《信息安全技术》实验四 木马及远程控制技术
实验目的
•剖析网页木马的工作原理
•理解木马的植入过程
•学会编写简单的网页木马脚本
•通过分析监控信息实现手动删除木马
实验内容
1.木马生成与植入
2.利用木马实现远程控制
3.木马的删除
实验人数
•每组2人,本组为20155310 20155337
实验环境
•系统环境 •Windows Server 2003虚拟机
•网络环境 •交换网络结构
实验工具
•网络协议分析器
•灰鸽子
•监控器
实验类型
•设计性实验
实验步骤
木马生成与植入
1. 生成网页木马
•主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
为什么启动木马网站?
答:通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的,进而达到用户浏览含有木马的网页即自动下载安装程序的目的。木马网站利用MS06014漏洞,让浏览器自动下载网站上挂载的木马启动器。
•运行灰鸽子远程监控木马程序。
•主机A生成木马的“服务器程序”。
•主机A编写生成网页木马的脚本。
•将生成的“Trojan.htm”文件保存到“D:WorkIIS”目录下。
1.完成对默认网站的“挂马”过程
•对“index.html”进行编辑,实现从此网页对网页木马的链接。
3. 木马的植入
•主机B设置监控。
打开监控器。依次启动“进程监控”、“端口监控”,选择“文件监控”。
启动协议分析器,设置捕获主机A与主机B之间的数据,开始捕获数据包。
主机B启动IE浏览器,访问“http://主机A的IP地址”。
•主机A等待“灰鸽子远程控制”出现“自动上线主机”时通知主机B。
•主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。
•Hacker.com.cn.ini文件是由哪个进程创建的:Winlogin
木马安装时生成系统服务Windows XP Vista。Windows XP Vista的可执行文件路径:“C:WINDOWSHacker.com.cn.ini。”描述:“灰鸽子服务端程序,远程监控管理。”启动类型:“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。
•Windows XP vista服务的执行体文件是:Setup.exe
在“端口监控”中查看“远程端口”为“8000”的新增条目,观察端口监控信息,回答下面问题:端口8000在前面的过程中哪里设置的?、
•8000服务远程地址(控制端)地址: 木马服务器主机地址
•经过对上述监控信息的观察,你认为在“进程监控”中出现的winlogoin.exe进程(若存在)在整个的木马植入过程中起到的作用是:
winlogoin.exe在前面的过程中哪里设置的?
木马的运行灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端,并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE
(4) 主机B查看协议分析器所捕获的信息。
木马的功能
1. 文件管理
主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。
2. 系统信息查看
3. 进程查看
4. 注册表管理
5. Telnet
木马的删除
(一)自动删除
主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。
(二)手动删除
1.主机B启动IE浏览器,单击菜单栏“工具”-->“Internet 选项”,弹出“Internet 选项”配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选中“删除所有脱机内容”复选框,单击“确定”按钮直到完成。
2.双击“我的电脑”,在浏览器中单击“工具”-->“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏受保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮。
3.关闭已打开的Web页,启动“Windows 任务管理器”。单击“进程”属性页,在“映像名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮。
4.删除C:WidnowsHacker.com.cn.ini文件。
5.启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目,单击右键,在弹出菜单中选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮。
6.启动注册表编辑器,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista节点。
7.重新启动计算机。
8.主机A如果还没卸载灰鸽子程序,可打开查看自动上线主机,已经不存在了。
思考题
1.列举出几种不同的木马植入方法。
•木马的植入最常见的方法
1、通过网页的植入,比如某带木马代码的网站,你登录后,他就自动加载在你的系统里了。一般他们会把木马放在图片里
2、木马可以通过程序的下载进行植入
例如通过提供免费的下载或者下载列表里下载的程序和实际你搜索到的程序不同,提供的是木马程序,或者干脆在程序里添加木马
3、人工植入,
早期很多人针对网游投放木马,而网游人数最密集的地方就是网吧,通常会有人带U盘到网吧,植入,或者通过自己建的某个带有木马的网站,在网吧登录木马网站进行木马的侵入
4、通过破解防火墙,指定IP进行攻击的植入
这个对一般老板姓来说都是传说中黑客的手段,一般不太会出现在生活中,谁会为了植入某一个个人电脑花费大量的精力来干这事,理论上是找到IP,并且打开系统后面,直接投放,不过能做到的人们,没有精力来做这种事
1.列举出几种不同的木马防范方法。
•规范上网习惯。不点击未知网站,下载软件一律到正轨的官网去下载。
下载软件时,记得要用杀毒软件扫描安全,再打开