木马分析（植入分析）实验

实验目的

学习并了解木马的相关概念理解木马植入的方法与原理掌握植入木马的方法实现实验所提到的命令和工具，得到实验结果

实验原理

木马的植入：木马的植入是指让木马的服务端在目标系统内运行起来的过程。木马之所以能够成功地植入，归根结底是利用了目标系统存在的各种漏洞，包括技术上的漏洞和人员方面的疏漏。技术上的漏洞是指计算机系统因设计不周而导致的系统或软件存在的缺陷，从而使攻击者在触发漏洞的情况下可以对系统进行非授权访问或破坏，从触发的机理上主要分为数据处理和文档解析两大类。直接植入：所谓直接植入，是指攻击者直接将木马服务端送达到目标系统内并使之运行起来的过程。该方式的特点是，攻击者主动参与，而目标用户未参与不知情，目标明确，针对性强。其原理通常是，攻击目标系统中存在的远程网络安全漏洞，使得攻击者可以在远程目标系统上执行任意代码，从而植入木马。目标系统的远程网络安全漏洞主要包括三种类型：软件系统漏洞、web系统漏洞、网络配置漏洞。间接植入：间接植入主要是指，攻击者没有明确的目标，没有与目标用户接触，没有直接将木马服务端或恶意代码发送到目标系统，而是存放在第三方服务器上，用户访问时由于不知情或浏览器存在漏洞，在自己的操作中使木马服务端或恶意代码得到运行，完成了木马的植入。攻击者通常会选择访问量较多的公共网站作为第三方服务器，撒网式地捕获目标，从某种意义上看，木马是被用户自己植入到系统中的。该植入过程的特点是，攻击者未直接参与，目标用户主动参与，目标的产生具有很大的随机性。该类型植入的目标并不是网站本身，而是访问网站的目标用户，尤其当网站为热门的论坛社区、求职网站、政府网站时，危害巨大。第三方网站一般原本不具有攻击性，之所以包含了木马服务端或恶意代码，一是网站系统本身被攻击导致内容被感染，二是攻击者通过网站的正常功能提交了恶意内容，具体情况包括：软件捆绑木马、网页恶意脚本、木马的再感染。

实验内容

介绍木马相关的基本概念与原理理解冰河木马的特征与功能初步掌握木马植入的方法与原理

实验环境描述

1、学生机与实验室网络直连;

2、 VPC与实验室网络直连;

3、学生机与VPC物理链路连通；

PC1:172.16.1.130 PC2:172.16.1.131 控制机器：H007002004win02 被控制机器：H007002004win2003

实验步骤

1、学生单击实验拓扑按钮，进入实验场景，进入目标主机

2、学生输入账号administrator ,密码123456

3、本次实验是实现本机对虚拟机或虚拟机对虚拟机的植入木马

VM虚拟机安全策略配置（在被控制机器）

1）、配置方法如下图所示，控制面板->管理工具->本地安全设置->本地策略->安全选项，将“账户：使用空白密码的本地账户只允许进行控制台登陆”设置为禁用，如下图所示：

图片描述

2）、同样在安全选项中将网络访问：本地账户的共享和安全模式调整为经典模式，如下图，这样在登录时可以使用管理员账户获取到最大权限，否则只能以guest模式运行，导致文件无法上传。

图片描述

4、上传冰河木马服务端（控制机向被控制机可以通过ipc管道漏洞进行传输）

1）、在控制端上解压桌面上Glacier，获得冰河木马的客户端与服务端程序，在控制端上运行G_CLIENT.EXE，即

客户端程序，点击起始地址的小电脑图标自动搜索进行主机扫描。

查找IP地址：在“起始域”编辑框中输入要查找的IP地址，如欲搜索IP地址172.16.1.1至172.16.1.150网段的计算机，则“起始域”设为172.16.1，“起始地址”和“终止地址”分别设为1和150，然后点击“开始搜索”按钮，右边列表框中显示检测到网络内计算机的IP地址，如下图：(ip自己设定本次以172.16.1为例)

图片描述