作为行业内唯一被文化部颁发“国家文化产业示范基地”的品牌——神采飞扬(公司网址https://www.doczj.com/doc/1714617776.html,/,企业微信号:scfymmwg)。现旗下儿童室内游乐品牌“木马王国”,以白龙马(马小龙)为品牌形象代表,专注于为2-12岁的儿童打造健康、安全的大型室内主题游乐园。作为万达广场、银泰城、印象城等大型城市综
合体的长期合作伙伴。现面向全国拓展直营门店,需求1000-3000平方米,层高5米,位于购物中心或城市综合体一至三层,租赁面积内必须有儿童独立的消防疏散楼梯。
网络安全实验报告 冰河木马实验 网络10-2班 XXX 08103635 一、实验目的 通过学习冰河木马远程控制软件的使用,熟悉使用木马进行网络攻击的原理和方法。 二、实验内容 1、在计算机A上运行冰河木马客户端,学习其常用功能; 2、在局域网内另一台计算机B上种入冰河木马(服务器),用 计算机A控制计算机B; 3、打开杀毒软件查杀冰河木马; 4、再次在B上种入冰河木马,并手动删除冰河木马,修改注 册表和文件关联。 三、实验准备 1、在两台计算机上关闭杀毒软件; 2、下载冰河木马软件; 3、阅读冰河木马的关联文件。 四、实验要求 1、合理使用冰河木马,禁止恶意入侵他人电脑和网络; 2、了解冰河木马的主要功能; 3、记录实验步骤、实验现象、实验过程中出现的意外情况及
解决方法; 4、总结手动删除冰河木马的过程。 五、实验过程 作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。鉴于此,我们就选用冰河完成本次实验。 若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。 冰河控制工具中有三个文件:,,以及。 简单介绍冰河的使用。是监控端执行程序,可以用于监控远程计算机和配置服务器。是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件()的计算机可以对感染机进行远程控制。 冰河木马的使用: 1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。 6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
甘肃政法学院 本科学生实验报告 实验课程:安全扫描技术 实验名称:冰河木马的入侵和防御 计算机科学学院计算机科学与技术专业 09 级计算科学与技术本科班 学号:_ 姓名:_____ __ 指导教师:____李启南_ 成绩:_____________ 完成时间:2011年9月21日
一、实验名称 冰河木马的入侵和防御 二、实验目的 通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机,植入木马程序,控制远程主机。 通过入侵实验理解和账务木马的传播和运行机制,动手查杀木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 三、实验内容 安装、卸载、使用冰河木马。 四、实验原理 冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。冰河木马程序属于第二代木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制。 木马是隐藏在正常程序中的具有特殊功能的恶意代码,它可以自动启动并在某一端口监听来自控制端的控制信息。 一般木马都采用C/S运行模式,即分为两部分:客户端和服务端木马程序。当服务器端程序在目标计算机上执行后会打开一个默认端口监听,而客户端向服务器端秘密提出连接请求,获取服务器端的相关信息。 五、实验平台 冰河ROSE 版。 两台装有Windows 2000/XP/7系统的计算机,机房局域网。 六、实验步骤 1、在服务器端计算机上运行冰河服务器程序G_Server.exe。 2. 连接登陆远程主机。 在另一台计算机上打开冰河木马程序客户端,如图1所示。 图1 冰河木马程序客户端 选择“文件—>搜索计算机”,如图2所示设置起始域,起始地址和终止地址,
版本:GLACIERXP-VER08-40-0628-BETA1 ICETEAM 倾情制作,请合法使用,谢谢! “冰河”[NEWFUN 专版] 使用说明 软件功能概述: 该软件主要用于远程监控,具体功能包括: 1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同 步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝 大多数在对话框中出现过的口令信息,且1.2以上的版本中允许用户对该功能自 行扩充,2.0以上版本还同时提供了击键记录功能; 3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作 系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据; 4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统 热键及锁定注册表等多项功能限制; 5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件 压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正 常方式、最大化、最小化和隐藏方式)等多项文件操作功能; 6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写 等所有注册表操作功能; 7.发送信息:以四种常用图标向被控端发送简短信息; 8.点对点通讯:以聊天室形式同被控端进行在线交谈。 本次改版主要是修正了以往各版中的已知问题(如'屏幕控制'和'邮件通知' 中的一些BUG),并增加了一些小功能,该版本在Windows 9X/NT下测试正常,且与2.0以后版本完全兼容。 一.文件列表: 1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装,可任意改 名),在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特 殊配置,例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等);
目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)
简介 冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。 在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。目的:远程访问、控制。选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT 文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。 一、基础篇(揭开木马的神秘面纱) 无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机, G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
第6章特洛伊木马 6.7 实验 6.7.1 远程控制型木马的使用 1. 实验目的 熟悉利用远程控制型木马进行网络入侵的基本步骤,分析冰河木马的工作原理,掌握常见木马的清除方法,学会使用冰河陷阱。 2. 实验内容与要求 (1) 实验按2人一组方式组织,各自实验主机作为对方的控制目标。 (1) 使用冰河客户端G_Client.exe对冰河服务器程序G_Server.exe进行配置,然后感染局域网中的某台主机。 (3) 在感染冰河木马的主机上进行检查,判断对木马的配置是否生效;主要检查项包括:木马的监听端口是否为所设置的端口;木马的安装路径是否为所设置的路径;木马进程在进程列表中所显示的名称是否与设置相符;如果为木马设置了访问口令,是否必须通过设定的口令才能够对木马实施远程控制。 (4) 在感染主机上验证冰河的文件关联功能,将木马主程序删除,打开关联的文件类型,查看木马主程序是否会被恢复。 (5) 使用冰河客户端对感染冰河的主机实施远程控制,在感染主机上执行限制系统功能(如远程关机、远程重启计算机、锁定鼠标、锁定系统热键、锁定注册表等)、远程文件操作(创建、上传、下载、复制、删除文件或目录)以及注册表操作(对主键的浏览、增删、复制、重命名和对键值的读写操作等)。 (6)采用手工方法删除冰河木马,主要步骤包括:①检查系统文件,删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。②如果冰河木马启用开机自启动,那么会在注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Run中扎根。检查该注册表项,如果服务器程序的名称为KERNEL32.EXE,则存在键值C:/windows/system/Kernel32.exe,删除该键值。③检查注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices,如果存在键值C:/windows/system/Kernel32.exe的,也要删除。④如果木马设置了与文件相关联,例如与文本文件相关联,需要修改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command 下的默认值,由感染木马后的值:C: /windows/system/Sysexplr.exe %1改为正常情况下的值:C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。完成以上步骤后,依据端口和进程判断木马是否清除。 (7) 使用冰河陷阱清除冰河木马,在此基础上,利用冰河陷阱的伪装功能来诱捕入侵者。运行冰河陷阱后,使主机系统完全模拟真正的冰河服务器程序对攻击者的控制命令进行响应,使攻击者认为感染机器仍处于他的控制之下,进而观察攻击者在主机上所进行的攻击操作。 3. 实验环境 (1) 实验室环境,所有主机需禁用杀毒软件。 (2) 冰河木马客户端程序G_Client.exe,冰河木马服务器程序G_Server.exe,冰河陷阱。 6.7.2 编程实现键盘记录功能 1. 实验目的 掌握木马的键盘记录功能的编程实现技术。 2. 实验内容与要求 (1) 调试6.2.6节给出的keylogger.py程序。
本科实验课程报告 (2016至2017学年第1学期) 课程名称:网络信息安全 专业名称: 行政班级: 学号: 姓名: 指导教师:赵学民 报告时间:年月日
实验一:分组密码-DES实验 实验地点:实验日期:成绩: 1、实验目的 通过用DES算法对实际的数据进行加密和解密来深刻了解DES的运行原理2、实验要求 编程实现DES密码。 3、实验原理 DES对64(bit)位的明文分组M进行操作,M经过一个初始置换IP置换成m0,将m0明文分成左半部分和右半部分m0=(L0,R0),各32位长。然后进行16 轮完全相同的运算,这些运算被称为函数f,在运算过程中数据与密匙结合。经过16轮后,左,右半部分合在一起经过一个末置换 DES算法框图 4、实验步骤 1、打开控制台,进入L001001013xp01_1虚拟环境。
2、使用默认用户名administrator,密码:123456登录到windows xp系统。 3.桌面找到Visual C++ 6.0双击打开 4.点击“文件”——“新建” 5.创建一个win32控制台工程,工程名称和位置自定。 6.左侧工作区,选择“FileView”选项卡。
7.右键工程文件名称,选择“添加文件到工程”。可到d:\tools\51elab1007B\des 中找到相关代码(G_des.c,test.cpp,des.h)。 8.根据原理编写程序,并编译运行(依次点击下图左起三个显性按钮进行编译、建立、运行)。 7、依次按要求输入qwqw、wq、回车、qw,对实验进行验证。 5、实验结果及总结
实验二:文件加解密实验 实验地点:实验日期:成绩: 1、实验目的 熟悉用对称加密的方法加密和解密,学会使用工具OpenSSL,熟悉利用RSA非对称密钥对文件进行加密与解密。 2、实验要求 使用工具OpenSSL,熟悉利用RSA非对称密钥对文件进行加密与解密。 3、实验原理 对称加密原理 对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 RSA非对称加解密算法原理。 RSA密码体制描述: (1).密钥的生成 选择p,q,p,q为两个大的互异素数,计算n=p*q, j(n)=(p-1)(q-1), 选择整数e使gcd(j(n),e)=1,(1 “冰河”木马的攻击与防范 林楚金班级(YL03) 0930103238 前言 随着网络的日益发展,通过网络攻击的手段也变得复杂多样,有组织,有预谋,有目的的攻击,破坏活动也频繁的发生,攻击点也越来越精确集中,攻击破坏的影响面不断扩大,甚至产生连锁反应,所以,我们必须要构筑一种主动的安全防御,才有可能最大限度地有效应对各种不同的攻击方式。接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。在此之前,先简单的介绍一下什么是特洛伊木马…… 目录 一、什么是木马 (3) 二、“冰河”木马的简介 (6) 三、“冰河”木马工作原理 (7) 四、“冰河”木马工作过程或步骤流程 (8) 五、“冰河”木马功能或后果 (17) 六、“冰河”木马防范手段与措施 (18) 什么是木马 1、木马的基础 特洛伊木马(TrojanHorse)简称“木马”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。 在计算机领域中,木马其实就是类恶意程序。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,病毒是一自我复制为明确目的的编写代码,它附着宿主程序,然后试图在计算机之间传播,会对硬件、软件和信息造成破坏。而“木马”不会自我繁殖,也不会刻意的去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被施种者电脑的门户,使施种者可以任意损坏、窃取被施种者的文件,甚至远程控制被施种者的电脑。“木马”与常用的远程控制软件不同,远程控制软件是善意的控制,不具有隐蔽性;“木马”正好相反,它是以“偷窃”为目的的远程控制,具有很强的隐蔽性。 一个完整的“木马”程序包括“服务器”和“控制器”两部分。被施种者的电脑是“服务器”部分,而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使施种者可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 2、木马的特性和功能 木马一般具有以下几个特性: ●伪装性(木马程序善于改头换面) ●潜伏性(等控制端的信号) ●隐蔽性(一般人不易发觉) ●不易删除(深藏于各个系统文件中) 网络安全课程设计报告 题目:冰河木马 专业物联网工程 学号 13002724 姓名赵鹏 指导教师孟超 日期 2015-10-22 评 分分 细 评分项优秀良好中等差遵守机房规章制度 实验原理分析与设计 课题功能实现情况 设计验收与答辩 课程设计报告书 写 简 短 评 语 教师签名: 年月日评 分 等 级 备 注 一、实验目的 (1)构建一个安装冰河木马服务器端程序的环境,利用客服端对服务器进行入侵或攻击; (2)利用网络安全工具或设备对入侵与攻击进行检测 二、实验要求 键盘记录, 定时把邮件内容成功发送到某邮箱中, 关闭某些防火墙和杀毒软件,开机自动隐藏运行, 开启2233端口取得CMD权限,实现对目标机器的文件操作, 开启3389端口,并替换系统目录下的sethc.exe为cmd.exe, 实现登录不要密码, 添加管理员等功能 三、实验过程 (1)攻击,入侵目标主机首先运行G_Client.exe,扫描主机。查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“10.100.122.1”至“10.100.122.255”网段的计算机,应将“起始域”设为“10.100.122.1”,将“起始地址”和“终止地址”分别设为“1”和“255”然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。选择可以入侵的主机。 (2)击键记录 选择目标主机后,点击命令控制台下击键记录,可以对目标主的键盘使用记录实现监控 (3)并定时把邮件内容成功发送到某邮箱中 (4)关闭防火墙和杀毒软件, (5)开机自动隐藏运行, 入 侵 检 测 试 验 实验名称:_ 冰河木马的使用 1.实验目的 本次实验学习冰河木马远程控制软件的使用,通过实验可以了解木马和计算机病毒的区别,熟悉使用木马进行网络攻击的原理和方法。 2.实验原理 木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。木马与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是善意的控制,因此通常不具有隐蔽性;木马则完全相反,木马要达到的是偷窃性的远程控制。 它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是服务器部分,而黑客正是利用控制器进入运行了服务器的电脑。运行了木马程序的服务器以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。 3.实验环境 装有Windows 2000/XP系统的计算机,局域网或Internet,冰河木马软件(服务器和客户端)。 4. 实验步骤 (一)、解压冰河木马,得到两个文件,其中G_Server.exe为服务器端程序,放在被攻击的主机上,g_client.exe为客户端软件,用于操作目标主机: 实验一系统安全设置 [实验目的和要求] 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 [实验容] 1、本地安全策略 2、资源共享 3、管理安全设置 [实验步骤] 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”,如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看:哪些用户不可以在本地登录?哪些用户可以从网络访问计算机?哪些用户可以关闭计算机? 答:分别见图1-2,1-3和1-4。 图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看:如何使计算机在登录前必须按“CTRL+ALT+DEL”?未签名驱动程序的安装是如何设置的?如何禁止网络用户访问CD-ROM? 答:找到“交互式登录:不需要按CTRL+ALT+DEL”,双击打开,选择“已禁用(S)”后单击“确定”按钮。 找到“设备:未签名驱动程序的安装操作”,在下拉菜单中选择“允许安装但发出警告”,单击“确定”按钮即可。 找到“设备:只有本地登录的用户才能访问CD-ROM”,打开选择“已启用(E)”,点击“确定”按钮即可。 二、文件共享 如何设置共享文件,并通过网上邻居访问共享文件? 设置共享文件: 方法一:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。 选择你要共享的文件,右击选择“属性”,打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便,你认为哪些设置必需放开?而哪些设置又可能引起安全问题? 我认为对于网络的大部分设置应设为启用可方便浏览网页;对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思?如何让某个应用程序不受防火墙限制? 首都经济贸易大学信息学院实验报告 实验课程名称网络安全技术 首都经济贸易大学信息学院计算机系制 实验报告 学号:实验地点:3机房 姓名:实验时间: 一、实验室名称:网络安全实验 二、实验项目名称:冰河木马攻击 三、实验原理: 原理:特洛伊木马(简称木马),是一种基于远程控制的黑客工具,具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能相似。但木马有一些明显的特点,例如,它的安装和操作都是在隐蔽之中完成。攻击者经常将木马隐蔽在一些游戏或小软件中,诱使粗心的用户在自己的机器上运行。最常见的情况是,用户从不正规的网站下载和运行了带恶意代码的软件,或者不小心点击了带恶意代码的邮件附件。 大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上,只要用户运行被绑定的合法软件,木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,木马的服务器部分是可以定制的,攻击者可以定制的项目一般包括服务器运行的IP端口号,程序启动时机、如何发出调用、如何隐身、是否加密。另外,攻击者还可以设置登录服务器的密码,确定通信方式。木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。 木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样用户即使发现感染了木马,也很验证找到并清除它。木马的危害越来越大,保障安全的最好办法就是熟悉木马的类型、工作原理,掌握如何检测和预防这些代码。常见的木马,例如冰河、Netbus、网络神偷等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置木马监听的端口、运行方式,以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其他攻击者开发附加的功能。冰河在国内一直是不可动摇的领军木马,有人说在国内没有用过冰河的人等于没用过木马。冰河木马的目的是远程访问、控制。该软件主要用于远程监牢,具体功能包括: (1)自动跟踪目标机屏幕变化,同时完全模拟键盘及鼠标输入,即在同步变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 (2)记录各种口令信息。包括开机口令、屏保口令、各种虚伪补齐诼绝大多数在对话框中出现过的口令信息,且1.2以上的版本中允许用户对该功能自行扩充,2.0以上的版本还同时提供了击键记录功能。 (3)获取系统信息。包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当 实验报告 实验名称网络攻防综合实验指导教师李曙红 实验类型设计实验学时 2 实验时间2016.06.29 一、实验目的 1. 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容: (1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击; (2) 利用网络安全工具或设备对入侵与攻击进行检测; (3) 能有效的对漏洞进行修补,提高系统的安全性,避免同种攻击的威胁。 2 网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面,对学生的综合实验能力进行考核与评分,具体评分标准参考“评分标准”文档。 二、实验要求 1.2人一组,要求每人分工不同,例如一人负责网络攻击,一个负责网络防范。在实验过程和实验报告中要 体现两人的不同分工。 2.每组独立设计完成实验,不能雷同。 3.实验过程中以下三个阶段需上机演示给指导老师察看:完成网络攻击、检测到攻击、完成网络防范。 4.完成实验报告,能解释在实验使用到的技术或工具的基本原理。 三、实验环境 可以自由使用信息安全实验室的PC机,局域网,Linux服务器,Windows 服务器,防火墙,入侵检测系统等。 四、实验设计方案、实验过程及实验结果 作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。鉴于此,我们就选用冰河完成本次实验。 若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。 冰河控制工具中有三个文件:Readme.txt,G_Client.exe,以及G_Server.exe。 Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。 冰河木马的使用: 1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。 6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。 7、发送信息:以四种常用图标向被控端发送简短信息。 8、点对点通讯:以聊天室形式同被控端进行在线交谈等。 实验过程: 一、攻击 1、入侵目标主机 首先运行G_Client.exe,扫描主机。 查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“10.1.13.1”至“10.1.13..255”网段的计算机,应将“起始域”设为“192.168.1”,将“起始地址”和“终止地址”分别设为“1”和“255”(由于我们是在宿舍做的,IP地址在100~120之间),然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。 实验一常用网络安全小工具的使用 实验目的: 掌握一种硬盘数据恢复工具的使用方法。 掌握一种文档密码破解工具的使用方法。 实验设备: 连入Internet的计算机一台 所用软件:FinalData、EasyRecovery 、advanced office password remover 实验步骤: 一、硬盘恢复工具的使用 1.新建任意一个文档,然后按shift+delete永久删除. 2.到网上搜索一款硬盘数据恢复软件,看其说明学会使用。 3.利用你所搜索的软件对你删除的文件进行恢复。 二文档密码破解 1.新建一个WORD文档并对其加密。 工具----选项----安全性 2.从网上下载任一款WORD文档密码破解软件,查看其使用方法。(注明所用软件名称) 3.利用你所搜索的软件对你的WORD文档进行解密。(解密过程请详细记录) 4.顺利打开你所破解后的WORD文档,实验成功。 实验二sniffer的安装及基本应用 实验目的: 1、掌握sniffer的安装。 2、掌握sniffer的基本应用。 实验设备: 连入Internet的计算机一台(或连入局域网计算机一台)实验步骤: 1.sniffer的安装。 2、启动、设置sniffer。参照教科书2.2节。 3、熟悉sniffer工作环境,掌握常用工具按钮及命令。 4、使用sniffer进行数据抓包。 5、对所抓取数据包进行分析。 实验三windows 2000的安全配置 实验目的: 掌握windows 2000/XP等操作系统的基本安全配置方法。 实验设备: 安装windows 2000/XP操作系统的计算机一台 所用软件: windows 2000/XP 实验步骤: 1.“开始---程序---管理工具----本地安全策略----本地安全设置”窗口,对账户策略、本地策略和IP安全策略进行相应设置。 2.“运行---gpedit.msc”,打开组策略窗口进行windows文件保护设置。 3.对文件夹及文件进行用户添加,及用户权限的设置。 4.关闭不必要的端口和服务,利用TCP/IP的高级设置配置一个简单的防火墙。 5.添加、修改账户,并进行账户权限设置,同时设计一个保护管理员账户的安全方法。 6.修改TTL返回值。 7.禁止默认共享文件。 冰河木马的使用 实验目的: 1.掌握冰河木马的具体功能 2.熟悉冰河木马的使用操作 3.懂得冰河木马的清除方法 实验原理: 1.基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe 是守护进程, G_client是客户端应用程序。 2.程序实现: 在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件): 服务端: G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值) G_Server.Listen(等待连接) 客户端: G_Client.RemoteHost=ServerIP(设远端地址为服务器地址) G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦) (在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配) G_Client.Connect (调用Winsock控件的连接方法) 一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接 Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestID End Sub 客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现) 如果客户断开连接,则关闭连接并重新监听端口 Private Sub G_Server_Close() G_Server.Close (关闭连接) G_Server.Listen (再次监听) End Sub 其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......实验步骤: 1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,填上我们搜索到的IP地址。 网络安全 项目实战报告 2012年5月9日 目录 目录 论文摘要 (2) 一、网络现状分析 ............................................................ 错误!未定义书签。 二、木马病毒的危害........................................................... 错误!未定义书签。 三、冰河木马的具体功能………………………………………………………………………… 四、模拟实验过程 .............................................................. 错误!未定义书签。 4.1环境配置 (4) 4.2实验过程 (5) 4.3删除冰河木马程序文件.......................................... 错误!未定义书签。 五、冰河木马的防御 (17) 六、结论 (20) 论文摘要 “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 随着当今社会的发展和科技的日益进步,网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出.具体表现为:计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节;网络政治颠覆活动频繁.因此,黑客软件显得更是火热。在众多黑客软件中“灰鸽子”无疑是其中的佼佼者. 冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词,在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。 一、网络现状分析 近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。 从人为(黑客)角度来看,常见的计算机网络安全威胁主要有:信息泄露、完整性破坏、拒绝服务、网络滥用。 信息泄露:信息泄露破坏了系统的保密性,他是指信息被透漏给非授权的实体。常见的,能够导致信息泄露的威胁有:网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。 完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒,木马,漏洞来等方式实现。 C/C++木马编程进阶与实战精摘 【内容提要】 本书全面介绍了C/C++语言网络编程和Socket编程的基本方法。重点剖析了目前流行木马的编程方法,揭露了黑客木马编程技术内幕。本书的特色在于从整体入手,先学习木马程序的整体框架雏形,然后一步一步地深入学习木马编程中的隐藏技术、管道技术、反弹技术以及远程注入技术等,全书结合多个生动案例,环环相扣,深入浅出,实现黑客编程技术的融会贯通。本书提供的程序代码力求完整、精简以及可读性强,为初、中级黑客编程爱好者提供了实用的学习参考资料。同时也可以作为大中专院校学生课外编程参考资料。 【序】 一直以来想写一本关于黑客编程方面的书,一方面,市面上流行的黑客书籍大多拘泥于黑客工具的使用上,仅适合入门级的黑客技术爱好者;另一方面,黑客技术博大精深,自身的学识浅薄,不能写成令大家满意的作品,所以就一直搁浅。由于我的上一部专著《信息安全顾问最佳实践指南》的读者给了我颇多的建议,同时也给了我写一本黑客编程方面的书籍的信心。在中国,随着Internet的发展,黑客技术的爱好者也越来越多,水平也越来越高,他们不再满足使用别人的工具,也想自己亲自动手编制一些工具,这就非常需要一部关于黑客技术理论方面的书籍。 兵家云:“知己知彼,百战不殆”,毛主席也说过“要想知道梨子的滋味,就得亲自尝一下”,所以,我们要亲自动手编制一些实用的小程序,首先,我们要摈弃那些代码冗长,功能大而全的程序;其次,从整体入手,先有面的概念,然后在学习点的知识,最后串起来;最后,任何代码都要在实践中进行检验,所以,在本部书最后一章设计了四个完整实用的程序,给读者一个豁然开朗的感觉。 【本书的组织】 第1~9章主要内容如下: 第1章,木马介绍-介绍了木马的历史以及当前木马的发展趋势。 第2章,Windows下黑客编程语言-如何学习黑客编程以及C/C++语言的使用入门。 第3章,Socket套接字编程基础-TCP/UDP的Socket介绍,木马基本结构介绍。 第4章,木马隐藏技术剖析-介绍了注册表的自启动加载技术、服务的加载技术、DLL远程注入的加载技术。 第5章,匿名管道技术-介绍了匿名管道的技术利用,单、双管道后门代码的分析,以及简单的双管道后门。 第6章,反弹木马技术-介绍了反弹木马的出现背景,着重分析了反弹木马的原理以及给出 利用IPC$植入木马实验 班级:113801 姓名:崔征 学号:080223 实验环境: 本机系统XP 或win7,虚拟机运行XP 或win003。 实验软件: 冰河2.2 实验目的: 掌握这类病毒入侵计算机的基本方法 实验内容: Ipc$是windows 操作系统专有的远程管理工具,但由于其在相对应的安全策略上有漏洞,导致在整个windows 中存在巨大的隐患。本实验就是通过利用Ipc$向目标计算机(windowsXP 或windows2003)植入冰河木马来达到远程控制对方计算机,让大家了解windows 安全策略的重要性。 实验准备: VM 中运行windowsXP 或2003,充当被控制机器,本机 充当攻击者,本机准备冰河木马软件,关闭两个机器的防火墙,关闭 两个机器的杀毒软件。配置虚拟机网卡连接到本机的Vnet1 网卡上,配置内外网络畅通,本例内部计算机地址为192.168.242.130。 实验步骤: 步骤1: 配置VM 计算机的安全策略,使攻击能顺利进行。 这个账户策略中指定administrator 在空白密码时只能进行控制台登陆,如果不关闭这个选项,则Ipc$攻击无法进行。所以这个策略在我们的计算机上一定要打开! 将网络访问:本地账户的共享和安全模式调整为经典模式,这样在登录时可以使用管理员账户获取到最大权限,否则只能以guest 模式运行,导致文件无法上传。 步骤2: 在攻击计算机上的命令行方式执行以下命令:注意net 和use,use 和\\中有空格,另一个空格在/user 前。 如果策略只允许控制台登录,攻击将得到上述信息,则攻击失败。 如果策略调整过后,则得到以下信息,表示连接建立成功。 此时,我们将可以直接向默认开放的共享目录上传木马。 如果你想知道机器都开有什么样的默认共享,请使用下述命令查看。注意:带$的都是系统默认的共享,即使你没有共享! 步骤3:向admin$下上传冰河木马主程序g_server.exe浅析冰河木马
冰河木马实验报告13002724
冰河木马的使用
电子商务安全与管理实验报告
网络安全 实验报告
冰河木马实验报告详解
网络安全与管理教师实验报告
冰河木马的使用
冰河木马的攻击和防御
CC 木马编程进阶与实战
利用IPC$植入木马实验报告
相关主题
文本预览