马的交互
图7.1 木马的工作原理
(8) 在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了https://www.doczj.com/doc/729178055.html,并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。
9).借助自动运行功能
其实硬盘也支持自动运行,你可尝试在D盘根目录下新建一个Autorun.inf,用记事本打开它,输入如下内容:
[autorun]
open=Notepad.exe
(10) 通过API HOOK启动
这种方法较为高级,通过替换系统的DLL文件,让系统启动指定的程序。例如:拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接,那么黑客就会替换这个DLL,当用户的应用程序调用这个API函数,黑客的程序就会先启动,然后调用真正的函数完成这个功能
11).通过浏览网页启动
通过此种途径有两种方法:
利用MIME漏洞:
MIME被称为多用途Internet邮件扩展(Multipurpose Internet Mail Extensions),是一种技术规范,原用于电子邮件,现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的,在它出现前,邮件内容如果包含声音和动画,就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准,而接收方必须经过解码才可以获得声音和图画信息
木马的隐藏性
1)、进程隐蔽
(2)、冒充为图像文件
(3)、合并程序欺骗
(4)、伪装成应用程序扩展组件
1)端口扫描
(2)查看连接:
netstat –a
Fport
mport
(3)查看进程/内存模块: pslist / listdlls
(4)检查注册表
(5)查找文件
(6)杀病毒/木马软件
木马技术的发展
1)、关端口
ICMP是IP协议的附属协议;
(2)、隐藏进程:远程线程技术
(3)、争夺系统控制权:提升权限
(4)、穿透防火墙
(5)、隧道技术:HTTP隧道
木马的示例—冰河
分析的基本工具有:
2 Regsnap :用于报告注册表及其它与文件系统有关项目的修改变化情况。
2 Fport :用于监视系统所开的端口。
Pslist:用于监视系统中正在运行的进程。
1.在装冰河服务器端之前:
2 用Regsnap 保存当前的注册表为文件regbefore.rgs
2 用Pslist 记录当前系统中运行的进程为文件psbefore.txt
2 用Fport 记录当前系统中开的端口为文件ptbefore.txt
2.在装冰河服务器端之后
2 用Regsnap 保存现在的注册表为文件reglater.rgs
2 用Pslist 记录现在系统中运行的进程为文件pslater.txt
2 用Fport 记录现在系统中开的端口为文件ptlater.txt
3.通过比较regbefore.rgs 和reglater.rgs 发现注册表的修改情况如下:
新增键值1个:
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\@
Value: String: "C:\WINNT\System32\sysdll32.exe"
修改键值2个:
2)HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@
旧值: String: "Notepad.exe %1"
新值: String: "C:\WINNT\System32\rnudll32.exe %1"
3)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices\@
旧值:
新值: String: "C:\WINNT\System32\sysdll32.exe"
发现在目录C:\WINNT\System32\下新增文件2个:rnudll32.exe 和sysdll32.exe 。
4. 通过比较psbefore.txt 和pslater.txt 发现新增进程1个:
Name Pid Pri Thd Hnd VM WS Priv
sysdll32 1560 8 5 47 28424 2848 1384
5. 通过比较ptbefore.txt 和ptlater.txt 发现新增端口1个:
木马
控制端发出 连接请求 控制端建立 木马建立
半连接 半连接 木马 控制端响应 响应 控制端建立 木马建立连接
连接 连接已建立 连接已建立 连接已建立 连接已建立
(a ) 反弹端口型木马的通信连接建立 (b ) 一般木马的通信连接建立 图7.2 木马通信连接的建立
Pid Process Port Proto Path
252 sysdll32 7626 TCP C:\WINNT\System32\sysdll32.exe
实例1:木马的配置,使用,和清除(全部手工操作)
在实现前应该首先将进程信息,模块信息,端口信息,服务信息备份。所有均为手工操作。
1,演示将木马hackxyl插入svchost.exe进程。
2,查看端口信息,netstat –an ,--a,--anb
3,查看任务模块信息,tasklist,tasklist /m,listdalls(额外的小程序)
4,查看服务信息,tasklist /svc
5,通过攻击者控制端来查看注册表(regedit)
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunServices
6,关闭进程,利用taskkill /s /f pid
利用进程的PID结束进程
命令格式:ntsd -c q -p pid
命令范例:ntsd -c q -p 1332 (结束explorer.exe进程)
利用进程名结束进程
命令格式:ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)
命令范例:ntsd -c q -pn explorer.exe
实例2:结合实例1练习木马PcShare的配置、运行、DLL插入过程。
一、木马运行之前,备份以下:
1)、端口信息,命令行下输入netstat -an >c:\BeforePort.txt,然后点击enter键。
2)、进程信息。命令行下输入tasklist >c:\BeforeTask.txt,然后点击enter键。
3)、进程模块dll信息。命令行下输入tasklist /m >c:\BeforeDll.txt,然后点击enter键。
4)、更详细的模块dll信息。需要额外的工具listdlls.exe,将他拖入命令行,接着输入>c:\beforeDetailDll.txt, 然后点击enter键。
5)、服务信息。命令行下输入tasklist /svc >c:\BeforeSvc.txt,然后点击enter键。
二、配置生成运行木马
三、运行木马以后,重新备份上述5个文件
1)、端口信息,命令行下输入netstat -an >c:\AfterPort.txt,然后点击enter键。
2)、进程信息。命令行下输入tasklist >c:\AfterTask.txt,然后点击enter键。
3)、进程模块dll信息。命令行下输入tasklist /m >c:\AfterDll.txt,然后点击enter键。
4)、更详细的模块dll信息。需要额外的工具listdlls.exe,将他拖入命令行,接着输入>c:\AfterDetailDll.txt, 然后点击enter键。
5)、服务信息。命令行下输入tasklist /svc >c:\AfterSvc.txt,然后点击enter键。
四、对比运行木马前后,发生的变化
1,对比所有端口、服务、进程、动态链接库、服务信息。2,清除删除dll文件、sys文件、drv文件
网络安全实验报告 冰河木马实验 网络10-2班 XXX 08103635 一、实验目的 通过学习冰河木马远程控制软件的使用,熟悉使用木马进行网络攻击的原理和方法。 二、实验内容 1、在计算机A上运行冰河木马客户端,学习其常用功能; 2、在局域网内另一台计算机B上种入冰河木马(服务器),用 计算机A控制计算机B; 3、打开杀毒软件查杀冰河木马; 4、再次在B上种入冰河木马,并手动删除冰河木马,修改注 册表和文件关联。 三、实验准备 1、在两台计算机上关闭杀毒软件; 2、下载冰河木马软件; 3、阅读冰河木马的关联文件。 四、实验要求 1、合理使用冰河木马,禁止恶意入侵他人电脑和网络; 2、了解冰河木马的主要功能; 3、记录实验步骤、实验现象、实验过程中出现的意外情况及
解决方法; 4、总结手动删除冰河木马的过程。 五、实验过程 作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。鉴于此,我们就选用冰河完成本次实验。 若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。 冰河控制工具中有三个文件:,,以及。 简单介绍冰河的使用。是监控端执行程序,可以用于监控远程计算机和配置服务器。是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件()的计算机可以对感染机进行远程控制。 冰河木马的使用: 1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。 6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
实 验 报 告 实验名称灰鸽子木马实验报告 课程名称网络安全 院系部:信息技术系专业班级:网络101 学生姓名:学号:20100901099
一、实验目的及要求: [目的] 1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。 [内容及要求] 1、练习软件的哪些功能,自己总结 2、通过实验了解灰鸽子是一款的远程控制软件。 3、熟悉使用木马进行网络攻击的原理和方法。 [试验环境] 虚拟机下安装组建一个局域网,2台安装了win2000/win2003/XP系统的电脑,灰鸽子木马软件。 二、实验方法与步骤: (1)打开虚拟机,开启windows server 2003 A 与 windows server 2003 B ,将其网络设备器设置在同一局域网内(例vmnet2)
(2)打开灰鸽子,并查看本机IP地址: (3)点击配置服务程序,新建一个木马病毒:
密码可设置也可不设置 (3)将生产的木马病毒设法放入目标主机,并使其运行: (原始木马样子) (4)目标主机运行后,本机灰鸽子显示其登录: 我们可对目标及进行,下载上传等基本运行 (5)还可以进行更深层次的控制,例如屏幕捕捉与控制,广播,关机开机,注册表的编辑等(看红框标识处):
(6)灰鸽子木马的伪装,木马捆绑器: 现今社会杀毒软件的辨识度已然很高,而人们的警惕度也越来越 高,木马若想成功的被目标主机运行,必然要做一定的伪装
生成一个可执行文件,虽然风险乜很高,但不失为一种方法! (6)木马分离器: 三、使用心得 (1)熟悉灰鸽子之后,我们了解了木马的强大以及危害之处,如何防范木马,是当今信息社会的一种不可不重视的问题。 计算机病毒泛滥尤以木马病毒为甚。木马病毒是一种远程控制程 序,“黑客”利用计算机系统和软件的漏洞将一段程序植入远端电脑后,可以借助其配套的控制程序来远程控制中毒
任务十木马演示 一、实验目的: 通过模拟演示木马程序,加深对恶意代码工作过程的理解,掌握恶意代码防范方法及清除方法。 二、实验环境: 两台预装WindowsXP的主机,通过网络互连 软件工具:冰河木马或灰鸽子木马 三、实验要求: 1.实训要求:使用冰河对远程计算机进行控制 2.实训步骤: (1)配置服务器程序:冰河的客户端程序为G-client.exe,在冰河的控制端可以对服务器端进行配置,如图1所示: 图1 冰河的安装路径、文件名、监听端口为:
图2 (2)传播木马:通过邮件、QQ等方式传播该木马服务器程序,并诱惑被攻击者运行改程序。 (3)客户端(控制端)操作:冰河的客户端界面如图3所示,冰河的功能是:自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息等 图3 (4)冰河木马的防御:中了该木马后,该计算机会主动打开端口等待控制端来连接。这样很容易被人发现,而安装了防火墙的计算机会阻止该计算机主动对外的连接。所以安装防火墙是对传统木马的有效防御。
(5)冰河木马的手工清除方法: A、删除C:\WINNT\system下的kernel32.exe和sysexplr.exe文件 B、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run 下键值为C:\WINNT\system\kernel32.exe C、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run 下键值为C:\WINNT\system\sysexplr.exe D、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,将中木马 后的C:\WINNT\system32\sysexplr.exe%1改为正常的C:\WINNT\notepad.exe%1即可恢复TXT文件关联功能。 3.编写总结报告
木马捆绑与隐藏 12.2.1背景描述 木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email或MSN等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。 12.2.2工作原理 1.木马捆绑 木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。 木马捆绑的手段归纳起来共有四种: (1)利用捆绑机软件和文件合并软件捆绑木马; (2)利用WINRAR、WINZIP等软件制作自解压捆绑木马; (3)利用软件打包软件制作捆绑木马; (4)利用多媒体影音文件传播。 2.木马隐藏 隐藏是一切恶意程序生存之本。以下是木马的几种隐藏手段: (1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。 (2)伪装成图像文件:即将木马图标修改成图像文件图标。
目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)
简介 冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。 在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。目的:远程访问、控制。选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT 文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。 一、基础篇(揭开木马的神秘面纱) 无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机, G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
实验二网络木马攻击实验 1.实现目的: 1.模拟网络木马攻击计算机,并对计算机实施控制; 2.理解木马是怎样植入一个计算机; 3.了解木马的危害,以及它是怎样挂载的. 2.实验步骤 1.先启动病毒网站的服务,然后合并好三个后台TXT文件,然后改成.htm格式,放在木马网站的文件夹下; 2.修改正常网站的html文件,加入标签,使其访问木马网站; 3.被攻击计算机首先设置好自己的协议分析器,对通信进行捕获; 4.被攻击计算机运行灰鸽子程序,生成木马网站的服务器程序,并将其与木马网站文件放在同一文件夹下; 5.使用被攻击计算机访问攻击计算机,访问了正常的网站时候,会执行包含有木马代码网站文件,至此木马攻击计算机,然后被攻击的一方会被攻击一方控制,如果攻击一方愿意的话. 3.实验截图分析 1.从端口监控来看,8000号端口已经打开.
工作. 3.winlogin进程也在进程监控视图中显示,说明有主机访问网站.
4.前面的几个截图充分显示了病毒攻击的前奏已经奏响.接下来可以利用植入的木马程序对被攻击的主机进行操作,操作包括文件控制等.以下是修改文件的操作截图. 首先,我们可以查看到被攻击的主机上有一个文件.
然后,我们可以打开此文件,并输入”this is ok!”. 下图是被攻击方的屏幕对比.
4.实验体会 首先,不得不说一下,真的是第一次终于成功完成了实验要求.能够操作对方的机器真的是非常过瘾,而且还是利用木马的攻击的方法.终于体验到了什么是木马,近距离地看到了木马.因为,以前对于木马的了解只是停留于感性的认识,偶尔的从杀毒软件中查杀到木马,大概了解到世界上还有一种叫木马的东西.可是,自己却不知道什么才是木马,它是怎么工作的,它能带来哪些危害,这一些,在这一次实验课都得到了回答.特别是了解到了木马的基本入侵流程,让我对于安全防范有了进一步的认识.真希望以后可以有更多类似于此的实验内容,或者不仅仅是实验,而是实战.从课本上能学到的毕竟有限,自己以后课堂下也要多多努力.
南昌航空大学实验报告 二〇一三年十一月八日 课程名称:信息安全实验名称:实验1木马攻击与防范 班级:xxx 姓名:xxx 同组人: 指导教师评定:签名: 一、实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1.木马的特性 木马程序为了实现其特殊功能,一般应该具有以下性质: (1)伪装性(2)隐藏性(3)破坏性(4)窃密性 2.木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,攻击者可以利用浏览器的漏洞诱导上网者单击网页,这样浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,获得控制权限,然后在被攻击的服务器上安装并运行木马。3.木马的种类 (1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒;第2代木马是网络传播型木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。 (2)按照功能分类,木马又可以分为:破坏型木马;密码发送型木马;服务型木马;DOS 攻击型木马;代理型木马;远程控制型木马。 4.木马的工作原理 下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。 (1)木马的传统连接技术;C/S木马原理如图1-1所示。第1代和第2代木马都采用的是C/S连接方式,这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。 (2)木马的反弹端口技术;随着防火墙技术的发展,它可以有效拦截采用传统连接方式。但防火墙对内部发起的连接请求则认为是正常连接,第3代和第4代“反弹式”木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式连接到木马的客户端,如图1-2和图1-3所示。
实验八木马病毒清除实验 1.实验目的 (1)熟悉BO2K木马的源代码。 (2)熟悉BO2K木马的原理和用法 2.实验所需条件和环境 1、硬件HPDX2358 2、Windows32操作系统,Visual Studio 7.0 编译环境 3.实验步骤 1、从随书资源目录\Experiment\Antitrojan\,文件为Antitrojan.sln为工程文件,使用 Antitrojan.exe观察效果。 2、设计思路:
1. 设计 1.1功能 本程序利用开放主机端口号和各个木马程序使用端口的对应关系,判断主机是否已中木马,中了何种木马(目前能查找一百余种),并能根据所中木马的类型,对其中的二十几种进行杀灭。此外,用户可自行追加数据库,增加能查找病毒的种类。 1.2程序流程 1.3核心数据结构 本程序的数据文件Trojan.txt使用了TROJAN结构来保存木马的名称,对应打开端口号和查杀代码: TROJAN: 字段名称字段类型字段说明 nPort 数字该木马所使用的端口号。 TroName 字符串该木马的名称。 nKillno 数字该木马的查杀号,杀除函数调用。 pnext 指针用于构成链表结构指针 在Trojan.txt中,每行为一个木马项,格式为 2. 关键技术 2.1技术背景 一般情况下,特定木马在运行时都会打开特定的端口和主控端进行通信,利用木马的这个特征,我们可以通过建立一个已知木马的名称和其使用端口的对应数据库来检测主机是否感染了木马,一旦得知了木马名称,就可以调用针对此木马的杀灭手段进行消除。本程序就是利用了木马这样的特性进行编写,在windows系统中,netstat命令可以很轻松的取得本地打开端口的列表,我们可以在程序中用system函数调用此命令,并读取保存的结果,就可以取得主机所有打开的端口(包括tcp和udp)。 对于杀除木马,通常通过以下一系列手段进行: 消灭主机中运行的木马进程。 消灭主机中存在的木马文件。 删除木马在主机注册表中添加的项。 删除木马在其他文件中添加的自启动项。 2.2技术细节 netstat命令有一个很强大的参数-a,使用了这个参数,我们可以获得主机所有开放的端口,包括tcp端口和udp端口,也包括活动的和非活动的端口。通过在VC中使用system("netstat -a >c:\\log.txt")函数,我们可以将netstat命令获得结果保存在c:\log.txt中,随即读取此文件,通过数据过滤,得到本地主机所有的开放端口。 在过滤log.txt数据的过程中,由于保存的格式都是: 所以我们要调用gethostbyaddr函数来获得主机名 返回的HOSTENT就包括主机名,当传入的地址是空指针时,函数就返回本地主机的名称。而当我们取得主机名后,就可以根据log.txt的格式获的各个打开得端口了。
实验指导5 木马攻击与防范实验 1.实验目的 理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 2.预备知识 2.1木马及木马技术的介绍 (1)木马概念介绍 很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。 (2)木马的反弹端口技术 由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。 (3)线程插入技术 木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。这样木马的攻击性和隐藏性就大大增强了。 2.2木马攻击原理 特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
兰州商学院陇桥学院信息工程系 课程实验报告 课程名称:信息安全技术 班级:2011级信息管理与信息系统班 学号:20110651123 姓名:潘存利 指导教师:于泳海 2014年12 月20日
《信息安全》实验报告(一) 实验名称:______________指导教师:_______完成日期:__________ 专业:_______________班级:_________姓 名: _________ 二、实验内容: 1、编程实现凯撒密码的加密和解密。 要求:既可以进行加密转换,也可以进行 解密转换。程序参考界面如右所示。可以使用任 何编程工具,能处理英文即可。 2、(选做)编程实现维吉尼亚密码的加密 和解密。 要求:既可以进行加密转换,也可以进行 解密转换。程序参考界面如右所示。可以使用任 何编程工具,能处理英文即可。 三、程序设计说明:(实现步骤、算法设计思路、 流程 图等) 1.实现步骤 (1)首先建立相应的界面做好准备工作,如下图所示 (2)首先在加密按钮下添加相应的代码 private void button1_Click(object sender, EventArgs e) { string 明文字母表="abcdefghijklmnopqrstuvwxyz"; string 密文字母表 = "defghijklmnopqrstuvwxyzabc"; string 明文 = textBox1.Text; for (int i = 0; i <明文.Length; i++) { string 要加密字母 = 明文.Substring(i, 1); int 位置 = 明文字母表.IndexOf(要加密字母); string 加密后字母 = 密文字母表.Substring(位置, 1); 凯撒密码的实现 于泳海 2014-09-12 11信本 潘存利 信息管理与信息系统
实验六服务器的安全配置及木马攻击实验 【实验目的】 1.学会用软件工具监视并控制其他电脑 2.了解服务器安全配置的基本方法 【实验内容】 1.用冰河黑客工具监视并控制另一台电脑 2.服务器的安全配置 【实验步骤】 (一)用冰河黑客工具监视并控制另一台电脑 1.配置服务器端程序。解压“冰河”程序,在控制端计算机上执行客户端 监控程序G_Cli-ent.exe,选择“设置”一“配置服务器程序”命令,设置访问口令、将动态IP 发送到指定信箱、邮件通知内容、关联文件类型、改变监听端口等,将服务器端程序G_Server.exe 安装到被监控端计算机上。 2.配置客户端程序。执行G_Client.exe,选择“文件”一“添加主机”命令, 添加要控制的远程计算机名、地址访问口令等,单击“确定”按钮,这时就可以查看被监控端计算机的信息。 3.搜索装有“冰河”程序的计算机。选择“文件”一“自动搜索”命令,
输入监听的端口号、起始城等,单击“开始搜索”按钮,G_Client 可以搜索到指定子网内安装有G_Server.exe“冰河”程序的计算机。 4.控制被监控的计算机屏幕。选择“文件”一“屏幕控制”命令,单击“确定”按钮,可以在本地计算机上对远程计算机进行操作。 5.操作被监控计算机的文件。执行G_Client.exe,在“文件管理器”中可以看到被监控的计算机磁盘目录,可以对远程计算机执行复制、文件下载等操作。 6.获取被监控计算机的口令。在“命令控制台”中选择“口令类命令”选项,可以看到被监控计算机的系统信息及口令、历史口令、击键记录等。
(一)服务器安全配置 1.严格控制硬盘读写权限、用户的用户与密码要足够复杂、取消系统 默认的共享文件夹。开启系统的防火墙,安装齐全最新的系统补丁。系统防火墙的管理界面,在右击“本地连接”——“属性”——“高级” 2.在网络设备甚至在服务器,限制敏感端口的访问,例如,修改Tcp 的1433端口、UDP的1434端口,修改远程登陆默认的端口号3389;甚至只允许个别IP能访问服务器。Tcp的1433端口、UDP的1434端口,是SQL数据库默认使用端口,也是病毒木马攻击的常见入口,必须要修改。 3.只允许安装正版软件,干净来源的软件。安装强大的杀毒软件和安 全卫士,作为检测、系统优化等用途。没有免费的午餐。那些绿色或第三方的,大多有暗捆绑,很容易带来病毒与木马。
网络安全课程设计报告 题目:冰河木马 专业物联网工程 学号 13002724 姓名赵鹏 指导教师孟超 日期 2015-10-22
评 分分 细 评分项优秀良好中等差遵守机房规章制度 实验原理分析与设计 课题功能实现情况 设计验收与答辩 课程设计报告书 写 简 短 评 语 教师签名: 年月日评 分 等 级 备 注
一、实验目的 (1)构建一个安装冰河木马服务器端程序的环境,利用客服端对服务器进行入侵或攻击; (2)利用网络安全工具或设备对入侵与攻击进行检测 二、实验要求 键盘记录, 定时把邮件内容成功发送到某邮箱中, 关闭某些防火墙和杀毒软件,开机自动隐藏运行, 开启2233端口取得CMD权限,实现对目标机器的文件操作, 开启3389端口,并替换系统目录下的sethc.exe为cmd.exe, 实现登录不要密码, 添加管理员等功能 三、实验过程 (1)攻击,入侵目标主机首先运行G_Client.exe,扫描主机。查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“10.100.122.1”至“10.100.122.255”网段的计算机,应将“起始域”设为“10.100.122.1”,将“起始地址”和“终止地址”分别设为“1”和“255”然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。选择可以入侵的主机。
(2)击键记录 选择目标主机后,点击命令控制台下击键记录,可以对目标主的键盘使用记录实现监控 (3)并定时把邮件内容成功发送到某邮箱中
(4)关闭防火墙和杀毒软件, (5)开机自动隐藏运行,
特洛伊木马 特洛伊木马(Trojan Horse)又称木马,是一种通过各种方法直接或者间接与远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。 通常木马并不被当成病毒,因为它们通常不包括感染程序,因而并不自我复制,只是靠欺骗获得传播。现在,随着网络的普及,木马程序的危害变得十分强大,概括起来,木马的危害有:窃取数据、接受非授权操作者的指令、篡改文件和数据、删除文件和数据、施放病毒、使系统自毁、远程运行程序、跟踪监视对方屏幕、直接屏幕鼠标控制,键盘输入控制、监视对方任务且可以中止对方任务、锁定鼠标键盘和屏幕、远程重启和关机、远程读取和修改注册表、共享被控制端的硬盘等。 远程控制概述。要了解木马,首先应了解远程控制。所谓远程控制,是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,联通需被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。这里的远程不是字面意思的远距离,一般指通过网络控制远端电脑。早期的远程控制往往指在局域网中的远程控制而言,随着互联网的普及和技术革新,现在的远程控制往往指互联网中的远程控制。当操作者使用主控端电脑控制被控端电脑时,就如同坐在被控端电脑的屏幕前一样,可以启动被控端电脑的应用程序,可以使用或窃取被控端电脑的文件资料,甚至可以利用被控端电脑的外部打印设备(打印机)和通信设备(调制解调器或者专线等)来进行打印和访问外网和内网,就像利用遥控器遥控电视的音量、变换频道或者开关电视机一样。不过,有一个概念需要明确,那就是主控端电脑只是将键盘和鼠标的指令传送给远程电脑,同时将被控端电脑的屏幕画面通过通信线路回传过来。也就是说,控制被控端电脑进行操作似乎是在眼前的电脑上进行的,实质是在远程的电脑中实现的,不论打开文件,还是上网浏览、下载等都是存储在远程的被控端电脑中的。远程控制必须通过网
首都经济贸易大学信息学院实验报告 实验课程名称网络安全技术 首都经济贸易大学信息学院计算机系制
实验报告 学号:实验地点:3机房 姓名:实验时间: 一、实验室名称:网络安全实验 二、实验项目名称:冰河木马攻击 三、实验原理: 原理:特洛伊木马(简称木马),是一种基于远程控制的黑客工具,具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能相似。但木马有一些明显的特点,例如,它的安装和操作都是在隐蔽之中完成。攻击者经常将木马隐蔽在一些游戏或小软件中,诱使粗心的用户在自己的机器上运行。最常见的情况是,用户从不正规的网站下载和运行了带恶意代码的软件,或者不小心点击了带恶意代码的邮件附件。 大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上,只要用户运行被绑定的合法软件,木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,木马的服务器部分是可以定制的,攻击者可以定制的项目一般包括服务器运行的IP端口号,程序启动时机、如何发出调用、如何隐身、是否加密。另外,攻击者还可以设置登录服务器的密码,确定通信方式。木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。 木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样用户即使发现感染了木马,也很验证找到并清除它。木马的危害越来越大,保障安全的最好办法就是熟悉木马的类型、工作原理,掌握如何检测和预防这些代码。常见的木马,例如冰河、Netbus、网络神偷等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置木马监听的端口、运行方式,以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其他攻击者开发附加的功能。冰河在国内一直是不可动摇的领军木马,有人说在国内没有用过冰河的人等于没用过木马。冰河木马的目的是远程访问、控制。该软件主要用于远程监牢,具体功能包括: (1)自动跟踪目标机屏幕变化,同时完全模拟键盘及鼠标输入,即在同步变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 (2)记录各种口令信息。包括开机口令、屏保口令、各种虚伪补齐诼绝大多数在对话框中出现过的口令信息,且1.2以上的版本中允许用户对该功能自行扩充,2.0以上的版本还同时提供了击键记录功能。 (3)获取系统信息。包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当
实验6 特洛伊木马 6.1 实验类型 综合型,2学时 6.2 实验目的 理解木马工作的原理;掌握典型的木马清除方法。 6.3 实验要求与内容 (1)利用灰鸽子木马模拟木马的工作流程,要求能够完成以下任务: ●生成木马服务端,尽可能的生成能诱惑用户的服务端,比如修改安装路径, 修改图标,修改服务端名称,修改服务名称等。 ●控制对方电脑,要求能够浏览对方的文件,修改对方的注册表,终止对方的 进程,捕获对方的屏幕等操作 (2)清除木马,受害者根据灰鸽子木马的原理清除掉本机上的木马,包括程序,服务等 6.4 实验设备 ●两人合作完成,其中一人为控制端,另一人为服务器端 ●灰鸽子远程控制2007VIP疯狂魔鬼破解版 ●Windows XP Professional作为客户操作系统(Guest OS),要求关闭防火墙功能 6.5 相关知识 1.什么是木马(Trojan)? ?基于远程控制的黑客工具 ?恶意程序,非法获取授权权限,肆意篡改用户电脑中的文件,注册表,控制鼠标,截取用户信息 ?木马一般是C/S(客户/服务器)结构,控制程序处于客户端,被控制程序处于服务器端。 2.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。 配置程序 木马程序 控制程序
3.木马实施入侵的基本步骤 4.特洛伊木马具有如下特性: 隐蔽性,主要体现在意下几个方面: (1)启动的隐蔽性 (2)运行的隐蔽性 (3)通信的隐蔽性 开机自动运行 欺骗性,比如JPEG 木马 自动恢复,多重备份,相互恢复 非授权 5. 木马按照传输方式进行分类: 主动型 反弹端口型:木马服务器主动连接控制端端口,一般去连接80端口 嵌入式木马 6. 6.6 实验指导 特别注意:本次实验需要分析的病毒具有破坏性,仅限于信息安全实验室内使用。请严格遵守《信息安全实验室操作规程》,切勿拷贝、传播等,否则后果自负。 6.6.1 特洛伊木马的配置步骤 1)生成服务端 点击“配置服务程序”,在“IP 通知HTTP 地址”那一栏填入控制端的IP 地址(这里一定要填正确,否则木马不能上线,IP 地址是以10开头的),通过设置“安装选项”,“启动项设置”等可以构造出迷惑用户的木马服务端程序。 木马信息控制端Internet 服务端 ①配置木马②传播木马 ③运行木马④信息反馈⑤建立连接 ⑥远程控制
实验报告 实验名称网络攻防综合实验指导教师李曙红 实验类型设计实验学时 2 实验时间2016.06.29 一、实验目的 1. 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容: (1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击; (2) 利用网络安全工具或设备对入侵与攻击进行检测; (3) 能有效的对漏洞进行修补,提高系统的安全性,避免同种攻击的威胁。 2 网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面,对学生的综合实验能力进行考核与评分,具体评分标准参考“评分标准”文档。 二、实验要求 1.2人一组,要求每人分工不同,例如一人负责网络攻击,一个负责网络防范。在实验过程和实验报告中要 体现两人的不同分工。 2.每组独立设计完成实验,不能雷同。 3.实验过程中以下三个阶段需上机演示给指导老师察看:完成网络攻击、检测到攻击、完成网络防范。 4.完成实验报告,能解释在实验使用到的技术或工具的基本原理。 三、实验环境 可以自由使用信息安全实验室的PC机,局域网,Linux服务器,Windows 服务器,防火墙,入侵检测系统等。
四、实验设计方案、实验过程及实验结果 作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。鉴于此,我们就选用冰河完成本次实验。 若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。 冰河控制工具中有三个文件:Readme.txt,G_Client.exe,以及G_Server.exe。 Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。 冰河木马的使用: 1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。 6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。 7、发送信息:以四种常用图标向被控端发送简短信息。 8、点对点通讯:以聊天室形式同被控端进行在线交谈等。 实验过程: 一、攻击 1、入侵目标主机 首先运行G_Client.exe,扫描主机。 查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“10.1.13.1”至“10.1.13..255”网段的计算机,应将“起始域”设为“192.168.1”,将“起始地址”和“终止地址”分别设为“1”和“255”(由于我们是在宿舍做的,IP地址在100~120之间),然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。
利用IPC$植入木马实验 班级:113801 姓名:崔征 学号:080223
实验环境: 本机系统XP 或win7,虚拟机运行XP 或win003。 实验软件: 冰河2.2 实验目的: 掌握这类病毒入侵计算机的基本方法 实验内容: Ipc$是windows 操作系统专有的远程管理工具,但由于其在相对应的安全策略上有漏洞,导致在整个windows 中存在巨大的隐患。本实验就是通过利用Ipc$向目标计算机(windowsXP 或windows2003)植入冰河木马来达到远程控制对方计算机,让大家了解windows 安全策略的重要性。 实验准备: VM 中运行windowsXP 或2003,充当被控制机器,本机 充当攻击者,本机准备冰河木马软件,关闭两个机器的防火墙,关闭 两个机器的杀毒软件。配置虚拟机网卡连接到本机的Vnet1 网卡上,配置内外网络畅通,本例内部计算机地址为192.168.242.130。 实验步骤: 步骤1: 配置VM 计算机的安全策略,使攻击能顺利进行。 这个账户策略中指定administrator 在空白密码时只能进行控制台登陆,如果不关闭这个选项,则Ipc$攻击无法进行。所以这个策略在我们的计算机上一定要打开!
将网络访问:本地账户的共享和安全模式调整为经典模式,这样在登录时可以使用管理员账户获取到最大权限,否则只能以guest 模式运行,导致文件无法上传。 步骤2: 在攻击计算机上的命令行方式执行以下命令:注意net 和use,use 和\\中有空格,另一个空格在/user 前。
如果策略只允许控制台登录,攻击将得到上述信息,则攻击失败。 如果策略调整过后,则得到以下信息,表示连接建立成功。 此时,我们将可以直接向默认开放的共享目录上传木马。 如果你想知道机器都开有什么样的默认共享,请使用下述命令查看。注意:带$的都是系统默认的共享,即使你没有共享! 步骤3:向admin$下上传冰河木马主程序g_server.exe