2017-2018-1 20155207&20155308《信息安全技术》实验四-木马及远程控制技术

2017-2018-1 20155207&20155308《信息安全技术》实验四-木马及远程控制技术

实验目的

• 剖析网页木马的工作原理
• 理解木马的植入过程
• 学会编写简单的网页木马脚本
• 通过分析监控信息实现手动删除木马

实验内容

1. 木马生成与植入
2. 利用木马实现远程控制
3. 木马的删除

实验步骤

木马生成与植入

1． 生成网页木马

• 主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。

为什么启动木马网站？

答：通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的，进而达到用户浏览含有木马的网页即自动下载安装程序的目的。木马网站利用MS06014漏洞，让浏览器自动下载网站上挂载的木马启动器。

• 运行灰鸽子远程监控木马程序。
• 主机A生成木马的“服务器程序”。
  

除了“自动上线设置”属性页，还有哪些属性页？

答：“我的电脑”中还有“牧民战天主机”和“灰鸽子2006版”

为什么在“保存路径”文本框中输入“D:WorkIISServer_Setup.exe”？换为另一个路径可以吗？

答：不可以。D:WorkIIS”为“木马网站”的网站空间目录。

• 主机A编写生成网页木马的脚本。

• 将生成的“Trojan.htm”文件保存到“D:WorkIIS”目录下。

为什么要将Trojan.htm文件保存到“D:WorkIIS”目录下？

答：将携带自己IP的网页木马程序保存到“D:WorkIIS”为“木马网站”的网站空间目录下。

2. 完成对默认网站的“挂马”过程

• 对“index.html”进行编辑，实现从此网页对网页木马的链接。

iframe标签有什么作用？

答：iframe也叫浮动帧标签，它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽（width）、高（height）、边框（frameborder）都设置为0，代码插入到首页后，首页不会发生变化，但是嵌入的网页实际上已经打开。

为什么使用9090端口？

9090端口是在服务器编辑时设置的。

3． 木马的植入

• 主机B设置监控。

打开监控器。依次启动“进程监控”、“端口监控”，选择“文件监控”。

启动协议分析器，设置捕获主机A与主机B之间的数据，开始捕获数据包。

主机B启动IE浏览器，访问“http://主机A的IP地址”。

• 主机A等待“灰鸽子远程控制”出现“自动上线主机”时通知主机B。
  

• 主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。

观察进程监控信息，结合实验原理回答下面的问题。Hacker.com.cn.ini在前面的过程中哪里设置的？

答”木马的安装程序下载完成后，自动进行安装。生成可执行文件C:Windowshack.com.cn.ini

• Hacker.com.cn.ini文件是由哪个进程创建的：Winlogin

木马安装时生成系统服务Windows XP Vista。Windows XP Vista的可执行文件路径：“C:WINDOWSHacker.com.cn.ini。”描述：“灰鸽子服务端程序，远程监控管理。”启动类型：“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。

Windows XP Vista服务在前面的过程中哪里设置的？

答：木马的安装过程中修改注册表生成名为windows XP Vista的系统服务。

• Windows XP vista服务的执行体文件是：Setup.exe

在“端口监控”中查看“远程端口”为“8000”的新增条目，观察端口监控信息，回答下面问题：端口8000在前面的过程中哪里设置的？

• 8000服务远程地址（控制端）地址： 木马服务器主机地址

• 经过对上述监控信息的观察，你认为在“进程监控”中出现的winlogoin.exe进程（若存在）在整个的木马植入过程中起到的作用是：

winlogoin.exe在前面的过程中哪里设置的？

木马的运行灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端，并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE

（4） 主机B查看协议分析器所捕获的信息。

木马的功能

1． 文件管理
主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。

2． 系统信息查看

3． 进程查看

4． 注册表管理

5． Telnet

木马的删除

自动删除

思考题

1. 列举出几种不同的木马植入方法。

• 木马的植入最常见的方法
  1、通过网页的植入，比如某带木马代码的网站，你登录后，他就自动加载在你的系统里了。一般他们会把木马放在图片里
  2、木马可以通过程序的下载进行植入
  例如通过提供免费的下载或者下载列表里下载的程序和实际你搜索到的程序不同，提供的是木马程序，或者干脆在程序里添加木马
  3、人工植入，
  早期很多人针对网游投放木马，而网游人数最密集的地方就是网吧，通常会有人带U盘到网吧，植入，或者通过自己建的某个带有木马的网站，在网吧登录木马网站进行木马的侵入
  4、通过破解防火墙，指定IP进行攻击的植入
  这个对一般老板姓来说都是传说中黑客的手段，一般不太会出现在生活中，谁会为了植入某一个个人电脑花费大量的精力来干这事，理论上是找到IP，并且打开系统后面，直接投放，不过能做到的人们，没有精力来做这种事

2. 列举出几种不同的木马防范方法。

• 规范上网习惯。不点击未知网站，下载软件一律到正轨的官网去下载。
  下载软件时，记得要用杀毒软件扫描安全，再打开

感悟与体会

• 通过这次实验，对于木马通过网页的植入方式有了较为深刻的了解：知道有“挂马”网站的存在，并且能利用浏览器的某些漏洞，将木马程序在后台就悄悄的下载到用户主机，而不需要经过用户允许。当然还有木马的严重与危害：能够随意下载被控主机内容，随意更改被控主机文件，随意实时操作被控主机。更加让我们警惕，在网络世界里的表面安全很轻易的就够被打破：对于任何下载的软件都要注意，是否存在捆绑的木马程序，或者说下载的就是直接伪装成的木马程序等等。在今后的学习中，要更重视病毒木马的知识，这方面的学习更像是逆行思维，为尽量营造一个安全的网络环境，就得找到漏洞，最终才能弥补漏洞。