《信息安全技术》实验四 木马及远程控制技术
实验目的
- 剖析网页木马的工作原理
- 理解木马的植入过程
- 学会编写简单的网页木马脚本
- 通过分析监控信息实现手动删除木马
实验内容
- 木马生成与植入
- 利用木马实现远程控制
- 木马的删除
实验人数
- 每组2人,本组为20155202 20155220
实验环境
-
系统环境:Windows Server 2003虚拟机
-
网络环境:交换网络结构
实验工具
- 网络协议分析器
- 灰鸽子
- 监控器
实验类型
- 设计性实验
实验原理
一、网页木马原理及相关定义
浏览器是用来解释和显示万维网文档的程序,已经成为用户上网时必不可少的工具之一。“网页木马”由其植入方式而得名,是通过浏览网页的方式植入到被控主机上,并对被控主机进行控制的木马。与其它网页不同,木马网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
如果打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那么用户将会面临巨大的威胁。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。本练习中,我们利用微软的MS06014漏洞,完成网页木马的植入。
三、木马的工作过程
- 木马的植入
- 木马的安装
- 木马的运行
- 木马的自启动
五.木马的删除
木马的“客户端程序”可以控制木马的“服务器程序”的删除工作。另一种方法是通过手动删除,具体步骤将在“实验步骤”中详细说明。
实验步骤
本练习主机A、B为一组,C、D为一组,E、F为一组。实验角色说明如下:
| 实验主机 | 实验角色 |
|---|---|
| 主机A、C、E | 木马控制端(木马客户端) |
| 主机B、D、F | 木马被控端(木马服务器) |
下面以主机A、B为例,说明实验步骤。
首先在Windows Server 2003虚拟机中使用ipconfig命令查看虚拟机IP地址,再在本机上用ping命令尝试与虚拟机连接;
一、木马生成与植入
用户主机通过访问被“挂马”的网站而被植入木马的过程:
1.用户访问被“挂马”的网站主页。(此网站是安全的)
2.“挂马”网站主页中的<iframe>代码链接一个网址(即一个网页木马),使用户主机自动访问网页木马。(通过把<iframe>设置成不可见的,使用户无法察觉到这个过程)
3.网页木马在得到用户连接后,自动发送安装程序给用户。
4.如果用户主机存在MS06014漏洞,则自动下载木马安装程序并在后台运行。
5.木马安装成功后,木马服务端定时监测控制端是否存在,发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。
6.客户端收到连接请求,建立连接。
(一)生成网页木马
1.主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。(为什么启动木马网站?)
2.主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
3.主机A生成木马的“服务器程序”。
4.主机A编写生成网页木马的脚本。
(二)完成对默认网站的“挂马”过程
1.主机A进入目录C:Inetpubwwwroot,使用记事本打开index.html文件。
2.对index.html进行编辑。在代码的底部加上<iframe>语句,具体见实验原理-->名词解释-->iframe标签(需将http://www.jlcss.com/index.html修改为http://本机IP:9090/Trojan.htm),实现从此网页对网页木马的链接。
3.木马的植入 。
二、木马的功能
(一)文件管理
(二)系统信息查看
(三)进程查看
(四)注册表管理
(五)Telnet
(六)其它命令及控制
三、木马的删除
(一)自动删除
主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。
(二)手动删除
1.主机B启动IE浏览器,单击菜单栏“工具”-->“Internet 选项”,弹出“Internet 选项”配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选中“删除所有脱机内容”复选框,单击“确定”按钮直到完成。
2.双击“我的电脑”,在浏览器中单击“工具”-->“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏受保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮
。
3.关闭已打开的Web页,启动“Windows 任务管理器”。单击“进程”属性页,在“映像名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮。
4.删除C:WidnowsHacker.com.cn.ini文件。
5.启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目,单击右键,在弹出菜单中选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮。
6.启动注册表编辑器,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista节点。
7.重新启动计算机。
8.主机A如果还没卸载灰鸽子程序,可打开查看自动上线主机,已经不存在了
实验图片
